15 Jun 2020

Die Rolle von E-IDs für elektronisches Signieren

Kira Leuthold

Fake-Profile gehören im Internet dazu. Ich kann mich problemlos als Mickey Mouse mit Freunden vernetzen via Facebook oder als James Bond auf Stellen bewerben via LinkedIn.

 

Beim elektronischen Signieren ist es daher hoch relevant, sich Folgendes zu fragen:

 

Wie kann ich mir sicher sein, dass hinter einer elektronischen Signatur eine echte Person steckt, die im Gerichtsfall behaftet werden kann?

 

Die Antwort heisst “geprüfte elektronische Identitäten”, kurz E-IDs – aber nicht in jedem Fall.

 

Rückschluss auf echte Personen ist im Internet schwierig

Hinter Fake-Profilen müssen keine bösen Absichten stecken. Als James Bond oder Mickey Mouse ein Online-Profil anzulegen kann sinnvoll sein – beispielsweise zu Testzwecken, oder weil ich meine echten Daten nicht jedem x-beliebigen Anbieter preisgeben will.

Linkedin Welcome James Bond!

Bei den meisten Online-Anbietern ist es möglich, sich unter falschem Namen zu registrieren – beispielsweise bei LinkedIn. (Quelle: Skribble, © Unsplash)

 

Für Anbieter ist die Identitätsprüfung mit zusätzlichem Aufwand verbunden und für die Erbringung der Serviceleistung nur bedingt relevant. Dementsprechend verhindern beispielsweise Social Media die Registration unter falschem Namen nicht.

 

Die einzige Angabe, die Online-Anbieter üblicherweise verifizieren, ist die E-Mail-Adresse. Deren Existenz bestätigt der User mit einem Klick auf den Link, den er vom Anbieter erhält.

 

Und was wird beim Anlegen einer E-Mail-Adresse geprüft? Zwei Beispiele:

  • Gmail, der E-Mail-Service von Google, verlangt eine Handynummer, die ich mit einem SMS-Verifizierungscode bestätigen muss. Eine Handynummer kann man sich in vielen Ländern ohne Identitätsprüfung am Kiosk kaufen.
  • Beim Erstellen einer Outlook-E-Mail-Adresse von Microsoft muss ich verschwommene Zeichen Buchstaben zuordnen, um zu beweisen, dass ich ein Mensch und kein Roboter bin. Ansonsten findet keine Verifikation statt.
Rückschlüsse auf echte Identitäten sind bei den meisten Online-Anbietern also weder unbedingt möglich noch gewünscht.

 

Würde meine Gegenpartei einen Vertrag mit einem Facebook- oder LinkedIn-Profil signieren, könnte ich mir nicht sicher sein, ob es sich tatsächlich um die besagte Person handelt.

Microsoft Captcha

Microsoft überprüft beim Erstellen einer Outlook-E-Mail-Adresse lediglich mittels Zeichenerkennung, ob ich ein Mensch und keine Maschine bin. (Quelle: Skribble, © Unsplash)

 

E-ID garantiert Identifizierbarkeit der signierenden Person

Damit eine E-Signatur volle Beweiskraft erlangt, muss ich sie eindeutig einer Person zuweisen können. Ist das nicht möglich, kann ein Richter den signieren Vertrag im Gerichtsfall als ungültig erklären.

 

Die eindeutige Identität hinter einer E-Signatur stellen wir bei Skribble sicher, indem wir elektronische Identitäten (E-IDs) integrieren, die den erforderlichen Sicherheitsstandards entsprechen.

 

Hinter einer E-ID steckt nichts anderes als die vorsorgliche Prüfung eines amtlichen Ausweises: Eine geschulte Person schaut sich die ID oder den Pass im persönlichen Kontakt oder via Video-Chat an und hinterlegt eine digitale Kopie. Ich kann also davon ausgehen, dass hinter der E-ID von Herrn Müller tatsächlich Herr Müller steckt.

 

Nur wer sich mit einer geprüften E-ID digital ausweist, kann mit dem höchsten E-Signatur-Standard – der qualifizierten elektronischen Signatur (QES) – signieren.

 

Die QES ist die einzige E-Signatur, die der handschriftlichen Signatur vor dem Gesetz gleichgestellt ist. Vorausgesetzt wird die QES bei Verträgen, bei denen das Gesetz die Schriftlichkeit verlangt. Dazu gehören beispielsweise Konsumkreditverträge, Leiharbeitsverträge oder Behördendokumente.

 

Immer mehr Menschen verfügen über eine geprüfte E-ID

Unternehmen können diese Identitätsprüfung selbst durchführen: Ausgewählte Mitarbeitende – üblicherweise aus dem HR – lassen sich von Skribble zu Identifikations-Officern ausbilden, um Kollegen mit einer ID-App für das Signieren mit höchster Beweiskraft freizuschalten.

 

Das wird allerdings immer seltener nötig sein: Eine wachsende Anzahl Menschen in Europa verfügt über eine geprüfte E-ID, die den Anforderungen für die QES entspricht. Dazu gehören E-IDs von Behörden oder Banken, welche für das Erbringen ihrer Dienstleistung eine Identitätsprüfung durchführen müssen.

 

Durch die Anbindung dieser E-IDs an Skribble können Millionen von Menschen ohne zusätzliche Identifikationsverfahren mit höchster Beweiskraft signieren.

 

Skribble_EIDs

Skribble integriert laufend neue E-IDs und vereinfacht damit das Signieren mit höchster Beweiskraft auf globaler Ebene. (Quelle: Skribble)

 

Beispiel: Mit trustID bei Skribble anmelden und signieren

An Skribble angebunden ist z.B. die trustID, eine Schweizer E-ID-Lösung des Unternehmens ELCA. trustID war die erste vom Schweizer Bund zertifizierte E-ID im Gesundheitswesen. Sie kommt insbesondere für das elektronische Patientendossier zum Einsatz.

 

Die Identitätsprüfung führt ELCA via Video durch oder in einem Netzwerk von physischen Registrierungsstellen – Apotheken, die Post, Spitäler, Kantons- und Gemeindeverwaltungen.

 

Inhaber einer trustID können sich bei Skribble anmelden und sofort beweiskräftig elektronisch signieren. Weitere Registrierungsprozesse oder zusätzliche Identifikation-Massnahmen entfallen.

 

Skribble Login with trustID

trustID-Besitzer können sich bei Skribble anmelden, ohne einen zusätzlichen Registrationsprozess durchlaufen zu müssen. (Quelle: Skribble, © Unsplash)

 

Zu den E-IDs, die bald an Skribble angebunden werden, zählen auch die schweizweit verfügbare SwissID sowie die eID+ des Kantons Schaffhausen. Weitere E-IDs aus der Schweiz und der EU folgen.

 

Die Idee dahinter: Die Welt wird sich kaum auf eine E-ID einigen. Eine breit einsetzbare E-Signatur-Lösung muss also mit allen relevanten E-IDs nutzbar sein. Nur so können Firmen mit Stakeholdern aus verschiedenen Rechtsräumen und Branchen mit höchster Beweiskraft signieren.

 

Höhere Ansprüche als das Unterschreiben von Hand

Beim Signieren mit E-ID, sprich mit dem höchsten E-Signatur-Standard QES, wird die Identität der Signierenden im Voraus geprüft – das geht weit über die Anforderungen hinaus, die das Gesetz an das physische Pendant stellt.

 

Beim Unterschreiben von Hand kommt es zur Prüfung der Identität der Signierenden erst im Gerichtsfall – sprich im Nachhinein. Wird die Echtheit einer Unterschrift angezweifelt, stellt ein Graphologe Schriftvergleiche an und schliesst so auf die Echtheit und damit die Identität des Signierenden.

 

Miet- und Kaufverträge ohne E-ID rechtsgültig signieren

Die fortgeschrittene elektronische Signatur, der zweithöchste E-Signatur-Standard funktioniert nach demselben Prinzip wie das Unterschreiben von Hand: Kommt es zum Gerichtsfall, wird die Identität der Signierenden im Nachhinein rekonstruiert.

 

Dementsprechend wird für das Signieren mit FES auch keine vorsorgliche Identitätsprüfung mittels E-ID verlangt.

 

Bei der FES reicht z.B. eine Firmen-E-Mail-Adresse oder eine Schweizer Telefonnummer als Identifikationselement. Über beide Wege lassen sich die Identität der Signierenden zurückverfolgen: Firmen prüfen ihre Mitarbeitenden während der Rekrutierung. Schweizer Telekommunikationsunternehmen sind bei Vertragsabschluss ebenfalls verpflichtet, die Identität ihrer Kunden zu prüfen.

 

Die FES eignet sich für alle Dokumente, für die das Gesetz keine Form vorschreibt. Dazu gehören die meisten Arbeits-, Hypothekar-, Kauf- und Mietverträge. Firmen entscheiden sich für die FES, weil sie aufgrund der geringeren Identifikations-Anforderungen von mehr Menschen mit geringerem Aufwand genutzt werden kann.

 

Es gibt noch einen dritten E-Signatur-Standard: die einfache elektronische Signatur (EES). Bei diesem reicht eine normale E-Mail-Adresse als Identifikationselement. Zum Einsatz kommt die EES bei internen oder informellen Dokumenten mit geringem Haftungsrisiko, z.B. Lieferanten-Offerten, Bestellungen, organisationsinternen Dokumente oder Bekanntmachungen.

beweiskraft-barometer

Das Gesetzt unterscheidet zwischen drei E-Signatur-Standards. Nur für die QES wird eine geprüfte E-ID vorausgesetzt. (Quelle: Skribble)

 

 

Blog_CTA_Teaser

Jetzt rechtsgültig elektronisch signieren!

Keine Kreditkarte, Eintrittsgebühr oder Verpflichtung erforderlich.

Jetzt ausprobieren