Unterzeichnet, versiegelt..., aber vielleicht nicht rechtskonform?
Ihr Vertrag ist unterzeichnet! Sie sind aus dem Schneider! Alles klar. Alles ist vertragsgemäß, oder eventuell doch nicht?
Das ist ein Albtraumszenario! Nehmen wir an, Sie finden heraus, dass Ihre elektronische Signatur am Ende nicht den Vorschriften entspricht. Vielleicht ist der von Ihnen unterzeichnete Vertrag nicht rechtsverbindlich?
Elektronische Signaturen gibt es schon seit fast einem halben Jahrhundert. Lösungen für den täglichen Gebrauch haben sich jedoch erst in den letzten Jahren, durchgesetzt. Viele Menschen, die einige dieser Plattformen genutzt haben, sind der Meinung, dass ihr elektronisch unterzeichnetes Dokument den einschlägigen Vorschriften vollständig entspricht und sicher ist. Das kann falsch sein. Ihr eigener Arbeitsvertrag könnte ungültig sein. Die Wohnung, die Sie kürzlich im Ausland gekauft haben, gehört vielleicht ist ihre letzte Bestellung und Preis nicht bindend."
Was braucht es, um konform zu sein?
Die eIDAS-Verordnung ist das gemeinsame Recht für elektronische Signaturen in der EU. eIDAS definiert drei Stufen von Signaturen: Die (einfache) elektronische Signatur befindet sich fast auf der Stufe "anything goes", die fortgeschrittene elektronische Signatur auf einer guten Sicherheitsstufe, während die qualifizierte elektronische Signatur die höchste Stufe darstellt.
In eIDAS heißt es ganz klar: "Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt".
Als Ausgangspunkt kann also jede elektronische Signatur verwendet werden. Aber das ist nicht immer der Fall. In vielen EU-Mitgliedstaaten gibt es nationale Gesetze, die vorschreiben, dass bestimmte Urkunden durch eine qualifizierte (oder fortgeschrittene) Signatur beglichen werden müssen, wenn sie in digitaler Form erstellt werden. Was passiert, wenn Sie eine solche Urkunde mit einem dieser Online-Dienste mit "gekritzelter Unterschrift" unterzeichnen, die den Anforderungen nicht genügen? Die Antwort lautet: Das hängt vom nationalen Recht ab, aber es besteht eindeutig die Gefahr, dass die Vereinbarung als nicht verbindlich angesehen wird.
Dann gibt es noch den Aspekt der Beweisqualität. Auch wenn die einfachsten elektronischen Signaturen vor Gericht zulässig sind, gibt es keine Garantie dafür, dass Sie den Prozess auf der Grundlage solcher Signaturen gewinnen. Je aussagekräftiger die Signatur ist, desto stärker ist der Beweis und desto größer sind die Chancen, den Prozess zu gewinnen, vor allem, wenn Sie eine qualifizierte Signatur haben.
Warum? Weil ein Gericht wahrscheinlich von der gesetzlichen Vermutung ausgeht, dass eine qualifizierte Unterschrift, die ordnungsgemäß gültig ist, von der durch die Unterschrift identifizierten Person willentlich geleistet wurde. Und die Unterschrift ist so an den Inhalt des Dokuments gebunden, dass nachträgliche Änderungen nach der Unterzeichnung erkannt werden.
Dies ist ein Beispiel für einen Fall, in dem unser qualifizierter Signaturvalidierungsdienst Ihnen einen Vorteil verschafft. Dieser Dienst liefert einen umfassenden Validierungsbericht eines qualifizierten Vertrauensdiensteanbieters, der auf Sicherheit und Objektivität der Antwort geprüft und überwacht wird. Wenn in diesem Bericht "gültig" steht, hat es derjenige, der sich vor Gericht dagegen wehrt, sehr schwer.
Eine qualifizierte Unterschrift ist also bombensicher und fegt alle Zweifel beiseite? Fast, aber nichts ist 100 %ig. Wenn es jemandem gelingt, das Gericht davon zu überzeugen, dass er in die Irre geführt oder bedroht wurde oder glaubte, etwas anderes unterschrieben zu haben, als er tatsächlich getan hat, dann ist nicht einmal ein mit einer gültigen qualifizierten Unterschrift unterzeichnetes Dokument rechtsverbindlich. Aber es wird schwierig sein, eine solche Klage durchzusetzen.
Vor allem, wenn das Dokument über das Dokobit-Portal signiert wird! In diesem Fall kontrolliert Dokobit als neutraler Akteur den Unterzeichnungsprozess und stellt sicher, dass das Dokument auf vertrauenswürdige Weise angezeigt wird und dass der Unterzeichner der Unterzeichnung freiwillig zustimmt. Wenn Sie nun von jemandem, der Ihnen eine Pistole an den Kopf hält, zur Unterschrift gezwungen werden, kann dies nicht festgestellt werden, aber andere Behauptungen, dass Sie in die Irre geführt wurden, sollten abgewehrt werden.
Warum sollte jemand die Echtheit einer Unterschrift anzweifeln, höre ich Sie fragen. Nun, hier geht es darum, Konflikte zu regeln und Vertrauen zu schaffen. Von Grund auf. Nicht nur um die Bereitstellung elektronischer Signaturen. Die Echtheit eines Dokuments, egal ob es sich um einen Vertrag, einen Mietvertrag, einen Kaufvertrag oder eine Serviette handelt, auf der der verlorene Sohn seine Aufgaben für sein Taschengeld aufgeschrieben hat, hängt davon ab, ob es tatsächlich von den beteiligten Parteien unterzeichnet wurde.
Es stellt sich die Frage, wie man das Gegenteil beweisen kann.
Nun, das ist gar nicht so schwer! Es dauert nur drei Minuten. Validieren Sie Ihr Dokument jetzt in Dokobit.
Dokumente werden von Menschen unterzeichnet, die sich nie treffen.
Geschäfte werden heute oft online abgewickelt. Das Internet beraubt die meisten Unternehmen langsam der Illusion, dass die Menschen es akzeptieren werden, dafür persönlich vor Ort zu erscheinen.
In der Tat entwickeln sich ganze Branchen, die selbstbewusst "hochwertige Geschäfte mit hohem Beträgen" abwickeln, ohne ihre Kunden jemals zu treffen. Und dass sie dies nicht tun, ist das Hauptkriterium dafür, warum es überhaupt funktioniert. Wenn es erst einmal zu Konflikten gekommen ist, kann man sicher sein, dass eine Partei nach Möglichkeiten sucht, sich aus der Sache herauszuwinden. Das einst bequeme elektronische Gekritzel wird nun zu einem Risiko. Eine Belastung. Man wird sich über die fehlende Authentizität streiten wollen. Der Mangel an Sicherheit besteht. Sie werden versuchen, es abzulehnen. Oder im Falle eines Betrugs, Sie auf der Rechnung sitzen lassen.
Wenn Sie dies einmal gesehen haben, können Sie es nicht mehr rückgängig machen.
Nehmen wir an, Sie haben ein Dokument über einen Anbieter elektronischer Signaturen unterzeichnet, der die Identität seiner Nutzer nicht überprüfen kann. Ja, Sie haben eine SMS auf Ihr Telefon erhalten. Ja, Sie haben eine E-Mail erhalten, in der Sie aufgefordert wurden, sich durch Anklicken eines Links zu verifizieren. Das funktioniert in den meisten ehrlichen Fällen.
Keines dieser Systeme erfordert jedoch eine Identitätsüberprüfung.
Mit Überprüfung meinen wir das Sicherheitsniveau einer altmodischen Altersbeschränkungskontrolle in einem Nachtclub. Ein echter Mensch schaut Ihnen in die Augen und prüft, ob der Ausweis, den Sie mitgebracht haben, tatsächlich zu Ihrem Gesicht passt. Oder ob Sie ihn nur von Ihrem älteren Bruder "aus geliehen" haben. Die Überprüfung per Telefon oder E-Mail bedeutet nur, dass ein Telefon mit der Signatur verbunden ist. Oder eine E-Mail. Ihr Problem ist, dass jemand anderes Zugang zum Telefon gehabt haben könnte. Und jeder kann eine E-Mail so aussehen lassen, als stamme sie von jemand anderem. Kurz gesagt, die Unterschrift auf Ihrem Vertrag ist möglicherweise weniger sicher als ein gefälschter Ausweis im Club.
Darüber hinaus ist die Identitätsüberprüfung nicht die einzige Sicherheitsmaßnahme, die in einer elektronischen Signatur mit einem hohen Maß an Sicherheit eingebaut ist. Elektronische Signaturen mit hohem Sicherheitsniveau setzen heute eine ganze Reihe von Maßnahmen ein, um das Vertrauen zwischen den Parteien in einer digitalen Welt zu stärken: Einem Ort, an dem Sie nie jemanden treffen werden.
Der Dokobit-Validierungsdienst kann nachweisen, dass Ihre Signatur den einschlägigen EU-Vorschriften entspricht. So können Sie z. B. validieren, dass sie den Standards für eine qualifizierte elektronische Signatur (QES) entspricht. Mehr dazu lesen Sie hier, was bedeutet, dass Sie garantiert konform sind und den strengstmöglichen Nachweis für Ihre Signatur haben. Wenn Sie sich für ein geringeres Maß an Sicherheit entscheiden, z. B. für die Überprüfung per Telefon oder E-Mail, steigt das Risiko - und für die sehr schwachen Signaturmethoden könnte das Risiko einfach zu groß sein.
So stellen Sie sicher, dass Sie eine rechtsverbindliche elektronische Signatur haben
1) Sie können sehen, wer unterschrieben hat:
Es wird ein tatsächlicher Name angegeben - zumindest der Vor- und Nachname werden angezeigt. Je nach Fall und Land können Sie sogar eine nationale Identitätsnummer erhalten, die die Person eindeutig identifiziert, oder zumindest ein Geburtsdatum, das zusammen mit dem Namen nahezu eindeutig ist. Diese Elemente werden in das signierte Dokument aufgenommen, entweder als Metadaten oder visuell neben dem Namen der Person. Es wird sich nicht um eine E-Mail oder den Namen einer Disney-Figur handeln.
2) Wann wurde es unterzeichnet:
Das Datum, der Monat und das Jahr der Unterschrift werden in das Dokument aufgenommen, zusammen mit Stunde, Minute, Sekunde und sogar Mikrosekunde des Vorgangs. Dies sollte immer in den Metadaten enthalten sein. Um ganz sicher zu gehen, sollte man auf zertifizierte qualifizierte Zeitstempel von vertrauenswürdigen Drittanbietern zurückgreifen.
3) Dass die Identität des Unterzeichners überprüft wurde:
YSie werden immer in der Lage sein, zu wissen, wann es signiert wurde und welche Art von elektronischer Identität für die Überprüfung verwendet wurde.
4) Ob das verwendete Zertifikat das richtige ist:
Es gibt viele Möglichkeiten, die Signatur zu validieren und sicherzustellen, dass sie gemäß allen Anforderungen korrekt erstellt wurde. Es gibt viele Metadaten, die wir in einem vorschriftsmäßigen elektronischen Vertrag nicht sehen. Bei der Validierung elektronischer Signaturen geht es zum Beispiel um Zeitstempel und darum, dass der Unterzeichner sich korrekt identifiziert hat. .
5) Wenn das Zertifikat von einem qualifizierten Vertrauens Diensteanbieter (QTSP) ausgestellt wurde:
Die EU verfügt über eine Liste aller qualifizierten Vertrauensdienst Anbieter in der EU - Signicat und Dokobit stehen beide auf dieser Liste. Diesen Akteuren sollte für ihre Dienste vertraut werden. Diese Liste sollte verwendet werden, um zu prüfen, ob (1.) das Zertifikat vertrauenswürdig ist. (2.) ob das Zertifikat qualifiziert ist und (3.) ob es in einer QSCD gespeichert ist: Eine qualifizierte Signaturerstellungseinheit (Details hier). Ein Validierungsdienst kann leicht feststellen, ob der Vertrag nur eine fortgeschrittene elektronische Signatur hat oder - besser: Eine "qualifizierte". Eine, die niemand, z. B. eine Bank, fälschen könnte, wenn sie behaupten wollte, sie hätte einen Vertrag mit jemandem.
6) Wenn das Dokument nach seiner Unterzeichnung manipuliert wurde:
Ein vertrauenswürdiges Tool zur Überprüfung Ihres Vertrags sollte auch in der Lage sein, eine "Validierungsaktion" zu nutzen. Ein Ort, an dem alle Metadaten validiert werden und mehrere Kontrollpunkte durchlaufen. Die Metadaten sollten bei der Überprüfung immer übereinstimmen, und wenn das nicht der Fall ist, sollte die Software (Dokobit) wissen, ob etwas nicht stimmt und ob etwas am Dokument manipuliert wurde. Sie weiß vielleicht nicht genau, was passiert ist. Zum Beispiel, ob etwas gelöscht oder hinzugefügt wurde, aber sie weiß definitiv, dass sich etwas geändert hat. Und wenn etwas geändert wurde, kann man dem Dokument nicht mehr vertrauen.
Um all diese sechs legalen Zeichen tatsächlich überprüfen zu können, brauchen Sie eine Möglichkeit, sie zu verifizieren. Dokobit von Signicat ist der Name des digitalen Tools, das genau das tut!