Eine qualifizierte elektronische Signatur ist in der digitalen Welt dasselbe wie eine handschriftliche Signatur in der analogen Welt. Die qualifizierte elektronische Signatur (QES) ist per Gesetz die höchstwertigste Form der digitalen Unterschrift. Sie unterscheidet sich von der einfachen elektronischen Signatur (Standard Electronic Signature = SES) und der fortgeschrittenen elektronischen Signatur (Advanced Electronic Signature = AES).

Die Grundlage für alle Formen der elektronischen Signatur ist die eIDAS-Verordnung des Europäischen Parlaments und des Rates der Europäischen Union. eIDAS ist die englische Abkürzung für electronic IDentification, Authentication and trust Services. Der Name steht für die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der bis dahin geltenden Richtlinie 1999/93/EG.

Rechtssicherheit durch eIDAS-Verordnung
Als Instrument rechtlicher Harmonisierung vereinfacht die eIDAS-Verordnung elektronische Signaturen und fördert den Ausbau digitaler Lösungen auf gesamteuropäischer Ebene. Definiert ist die QES in Artikel 3 Z 12 als „eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wird und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht“.
Die eIDAS-Verordnung strahlt die Rechtssicherheit aus, die Investitionen in Transformationsprozesse vielerorts erst motiviert hat. In Artikel 25, Abs. 2 der eIDAS-Verordnung ist geregelt, dass die qualifizierte elektronische Signatur die gleiche Rechtswirkung wie eine handschriftliche hat.

Trust Center
Qualifizierte elektronische Signaturen basieren grundsätzlich auf einem qualifizierten Zertifikat. Dieses kann nur von einer sicheren Signaturerstellungseinheit (SSEE) ausgelöst werden. Ein staatlich anerkannter Vertrauensdiensteanbieter, ein so genanntes Trust Center wie beispielweise D-Trust (Deutschland) oder A-Trust (Österreich) stellt die persönlichen Zertifikate zur Verfügung. Die Swisscom ist in diesem Kontext ein Sonderfall, weil sie dem Schweizer Signaturgesetz ZerEs verpflichtet ist und nicht der eIDAS Verordnung. Aber auch hier wird mit personengebundenen persönlichen Zertifikaten gearbeitet. Sie erfüllen die wesentliche Anforderung an eine qualifizierte elektronische Signatur, nämlich dass der Unterschreiber zweifelsfrei identifizierbar ist und das betreffende Dokument inhaltlich unverändert bleibt. Anerkannte Vertrauensdiensteanbieter erkennt man daran, dass sie dem in der eIDAS-Verordnung formulierten Anforderungskatalog entsprechen.
Qualifizierte, und damit staatlich zertifizierte Trust Center sind zum Beispiel A-Trust Österreich), D-Trust (BRD) oder die Swisscom (Schweiz). Sie sichern die maximale Beweiskraft einer QES. Sie lösen rechtssichere qualifizierte Signaturen durch die Ausgabe elektronischer Zertifikate aus. In Artikel 24, Abs. 1, präzisiert die eIDAS-Verordnung: „Bei der Ausstellung eines qualifizierten Zertifikats für einen Vertrauensdienst überprüft der qualifizierte Vertrauensdiensteanbieter anhand geeigneter Mittel und im Einklang mit dem jeweiligen nationalen Recht die Identität und gegebenenfalls die spezifischen Attribute der natürlichen oder juristischen Person, der das qualifizierte Zertifikat ausgestellt wird.“

Die zentralen Aufgaben eines Trust Centers sind:
• Ausgabe von qualifizierten Zertifikaten für elektronische Signaturen
• Elektronischer Zeitstempel
• Validierung von elektronischen Signaturen
• Archivierung von elektronischen Signaturen

Die eIDAS-Verordnung differenziert in qualifizierte und nicht-qualifizierte Vertrauensdienstanbieter. Orientierung bietet hier für Unternehmen und Privatpersonen die sog. „Trust List“. In dieser Liste sind alle Anbieter und Dienstleistungen aufgeführt, die in den betreffenden EU-Staaten einen qualifizierten Status besitzen. Wer auf dieser Liste nicht aufgeführt ist, bleibt von qualifizierten Vertrauensdienstleistungen ausgeschlossen. Registrierung und Zertifikatserstellung sind kostenlos, bei dem wichtigsten österreichischen Trust Center A-Trust ist zum Beispiel auch die Handy-Signatur-App kostenlos für Nutzer.
Unternehmen, die elektronische Signaturen jeder Signaturqualität in ihren Prozessen zum Beispiel mit MOXIS verarbeiten, bezahlen für qualifizierte elektronische Signaturen über die Anzahl der erworbenen MOXIS-Lizenzen (Link zum Pricing Modell). Die elektronische Unterschriftenmappe von XiTrust unterstützt dabei jede Form elektronischer Signaturen. Durch seien Integrationstiefe können MOXIS-User auf der gewohnten Oberfläche ihres bevorzugten Officesystems verbleiben (zum Beispiel SAP) und Signaturen in jeder Qualität auslösen. MOXIS läuft dann „im Hintergrund“.

Welche digitale Signaturqualität für welches Dokument?
Die notwendig Signaturqualität hängt immer vom Einzelfall ab. Als Faustregel gilt: Nicht alle digital unterschriebenen Dokumente müssen zwingend qualifiziert elektronisch unterschrieben werden, also mit derselben Rechtwirkung wie eine handschriftliche Signatur. In vielen Fällen reicht die einfache elektronische Signatur oder die fortgeschrittene elektronische Signatur.

1. Einfache elektronische Signatur für
Lieferangebote (Zulieferer)
Aufträge und Warenbestellungen (Einkauf)
Unternehmensinterne Dokumente
Interne Freigabeprozesse („Laufzettel“)
Bekanntmachungen
Dokumente, die mit einer einfachen elektronischen Signatur auskommen, sind keiner gesetzlichen Formvorschrift unterworfen und besitzen nur ein geringes Haftungsrisiko.

2. Fortgeschrittene elektronische Signatur für
Kauf- und Mietverträge
Kontoeröffnungen
Einfache Formen von Arbeitsverträgen
Dokumente, die mit einer fortgeschrittenen elektronischen Signatur zu versehen sind, sind wie einfache elektronische Signaturen keiner gesetzlichen Formvorschrift unterworfen und besitzen ein kalkulierbares Haftungsrisiko.

3. Qualifizierte elektronische Signaturen für
Leiharbeitsverträge
Arbeitsverträge
Konsumentenkreditverträge
Diverse Behördendokumente
Dokumente, die einer qualifizierten elektronischen Signatur bedürfen sind einer gesetzlichen Formvorschrift unterworfen und zeichnen sich durch ein vergleichsweise hohes Haftungsrisiko aus. Der Gesetzgeber schreibt die qualifizierte elektronische Signatur in § 492 Abs. 1 BGB für Verbraucherdarlehensverträge vor. In § 12 des AÜG wird für Arbeitnehmerüberlassungsverträge die qualifizierte elektronische Signatur vorgeschrieben.

Schriftformerfordernis
Der Gesetzgeber in Deutschland formuliert die zwingende Anwendung der qualifizierten elektronischen Signatur in § 126 BGB als „Schriftformerfordernis“. Wann immer diese gegeben ist, erzielt ein digital unterzeichnets Dokument nur durch die QES ihre Gültigkeit. Aber Vorsicht: Obwohl Signaturen gemäß eIDAS-Verordnung per Gericht nicht deshalb angelehnt werden dürfen, weil sie digital geleistet werden, gibt es einzelne Fälle, in denen elektronische Signaturen nicht zugelassen sind. Wichtigstes Beispiel sind dabei notarielle Beglaubigungen, aber auch die Kündigung von Arbeitsverhältnissen!

Voraussetzungen für qualifizierte elektronische Signaturen
Die QES ist die einzige elektronische Signatur die eine digitale Identität zwingend voraussetzt. Nutzer müssen sich dazu einmalig identifizieren vor allem mit videogestützten Identifikationsverfahren (Video-Ident-Verfahren) wird der digitale Pass durch verschiedene Dienstleister und Plattformen ausgestellt. Benötigt werden im Online-Identifikationsverfahren ein gültiges Ausweisdokument, ein Computer und ein Handy. Der Identifikationsvorgang am Bildschirm dauert circa zehn Minuten. Eine der wichtigsten Plattformen für die online-gestützte Ausstellung der Handysignatur ist xIDENTITY.eu, ein Service von XiTrust.
Alternativ können sich Einzelpersonen ihre Handysignatur auch persönlich durch den Service einer öffentlichen Identifikationsstelle ausstellen lassen. Diese Lösung ist im Unterschied zum Video-Ident-Verfahren zeit- und kostenintensiver, da für amtliche Identifikation Gebühren anfallen. Unternehmen nutzen im Regelfall eigene Registration Officers: Das ist gesondert eingeschultes Personal, das berechtigt ist, die Registrierung digitaler Identitäten innerhalb des Unternehmens durchzuführen.

Doppelte Verschlüsselung
Digitale Identitäten werden in der Regel für fünf Jahre ausgestellt, bevor sie durch wiederholte Bestätigung der personengebundenen Daten erneuert werden. Weiterhin stellen Unternehmen und Behörden digitale Identitäten in einem persönlichen Face-to-Face-Verfahren aus. Berechtigt dazu sind die Registration Officers, die eine persönliche Berechtigung erworben haben, digitale Identitäten auszustellen. Zumeist haben einzelne Unternehmensangehörige diese Aufgabe übernommen.
Zustande kommt eine qualifizierte elektronische Signatur über ein Zwei-Faktor-Authentisierung. Diese beruht auf dem Austausch eines öffentlichen und eine nicht-öffentlichen Schlüssels: Der öffentliche Schlüssel (Public Key) ist jeder zugänglich. Er ermöglicht das Überprüfen der Signatur. Demgegenüber kann die Verwendung eines privaten Schlüssels (Private Key) nur vom Signatar autorisiert werden. Das Schlüsselpaar sichert Datenintegrität und -Authentizität.

Fazit
Nicht für alle Dokumente sind QES notwendig, per Gesetz vorgeschrieben sind sie nur in den oben beschriebenen Einzelfällen. Dennoch: QES beenden jede Form der Rechtsunsicherheit auf der Stelle, denn sie sind das digitale Äquivalent zu handgeschriebenen Unterfertigungen. Damit sparen QES auch Zeit, weil es keinen Anlass mehr gibt den Einzelfall zu prüfen. Somit stehen QES am Ende für ein „Rundum-Sorglos“-Paket.