Elektronische Signatur Anbieter: 5 Fragen helfen bei der Auswahl

Viele Unternehmen haben bereits einen Großteil ihrer Prozesse medienbruchfrei digitalisiert. Oft jedoch nur solange, bis etwas händisch signiert werden muss. An dieser Stelle wird das Dokument gedruckt und in einen manuellen Signaturumlauf gebracht. Im Anschluss wird das Dokument dann wieder gescannt, archiviert und zudem noch das Original in Papierform abgelegt. Diese ineffizienten, kostspieligen und papierbasierten Prozesse können durch eine digitale Unterschrift abgeschafft werden. Die Suche nach dem richtigen Anbieter für elektronische Signaturen ist dabei von zentraler Bedeutung, um reibungslose und rechtssichere Geschäftsprozesse zu gewährleisten.

Elektronische Signatur Anbieter gibt es viele

Wer das Potenzial elektronischer Signaturen wirklich vollständig ausschöpfen will, muss gut planen, denn es gibt viele Anbieter. Bei der Einführung verlangen rechtliche, technische und organisatorische Aspekte Beachtung. Digitale Signaturen können viele Geschäftsprozesse verschlanken, da die bisherigen Medienbrüche komplett entfallen. Allerdings ist der Markt für entsprechende Anwendungen für viele unübersichtlich.

Um etwas Licht ins Dunkel zu bringen, haben wir die wesentlichen Themen im folgenden Leitfaden zusammengefasst. Spoiler-Alarm: Ganz ohne E-Signatur-Expert:innen geht es in den ersten Phasen der Umsetzung eines technischen Systems oft nicht.

5 Fragen, die bei der Auswahl des richtigen Anbieters für elektronische Signaturen unterstützen

1. Welche Anforderungen hat mein Unternehmen an eine digitale Signatur?

• Info: Bevor du in die Evaluierung unterschiedlicher Anbieter elektronischer Signaturen eintauchst, solltest du intern klären, welche Anwendungsfälle in deinem Unternehmen mit einer digitalen Signatur abgedeckt werden sollen. Berücksichtige hier auch die Wirtschaftlichkeit.
• Action: Evaluiere die genauen Business-Anforderungen im Rahmen deines digitalen durchgängigen, sogenannten „End-to-End“ (e2e) Prozesses. Prüfe zudem, welche Szenarien sich für eine Pilotierung eignen und wie sich dein Unternehmen Schritt für Schritt (Roadmap) vollständig auf die digitale Signatur umstellen lässt.

2. Welche Signatur benötige ich für die von mir identifizierten Anwendungsszenarien?

• Info: Die eIDAS Verordnung hat uns im Europäischen Wirtschaftsraum eine einheitliche und rechtskräftige Richtlinie für die digitale Fernsignatur ermöglicht. Dadurch ist es seit 2016 möglich, mit der gleichen Beweiskraft, die eine handschriftliche Signatur bietet, digital zu unterschreiben. Dies ist möglich, da Vertrauensdiensteanbieter eine Authentifizierung des Vertragspartners sicherstellen und die Integrität (Unveränderbarkeit) des signierten Dokumentes durch ein Zertifikat schützen. Es werden grundsätzlich drei unterschiedliche Signaturarten unterschieden: einfach, fortgeschritten und qualifiziert.

Wann wird welche Signatur eingesetzt? Wir empfehlen hier dringend die Beratung durch einen Juristen und die Abwägung von Haftungsrisiken. Bei Bedarf kann die d.velop AG hier Kontakt zu einem Spezialisten herstellen. Hierzu generell drei wichtige Fakten:

1. Die einfache elektronische Signatur stellt keinen sicherheitsrelevanten Mehrwert für Unternehmen dar und unterliegt der freien richterlichen Beweiswürdigung (§ 286 ZPO).
2. Die fortgeschrittene elektronische Signatur unterliegt ebenfalls der freien richterlichen Beweiswürdigung (§ 286 ZPO) und stellt die Integrität des Dokumentes durch ein Zertifikat sicher.
3. Nur die qualifizierte elektronische Signatur (QeS) ersetzt die gesetzliche Schriftform (126, 126a BGB) und ist daher mit der handschriftlichen Unterschrift gleichzusetzen.

Viele elektronische Signatur Anbieter werben damit, dass die angebotenen Signaturverfahren die Anforderungen der eIDAS Verordnung erfüllen, ohne allerdings auf Einzelheiten einzugehen und es nachprüfbar zu machen, ob nun die angebotenen Verfahren wirklich die Anforderungen der qualifizierten elektronischen Signatur erfüllen. Nur wenige Signaturanbieter bieten neben der einfachen und fortgeschrittenen Signatur auch die qualifizierte Signatur (nach eIDASVO) im Standard an.

• Action: Kläre, was die rechtlichen Anforderungen an die geforderten Signaturen sind und wäge gemeinsam mit einem Juristen mögliche Haftungsrisiken ab. Prüfe, welche Signaturtypen die Anbieter im Standard anbieten, und identifiziere ggf. Dienstleistungsaufwand und Projektkosten. Wie? Frag die Anbieter, mit welchen Vertrauensdiensteanbietern sie zusammenarbeiten und ob die Verträge hier durchgereicht werden können, oder eigenständig mit dem Vertrauensdiensteanbieter verhandelt werden muss? Prüfe, ob die Umsetzung / Einführung der qualifizierten Signatur über ein Projekt erfolgt.

3. Welche technische Lösung eignet sich für mein Unternehmen und wie hoch sind die Kosten für die Implementierung [Hardware basierte Lösung vs. Fernsignatur]?

• Info: Es gibt Hardware basierte Lösungen und Lösungen via „Fernsignatur“. Auf dem Markt existieren viele Anbieter, die nach eIDAS rechtskräftige digitale Signaturen in Kombination mit Hardwarekomponenten anbieten. Hierzu sind die benötigten Signaturzertifikate auf lokaler Hardware gespeichert (z.B. einem lokalen Signaturserver, auf einer Signaturkarte, für die ein Signaturlesegerät erforderlich ist, auf einem USB Stick). Das bedeutet, die digitale Signatur kann nur in Verbindung mit dieser Hardwarekomponente durchgeführt werden.

Die eIDASVO ermöglicht es erstmalig, eine digitale Unterschrift – ohne Signaturkarte und Kartenlesegerät – und zwar per Fernsignatur auszulösen. Bei diesem neuen Verfahren wird der private Signaturschlüssel des Nutzers auf einem hochsicheren Server (Hardware Security Modul) des VDA gespeichert. Die bei der Einrichtung einmalige Identifizierung der Personen erfolgt dabei einfach und flexibel z.B. via Videoident, NPA (neuer Personalausweis), Giro oder auch PostIdent.

•  Action: Ermittele basierend auf deinem e2e-Prozess, welche technische Lösung sich für Ihr Unternehmen am besten eignet und validiere die Möglichkeiten der Integration in deine bestehenden Systeme. Soll die Lösung „stand-alone“ sein oder möchtest du in bestehende Anwendungen integrieren? Prüfe, was die Lösungen im Standard bieten und wo zusätzlicher Aufwand nach Dienstleistung anfällt. Hinterfrage auch, wer für den Betrieb zuständig ist. Achte darauf, wo und wie deine Daten gespeichert werden, damit sie nicht versehentlich auf amerikanischen Servern landen.
• TIPP: Um erste Erfahrungen mit dem Medium digitale Signaturen sammeln zu können, kann ein „stand-alone“ Einsatz für gezielte Anwendungsszenarien sinnvoll sein. Dies ermöglicht es ausgewählten Mitarbeiter:innen, bereits in einer frühen Phase der Einführung, Erfahrungen zu sammeln und Feedback zu geben. Die User:innen werden direkt mitgenommen und in den Prozess der Einführung von Beginn an involviert. Schnell erkennen die Nutzer:innen die Mehrwerte und einfache Anwendung der digitalen Lösung und schaffen durch ihre Kommunikation Akzeptanz in deinem Unternehmen für den digitalen Wandel.

4. Welchen Funktionsumfang bieten die unterschiedlichen Anbieter elektronischer Signaturen? Welche Features sind dabei besonders wichtig für mein Unternehmen?

• Info: Die Lösungen der Anbieter variieren in ihren Funktionalitäten. Behalte immer den durchgängigen, medienbruchfreien Prozess im Auge und achte bezogen auf deinen konkreten Anwendungsfall u.a. auf die folgenden Features:

1. Welche Dateiformate können mit der Lösung signiert werden?
2. In welchen Sprachen ist die Lösung verfügbar?
3. Wie läuft der Signaturprozess ab?
4. Welche Möglichkeiten habe ich, ein Dokument zu signieren?
5. Welche Verwaltungsmöglichkeiten gibt es?
6. Wie ist die Administration der Lösung?
7. Ist die Lösung intuitiv nutzbar?
8. Kann ich ein Dokument aus der Lösung heraus mit Dritten teilen und auch Unterschriften einholen?
9. Entsprechen die angebotenen Signaturen der eIDASVO?
10. Welche Möglichkeiten der Integration bestehen? Gibt es eine REST-Schnittstelle (API)?
11. Welche Standardschnittstellen gibt es für die Lösung?
12. Kann ich mobil auf dem iPad oder Handy signieren?
13. Welche weiteren Features gibt es und welche sind geplant?

• Action: Schaue dir den Funktionsumfang der Anbieter genau an. Identifiziere und bewerte die Unterschiede für dein Unternehmen! Mache die Lösungen vergleichbar.

5. Welche Kosten fallen an? Und was kostet mich die Einführung der digitalen Signatur?

• Info: Die Preismodelle der Anbieter elektronischer Signaturen variieren oft von pay-per-use Modellen, über Lizenzierungen pro User bis zu Festpreisen. Welche Services sind in den Kosten enthalten? Achte dabei auf eine vollständige Kostenbetrachtung inklusive Kosten für die Implementierung und initiale Bereitstellung, Kosten für den Betrieb, Upgrades sowie auch Support. Auch fallen in der Regel Kosten für eine einmalige Identifizierung beim Vertrauensdiensteanbieter an.
• Action: Evaluiere basierend auf der benötigten Anzahl von Signaturen und User:innen die entsprechenden Kosten. Mache diese im Rahmen einer Gesamtkostenbetrachtung vergleichbar.

Informationen zusammentragen und vergleichbar machen

Eine systematische Bewertung der elektronische Signatur Anbieter unterstützt die Einführung. Das Leistungsspektrum bei vielen Anbietern elektronischer Signaturen variiert und deshalb empfiehlt es sich alle bereits genannten Punkte (sowie potenziellen zusätzlichen Aufwände und Implementierungszeitleisten) beim Anbieter genau zu prüfen, bevor eine Entscheidung getroffen wird.
Trage alle gesammelten Informationen zusammen und mache diese vergleichbar. Wäge ab und lasse deine Mitarbeiter:innen mitreden. Starte anschließend in die Pilotphase mit ausgewählten Prozessen!

Dieser Artikel enthält Informationen zu den rechtlichen Rahmenbedingungen für den Einsatz digitaler Signaturen in Unternehmen, ist jedoch keine verbindliche Rechtsberatung. Zudem kann sich die Gesetzgebung ändern. Der vorliegende Leitfaden ersetzt nicht die Beratung durch einen Juristen.