Sechs Best Practices für Anwender elektronischer Signaturen (Teil II)
Letzte Woche haben wir gezeigt, wie wichtig der Einsatz von standardbasierter Technologie ist, die von zertifizierten Anbietern bereitgestellt wird. In diesem zweiten Teil werden wir die Reihe der Best Practices bei der Einführung und Verwendung elektronischer Signaturen um vier neue bereichern, die einen unbestreitbaren Einfluss auf das rechtliche Niveau der Sicherheit elektronischer Signaturen haben.
3. Drucken Sie Ihre elektronisch unterzeichneten Dokumente nicht aus – sie verlieren ihre Beweiskraft
Wenn ein Schriftstück unterzeichnet und dann digital gescannt und gespeichert wird, verliert er einen Teil seines rechtlichen Werts. So haben wir uns angewöhnt, immer das Original aufzubewahren, das im Falle einer juristischen Auseinandersetzung als bestmöglicher Beweis dienen wird. Das gleiche Prinzip gilt für elektronisch signierte Dokumente. Da sie elektronisch (digital) sind, müssen sie in einem elektronischen Format aufbewahrt werden, sonst verlieren sie ihren rechtlichen Wert. Die elektronische Signatur, zumindest der sichtbare Teil, enthält nicht nur den Namen des Unterzeichners, Datum und Uhrzeit der Unterschrift, sondern ist auch mit einem Zertifikat verknüpft, das wichtige Informationen über die Signaturstufe, die Gültigkeit des Zertifikats, den Anbieter usw. enthält. Diese Merkmale stehen nur in einem elektronischen Format zur Verfügung. Sie erscheinen nicht, wenn das Dokument gedruckt wird, daher kann der rechtliche Wert und die Authentizität der elektronischen Signatur vor Gericht leicht angefochten werden.
Elektronisch signierte Dokumente nicht ausdrucken zu dürfen, bedeutet auch, dass sie digital archiviert werden müssen. Dies könnte eine gute Nachricht für Unternehmen sein, die keine riesigen physischen Räume mehr benötigen, um ihre Papierdokumente zu speichern. Dennoch muss die digitale Aufbewahrung in Übereinstimmung mit den Gesetzen zum Schutz personenbezogener Daten und der Privatsphäre erfolgen und die Vertraulichkeit, Integrität und Verfügbarkeit der Dokumente gewährleisten. Wir werden auf dieses Thema in einem unserer nächsten Beiträge zurückkommen.
Weitere mögliche Probleme können sich aus der Vermischung von elektronischen und handschriftlichen Signaturen ergeben. Dieser Prozess kann Drucken und Scannen beinhalten. Unsere Empfehlung ist, dass alle Parteien, die an der elektronischen Unterzeichnung eines Vertrags beteiligt sind, das gleiche Verfahren übernehmen oder verwenden: entweder digital (elektronische Unterschrift) oder analog (Unterschrift „mit Tinte“).
4. Seien Sie sich des Ablaufdatums Ihres elektronischen Zertifikats bewusst
Dies ist in Branchen von großer Bedeutung, die verlangen, dass Dokumente für einen längeren Zeitraum zugänglich sind (10, 25, 50 Jahre). Eine elektronische Signatur wird so lange angezeigt, wie das Zertifikat, mit dem es verknüpft ist, gültig ist. Typischerweise liegt die Lebensdauer eines solchen Zertifikats zwischen 1-3 Jahren. Keine Sorge, dies bedeutet nicht, dass die elektronische Signatur ihren rechtlichen Wert verliert, sobald das Zertifikat abläuft. Es bleibt vor Gericht bestehen, wenn das Zertifikat zum Zeitpunkt der Unterzeichnung gültig war, nur der Verifizierungsprozess könnte sich als sehr kompliziert erweisen. Es wird für eine unabhängige Stelle ziemlich schwierig und zeitaufwendig (abhängig von der verwendeten Technologie) sein, den Status des Zertifikats zum Zeitpunkt der Signierung zu überprüfen, aber nicht unmöglich.
Derzeit werden technologische Lösungen entwickelt, um die Gültigkeit der e-Signatur über längere Zeiträume in Übereinstimmung mit aktuellen Vorschriften (eIDAS-Verordnung) oder Standards (siehe ISO 14533) zu gewährleisten. Eine Lösung könnte sein, die Kurzzeitzertifikate periodisch zu erneuern. Eine andere Lösung könnte sein, einen Dienst zu abonnieren, der eine höhere Langlebigkeit der Zertifikate gewährleistet. Nun kommen wir zurück zu den Punkten 1&2, die im vorherigen Beitrag weitgehend besprochen wurden, wo wir geraten haben, mit akkreditierten, zertifizierten Anbietern zu arbeiten, die über das juristische Wissen und die Expertise verfügen, um Ihnen zu helfen, die besten Lösungen zu wählen, die an Ihre Bedürfnisse angepasst sind.
5. Entscheiden Sie sich für eine E-Signatur-Stufe, die eine Erkennung von Manipulationen ermöglicht
Wie hier beschrieben, ermöglichen nicht alle eIDAS-E-Signaturstufen die Erkennung von Manipulationen. Dies ist eine unschätzbare Funktion zur Erkennung und Bekämpfung von Betrug. Sie informiert Sie darüber, dass die Daten in den unterzeichneten Dokumenten geändert wurden, was zur Ungültigkeit der Unterschrift führt. Dies ist auch ein Vorteil der Verwendung von E-Signatur-Diensten, welche die Unterschrift mit Tinte nicht bietet. Papierdokumente können modifiziert oder sogar rückdatiert werden, aber elektronisch signierte Dokumente bieten ein unvergleichliches Maß an Datenzuverlässigkeit und Rückverfolgbarkeit.
6. Entscheiden Sie sich für einen E-Signature-Service, der einen erweiterten Audit Trail bietet
Die meisten E-Signatur-Dienste erfassen ein minimal erforderliches Maß an Informationen bezüglich des Signaturereignisses, das direkt in der Signaturvorlage sichtbar ist. Dies umfasst in der Regel: Vor- und Nachname des Unterzeichners, Datum und Uhrzeit, vielleicht die E-Mail-Adresse. Sie fragen sich vielleicht, warum wir mehr Informationen benötigen... schließlich haben wir bei der Unterzeichnung von Papierdokumenten nicht mehr Details über den Kontext oder das unterzeichnende Ereignis.
Nicht genügend Informationen zu haben, kann im Falle eines Rechtsstreits problematisch sein, wo mehr faktische Beweise für eine starke rechtliche Verteidigung/Anklage erforderlich sind, wenn keine qualifizierte elektronische Signatur verwendet wird. Die Dinge können noch komplizierter werden, wenn mehrere Unterzeichner am Prozess beteiligt sind. Eine der Stärken des Einsatzes von E-Signatur-Lösungen ist die große Bandbreite an Daten, die das System sammeln kann - warum also sollten Sie diese Vorteile nicht nutzen? Ein detaillierter Bericht, der jeden Schritt im Signaturprozess nachverfolgt, sorgt für Transparenz und räumt alle Zweifel aus. Ein vollständiges Audit-Protokoll (oder Trail) sollte Informationen darüber liefern: wann die Signatursitzung erstellt, gestartet und abgeschlossen wurde; über jede E-Mail/Benachrichtigung, die an Unterzeichner gesendet wurde; wann Unterzeichner die Dokumente angesehen, unterschrieben oder abgelehnt haben usw.
Wir haben (hoffentlich!) etwas Neues über die digitale Archivierung und die Gültigkeit von Zertifikaten gelernt und wir haben Sie ermutigt, sich für elektronische Signaturen zu entscheiden, die durch Manipulationserkennung und Audit-Trail-Funktionen ergänzt werden. Diese Best Practices entstanden aus einem tieferen Verständnis der Technologienutzung und der relevanten Vorschriften. Mit jedem technologischen Fortschritt und jedem Anwendungsfall, der entwickelt wird, verfeinern und aktualisieren wir unser Wissen über Best Practices.
Sind Sie daran interessiert, diese Best Practices für elektronische Signaturen in Ihrem Unternehmen einzuführen? Kontaktieren Sie hier unsere Experten hier. Sie unterstützen Sie bei der Implementierung der richtigen Lösungen, die auf die Bedürfnisse und Erwartungen Ihres Unternehmens zugeschnitten sind.