Die Digitalisierung der Gesellschaft sowie die Dematerialisierung von Dokumenten haben erheblich zur Verbreitung der elektronischen Signatur in Frankreich beigetragen. Dieser Trend ist so stark ausgeprägt, dass sogar Behörden inzwischen den Bürgern ermöglichen, administrative Dokumente elektronisch zu unterzeichnen[1].
Wie lässt sich die gesetzliche Konformität einer elektronischen Signaturlösung feststellen?
Abgesehen von einigen Ausnahmen[2] lassen sich alle Arten von Dokumenten elektronisch unterzeichnen. Die Entwicklung scheitert jedoch an der großen Unkenntnis des für elektronische Signaturen geltenden Rechtsrahmens.
Entgegen der weitläufigen Meinung reicht es nicht aus, ein Bild seiner Unterschrift in ein digitales Dokument einzufügen, damit dieses rechtsverbindlich ist. Um Unannehmlichkeiten zu vermeiden, muss die E-Signatur-Lösung vor Gericht unwiderlegbar rechtsverbindlich sein. Konkret bedeutet dies, dass ein bestimmter Rechtsrahmen durch eine Softwarelösung eingehalten werden muss, die von einem zertifizierten Vertrauensdienst, auch „Trust Service Provider“ genannt, bereitgestellt wird.
Lassen Sie uns gemeinsam entdecken, wie die elektronische Signatur richtig verwendet wird!
Die geltende Gesetzgebung in Frankreich und Europa
Das Konzept der elektronischen Signatur ist in rechtlicher Hinsicht nicht neu. Seit 2000 hat die elektronische Signatur gemäß Artikel 1316-4 des französischen Code Civil (Artikel 1367[3] seit 2016) in Frankreich Rechtswirkung. Das französische Recht legt präzise Bedingungen für elektronische Signaturen fest. Diese muss den Unterzeichnenden eindeutig identifizieren und seine einmalige Beziehung zum Schriftstück garantieren. 2016 hat die europäische eIDAS-Verordnung[4] (Electronic IDentification And Trust Services) die rechtliche Sicherheit der elektronischen Signatur gestärkt, indem sie einen klaren und einheitlichen Rechtsrahmen für die 28 Mitgliedstaaten festgelegt hat. Artikel 25.1 der europäischen Verordnung sieht diesbezüglich das Prinzip der Nichtdiskriminierung vor. Mit anderen Worten bedeutet dies, dass eine elektronische Signatur rechtsgültig und vor Gericht zulässig ist.
In technischer Hinsicht definiert die Verordnung drei Arten von elektronischen Signaturen: die einfache, die fortgeschrittene und die qualifizierte elektronische Signatur, die in den Mitgliedstaaten eingesetzt werden können und für deren Verwendung zusätzliche Gesetze gelten. Das Sicherheits- und Zuverlässigkeitsniveau sowie die Verwendungsbedingungen der Signaturen hängen von der jeweiligen Kategorie ab.
4 Stufen der elektronischen Signatur: einfach, fortgeschritten, qualifiziert
In technischer Hinsicht definiert die europäische Verordnung eIDAS drei Arten von elektronischen Signaturen, die in den Mitgliedstaaten eingesetzt werden können und für die zusätzliche Gesetze zu ihrer Verwendung gelten. Das Sicherheits- und Zuverlässigkeitsniveau sowie die Verwendungsbedingungen der Signaturen hängen von der jeweiligen Kategorie ab.
Die „einfache“ Signatur
Dabei handelt es sich um das am wenigsten zuverlässige, aber am häufigsten verwendete Verfahren, da es schnell und einfach ist. Dieses Signaturniveau erfordert keinen Prozess zur Überprüfung der Identität des Unterzeichnenden. Diese Art der Unterschrift eignet sich für Dokumente mit einem geringen rechtlichen Risiko (z. B.: allgemeine Nutzungsbedingungen einer Website, Wohnungsabnahmeprotokoll, …). Es ist allerdings wichtig zu wissen, dass diese Art der Unterschrift im französischen Gesellschaftsrecht nicht zulässig ist.
Die fortgeschrittene Signatur
Die fortgeschrittene Signatur, die sicherer als die einfache Signatur ist, muss mehrere Kriterien erfüllen, wie Verwendung von Techniken zur Überprüfung der Identität des Unterzeichnenden, Erstellung eines Zertifikats mit den Daten des Identitätsnachweises des Unterzeichnenden, Erstellung einer Nachweisdatei zum Nachweis der verschiedenen Sicherheitselemente bei der Erstellung der elektronischen Signatur sowie zur Rückverfolgbarkeit des unterzeichneten Dokuments. Dieses Sicherheitsniveau gilt für kommerzielle, rechtliche und administrative Dokumente mit geringem Risiko für Rechtsstreitigkeiten.
Das fortgeschrittene Niveau mit einem qualifizierten Zertifikat
Es handelt sich um eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat der elektronischen Signatur beruht. Dieses qualifizierte Zertifikat der elektronischen Signatur ist eine Bescheinigung der Identität des Unterzeichnenden, die über einen Prozess erteilt wird, der die Gültigkeit der Unterschrift, die Identität des Unterzeichnenden, mindestens seinen Namen, sein Pseudonym oder seine Registrierungsnummer in Falle eines Unternehmens garantiert. Das qualifizierte Zertifikat wird von einem qualifizierten Vertrauensdienst bereitgestellt und erfüllt die Anforderungen in Anhang 1 der eIDAS-Verordnung.
Die qualifizierte Signatur
Sie weist das höchste Sicherheitsniveau auf und erfordert eine visuelle Überprüfung der Identität des Unterzeichnenden durch eine Zertifizierungsstelle, eine Sicherung der Dokumente (Verschlüsselung) und die Hinzufügung eines qualifizierten Zertifikats, das von einem von der französischen IT-Sicherheitsbehörde ANSSI zugelassenen Dienstleister ausgegeben wird. Diese Unterschrift ist für gesetzlich geregelte Transaktionen bestimmt.
Auswahl eines Vertrauensdienstes
Damit Sie den für Ihre Organisation geltenden rechtlichen Rahmen erfüllen, sollten Sie sich an einen zugelassenen und qualifizierten Dienstleister für elektronische Signaturen wenden.
Entscheidungsträger müssen wissen, dass es in Frankreich eine Liste von Dienstleistern gibt, die diese Kriterien und die gesetzlichen Anforderungen erfüllen. Diese Liste wird regelmäßig von der französischen IT-Sicherheitsbehörde ANSSI aktualisiert und an die Europäische Kommission gesandt. Wir empfehlen Ihnen dringend, mit einem Dienstleister zusammenzuarbeiten, der die eIDAS-Verordnung erfüllt und von der ANSSI zertifiziert ist.
Abgesehen von der ANSSI-Qualifikation sollte die Auswahl einer elektronischen Signaturlösung anhand der für Ihr Unternehmen wichtigen Kriterien erfolgen. Es liegt auf der Hand, dass die Fähigkeit einer Lösung, die ausländischen Vorschriften einzuhalten, entscheidend ist, wenn Ihr Unternehmen international tätig ist. Die einfache Nutzung der Lösung durch Ihre Teams, eventuelle Personalisierungsmöglichkeiten sowie die Flexibilität der Lösung sollten Ihre Entscheidung ebenfalls beeinflussen.
Ein weiteres wichtiges Element: die Integration der Lösung in Ihre Anwendungen Eine Lösung, die sich problemlos in die in Ihrem Unternehmen eingesetzten Programme (SAP, Microsoft, etc.) integrieren lässt, erfordert weniger Aufwand und fördert die Annahme durch Ihre Beschäftigten. Und schließlich dürfte die Fähigkeit des Dienstleisters, Ihre Anforderungen an die Signatur und ihre Komplexität zu verstehen, ein ausschlaggebendes Kriterium sein. Sie werden sicher eine Lösung bevorzugen, die es Ihnen ermöglicht, Ihre Signaturen (einfach, fortgeschritten und qualifiziert) problemlos an das rechtliche Risiko eines Dokuments anzupassen. Der Gesetzgeber hat eine klare Definition und einen eindeutigen Rechtsrahmen für die elektronische Signatur auf nationaler und europäischer Ebene bereitgestellt, um ihren rechtlichen Wert anzuerkennen und sie mit einer handschriftlichen Unterschrift gleichzusetzen. Auch wenn sich das Angebot an elektronischen Signaturlösungen ständig erweitert, sollten Unternehmen ihre Lösung nicht nur anhand von rechtlichen Kriterien wählen, sondern auch die technischen und organisatorischen Kriterien berücksichtigen, die für ihre Tätigkeit, ihre rechtliche Risikoexposition und ihre Anforderungen an das Signaturniveau gelten.