Best Practices für elektronische Signaturen + Drei Unternehmen, die Herausforderungen hatten
Der globale Markt für elektronische Signaturen wird voraussichtlich von 3,92 Milliarden US-Dollar im Jahr 2022 auf 43,14 Milliarden US-Dollar im Jahr 2030 steigen. Angesichts des Anstiegs von Remote-Arbeit und der Bemühungen in Bereichen wie der Europäischen Union, den grenzüberschreitenden Handel zu erleichtern, ist die Möglichkeit, rechtlich anerkannte digitale Signaturen auf offiziellen Dokumenten anzubringen, ein integraler Bestandteil der zukünftigen Arbeitsweise.
In den USA hat der Internal Revenue Service (IRS), die Steuerbehörde des Landes, zugestimmt, weiterhin die elektronische Unterschrift von Steuerzahlern auf kontinuierlicher Basis zuzulassen. Dies folgte der Akzeptanz von elektronischen Signaturen als vorübergehende Maßnahme während der Pandemie.
Tatsächlich sind Benutzer, die einmal die Bequemlichkeit und die praktische Nutzung von elektronischen Signaturen erfahren haben, eher bereit, diese in ihre Arbeitsabläufe zu integrieren. Im Vereinigten Königreich wird berichtet, dass zwei Drittel der Nutzer von elektronischen Signaturen sich erst 2020 für den Service angemeldet haben. In diesem kurzen Zeitraum gaben 66% der Befragten an, ihre Nutzung von elektronischen Signaturen erweitern zu wollen.
Der rechtliche Rahmen für elektronische Signaturen in der EU
Der Rahmen für elektronische Signaturen in der EU entwickelt sich kontinuierlich weiter. Bis zum Jahr 2000 war die einzige legale Form der Unterschrift die handschriftliche Unterschrift, auch als "wet signature" bekannt. Hier sind die relevanten Gesetzgebungsakte seitdem:
| Gesetzgebung | Auswirkungen auf elektronische Signaturen |
|---|---|
| eSignature-Richtlinie (2000) | Etablierte die Rechtsgültigkeit der Nutzung digitaler Signaturen für Kommunikation innerhalb der Europäischen Union. |
| eIDAS-Verordnung (2016) | Harmonisierte die Definition elektronischer Signaturen in der EU und legte fest, dass Dokumente nicht aufgrund der elektronischen Form der Unterschrift die rechtliche Wirkung verweigert werden darf. |
| eIDAS 2.0 (voraussichtlich 2026) | Wird die Sicherheit bei der Verwaltung elektronischer Signaturen erhöhen, einschließlich der Möglichkeit, eine elektronische Unterschrift in die Europäische Digitale Identitätsbrieftasche (EUDI) des Nutzers einzufügen. |
Es gibt drei anerkannte Arten elektronischer Signaturen in der EU. Diese sind:
Einfache elektronische Unterschrift (SES) – Eine grundlegende Möglichkeit, eine Bestätigung oder Zustimmung zu zeigen.
Erweiterte elektronische Unterschrift (AES) – Ermöglicht es der empfangenden Partei, die Identität des Unterzeichners zu überprüfen, aber nicht zu verifizieren. Dies macht sie sicherer als eine SES.
Qualifizierte elektronische Unterschrift (QES) – Die sicherste Art der elektronischen Unterschrift, die das gleiche Gewicht wie eine handschriftliche Unterschrift hat und Verifikationsmethoden erfordert, um sicherzustellen, dass der Unterzeichner der ist, der er vorgibt zu sein.
Best Practices für elektronische Signaturen
Wenn Sie digitale Signaturen für elektronische Dokumente akzeptieren möchten, sind hier die Schritte und Best Practices:
Verstehen Sie die Gesetzgebung
Um die Vorteile der Nutzung elektronischer Signaturen in Ihren Arbeitsabläufen zu nutzen und gleichzeitig die Einhaltung der Vorschriften zu gewährleisten, sollten Sie sich mit der Gesetzgebung zu elektronischen Signaturen vertraut machen. Achten Sie insbesondere auf die Definitionen der verschiedenen Signaturtypen in der eIDAS-Verordnung, die Einzelheiten ihrer rechtlichen Wirkung, die technischen Standards für elektronische Signaturen und die Liste der akzeptierten EU-Vertrauensdiensteanbieter.
Indem Sie wissen, was die Signaturen rechtlich darstellen können und wie Organisationen sie nutzen können, können Sie diese Fähigkeit effektiver in Ihre Geschäftsprozesse integrieren und sich der rechtlichen Grundlage sicher sein.
Passen Sie Ihre Bedürfnisse an die verfügbaren Signaturtypen an
Analysieren Sie die Aufgaben, die Sie mit digitalen Signaturen erledigen möchten, und bewerten Sie die Anforderungen für jede Aufgabe, um zu verstehen, welches Schutzniveau erforderlich ist.
Zum Beispiel könnte ein Großteil der zu unterzeichnenden Dokumente geringes Risiko aufweisen, wie interne PDFs, die unterzeichnet werden müssen. Diese könnten mit einer SES abgeschlossen werden, die keine strengen Identifizierungs- und Verifizierungsprozesse erfordert.
Möglicherweise möchten Sie jedoch elektronische Signaturen für Arbeitsverträge, Geheimhaltungsvereinbarungen oder Hypotheken- oder Kreditverträge implementieren. In diesen Fällen wäre eine QES eher angebracht.
Berücksichtigen Sie die Risiken, die mit den Aufgaben verbunden sind, und wägen Sie die Kosten ab, die durch die Forderung nach einer sichereren Unterschrift entstehen, im Vergleich zu den potenziellen Schäden durch eine rechtliche Herausforderung gegen die Vereinbarung.
Entscheiden Sie, wie Sie die elektronische Unterschrift anbieten
Es gibt zwei Optionen, um es Beteiligten zu ermöglichen, rechtsverbindliche Dokumente elektronisch zu unterzeichnen. Eine Option besteht darin, Ihr eigenes System zu entwerfen und intern zu nutzen, aber Sie müssen sicherstellen, dass es mit der eIDAS-Verordnung konform ist, damit es für Ihre Zwecke geeignet ist.
Alternativ können Sie mit einem Anbieter von elektronischen Signaturen wie Entrust Signhost zusammenarbeiten. Dieser kann Ihnen ein Webportal zur Verfügung stellen, über das Sie elektronische Signaturen anfordern können, und hilft Ihnen, diese Fähigkeit in Ihre eigene Website über eine Programmierschnittstelle (API) zu integrieren.
In der letzteren Option lädt die Person, die das Dokument unterzeichnen soll, es einfach hoch, fügt ihre gewählten Verifizierungsmethoden hinzu und sendet das Dokument zur Unterschrift.
Erstellen Sie eine digitale Signaturpolitik
Wenn Sie verschiedene Methoden zur Unterzeichnung für unterschiedliche Risikokategorien von Dokumenten haben, erstellen Sie eine Politik, damit die Beteiligten verstehen, welches Schutzniveau für jedes Dokument verwendet werden soll.
Stellen Sie sicher, dass diese Politik allen Beteiligten zugänglich ist und führen Sie Schulungen durch, damit sie verstehen, wie und wann sie die verschiedenen Arten elektronischer Signaturen anfordern sollten. Bilden Sie sie in den Verantwortlichkeiten des Unternehmens im Umgang mit elektronischen Signaturen und dem Gesetz über elektronische Identifikationen (eID) weiter.
Drei Unternehmen, die Herausforderungen mit elektronischen Signaturen hatten
Fallstudie: Daumen hoch
Ein kanadisches Getreide- und Ernteunternehmen, SWT, verklagte ein landwirtschaftliches Unternehmen, Achter, im Jahr 2023 wegen eines Deals über Flachs, den SWT als vereinbart ansah. Ein Vertreter von SWT hatte ein Bild eines Vertrags per Textnachricht an den Besitzer von Achter geschickt und um eine Lieferung von Flachs zum Preis von 17 CA$ pro Scheffel gebeten. Der Absender schrieb "Bitte bestätigen Sie den Flachsvertrag", woraufhin der Empfänger mit einem Daumen-hoch-Emoji antwortete.
Achter lieferte den Flachs nicht und SWT klagte wegen Vertragsbruch. SWT behauptete, dass das Daumen-hoch-Emoji eine Zustimmung zum Vertrag darstellte, während Achter sich verteidigte, indem es sagte, dass dies lediglich eine Bestätigung für den Empfang des Angebots war.
Das Gericht stellte jedoch fest, dass das Daumen-hoch tatsächlich eine vertragliche Vereinbarung darstellt und als rechtliche Unterschrift angesehen werden kann. Es zitierte frühere Vereinbarungen zwischen den beiden Parteien, bei denen der Vertreter von Achter auf ähnliche Nachrichten mit Kommentaren wie "ok", "ja" oder "sieht gut aus" geantwortet hatte. Achter musste 82.000 CA$ an Schadensersatz zahlen.
Dies zeigt, dass eine einfache elektronische Unterschrift viele Formen annehmen kann und Unternehmen bei der Formulierung ihrer Vereinbarungen präzise sein müssen. Es ist auch ratsam, Verträge mit einer Unterschrift zu bestätigen, die eine Absicht zur Unterzeichnung aufzeichnet. Bei einer QES ist der Prozess so robust, dass die Beweislast beim Unterzeichner liegt, um zu beweisen, dass er nicht beabsichtigte, den Vertrag im Falle eines Rechtsstreits zu unterzeichnen.
Fallstudie: Darlehensvereinbarung
Ein niederländischer Mann beantragte ein Darlehen bei Swishfund für sein Unternehmen und unterzeichnete gleichzeitig eine persönliche Bürgschaftserklärung. Als das Unternehmen das Darlehen nicht zurückzahlte, geriet es in Konkurs. Swishfund forderte den Bürgen auf, die verbleibenden 14.776,57 € des Darlehens zu zahlen, aber er behauptete, er habe die Bürgschaftserklärung nicht unterzeichnet.
Swishfund zog den Mann vor Gericht und erklärte, dass es die Vereinbarungen per Adobe Sign per E-Mail an ihn gesendet habe. Er hatte einen Verifizierungscode erhalten, der ihm per SMS auf sein Telefon gesendet wurde, bevor er die Dokumente öffnen konnte. Danach initialisierte und unterschrieb er die Dokumente, bevor der Prozess abgeschlossen war und Adobe Sign ein Siegel erstellte, das weitere Bearbeitungen verhinderte.
Das Gericht stellte jedoch fest, dass es sich weder um eine QES noch um eine AES handelte, was bedeutete, dass die Unterschrift nicht ausreichend zuverlässig war, um die Zustimmung zur Bürgschaftserklärung zu zeigen. Es stellte fest, dass Swishfund erhebliche Sorgfaltspflicht gegenüber dem Unternehmen des Mannes ausgeübt hatte, aber nur ein Identifikationsdokument des Mannes vorlag und es nicht beweisen konnte, dass es weiteren Kontakt mit ihm gehabt hatte.
Das Gericht befand, dass dies kein ausreichender Identifikationsprozess war, um Betrug durch jemanden zu verhindern, der Zugang zu einer Firmen-E-Mail und den Bankdaten des Unternehmens erlangt hatte. Der Mann musste den geforderten Betrag nicht bezahlen.
Dies zeigt, wie wichtig es ist, das richtige Sicherheitsniveau für die Art von Dokumenten in Ihren elektronischen Signaturprozessen auszuwählen. Bei einem Vertrag im Wert von Tausenden von Euro ist es ein schwerwiegender Fehler, nicht genügend Prüfungen durchzuführen.
Fallstudie: Zugkauf
Im Jahr 2021 unterzeichnete die Österreichische Bundesbahn ÖBB einen Vertrag mit dem Schweizer Zughersteller Stadler, um eine Flotte von Doppelstockzügen zu beschaffen. Der Vertrag im Wert von 3 Milliarden Euro war bereits abgeschlossen und bereit, bis ein konkurrierender Hersteller die Unterschrift auf dem Vertrag in Frage stellte.
Stadler hatte, wie gewünscht, eine qualifizierte elektronische Unterschrift verwendet, aber sie stammte von einem Schweizer Vertrauensdiensteanbieter. Trotz der engen Verbindungen der Schweiz zur EU und dem Europäischen Wirtschaftsraum (EWR) ist sie weder Mitglied der EU noch des EWR, weshalb die Unterschrift in der EU nicht anerkannt wurde.
Tatsächlich ist die Schweizer QES nahezu identisch mit der EU-Version, aber obwohl die EU und die Schweiz Gesetze haben, die eine Anerkennung der beiden Länder ermöglichen, war dies in diesem Fall nicht Teil der Verhandlungen.
Infolgedessen wurde der Vertrag für null und nichtig erklärt. ÖBB öffnete später das Ausschreibungsverfahren erneut und vergab den neuen Vertrag wieder an Stadler.
Dies zeigt jedoch, wie wichtig es ist, die rechtliche Gültigkeit Ihrer Unterschriften zu verstehen. Die eIDAS-Verordnung bedeutet, dass es eine Interoperabilität zwischen allen EU- und EWR-Mitgliedstaaten gibt, aber Sie müssen vorsichtig sein, wenn Sie Vereinbarungen mit Drittländern treffen.
FAQ
Was stellt eine rechtsverbindliche elektronische Unterschrift in der EU dar?
Elektronische Signaturen müssen der eIDAS-Verordnung entsprechen, die Standards festlegt, damit elektronische Signaturen in der gesamten EU als rechtsverbindlich anerkannt werden. Dies umfasst die Identifikation und Zustimmung des Unterzeichners sowie die Integrität des unterzeichneten Dokuments.
Können elektronische Signaturen für alle Arten von Verträgen in der EU verwendet werden?
Sie können elektronische Signaturen für alle Verträge in der EU verwenden, da die eIDAS-Verordnung festlegt, dass eine elektronische Unterschrift nicht allein aufgrund ihrer digitalen Form die rechtliche Wirkung verweigert werden darf. Es sollte jedoch das Sicherheits- und Risikoniveau des jeweiligen Dokuments mit der Art der verwendeten Unterschrift übereinstimmen.
Wie können Unternehmen die Identität einer Person, die elektronisch unterzeichnet, überprüfen?
Unternehmen können verschiedene Methoden verwenden, einschließlich SMS-Verifizierung, E-Mail-Bestätigung, digitale ID-Verifizierungsdienste oder biometrische Daten, je nach dem erforderlichen Sicherheitsniveau gemäß der eIDAS-Verordnung und den eigenen Sicherheitsrichtlinien des Unternehmens.
Wie kann die grenzüberschreitende rechtliche Anerkennung von elektronischen Signaturen innerhalb der EU sichergestellt werden?
Die Sicherstellung, dass eine elektronische Unterschrift mit einer Lösung erstellt wird, die den eIDAS-Standards entspricht, ist entscheidend für die grenzüberschreitende Anerkennung. Die Verwendung eines Vertrauensdiensteanbieters, der in der EU-Vertrauensliste aufgeführt ist, sorgt für die Akzeptanz der Unterschrift auch über Grenzen hinweg mit anderen Mitgliedstaaten.
Zählt eine E-Mail als Unterschrift?
Laut der eIDAS-Verordnung kann eine E-Mail als Teil des elektronischen Unterschriftenprozesses betrachtet werden, aber sie stellt nicht unbedingt eine vollständige elektronische Unterschrift dar. Die Verordnung unterscheidet zwischen verschiedenen Arten elektronischer Unterschriften, und die Gültigkeit einer E-Mail als Unterschrift hängt vom Kontext und der Einhaltung spezifischer Anforderungen ab, wie zum Beispiel der Absicht zu unterzeichnen und der Sicherstellung der Identität des Unterzeichners.
Durch die Befolgung der besten Praktiken für elektronische Signaturen können Unternehmen einige der Fallstricke vermeiden, die andere Organisationen betroffen haben. Die Nutzung einer elektronischen Unterschriftenlösung bedeutet, dass der richtige Prozess zum Anfordern und Akzeptieren von Unterschriften eingehalten wird, die die gesetzlichen Anforderungen erfüllen und die Gewissheit bieten, dass es keine Herausforderungen hinsichtlich der Authentizität der Unterschrift geben wird.
Entrust Signhost
Entrust Signhost bietet diesen Service für Unternehmen an, mit nahtloser Integration in Ihre Systeme und der Möglichkeit, dass Unterzeichner von jedem Gerät aus unterschreiben können, egal wo sie sich befinden. Beginnen Sie noch heute kostenlos mit Entrust Signhost.
Quellen und weiterführende Lektüre
- Elektronisches Siegel vs. elektronische Unterschrift
- Digitale Identifizierung
- ABN AMRO elektronische Unterschrift Fallstudie
- Was ist eine digitale Signatur?
- Was ist eine Wet-Signatur?
Haftungsausschluss: Dieser Inhalt stellt keine Rechtsberatung dar. Die Eignung, Durchsetzbarkeit oder Zulässigkeit elektronischer Dokumente hängt wahrscheinlich von vielen Faktoren ab, wie dem Land oder dem Bundesstaat, in dem Sie tätig sind, dem Land oder Bundesstaat, in dem das elektronische Dokument verteilt wird, sowie der Art des elektronischen Dokuments. Es wird empfohlen, geeigneten Rechtsbeistand hinzuzuziehen, um potenzielle rechtliche Auswirkungen und Fragen im Zusammenhang mit der Nutzung elektronischer Dokumente zu analysieren.