Warum der Unterschied wichtig ist
In der alltaeglichen Kommunikation werden die Begriffe elektronische Signatur und digitale Signatur als Synonyme verwendet, doch rechtlich und technisch sind das nicht dieselben Dinge. Der Unterschied ist nicht akademisch: wenn Sie einen Vertrag im Wert von hunderttausenden EUR unterzeichnen oder in ein Gerichtsverfahren eintreten, beeinflusst der gewaehlte Signaturtyp direkt, ob das Dokument als Beweis akzeptiert wird, ob die Gegenseite es anfechten kann und ob Sie die Arbeit in Papierform wiederholen muessen.
Elektronische Signatur als breiter Rechtsbegriff
Die elektronische Signatur ist ein Oberbegriff, der jede digitale Form der Willenserklaerung umfasst. Dazu gehoert praktisch alles, was den Unterzeichner in einer elektronischen Umgebung identifiziert:
- Ein eingegebener Name am Ende einer E Mail
- Ein gescanntes Bild der handschriftlichen Unterschrift, eingefuegt in ein PDF
- Klick auf den Button Ich akzeptiere die Bedingungen
- Unterschrift mit dem Finger oder Stylus auf einem Tablet Bildschirm
- Eingabe eines PIN Codes oder eines Einmalpassworts
- Biometrische Bestaetigung (Fingerabdruck, Gesicht)
Alle diese Formen sind rechtlich elektronische Signaturen, unterscheiden sich aber im Sicherheitsniveau und in der Beweiskraft vor Gericht.
Digitale Signatur als kryptografische Untergruppe
Die digitale Signatur ist eine technisch spezifische Untergruppe elektronischer Signaturen, die asymmetrische Kryptografie und digitale Zertifikate nutzt. Drei zentrale Merkmale:
- Asymmetrische Verschluesselung: ein Schluesselpaar (privater zum Signieren, oeffentlicher zur Verifikation). Der private Schluessel ist nur dem Inhaber bekannt, der oeffentliche allen zugaenglich.
- Digitales Zertifikat: wird von einer Zertifizierungsstelle ausgestellt und bestaetigt, dass ein bestimmter oeffentlicher Schluessel einer bestimmten Person gehoert.
- Hash Funktion: mathematischer Fingerabdruck des Dokuments. Jede Aenderung nach der Signatur veraendert den Hash und macht die Signatur ungueltig, was Nichtabstreitbarkeit (non-repudiation) gewaehrleistet.
Mit anderen Worten: jede digitale Signatur ist eine elektronische, aber nicht jede elektronische Signatur ist digital. Es ist das Verhaeltnis wie Quadrat und Rechteck.
Drei Stufen nach dem Vertrauensdienstegesetz und der eIDAS Verordnung
Das deutsche Vertrauensdienstegesetz (umgesetzt in Einklang mit der EU eIDAS Verordnung) definiert drei Stufen der elektronischen Signatur:
| Stufe | Technische Anforderungen | Rechtskraft | Typisches Beispiel |
|---|---|---|---|
| Einfache (Basis) e-Signatur | Jede elektronische Form der Identifikation | Rechtlich gueltig, aber mit schwacher Beweiskraft; die Beweislast liegt bei dem, der sich auf die Signatur beruft | Name in der E Mail Signatur, Klick auf Ich stimme zu, gescannte Unterschrift |
| Fortgeschrittene e-Signatur (AdES) | Eindeutig mit dem Unterzeichner verbunden, ermoeglicht die Identifikation, mit kontrollierten Mitteln erstellt, mit dem Dokument so verknuepft, dass jede spaetere Aenderung erkennbar ist | Hoehere Beweiskraft; umgekehrte Beweislast, ohne Gegensignal wird die Signatur als gueltig akzeptiert | Signatur mit qualifiziertem Zertifikat ohne QSCD Geraet, z. B. Software Zertifikat |
| Qualifizierte e-Signatur (QES) | Fortgeschrittene Signatur, erstellt mit einem qualifizierten Signaturerstellungsgeraet (Smart Card, USB Token, HSM) auf Grundlage eines qualifizierten Zertifikats, das von einem registrierten qualifizierten Vertrauensdiensteanbieter ausgestellt wurde | Rechtlich der handschriftlichen Unterschrift in allen Rechtsverhaeltnissen gleichgestellt; automatisch in allen EU Staaten ohne zusaetzliche Pruefung anerkannt | D-Trust Smart Card, Bundesdruckerei Token, HSM Modul in der Bank |
Qualifizierte Vertrauensdiensteanbieter in Deutschland
Qualifizierte Zertifikate werden in Deutschland von Vertrauensdiensteanbietern ausgestellt, die bei der Bundesnetzagentur registriert sind. Zu den bekanntesten zaehlen D-Trust (Bundesdruckerei), T-Systems, DGN, Bundesagentur fuer Arbeit, sowie mehrere kommerzielle Anbieter. Der Preis eines qualifizierten Zertifikats liegt zwischen 50 und 200 EUR jaehrlich, abhaengig vom Anbieter und vom Traegertyp (Karte, Token, Cloud).
Wann welche Stufe gesetzlich erforderlich ist
| Dokumenttyp | Mindeststufe | Grund |
|---|---|---|
| Interne Kommunikation, Schreiben | Einfach | Keine externe rechtliche Tragweite |
| Bestellungen, Berichte | Einfach oder fortgeschritten | Nach interner Unternehmensrichtlinie |
| Gewerbliche Vertraege zwischen Unternehmen | Fortgeschritten empfohlen | Bei Streit vor Gericht leichter zu beweisen |
| Arbeitsvertraege | Fortgeschritten Minimum, qualifiziert empfohlen | Jeder Streit vor dem Arbeitsgericht |
| Rechnungen fuer steuerliche Zwecke | Fortgeschritten (E Rechnung gemaess Wachstumschancengesetz) | Pflicht zur E Rechnung in Deutschland ab 2025 |
| Antraege bei Gerichten und Klagen | Qualifiziert (Pflicht) | Prozessrecht verlangt QES (z. B. ueber beA) |
| Immobilienvertraege | Notariell (beurkundet) | Elektronische Signatur reicht nicht; notarielle Form erforderlich |
| Bankunterlagen mit hohen Betraegen | Qualifiziert | Interne Bankanforderungen und Finanzregulierung |
| Dokumente von Behoerden, e-Government | Qualifiziert | e-Government und Justizportale akzeptieren keine niedrigere Stufe |
Was Praxis ist: wann das Gericht die einfache e-Signatur verworfen hat
In der Praxis deutscher Gerichte gibt es Faelle, in denen eine Partei einen Vertrag mit einer gescannten Unterschrift als Beweis vorgelegt hat und das Gericht ein Sachverstaendigengutachten anforderte. Der Sachverstaendige stellte fest, dass die gescannte Unterschrift keine Garantie bietet, dass sie nicht nachtraeglich aus einem anderen Dokument kopiert wurde, und das Gericht akzeptierte eine solche Unterschrift nur mit zusaetzlichen Beweisen (Zeugen, Korrespondenz, Zahlungen). Wenn eine qualifizierte elektronische Signatur vorliegt, akzeptiert das Gericht sie ohne zusaetzlichen Beweis, genauso wie eine handschriftliche Unterschrift auf Papier.
Grenzueberschreitende Gueltigkeit in der EU
Eine in Deutschland ausgestellte qualifizierte elektronische Signatur nach eIDAS Standard ist rechtlich in allen EU Staaten ohne zusaetzliche Beglaubigung gueltig. Das ist besonders wichtig fuer Unternehmen mit Partnern in der EU, da es Reisen, Kuriere und physische Stempel auf Vertraegen ueberfluessig macht. Die fortgeschrittene Signatur wird in einigen Staaten akzeptiert, waehrend die einfache Signatur von Staat zu Staat unterschiedlich behandelt wird.
Wie Sie die Stufe fuer Ihren Fall waehlen
- Rechtliche Pflicht: wenn das Gesetz oder ein Regulator ausdruecklich eine bestimmte Stufe verlangt, nutzen Sie diese (z. B. E Rechnungspflicht ab 2025, gerichtliche Eingaben qualifiziert).
- Wert oder Risiko des Dokuments: ein Vertrag im Wert von mehr als einem Jahresgehalt eines durchschnittlichen Mitarbeiters verdient mindestens eine fortgeschrittene Signatur, idealerweise eine qualifizierte.
- Grenzueberschreitende Nutzung: wenn das Dokument ins Ausland geht oder von dort kommt, ist die qualifizierte Signatur die einzige sichere Wahl.
- Langfristige Aufbewahrung: Dokumente, die laenger als 5 Jahre aufbewahrt werden, sollten ein Format haben, das die langfristige Validierung der Signatur ermoeglicht (LTV, z. B. PAdES-LTV fuer PDF).
- Operativer Komfort: beim Massensignieren (hunderte Vertraege taeglich) kann sich die Investition in QSCD in der Cloud lohnen, da physische Token entfallen.
