Wer sich Gedanken macht, ein Dokument rechtlich bindend und digital zu signieren, kommt nicht drumherum, sich ein paar grundlegende Gedanken über den Signaturanbieter, die Signaturapplikation, die Signaturkomplexität, den Datenspeicherort und den Rechtsraum zu machen.
Neben den Punkten «Rechtsraum», «Signaturkomplexität», «Signaturapplikation» und «Signaturanbieter» ist es wichtig zu klären, wo die Daten, während der Signaturerstellung /-anbringung «zwischen»-gespeichert werden.
Rechtsraum
Soll zum Beispiel ein Vertragswerk oder bindendes Angebot rechtsgültig (qualifiziert) digital signiert werden, muss geklärt werden, welche Rechtsräume betroffen sind, um den jeweiligen Gesetzen zu entsprechen, und somit die Rechtsgültigkeit zu erlangen. Wird ein Dokument nur in der Schweiz und somit im Schweizer Rechtsraum verwendet, muss die digitale Signatur gemäss dem Schweizer Signaturgesetz (ZertES / vZertES) erbracht bzw. angebracht werden. Ist der Rechtsraum jedoch EU/EWR-weit, muss eine digitale Signatur gemäss eIDAS «electronic Identification, Authentication and trust Services» erbracht bzw. angebracht werden. Sind beide Räume betroffen, sind Signaturen auf Basis beider Gesetze und Verordnungen an den Dokumenten anzubringen. Ohne diese Signaturen könnte es zu Rechtsfällen, wie im Fall Stadler-Rail mit der Österreichischen Bundesbahn, kommen (Warum eine Unterschriftenpanne Stadler Milliarden kosten könnte).
Signaturkomplexität
Die einfache elektronische Signatur entspricht z.B. einem Bild der eigenen Unterschrift, welche in ein PDF-Dokument eingepflegt wird. Diese Variante verfügt über ein geringeres Sicherheitslevel als die fortgeschrittene Signatur. Diese garantiert die Herkunft und die Echtheit der «Unterschrift», und somit ist eine Fälschung ausgeschlossen. Der Einsatz von Schlüsseln und Zertifikaten liegt der fortgeschrittenen Signatur zu Grunde. Bei der höchsten Stufe von elektronischen Signaturen, spricht man von qualifizierten Signaturen. Diese sind jeweils gesetzlich geregelt und dementsprechend der handschriftlichen Signatur gleichgestellt.
Signaturapplikation
Es gibt verschiedene Anbieter, welche Signaturapplikationen für Businessprozesse inkl. Workflows zur Verfügung stellen. Oft stellt sich jedoch heraus, dass es nicht ganz einfach ist, die angebotenen Lösungen in eine bestehende Businessprozesslösung zu integrieren und der Aufwand für Unternehmen entsprechend gross ausfällt. Digitale Signaturen machen abschliessend nur Sinn, wenn von Anfang bis zum Schluss (Dokumentenerstellung, Review, Signatur, Übermittlung und Archivierung) KEIN Medienbruch entsteht. Die Signaturapplikation ist jedoch nur die halbe Miete. Es braucht auch noch den entsprechenden Serviceprovider/Signaturanbieter, der die digitale Unterschrift (Zertifikat) für die jeweiligen Personen erstellt. Dazu gehört die Identifikation der natürlichen Personen, welche in die Lage versetzt werden sollen, eine digitale Signatur zu erstellen. Das Erstellen des temporär gültigen Zertifikates für die Anbringung der digitalen Signatur und die starke Authentisierung für die entsprechende Willensbekundung. Für Unternehmen mit paneuropäischem Handlungsraum, muss der Signaturanbieter vorzugsweise sowohl den Schweizer als auch den Europäischen Rechtsraum abdecken können.
Wo sind meine Daten
Bei den meisten Anbieter von Signaturapplikationen wird das Dokument, welches mit einer digitalen, elektronischen Signatur versehen werden soll, in die Cloud des Signaturanbieters hochgeladen und signiert. So z.B. beim «SwissID Sign-Service». Die Signaturlösungen von «Swisscom-Trustservice» und «DigiCert+Quovadis» hingegen, machen ein reines HASH-Signing, bei dem die Dokumente immer im eigenen Netz verbleiben und nur der HASH-Wert des Dokuments für die Signatur übermittelt wird. Wenige Anbieter verfügen über API’s mit denen man ohne Dokumentenupload signieren kann. Für eine Signatur würde es ausreichen, wenn der HASH-Wert des Dokuments an den Signaturanbieter übermittelt und anschliessend die Signatur in das bestehende Dokument integriert wird. Als Person oder Unternehmen sollte dementsprechend überlegt werden, wo die Daten, auch wenn nur temporär, gespeichert werden. Je nach Fall, sind allfällige Speicherorte für den Dateninhalt und für die zwischenzeitliche Speicherung nicht geeignet.
Fazit
Die verschiedenen Anbieter von Signaturlösungen könnten zum Thema Datenspeicherung, noch mehr Aufklärungsarbeit leisten.