Digitale Signatur
Digitale Signatur
Eine Digitale Signatur ist ein kryptografisches Verfahren, das die Echtheit und Integritaet eines elektronischen Dokuments beweisbar macht und den Unterzeichner eindeutig identifiziert. Im B2B-Einkauf ersetzt die Digitale Signatur zunehmend die handschriftliche Unterschrift auf Vertraegen, Bestellungen und Rechnungen — mit staerkeren rechtlichen Garantien als ein eingescanntes Dokument.
Detaillierte Erklaerung
Technisches Grundprinzip:
Eine Digitale Signatur basiert auf asymmetrischer Kryptografie (Public-Key-Infrastruktur, PKI). Der Unterzeichner besitzt ein Schluesselpaar: einen privaten Schluessel (geheim, nur dem Inhaber bekannt) und einen oeffentlichen Schluessel (frei zugaenglich, in einem Zertifikat verankert). Der Signaturvorgang laeuft so ab:
- Aus dem Dokument wird ein kryptografischer Hashwert berechnet (z. B. SHA-256).
- Der Hashwert wird mit dem privaten Schluessel des Unterzeichners verschluesselt — das ergibt die Signatur.
- Empfaenger entschluesseln die Signatur mit dem oeffentlichen Schluessel des Unterzeichners.
- Sie berechnen selbst den Hashwert des empfangenen Dokuments.
- Stimmen beide Hashwerte ueberein, ist das Dokument unveraendert und die Signatur authentisch.
Rechtliche Rahmenbedingungen (DACH):
Die eIDAS-Verordnung (EU) Nr. 910/2014 unterscheidet drei Signaturklassen:
| Klasse | Beschreibung | Rechtswirkung |
|---|---|---|
| Einfache elektronische Signatur (EES) | Eingescanntes Bild, Name in E-Mail | Keine formale Rechtswirkung, Beweismittel |
| Fortgeschrittene elektronische Signatur (FES) | PKI-basiert, eindeutig dem Unterzeichner zugeordnet | Beweiswertig, kein Schriftformersatz |
| Qualifizierte elektronische Signatur (QES) | FES + Zertifikat eines akkreditierten Vertrauensdienstleisters | Aequivalent zur handschriftlichen Unterschrift (eIDAS Art. 25 Abs. 2) |
In Deutschland konkretisiert das Vertrauensdienstegesetz (VDG, in Kraft seit 2017 als nationales Umsetzungsgesetz zu eIDAS) die Anforderungen an Vertrauensdiensteanbieter. Die Bundesnetzagentur fuehrt eine Vertrauensliste akkreditierter Anbieter (u. a. D-Trust, Bundesdruckerei, SwissSign, TeleSec).
Fuer Rechnungen relevant: UStG §14 Abs. 3 Satz 2 laesst eine qualifizierte elektronische Signatur ausdruecklich als Methode zur Sicherstellung der Echtheit und Integritaet einer elektronischen Rechnung zu. Neben der QES sind auch [[edi]]-Verfahren mit innergemeinschaftlichem Kontrollverfahren als gleichwertige Methoden anerkannt.
Das alte Signaturgesetz (SigG) in der Fassung vor VDG definierte in §2 Nr. 1-3 die Signaturklassen. Nach der eIDAS-Reform gelten die EU-Klassen, SigG-Referenzen in aelteren Vertraegen sind entsprechend zu interpretieren.
Qualifizierte elektronische Signatur in der Praxis:
Eine QES erfordert ein qualifiziertes Zertifikat, das von einem akkreditierten Vertrauensdienstleister ausgestellt wird. Der Unterzeichner muss einmalig seine Identitaet per Videoident oder persoenlichem Erscheinen nachweisen. Die Signatur selbst wird entweder auf einer qualifizierten Signaturerstellungseinheit (QSCD — z. B. eine Smartcard oder ein Hardware-Token) oder remote ueber einen Fernsignaturserver des Vertrauensdienstleisters erstellt.
Wichtige Unterscheidung: Digitale Signatur (kryptografisch-technisches Verfahren) ist nicht dasselbe wie elektronische Signatur (Oberbegriff nach eIDAS). Jede digitale Signatur ist eine elektronische Signatur, aber nicht jede elektronische Signatur ist digital — ein eingescanntes Bild einer Unterschrift ist eine einfache elektronische Signatur ohne kryptografische Absicherung.
DSGVO-Relevanz:
Signaturzertifikate enthalten personenbezogene Daten (Name, E-Mail, ggf. Organisation). Deren Verarbeitung unterliegt der DSGVO (Regulation EU 2016/679). Vertrauensdienstleister muessen als Auftragsverarbeiter oder eigenverantwortlicher Verantwortlicher agieren. Bei der Auswahl eines Signaturdienstleisters ist der Serverstandort relevant — fuer DACH-Einkaufsabteilungen empfehlen sich Anbieter mit Rechenzentren in der EU.
Praxisbeispiel (konkretes Einkaufsszenario)
Ein Maschinenbauer in Oesterreich schliesst einen Rahmenliefervertrag mit einem Stahl-Coil-Lieferanten ab. Der Vertrag hat einen Wert von 800.000 EUR pro Jahr. Beide Parteien einigen sich auf elektronische Unterzeichnung per QES ueber die Plattform DocuSign (akkreditierter Vertrauensdienstleister nach eIDAS). Der Einkaufsleiter des Maschinenbauers erhaelt eine Signatureinladung per E-Mail. Er authentifiziert sich per SMS-OTP und Gesichtserkennung gegenueber dem Fernsignaturserver. Seine QES wird am Dokument befestigt. Der Lieferant unterzeichnet analog. Das fertig signierte PDF enthaelt sichtbare Signaturfelder sowie eingebettete kryptografische Signaturdaten. Das Dokument wird in beiden DMS-Systemen archiviert. Im Streitfall kann die Gueltigkeit der Signatur und die Unveraendertheit des Dokuments jederzeit technisch nachgewiesen werden.
Typische Fehler & Verhandlungskontext
Technische und rechtliche Fehler:
- Falsche Signaturklasse fuer den Anwendungsfall: Ein Arbeitsvertrag erfordert in Deutschland Schriftform (§126 BGB) — dieser kann nur durch eine QES (§126a BGB) oder eine Schriftformklausel-Abweichung ersetzt werden. FES oder EES genuegen nicht. Im Einkauf gilt dasselbe fuer Vertraege mit Schriftformklausel.
- Zertifikatsablauf vor Vertragsende: Signaturzertifikate haben typischerweise eine Laufzeit von ein bis drei Jahren. Wird ein Langzeitvertrag mit einem kurzzeitigen Zertifikat signiert, erlischt die pruefbare Gueltigkeit nach Zertifikatsablauf. Loesung: Long-Term Validation (LTV) mit eingebetteten Zeitstempeln (RFC 3161) und Archivzeitstempel.
- Fehlende Zeitstempel: Ohne qualifizierten Zeitstempel (eIDAS Art. 41) ist nicht beweissicher nachweisbar, wann die Signatur angebracht wurde. Fuer steuerliche Unterlagen und GoBD-Archivierung ist der Zeitstempel Pflicht.
- Verwechslung mit digitaler Verschluesselung: Eine Digitale Signatur stellt Authentizitaet und Integritaet sicher, verschluesselt aber nicht den Inhalt. Soll der Inhalt eines Dokuments vertraulich bleiben, ist separate Verschluesselung (z. B. S/MIME oder PGP) erforderlich.
Verhandlungskontext:
Bei der Aufnahme einer neuen Lieferantenbeziehung lohnt es sich, im Lieferantenvertrag explizit zu regeln, welche Signaturklasse fuer welche Dokumenttypen gilt: QES fuer Rahmenvertraege und Konditionen, FES fuer Einzelbestellungen ueber einem bestimmten Schwellenwert, EES (oder keine Signaturpflicht) fuer Routinekorrespondenz. Diese Regelung verhindert Unklarheiten bei Eskalationen und spart Aufwand bei Massenbelegen, ohne rechtliche Sicherheit bei wichtigen Dokumenten zu opfern.
Verwandte Begriffe
- [[blockchain-im-einkauf]] — dezentrale Unabaenderlichkeitssicherung als Ergaenzung zu Signaturen
- [[elektronische-rechnung]] — Anforderungen an signaturgestuetzte E-Rechnungen
- [[e-invoicing]] — Plattformperspektive auf elektronische Rechnungsstellung
- [[smart-contracts]] — programmierbare Vertraege mit automatischer Ausfuehrung
- [[digitaler-einkauf]] — Gesamtrahmen der Digitalisierung im Beschaffungswesen