eSignature Legality Guide

Die OneSpan-Perspektive

Die Informationen in diesem Abschnitt wurden von OneSpan zusammengestellt. Darin wollen wir einen Überblick über die besten Praktiken für die Einhaltung von Gesetzen bei der Umsetzung der elektronischen Signaturen bieten und erläutern, wie OneSpan Sign in den Ländern, in denen bereits Gesetze zur elektronischen Signatur verabschiedet wurden, zur Erfüllung der Anforderungen an eine rechtskräftige E-Signatur konzipiert ist.

OneSpan hat aktiv mit zuständigen Regierungsorganen zusammengearbeitet, um die Einführung der elektronischen Signatur in Ländern in der ganzen Welt zu unterstützen. OneSpan beteiligt sich außerdem an verschiedenen Veranstaltungen im Rahmen der Öffentlichkeitsarbeit (z.B. Workshops und Konferenzen), um Organisationen behilflich zu sein, die sich auf die für die elektronische Signatur geltenden gesetzlichen und regulatorischen Vorschriften vorbereiten wollen.

Rechtswirksamkeit der elektronischen Signatur

Die Möglichkeit zum Online-Abschluss von rechtsverbindlichen Verträgen bietet überzeugende Vorteile, darunter ein verbessertes Kundenerlebnis, eine stärkere Rechts- und Compliance-Position, eine Steigerung der Mitarbeiter-Produktivität sowie eine größere operationelle Effizienz. Obwohl die elektronischen Signaturen den eigenhändigen Unterschriften nachweislich in vielerlei Hinsicht überlegen sind, werden immer noch häufig Fragen über die Rechtswirksamkeit der elektronischen Signaturen gestellt.

Allgemein werden weltweit drei Formen der elektronischen Signatur anerkannt: die einfache, die fortgeschrittene und die qualifizierte Signatur.

 

Einfache elektronische Signatur (SES)

Fortgeschrittene elektronische Signatur (AES)

Qualifizierte elektronische Signatur (QES)

Bei der einfachen elektronischen Signatur kann es sich um jede Form einer elektronischen Nachricht handeln, die einer natürlichen Person zuzuordnen ist (das können also auch getippte Signaturen, E-Mail-Textbausteine usw. sein).

Bei der fortgeschrittenen elektronischen Signatur handelt es sich um eine Signatur, die eindeutig mit einer bestimmten Person verbunden und mit Daten verknüpft ist, so dass jede nachfolgende Änderung der Daten leicht identifizierbar ist.

Die qualifizierte elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit (mithilfe eines von einem qualifizierten Vertrauensdienste-Anbieter ausgestellten Zertifikats) generiert wird, hat genau die gleiche Rechtsgültigkeit wie eine eigenhändige Unterschrift.

Bei einfachen elektronischen Signaturen werden weniger strenge Anforderungen an den Identitätsnachweis gestellt, wohingegen bei qualifizierten elektronischen Signaturen allerstrengste Anforderungen erhoben werden, womit sie aus rechtlicher Sicht den Status einer eigenhändigen Unterschrift haben. Für verschiedene Anwendungsfälle und Transaktionen werden je nach den lokal geltenden Vorschriften unterschiedliche Typen von E-Signaturen benötigt.

OneSpan Sign ist dazu ausgelegt, die Anforderungen für alle drei Formen der elektronischen Signatur zu erfüllen, und unterstützt eine breite Palette von geschäftlichen Anwendungsfällen, von den einfachen internen und B2B-Unterzeichnungsprozessen bis hin zu komplexeren Geschäften im Kundenkontakt.

 

OneSpan Sign:

  • Erfasst eine Handlung oder einen Prozess und speichert die Informationen als E-Signatur-Datenblock sowie im Prüfpfad der unterzeichneten Dokumentdatei;
  • Benutzt eine digitale Signatur zur sicheren Verknüpfung des E-Signaturblocks/der E-Signaturdaten mit dem elektronisch unterzeichneten Dokument. Diese Verknüpfung kann nicht zertrennt oder in ein anderes Dokument hineinkopiert werden;
  • Bietet Ansätze für die Mehrfachauthentifizierung zur Identifizierung und Zuordnung der elektronischen Signatur zu dem jeweiligen Unterzeichner;
  • Erfasst eine Signatur, indem man den Unterzeichner mit Click-to-Sign unterzeichnen oder händisch auf einem Gerät „unterschreiben“ lässt. Die entsprechenden Methoden werden aktiviert, indem an der Stelle, an der normalerweise die Unterschrift stehen würde, ein Schaltfeld in dem jeweiligen Dokument angeklickt wird. Dadurch ist sichergestellt, dass die Absicht des Unterzeichners genauso rechtssicher nachgewiesen wird wie mit einer Unterschrift mit „nasser“ Tinte.

Vertrauensdienste-Anbieter („Trust Service Providers“, TSPs)

OneSpan Sign kann über Integrationen mit Vertrauensdienste-Anbietern in der ganzen Welt eine Auswahl von nativen und drittseitigen Identitäts-Management-Dienstleistungen anbieten. Vertrauensdienste-Anbieter sind auf elektronische Identitäts- und Vertrauensdienstleistungen spezialisiert, mit denen mithilfe von OneSpan Sign sowohl fortgeschrittene als auch qualifizierte E-Signaturen erstellt werden können. Unsere Vertrauensdienste-Partner stehen auf der EU-Vertrauensliste, wodurch eine grenzüberschreitende Anerkennung der elektronischen Signaturen in allen EU-Mitgliedsstaaten möglich ist.

Zu unseren globalen TSP-Partnern gehören:

Asseco Firmaprofesional aruba it Uanataca logo
TrustPro Itsme logo Swisscom logo  

 

Lokal oder über Remote-Verbindung erstellte digitale Zertifikate

Unter einem digitalen Zertifikat versteht man ein elektronisches Dokument, das von einem Vertrauensdienste-Anbieter („Trusted Service Provider“, TSP) oder einer Zertifizierungsstelle („Certificate Authority“, CA) abgegeben wird. Dieses Dokument enthält den öffentlichen Schlüssel für eine digitale Signatur und beschreibt die mit diesem Schlüssel verknüpfte Identität, wie beispielsweise den Namen einer natürlichen Person oder einer Organisation. Mit diesem Zertifikat wird bestätigt, dass der öffentliche Schlüssel tatsächlich der jeweiligen natürlichen Person oder Organisation zugeordnet ist.

OneSpan Sign unterstützt ein breites Spektrum von lokalen und serverseitigen, den globalen Standards entsprechenden digitalen Zertifikaten. Darunter fällt die unmittelbare Interoperabilität mit X.509 PKI (Technologie für von Vertrauensdienste-Anbietern ausgestellte digitale Zertifikate und Signaturen), sowie mit den digitalen Zertifikaten, die auf den von der US-Regierung ausgegebenen Kartentypen „Common Access Cards“ (CAC) und „Personal Identity Verification“ (PIV) gespeichert sind. Das Ergebnis ist eine geschützte, manipulationssichere elektronisch signierte PDF-Datei mit einem direkt in das Dokument integrierten detaillierten Prüfpfad.

Lokale digitale Zertifikate

  • Zur elektronischen Unterzeichnung mit lokalen Signierzertifikaten genügen die folgenden einfachen Schritte:
  • Stecken Sie Ihre lokale Smart-Card in Ihren Laptop, Ihr Mobilgerät oder Ihren Smart-Card-Leser ein.
  • Öffnen Sie das Dokument, das Sie mit Ihrer elektronischen Signatur unterzeichnen wollen.
  • Wenn das Dokument angezeigt wird und zur Unterzeichnung bereit ist, klicken Sie auf den Signaturblock und bestätigen Sie dann Ihre Signatur.
  • Dann wählen Sie das entsprechende Zertifikat aus der Liste aus. Bei Aufforderung geben Sie die PIN-Kennzahl ein, die zu dem ausgewählten Zertifikat gehört. Nach Bestätigung der PIN-Zahl generiert OneSpan Sign einen Hashwert Ihrer Informationen zum Zeitpunkt der Unterzeichnung (Name, Datum, Uhrzeit, IP-Adresse sowie zur Unterzeichnung verwendetes Zertifikat) sowie einen einmaligen Hashwert für das Dokument selbst.

In diesem Video erfahren Sie mehr darüber, wie Sie Dokumente mit einem lokalen Signierzertifikat elektronisch signieren können. Über eine Remote-Verbindung erstellte digitale Zertifikate

Über eine Remote-Verbindung erstellte digitale Zertifikate

Eine elektronische Signatur mithilfe der von unseren TSP-Partnern ausgestellten cloudbasierten Zertifikate erstellen Sie mit den folgenden einfachen Schritten:

  • Sie legen in OneSpan Sign eine E-Signatur-Transaktion an und wählen TSP als Signierverfahren.
  • Die Unterzeichner greifen über einen eingebetteten Web- oder Mobil-Zugang oder über einen E-Mail-Link auf das Dokument zu.
  • Nach der erfolgreichen Identifikation des Unterzeichners wird die Zustimmung zur Signatur abgefragt, woraufhin dem Unterzeichner von OneSpan Sign eine SMS mit einem Einmalkennwort („One-Time-Passcode“, OTP) geschickt wird.
  • Nachdem die Signatur erfolgt ist, generiert OneSpan Sign einen Hashwert der Informationen des Unterzeichners zum Zeitpunkt der Unterzeichnung (z.B. Name, Datum, Uhrzeit, IP-Adresse sowie zur Unterzeichnung verwendetes Zertifikat) sowie einen einmaligen Hashwert des Dokuments selbst.

Die folgende Grafik zeigt ein Beispiel für einen Workflow in OneSpan Sign, und zwar sowohl für bekannte Unterzeichner (z.B. Stammkunden, die bereits die entsprechenden Credentials von Ihrer Organisation erhalten haben), als auch für unbekannte Unterzeichner (d.h. neue Antragsteller, deren Identität noch nicht überprüft wurde und die noch keine Credentials erhalten haben).

Signer-Workflow-DE

Qualifizierter Zeitstempel

Elektronisch signierte Dokumente enthalten Angaben wie das digitale Zertifikat des Unterzeichners (d.h. ein lokales oder serverseitiges Signierzertifikat), den Zeitstempel und die Informationen des Unterzeichners (wie E-Mail-Adresse und IP-Adresse). Während die meisten E-Signatur-Lösungen einen Standard-Zeitstempel für die mit dem Signierprozess verknüpfte Datums- und Zeitangabe benutzen, sind auch Szenarien vorstellbar (z.B. Transaktionen mit hohem Risiko und/oder hohem Wert), bei denen die Organisationen einen „qualifizierten Zeitstempel“ verwenden wollen, also einen Zeitstempel, der speziell für den einzelnen Signiervorgang von einem vertrauenswürdigen Dritten generiert wird.

OneSpan Sign unterstützt die Anbringung eines Zeitstempels über eine Verbindung mit einem qualifizierten Zeitstempel-Server, sodass die E-Signatur-Daten mit einem vertrauenswürdigen Zeitstempel verknüpft werden, der unabhängig nachweist, zu welchem Zeitpunkt eine bestimmte Transaktion stattgefunden hat. Durch den auf diese Weise generierten Zeitstempel wird die Integrität der elektronischen Signatur noch zusätzlich verstärkt.

Identitätssicherung

Die Identitätssicherung ermöglicht eine Aussage über den Sicherheitsgrad (oder das Vertrauensniveau), also darüber, mit welcher Sicherheit man davon ausgehen kann, dass eine natürliche Person auch tatsächlich die Person ist, die sie zu sein vorgibt. Die Identitätssicherung soll die Frage beantworten: „Wie sicher sind Sie, dass Sie es bei einer E-Signatur-Transaktion tatsächlich mit der richtigen natürlichen Person zu tun haben?“ Die verschiedenen Niveaus der Identitätssicherung ermöglichen es Unternehmen und Behörden, die entsprechenden Transaktionen im Einklang mit dem jeweiligen Risikoniveau auszuführen. Manche Dienste haben ein niedriges Risikoniveau (Level of Assurance 1 - LoA1); bei anderen kann es viel höher liegen (Level of Assurance 4 - LoA4).

Das US-amerikanische Normungsinstitut NIST hat als Richtschnur für die Erfüllung dieser Niveaus der Identitätssicherung eine Rahmenvorgabe entwickelt. Weitere Informationen darüber finden Sie in den NIST-Richtlinien zur digitalen Identität.

Eine kritische Komponente einer E-Signatur-Transaktion besteht in der Weise, in der Unternehmen die Unterzeichner identifizieren. OneSpan Sign bietet eine Reihe verschiedener Identitätsprüfungs- und Authentifizierungsmethoden zur Überprüfung der Identität des Unterzeichners an, sowohl für dem Unternehmen bereits bekannte oder auch unbekannte Unterzeichner. Dabei schreiben wir nicht die zu verwendende Option vor, sondern passen uns an das Modell an, das für unsere Kunden und ihre jeweiligen Anwendungsfälle am besten funktioniert.

Zu den Optionen gehören:

  • Dank der von OneSpan Sign gebotenen Funktionalitäten der Identitätsprüfung können Unternehmen automatisch die Authentizität des von einer öffentlichen Behörde ausgestellten Identitätsnachweises eines Unterzeichners überprüfen. In Kombination mit dem biometrischen Gesichtsvergleich und der Lebendigkeitserkennung können Unternehmen mit sehr hohem Sicherheitsgrad feststellen, ob es sich bei dem Unterzeichner tatsächlich um die Person handelt, die diese zu sein vorgibt. Welche Typen von Identitätsdokumenten wir je nach Land unterstützen, können Sie sich in unserer Karte über die Geltungsbereiche der Identitätsprüfung anschauen.
  • Lokale und Remote-Signierzertifikate (s. oben)
  • Einmalkennwort (SMS)
  • Gemeinsames Geheimnis („Shared Secret“ - F&A)
  • Wissensbasierte Authentifizierung („Knowledge-based authentication“, KBA)
  • Von der US-Regierung ausgestellte Kartentypen CAC („Common Access Cards“) und PIV („Personal Identity Verification“)
  • Unterzeichner-Dateianlagen, wobei der Unterzeichner vor der Unterzeichnung zwecks Überprüfung einen amtlichen Identitätsnachweis (z.B. Führerschein, Reisepass) hochladen muss.
  • OneSpan Sign API, wobei die Möglichkeit der kundenspezifischen Integration der Identitätsprüfung geboten wird.

Aufbewahrung und Gültigkeit

Mit OneSpan Sign werden die elektronisch unterzeichneten PDF-Dokumente für alle Teilnehmer der elektronischen Signatur-Transaktion zum Herunterladen zur Verfügung gestellt. Unternehmen brauchen die elektronisch signierte Aufzeichnung nicht in OneSpan Sign zu speichern. Die Aufzeichnung kann sicher, ohne Gefahr der Kompromittierung oder zusätzlichen Programmieraufwand, durch alle E-Mail-, Speicher- oder Ablagesysteme (wie z.B. SharePoint, eOriginal, CDC Arkhineo, Box, Laserfiche usw.) geleitet werden. Die elektronisch signierten Dokumente können im gewählten Archivierungssystem indexiert, gespeichert und abgerufen werden. Unsere Kunden bestimmen selbst die jeweiligen Aufbewahrungsstrategien für das jeweilige Account, wozu auch die Option zur Löschung von elektronisch signierten Transaktionen gehört. So sichern sie sich die notwendige Flexibilität, um elektronisch signierte Aufzeichnungen so verwalten zu können, dass die langfristigen Aufbewahrungsvorschriften erfüllt werden.

Die Gültigkeit der elektronisch signierten PDF-Dokumente wird sichergestellt, indem bei jeder elektronischen Signatur eine digitale Signatur auf das Dokument angewendet wird. Digitale Signaturen bilden eine Form der Verschlüsselungstechnologie, die die Integrität der in der Dokumentdatei gespeicherten Daten gewährleistet, so dass jede Änderung der Dokumentdaten die elektronische(n) Signatur(en) ungültig macht. Sowohl die Daten der elektronischen als auch die der digitalen Signatur werden in der PDF-Dokumentdatei gespeichert, so dass die Richtigkeit des Dokuments sich jederzeit und von jedem Ort aus überprüfen lässt.

Zur Überprüfung der Integrität des Dokuments bietet OneSpan Sign eine Signatur- und Dokumentüberprüfung mit einem Klick. Wenn der Überprüfungsprozess nämlich zu umständlich ist, kann es passieren, dass die Transaktionsteilnehmer fälschlich davon ausgehen, dass das Dokument und die Signaturen gültig sind, ohne sie richtig überprüft zu haben. Bei der Überprüfung eines mit OneSpan Sign elektronisch signierten Dokuments klicken die Teilnehmer auf den Signaturblock. Dadurch öffnet sich der Prüfpfad, woraufhin automatisch sowohl die Authentifizierung des Unterzeichners als auch die Gültigkeit des Dokuments überprüft werden. Wurde ein mit OneSpan Sign signiertes Dokument in irgendeiner Weise abgeändert oder manipuliert, so wird dies von der zugrunde liegenden digitalen Signaturtechnologie erkannt, woraufhin der PDF-Reader das Dokument sichtbar ungültig macht. An einem von der elektronisch signierte PDF-Datei angezeigten roten „X“ ist dann erkennbar, dass das Dokument nicht mehr vertrauenswürdig ist. Für jede elektronische Signatur-Transaktion wird ein detaillierter Prüfpfad erfasst.

OneSpan eSignature

Ein Ein-Klick-Prozess erleichtert das Benutzererlebnis. Dies führt zu mehr Vertrauen auf den elektronischen Signaturprozess sowie zu der Gewissheit, dass alle eventuellen Fehler oder Betrugsversuche ausnahmslos erkannt werden.

Prüfpfade

Die Prüfpfade von elektronischen Signaturen sind digitale Aufzeichnungen, denen exakt zu entnehmen ist, wann ein Dokument verschickt, geöffnet und signiert wurde, sowie die Namen, E-Mail-Adressen, IP-Adressen und eindeutigen Signatur-Identifikatoren der Unterzeichner. Prüfpfade haben sich als außerordentliches effektives Instrument für die Authentifizierung einer elektronischen Aufzeichnung erwiesen, mit dem der Nachweis erbracht wird, dass es sich tatsächlich um die E-Signatur des Unterzeichners handelt.

So lassen sich mithilfe der Prüfpfade z.B. die folgenden Fragen beantworten:

  • Hat der Unterzeichner alle erforderlichen Identitätsprüfungs- und/oder Authentifizierungsschritte absolviert?
  • Wurden dem Unterzeichner alle erforderlichen Informationen angezeigt?
  • Hat er an allen erforderlichen Stellen des Dokuments/der Dokumente signiert, um die Absicht klar erkennen zu lassen?
  • Wurden in jeder Phase dieses Prozesses die richtigen Verfahrensschritte eingehalten?

OneSpan Sign bietet einen einzigen Prüfpfad für den gesamten Vertragsprozess, der sämtliche elektronischen Signatur-Handlungen erfasst (also was - wann - wo unterzeichnet wurde), sowie die Identitätsprüfungs- und Authentifizierungsvorgänge, durch die nachgewiesen wird, wie der Unterzeichner identifiziert wurde. Der Prüfpfad wird in das elektronisch signierte Dokument eingebettet und steht als detaillierter Nachweis (Evidence Summary Report) zur Verfügung. Dieser Nachweis kann zu jedem gewünschten Zeitpunkt heruntergeladen und eingesehen werden. Er steht allen Transaktionsteilnehmern wahlweise als gesonderter Download oder als Teil der kompletten Transaktion zur Verfügung.

Datenresidenz in der Cloud

Zurzeit bietet OneSpan vier Instanzen des elektronischen Signatur-Dienstes an (jeweils eine in den USA, in Kanada, in der EU (Irland, Deutschland) und in Australien). Wenn OneSpan das Account eines Kunden einrichtet, können die Kunden ihre gewünschte Region wählen. Damit wird festgelegt, wo ihre elektronisch signieren Dokumente verarbeitet und gespeichert werden.

Durch die Nutzung der globalen Datacenter-Netzwerke unserer Technologiepartner (Amazon Web Services, IBM Cloud und Microsoft Azure) ermöglicht OneSpan Sign, neben SaaS auch private Cloud-Optionen für OneSpan Sign zu nutzen. Die von OneSpan Sign gebotene Möglichkeit zur Erfüllung der Anforderungen an die Datenresidenz erstreckt sich auch auf die von uns integrierten Apps von Drittanbietern. Beispielsweise bietet OneSpan Sign for Salesforce den Organisationen die Möglichkeit, sich mit jeder globalen Instanz von OneSpan Sign zu verbinden.

Übrigens war OneSpan Sign auch die erste E-Signatur-Lösung, die im Jahr 2016 die Betriebsberechtigung („Authorized to Operate“, ATO) im Rahmen des US-amerikanischen Risiko- und Berechtigungsmanagement-Programms („U.S. Federal Risk and Authorization Management Program“ - FedRAMP) erhielt. US-Behörden, die elektronische Signaturen in der Praxis anwenden wollen, haben jetzt unmittelbaren Zugriff auf eine sichere, FedRAMP-konforme Cloud, die auf der weltweit anerkannten Azure-Cloud-Infrastruktur von Microsoft gehostet wird.

Im OneSpan Sign Trust Center finden Sie weitere Informationen über die Sicherheitsfunktionen, die wir zur Erfüllung oder sogar Übererfüllung der Anforderungen für die Sicherheitskontrolle und die Compliance unserer Kunden in der ganzen Welt eingerichtet haben.

Für Unternehmen, die wirklich alles selbst im Griff behalten wollen, kann OneSpan Sign vor Ort, hinter der eigenen Firewall und in der eigenen Infrastruktur, eingesetzt und verwaltet werden.

Nehmen Sie Kontakt mit uns auf

So fangen Sie mit der elektronischen Signatur an

Unsere Kurzdemo zeigt Ihnen, wie die elektronische Signatur vor sich geht