In beinahe jedem unserer ECM-Projekte kommt das Thema der elektronischen Signatur auf den Tisch. Der Grund ist einfach: In durchgängig digitalen Dokumentprozessen – also ohne System- und Medienbruch – sollen Dokumente oder Vorgänge von Menschen bearbeitet werden und mit Bearbeitungsvermerken versehen werden. Die fachliche Funktion eines solchen Vermerks kann eine Genehmigung oder Freigabe sein, eine Anmerkung, eine Kenntnisnahmeerklärung oder eine „richtige Unterschrift“ in denjenigen Fällen, für die der Gesetzgeber oder ein internes Regelwerk die sogenannte Schriftform vorschreibt. Mit der Pandemie wurde das Thema allgegenwärtig: wie soll man auch sonst eine Rechnung freigeben oder eine Genehmigung unterzeichnen, wenn man sie digital zugestellt bekommt, weil die gute alte Umlaufmappe nicht mehr verfügbar ist?
Eine wesentliche Funktion solcher Vermerke ist die Verlässlichkeit sowohl von Inhalt als auch von Absenderbehauptung. Die Frage ist immer: Kann man sich darauf verlassen, dass a) wirklich der Mitarbeiter Meier den Antrag und b) genehmigt und nicht vielleicht abgewiesen hat?
Es muss also sichergestellt sein, dass die Absenderbehauptung (wer hat das getan?) und der Inhalt (die Information wurde nicht unzulässigerweise geändert) verlässlich sind: also nicht begründbar bestritten werden können. Und in der alten analogen Welt diente dafür ein Namenszeichen oder eine komplette Unterschrift am oder zum Dokument.
Das Problem, das jetzt in beinahe allen ECM-Projekten entsteht ist, dass häufig die Schlussfolgerung gezogen wird, dass überall da, wo vorher ein Namenszeichen oder eine komplette Unterschrift auf Papier erfolgt ist, nun eine sichere, verlässliche elektronische Signatur im Sinne einer fortgeschrittenen oder sogar qualifizierten elektronischen Signatur zu erfolgen habe. Genau das ist aber eine falsche Schlussfolgerung für die Mehrzahl der Fälle.
Missverständnis Nummer 1: Überall da, wo man heute eine Unterschrift oder ein Namenszeichen findet, benötigt man in der digitalen Welt eine qualifizierte elektronische Signatur.
Das am häufigsten verbreitete Missverständnis ist, dass man eine fortgeschrittene oder sogar qualifizierte elektronische Signatur überall da benötige, wo man früher eine augenlesbare Unterschrift angebracht hat. Faktisch ist es aber so, dass es eigentlich nur wenige Dokumentarten im geschäftlichen Alltag gibt, für die die Schriftform – also die eigenhändige Unterschrift einer natürlichen Person oder ersatzweise eine qualifizierte elektronische Signatur gesetzlich vorgeschrieben ist. Die häufigsten dürften sein:
- § 416 BGB: Hypothekenschuldübernahme
- § 484 BGB: Vertrag über die Teilnutzung von Wohngebäuden
- § 492 BGB: Verbraucherdarlehensvertrag
- § 550/578 BGB: Bestimmte Arten von Mietverträgen
- § 574 BGB: Widerspruch Mieter gegen Kündigung
- § 623 BGB: Kündigung Arbeitsverhältnis (kein Ersatz durch QES)
- § 761 BGB: Leibrentenversprechen (kein Ersatz durch QES)
- § 766 BGB: Bürgschaft (kein Ersatz durch QES)
- § 781 BGB: Schuldanerkenntnis
- § 793 BGB: Schuldverschreibung
- § 14 Abs.4 Teilzeit- und Befristungsgesetz (TzBfG) bei Abschluss befristeter Arbeitsvertrag
- §2 Nachweisgesetz: Nachweis der Arbeitsbedingungen (kein Ersatz durch QES)
- Bestimmte Vertragsformen im Urheberrecht („unbestimmte Nutzung“)
- Dienstzeugnisse (§ 630 BBG)
Wie viele Dokumente in Ihren Dokumentprozessen gehören zu diesen Dokumentarten? Diese Liste mag nicht vollständig sein, aber die allermeisten geschäftlichen Dokumente des täglichen Lebens gehören wohl nicht dazu. Und die Abertausende internen Formulare, die im Umlaufverfahren von Personen mit Namenszeichen „unter-schrieben“ wurden, gehören ebenso wenig dazu wie die Dokumente in der berühmten schwarzen Umlaufmappe zum Verteilen von Vorgängen oder die Rechnungen, die fachlich—sachlich abgezeichnet werden sollen.
Die erste Frage, die sich jeder Anwender also stellen sollte ist: gibt es eine zwingende gesetzliche oder sonstige Vorschrift, die die Schriftform erfordert? Ein „sonstiger“ zwingende Grund könnte ja vielleicht auch dadurch entstehen, dass Unternehmen mit ihren Vertragspartnern freiwillig die Schriftform vereinbart hat oder – wie im GmbH-Gesetz bei den Gesellschafterbeschlüssen – nicht auf Schriftform verzichtet wurde (was man tun darf).
Es mag auch eine Organisations-interne Freiwilligkeit sein, die hohe Schutzfunktion einer eigenhändigen Unterschrift zu fordern, auch wenn der Gesetzgeber dies gar nicht vorschreibt. Aber die oft gehörte gesetzliche Forderung lässt sich für 99% der Aktenbestände nicht ableiten.
Ein digitaler Ersatz der eigenhändigen Unterschrift ist die so genannte qualifizierte elektronische Signatur (QES), die rechtlich gleichgestellt ist. Dies gilt aber nicht für diejenigen Dokumente, bei denen sogar die QES ausdrücklich kein zulässiger Ersatz ist (siehe Liste oben) also Kündigung Arbeitsverhältnis, Bürgschaftserklärungen usw.
Textform genügt
Wenn aber die Schriftform nicht zwingend erforderlich ist, genügt die einfache Textform, und das umfasst jede Art von Kenntlichmachung, von wem die Willenserklärung stammt. E-Mail, SMS, WhatsApp, eine Textnotiz auf dem Dokument, die Log-Dateien in der Datenbank, wer wann diese Buchung vorgenommen hat: alles zulässige Varianten für die Textform.
Und die zuletzt genannte Variante (Datenbankeintrag wer wann was getan hat) ist die am häufigsten vorkommende, dem behaupteten Absender unbestreitbar zuzuordnende Willenserklärung: allgemein formuliert die „systemgestützte Authentifizierung“.
Systemgestützte Authentifizierung zu 99% ausreichend
Sie wird immer dann verwendet, wenn sich ein User mit Benutzernamen und Passwort an einem IT-System anmeldet und dann mit dieser Berechtigung Buchungen durchführt, Mail versendet, Anträge freigibt, was auch immer etc. In all diesen Fällen wird eine unbestreitbare Information erzeugt, wer wann was getan hat.
Diese Form der sicheren Feststellung des Absenders einer Willenserklärung und der Unveränderbarkeit des Vorgangsinhaltes lässt sich nicht ohne massiven Eingriff in die IT-Infrastruktur manipulieren und ist der typische Fall bei Fach- und ERP-Systemen, aber auch DMS-Lösungen wo Rechnungsprüfungen oder Dokumentfreigaben nur von den dafür berechtigten Personen vorgenommen werden können und diese Vorgänge in der Datenbank zur Transaktion, zum Vorgang oder zum Dokument geschützt abgelegt werden.
Bereits in der alten Signaturgesetzgebung von 1999 aber auch in der aktuellen EIDAS-Verordnung wird neben der fortgeschrittenen und qualifizierten Signatur auch die einfache Signatur genannt mit einfacher Manipulationsmöglichkeit und fast immer liest man in diesem Kontext, dass E-Mail ein Beispiel sei für eine solche einfache „manipulierbare“ Signatur sei.
Dem liegt ein großes Missverständnis zugrunde: Die einfache Manipulationsmöglichkeit bezieht sich nur auf einige sichtbare Elemente der E-Mail wie beispielsweise die Mailsignatur im Fuß des E-Mail-Bodys und die angezeigte Mail-Absenderadresse. Beides ist tatsächlich sehr einfach zu manipulieren.
Was aber nicht einfach zu manipulieren ist, sind die nicht sichtbaren Mail-Attribute und ihre Spur im Verlauf der Mailtransporte. Es sind genau diese Informationen, die sich die Schadfilter der Mailsysteme zunutze machen, um schädliche oder verdächtige Mail auszufiltern.
Im Alltag ist es jedoch so, dass wir als normale User natürlich nicht in diese Mail-Attribute schauen, um den Wahrheitsgehalt einer Mail zu prüfen. Das wäre auch viel zu aufwendig. Das ist in 99,9% der Fälle aber unschädlich, weil es einen dazu passenden, konkludenten Sachverhalt gibt und wir daher wissen, dass die Mail von demjenigen kommt, der als Absender lesbar ist und den Inhalt – bei konkludentem Sachverhalt nicht anzweifeln.
Es wäre daher ausreichend, innerhalb einer Organisation eine einfache E-Mail als „Genehmigung“ oder „zur Kenntnis genommen“ zu akzeptieren und zum Vorgang oder zur Akte abzulegen, um damit gleichzeitig auf den Aufwand einer Signatur-Infrastruktur für fortgeschrittene oder qualifizierte Signaturen verzichten zu können.
Warum keine fortgeschrittene oder qualifizierte Signatur für alles?
Man kann die Frage stellen, warum man nicht einfach eine der weit verbreiteten EIDAS-konformen Signaturlösungen nimmt und damit der ganzen Diskussion aus dem Weg geht: Die Antwort ist einfach: Aufwand! Lizenzkosten, Dienstleistungskosten, User-Training und das Onboarding gibt es nicht zum Nulltarif. Darüber erfordern diese Signaturlösungen immer eine Art Datei, die man hashen kann, damit man den Ergebnis-Hash zu Prüfzwecken ablegen kann. Aber wie hasht man etwas, was kein Binärobjekt ist, also die Aktion, dass der User Maier auf einen Button klickt, damit sein OK zu einer Rechnung gibt und diese Transaktion wird in einem Dutzend relational verknüpfter Tabellen in SAP eingetragen? Einfache Antwort: gar nicht. Man kann nur Binärobjekte (typischerweise Dateien, Dokumente, aber auch Binärkomponenten innerhalb PDF etc.) signieren.
Daher gehen manche allen Ernstes dazu über und bauen dann für das „Meier hat am DATUM/UHRZEIT genehmigt“ eine Dummy-Dokument-Datei, um überhaupt etwas zu haben, was man signieren kann. Das ist sinnbefreit. Für diesen Zweck wurde die elektronische Signatur nicht entwickelt. In diesem Beispiel genügt selbstverständlich der Eintrag in der SAP-Anwendung, um die Rechnungsfreigabe und deren Zeitpunkt unabstreitbar einem Mitarbeiter zuordnen zu können. Und genau das kann man auch in einer normalen DMS-/ECM-Anwendung nutzen: die systemgestützte Authentifizierung für Dokumentablagen, Versionierungen, Attributänderungen, Workflow-Aktionen etc. Für all diese Vorgänge benötigt man weder eine fortgeschrittene noch eine qualifizierte elektronische Signatur. Man sollte nur dafür sorgen, dass das Datenmodell für Dokumente, Akten und Workflows entsprechende Attribute beinhaltet, was aber in der Regel der Fall ist.
Wir empfehlen unseren Kunden die Prüfung, für welche Vorgangs- oder Dokument-Signaturen die systemgestützte Authentifizierung ausreicht. Da, wo die systemgestützte Authentifizierung nicht ausreicht, kann man dann selbstverständlich eine der am Markt verfügbaren Signaturlösungen in sein Gesamtkonzept einbinden.
Integrationsanforderungen für die QES?
Es gibt natürlich sinnvolle Einsatzfelder, wo aus Freiwilligkeit oder aus gesetzlicher oder vertraglicher Verpflichtung Dokumente mit einer qualifizierten elektronischen Signatur versehen sein müssen, um überhaupt rechtswirksam zu sein. Die Frage ist dann: muss man besondere Integrationsanforderungen an eine DMS-Lösung stellen?
Der einfachste – und aus unserer Kenntnis häufigste – Fall ist der, dass das Unternehmen oder die Behörde eine OnPremises- oder Cloud-basierte Drittlösung eines Signaturanbieters für diese Unterschriftenworkflows im Einsatz hat. Im Unterschied zur Frühzeit der digitalen Signaturen basieren heute alle Lösungen auf PDF als Containerformat , in dem sich neben dem Dokumenten-Inhalte auch die Signatur- und Zertifikatsinformationen befinden.
Hat man bereits eine Signaturlösung im Einsatz und entsteht dort in einem Signaturprozess ein qualifiziert signiertes (PDF-)Dokument, dann muss man eigentlich nichts weiter tun, als diese PDF-Datei in die E-Akte eines DMS abzulegen. Die komplette Beweisfähigkeit dieses qualifiziert signierten Dokumentes ergibt sich aus der PDF-Datei. Das Schöne dabei: Fragt der Vertragspartner nach einer Kopie, weil er seine Ausfertigung verschlampt hat, muss man jetzt nicht zum Notar und eine beglaubigte Kopie erzeugen, sondern man schickt einfach eine Dateikopie per E-Mail zu. Alles, was zur Beweisführung über Absenderbehauptung und unverändertem Inhalt notwendig ist befindet sich in der PDF. Eigentlich bräuchte man sogar nicht mal ein DMS, um mit jedem besseren kostenlosen PDF-Reader Beweis zu führen, dass das Dokument nicht manipuliert wurde. Man muss natürlich trotzdem sicherstellen, dass die Datei ersta gar nicht manipulierbar ist oder verlorengeht. Ein DMS bietet hierzu den aktiven Schutz vor ungewollter Änderung und Löschung von Dokumenten und damit eine Schutzfunktion, die digitale Signaturen alleine gar nicht ausüben können.
Nur wenige Anbieter bieten direkt in ihrer DMS-Lösung Signaturfunktionen wie die Signaturprüfung direkt im Viewer (nicht im externen Acrobat Reader) oder das Starten eines Signatur-Workflows direkt aus der Akte etc. Die Übernahme von Signatur-Firmen, wie im Fall der Firma von d.velop vorgenommen, sind eher selten vorzufinden; häufiger kooperieren DMS-Hersteller mit einem der zahlreichen Anbieter von Signaturlösungen auf dem D.A.CH-Markt.