Verabschiedet aber noch lange nicht implementiert

Die elektronische Signatur in Europa

18.01.2017
Von 
Dr. Dieter Kramps, Inhaber des Dortmunder ITC-Spezialisten cobago systems, ist mittelständischer Unternehmer, Berater und Experte im IDG Netzwerk. Er fokussiert die Themen Industrie 4.0, Digitalisierung, Cloud, Mobile, Security und Analytics/Big Data. Sein besonderes Interesse gilt der konstruktiven wie kritischen Auseinandersetzung mit neuen ITC-Technologien im Kontext von Compliance, Governance, und Risk Management.
eIDAS ist seit dem 1. Juli 2016 in ganz Europa verbindlich, aber noch lange nicht überall implementiert. Wie stellt sich der Status Quo in Europa heute dar?

Das EU-Parlament und der Europäische Rat haben kürzlich die neue eIDAS-Richtlinie für Electronic Identification and Trust Services for Electronic Transactions in the Internal Market verabschiedet, die grenzüberschreitende Standards für elektronische Transaktionen und Trust-Services etabliert.
Das Ziel der neuen Richtlinie ist es, sichere und nahtlose elektronische Interaktionen zwischen Unternehmen, Bürgern und Behörden zu ermöglichen und die Effizienz von Online-Services und eBusiness innerhalb der Europäischen Union zu fördern.

Der deutsche Personalausweis verfügt mit der Web-Applikation "sign-me" über die Möglichkeit einer Online-Unterschrift. Für das elektronische Unterschreiben mit der Unterschriftsfunktion benötigt der Nutzer ein kontaktloses Komfortlesegerät.
Der deutsche Personalausweis verfügt mit der Web-Applikation "sign-me" über die Möglichkeit einer Online-Unterschrift. Für das elektronische Unterschreiben mit der Unterschriftsfunktion benötigt der Nutzer ein kontaktloses Komfortlesegerät.
Foto: Albina Glisic - shutterstock.com

Aber die EU-Richtlinie hatte nicht alle Aspekte der rechtlichen Verpflichtungen berücksichtigt. Dies führte zu Unterschieden in den Ländern und zu einer Zersplitterung von Services und Technologien. Einige Anwendungsfälle benötigen in manchen Ländern eine qualifizierte Signatur, wohingegen sie in anderen Ländern lediglich eine fortgeschrittene Signatur benötigen. Diese unterschiedlichen Regeln und Gesetze führten zu einer länderspezifischen Landschaft.

Heterogenes Europa

Großbritannien ist ein sehr dynamischer Markt mit Tausenden von Unternehmen in allen Branchen, die bereits digitale Signaturen nutzen. Aufgrund der Unterschiede zwischen Gewohnheitsrecht und Zivilrecht, unterliegen die englischen Unternehmen nicht den Beschränkungen Kontinentaleuropas und haben meist Lösungen ohne Kryptographie eingesetzt. Sie benötigen daher keine lokalen Zertifizierungsautoritäten oder entsprechend legitimierte Service-Provider.

Italien gilt als einer der fortschrittlichsten Märkte in Kontinentaleuropa hinsichtlich der digitalen Signatur (firma elettronica avanzata und firma digitale) in Bezug auf Akzeptanz und Marktreife. Dies geht vor allem darauf zurück, dass die italienische Regierung die Nutzung der digitalen Signaturen vorangetrieben hat - etwa durch die Unterstützung italienischer Unternehmen bei der Digitalisierung ihrer Rechnungsprozesse. Der öffentliche Sektor, Banken oder Biowissenschaften sind dynamische Branchen in Italien.
Eingesetzte Lösungen reichen von Smart-Card-basierten Signaturen bis hin zu entsprechenden Pads in Bankfilialen (UniCredit, UNI Banca). Der Bank- und Versicherungsbereich nutzt Cloud-basierte Angebote - oftmals in Verbindung mit Video-Authentifizierung.

Der holländische Markt entwickelt sich aktiv in Richtung auf digitale Signaturen. Es gibt viele verschiedene Lösungen für einfache, biometrische, elektronische und digitale Signaturen. Der Markt ist nicht überreguliert, und Unternehmen begrüßen entsprechende Lösungen für die digitale Transformation.

In Frankreich beginnt die Entwicklung in Richtung auf Cloud-basierte Lösungen. Tatsächlich sind viele Projekte noch Smart-Card-basiert, und einige Unternehmen fragen nach wie vor nach Lösungen, die On-Premise gehostet werden können. Allerdings wird die Nachfrage nach Cloud-basierten-Lösungen kontinuierlich stärker. Dies lässt sich wahrscheinlich auch auf die Installation von eSigs bei Credit Agricole zurückführen - die erste und nach wie vor größte Installation in Frankreich und Europa. Interessant hierbei ist, dass die fortgeschrittene Signatur in vielen Anwendungsfällen zum Einsatz kommt, die in vielen anderen Ländern die qualifizierte Signatur benötigen, und dass Sign-Pad-Lösungen nicht wirklich erfolgreich sind, weil CNIL privaten Unternehmen nicht erlaubt, Kopien der Signaturen zu speichern.

Spanien scheint in der Entwicklung zurückzuliegen. Verschiedene Projekte werden vorangetrieben, allerdings keine großen Installationen im Massenmarkt. In Spanien liegen verschiedene Start-Ups im Wettbewerb, die unterschiedliche Lösungen wie Seal-Signing-basiert, digital oder eSignatur vorantreiben. Dies stärkt nicht unbedingt das Vertrauen der Kunden in die Lösungen.

Mit einem deutlich einfacheren rechtlichen Kontext, der eIDAS seit Jahren antizipiert hat, und mit der Genehmigung zur Online-Unterschrift mittels Mobiltelefon ist Österreich eines der am weitesten entwickelten Länder im Hinblick auf die eSignatur in Europa. Für die qualifizierte elektronische Signatur werden entweder Smart-Cards verwendet und/oder seit 2007 die Signatur mit Mobiltelefon - eine mobile Signatur (Mobile-ID), die durch die Bundesregierung kontrolliert wird.

In der Schweiz gilt die eSignatur generell als gleichberechtigt mit der handgeschriebenen Unterschrift. Ein wichtiger Unterschied zur EU-Richtlinie liegt darin, dass die Akkreditierung von Zertifizierungs-Services ausschließlich durch die Bundesregierung erfolgen kann (in der EU ist diese Akkreditierung freiwillig). Die Akkreditierung ist der Nachweis, dass der Zertifizierungs-Service die rechtlichen Anforderungen erfüllt.

Und Deutschland?

Deutschland hat ein nationales Gesetz erlassen (SIG-G), das die EU-Direktive 1999/93/EC umsetzt sowie eine Ergänzung (SIG-V), die sehr strikte technische Anforderungen im Hinblick auf die verwendeten Geräte stellt. Akzeptiert werden lediglich Smart-Cards, die von den deutschen Behörden zertifiziert wurden. Deutschland ist eines der Länder, in denen die Akzeptanz der digitalen Signatur nicht im gleichen Maße wächst wie in anderen EU-Mitgliedsstaaten. Es reicht dafür aus, den Umsatz der deutschen Zertifizierungsstellen mit denen in anderen Ländern zu vergleichen, um zu erkennen wie gering entwickelt der deutsche Markt gegenwärtig ist. In Italien ist dieser Umsatz zum Beispiel mindestens um das Zehnfache höher.

Allerdings gibt es seit dem vergangenen Jahr einige Indikatoren für eine größere Verbreitung der digitalen Signatur, die Hoffnung auf eine breitere Nutzung der Technologie geben: Bezüglich der Nutzenbetrachtungen steigt die Erkenntnis, dass Unternehmen Kosten und Zeit einsparen können. Innerhalb des Öffentlichen Sektors werden von 2020 an nur noch digitale Dokumente akzeptiert, die eine elektronische Signatur tragen ("Digitales Deutschland 2020").Und schließlich tragen die Änderungen der europäischen Gesetzgebung durch eIDAS erste Früchte.

Fazit

Getrieben wird die verstärkte Nutzung der digitalen Signatur vor allem auch durch entsprechend marktverfügbare Lösungen, die nicht nur die elektronische Unterschrift maßgeblich vereinfachen, sondern das Konzept des Digitalen Transaktionsmanagements in den Mittelpunkt stellen. Derartige Systeme ermöglichen nicht nur das rechtssichere elektronische Unterschreiben von Dokumenten, sondern bieten gleichzeitig eine Strategie für ein umfassendes Dokumentenmanagement, das nunmehr die langjährigen Versprechungen des papierlosen Büros greifbar machen.

Aus Kundensicht ist Digitales Transaktionsmanagement ein wichtiger Katalysator auf dem Weg zum digitalen Business. Der finanzielle Nutzen ist einfach quantifizierbar sowohl in Bezug auf die Brutto- als auch auf die Nettoergebnisse. Zudem erkennen Organisationen zunehmend, dass sie papiergebundene Prozesse ablösen müssen, bevor sie Großprojekte wie Analytics, Big-Data oder künstliche Intelligenz in Angriff nehmen können. Auf Basis derartiger Lösungen wird sich die digitale Signatur auch in Deutschland in den nächsten Jahren verstärkt durchsetzen, schon allein, um mit der Entwicklung in der Europäischen Gemeinschaft Schritt zu halten.