elektronische-signatur

QES Signatur: Bedeutung und Anwendung

Eine QES Signatur (qualifizierte elektronische Signatur) ist eine fortgeschrittene elektronische Signatur (FES), die auf einem qualifizierten Zertifikat basiert und von einer qualifizierten elektronischen Signaturerstellungseinheit (QSCD) erstellt wird.

Blog post cover image: cover.jpg

Was ist eine elektronische Signatur?

Eine elektronische Signatur ist ein elektronischer Hinweise auf die Absicht einer Person, dem Inhalt eines Dokuments, auf den sich die Signatur bezieht, zuzustimmen. Das bedeutet, dass eine elektronische Signatur genau wie ihr handschriftliches Gegenstück ein Identitäts- und Willensnachweis in einer digitalen Umgebung und ein rechtmäßiges Mittel zur Erlangung der Zustimmung elektronischer Dokumente ist. Eine QES Signatur ist eine von 3 Arten elektronischer Unterschrift (standard, fortgeschritten, qualifiziert).

Die Verordnung zur Standardisierung elektronischer Signaturen in der EU heißt eIDAS, was für elektronische Identifizierung, Authentifizierung und Vertrauensdienste steht. Diese Gesetzgebung schafft eine rechtliche Struktur für die elektronische Identifizierung in Europa und umreißt die EU-Standards und deren Einhaltung.

Was ist eine QES Signatur?

Eine QES Signatur (qualifizierte elektronische Signatur) weist alle Sicherheitsmerkmale einer fortgeschrittenen elektronischen Signatur auf, verwendet aber zusätzlich ein qualifiziertes Zertifikat und eine Mehrfaktorenprüfung zur Identifizierung des Unterzeichners. Sie ist die einzige Signatur, die in allen EU-Mitgliedstaaten ausdrücklich als rechtliches Äquivalent zur handschriftlichen Unterschrift anerkannt wird. Eine QES Signatur ist durch Dritte abgesichert und erfordert eine Prüfung und standardisierte Methoden, die ein Höchstmaß an Sicherheit und Vertrauensprotokollen voraussetzen.

Qualifizierte Zertifikate für die QES Signatur werden von (öffentlichen und privaten) Anbietern bereitgestellt, denen von einer zuständigen nationalen Behörde ein qualifizierter Status zuerkannt wurde, der in den nationalen Listen des EU-Mitgliedstaats angegeben ist. Auf diese Listen kann über den Browser zugegriffen werden.

Während die verschiedenen Stufen elektronischer Signaturen in unterschiedlichen Kontexten angemessen sein können, werden nur QES Signaturen ausdrücklich anerkannt, um die gleiche rechtliche Wirkung zu haben wie handschriftliche Unterschriften in der gesamten EU.

Wann sollte ich eine QES Signatur verwenden?

Um herauszufinden, welche elektronische Signatur meinen Anforderungen entspricht, sollte man die folgenden vier Schlüsselelemente berücksichtigen:

  1. Authentizität: Muss die Signatur eindeutig sein?
  2. Identität: Erfordert die Signatur eine Identitätsprüfung?
  3. Integrität: Soll die Signatur in der Lage sein, nachträgliche Datenänderungen zu erkennen?
  4. Authentifizierung: Hat der Unterzeichner die komplette Kontrolle über die Unterzeichnung?

Wenn die Antwort auf alle oben genannten Fragen ja lautet, ist eine QES Signatur die richtige Lösung. Und selbst wenn dies nicht der Fall ist, ist eine QES Signatur immer noch die sicherste Methode und kann sogar als sicherer als eine handschriftliche Unterschrift angesehen werden. Die Umkehr der Beweislast, die Möglichkeit der Validierung der Unterschrift und die garantierte Überprüfung der Identität bieten zusätzliche Sicherheitsvorteile.

Eine QES Signatur kann nur von einem qualifizierten Vertrauensdiensteanbieter (Qualified Trust Service Provider, QTSP) ausgestellt werden, der von einer Aufsichtsbehörde eines Mitgliedstaates beaufsichtigt wird und in nationale Vertrauenslisten aufgenommen ist. QTSPs sind stark reguliert und müssen alle Überprüfungen zur Einhaltung von eIDAS bestehen.

Darüber hinaus können QES Signaturen nur mit einer qualifizierten Signaturerstellungseinheit (QSCD) mit spezieller Software und Hardware erstellt werden.

Anwendungsfälle für eine QES Signatur

Die QES Signatur eignet sich für Unterschriftsvorgänge, die erhebliche Risiken darstellen oder in einem strengen rechtlichen Rahmen stattfinden, beispielsweise:

  • Unterzeichnung von elektronischen Verträgen oder Dokumenten, die eine QES Signatur erfordern (z.B. Verbraucherkreditvertrag)
  • Unterzeichnung von Dokumenten mit hohem Risiko/Wert
  • Unterzeichnung einer rechtlichen Ermächtigung
  • Unterzeichnung vertraulicher oder rechtlicher Dokumente

Für alle anderen Arten von Dokumenten ist die QES Signatur nicht unbedingt erforderlich.

Es ist durchaus akzeptabel, eine fortgeschrittene elektronische Signatur zu verwenden, die einfacher einzurichten, für die Unterzeichner flexibler und dennoch ausreichend sicher ist. Die Verwendung einer QES Signatur sollte also auf bestimmte Verwendungszwecke und Tätigkeitsbereiche beschränkt werden. Schließlich ist es angesichts der Schwerfälligkeit des Prozesses einer QES Signatur unerlässlich, ein Gleichgewicht zwischen dem Sicherheitsbedürfnis des Unternehmens und der Flexibilität bei der Umsetzung und Nutzung zu finden.

Woher weiß ich, ob ein Dokument mit einer QES Signatur unterzeichnet wurde?

Die Validierung ist einer der größten Vorteile der Verwendung einer QES Signatur. Der kryptografische Nachweis in Kombination mit der garantierten Überprüfung der Identität ist eine wesentliche Grundlage, um eine elektronische Signatur zu überprüfen und bestätigen.

Es gibt zwei Möglichkeiten, eine QES Signatur zu validieren:

1. Adobe Reader

Solange die Software mit einer aktuellen Version der EU-Trusted-List aktualisiert ist, kann Adobe Reader zur kostenlosen Validierung einer QES Signatur verwendet werden. Diese Aktion erfolgt automatisch, wenn Adobe Reader gestartet wird, und erfordert keine Benutzerinteraktion. Sie können auch das Signatur-Panel öffnen, um die Signaturen und zugehörigen Zertifikate genauer zu untersuchen.

2. EU DSS Tool

Das EU DSS-Tool ist eine Webanwendung zur Demonstration, die direkt von der Europäischen Kommission verwaltet wird. Um eine QES Signatur zu validieren, ladet man einfach das signierte Dokument hoch und erhält einen Bericht über die Validierung.

Die Nutzung der beiden Tools hat unterschiedliche Vorteile. Adobe Reader ist eine weithin integrierte Software und kann Dokumente mit QES Signatur in einer Offline-Umgebung validieren, solange sie aktualisiert wird. Diese Option eignet sich am besten für die Verwendung auf dem Desktop und in Fällen, in denen ein Validierungsbericht nicht benötigt wird. Das EU DSS Tool ist mobilfreundlich und da es eine Internetverbindung erfordert, können Dokumente hochgeladen werden und der Bericht anschließend direkt auf das Gerät heruntergeladen werden. Dieser Bericht kann dann als Validierungsbescheinigung der QES Signatur in Papierform verwendet werden.

Veröffentlicht:
Autor: Portrait
Markus Presle

Damit Verträge Spaß machen. Gleich heute mit fynk starten.

Unternehmen, die fynk nutzen, erledigen ihre Arbeit schneller als je zuvor. Bereit Ihrem Team Zeit zurückzugeben?

Demo vereinbaren