Qualifizierte elektronische Signatur - Do's/Dont's?

Hallo zusammen,

mein Unternehmen überlegt nun die qualifizierte elektronische Signatur einzuführen. Beispielsweise soll die Signatur auf Fortbildungsanträgen oder Vertragsverlängerungen die händische Unterschrift ersetzen.
Ich bin mir sicher, dass viele eurer Unternehmen/Organisationen eine qualifizierte elektronische Signatur bereits nutzen.

Könnt mir ein datenschutzkonformes Tool empfehlen? Worauf ist zu achten? Ist eine datenschutzkonforme Unterschrift mit Adobe Sign überhaupt möglich?

Vielen lieben Dank Euch Allen! :cherry_blossom:

Adobe Sign kenne ich nicht und mit Adobe habe ich bisher wenig datenschutzkonforme oder IT-sichere Erfahrungen gemacht. Der Acrobat Reader ist regelmäßig kaputt[1]. Was gerade bei der Signierung von PDFs ein Ausschlusskriterium ist. Solange sicherheitstechnische Softwareprobleme nicht dauerhaft gelöst sind, sehe ich wenig Vorteile in QES.

Die Bundesnetzagentur listet verschiedene Vertrauensdiensteanbieter für die Registrierung zur Verwendung einer QES auf[2]. Adobe ist nicht darunter und schreibt auch selbst, dass Adobe Sign “keine Verwaltung oder Ausstellung von qualifizierten Zertifikaten” ermöglicht und “auch keine qualifizierten elektronischen Signaturerstellungseinheiten zur Verfügung” stellt[3]. Zudem ist das “Konzept einer „digitalen Signatur“, so wie Adobe Sign es verwendet, in der elDAS-Verordnung nicht rechtlich definiert”. Der Gesetzgeber, auch der deutsche, hat tatsächlich vergessen, Adobes integrierte Funktion zu berücksichtigen. :roll_eyes:

Ich habe noch nicht verstanden, warum sich die beteiligten Partner bei einem Vertrauensdiensteanbieter registrieren und ihre Identität über diesen Anbieter oder ihre Signaturkarte sicherstellen, um anschließend ihre Dokumente in die Adobe Cloud hochzuladen. Genau diese Funktion bieten auch die Vertrauensdiensteanbieter an? Warum sollte man sich bei einem dritten Unternehmen, das die Anforderungen gar nicht erfüllt, registrieren und seine Dokumente dorthin hochladen? Ich würde die deutschen Anbieter auf der Seite der Bundesnetzagentur kontaktieren, da sie ohnehin in den Prozess eingebunden werden müssen. Adobe Sign bekommt hier ein klares Don’t - es sei denn, jemand kann mir den Sinn erklären und die Nutzung von Clouddiensten eines US-Unternehmens schmackhaft machen.

Eine Datenschutzkonformität hinge vom Anbieter ab, bei dem sich registriert werden muss. Er agiert hier aber als eigenständiger Verantwortlicher.
Ein Problem sehe ich beim Inhalt von Dokumenten, die zu einem Anbieter hochgeladen werden müssen. Wenn verschlüsselte Dokumente nicht signiert werden können, müsste dieser Schutz aufgehoben werden und darin enthaltene pb Daten können von Dritten zur Kenntnis genommen werden. Das könnte ein Don’t sein. Habt Ihr dazu schon Ideen?
Die erwähnte Sicherheit ist natürlich auch ein Aspekt, der zu berücksichtigen ist. Dazu hatte sich die DSK vor Jahren allgemeinbefindlich geäußert[4].

[1] https://pdf-insecurity.org/signature/evaluation.html#security-evaluation-certification-attacks-2021
[2] https://www.bundesnetzagentur.de/DE/Service-Funktionen/ElektronischeVertrauensdienste/QES/QES-node.html, https://www.bundesnetzagentur.de/cln_131/EVD/DE/Verbraucher/Vertrauensdienste/Signatur/Signatur-start.html
[3] https://www.adobe.com/content/dam/dx-dc/pdf/de/adobe-sign-eidas-compliance-de.pdf
[4] https://www.saechsdsb.de/75-datenschutzkonferenzen/dsk-65/200-elektronische-signatur-im-finanzbereich

3 „Gefällt mir“

@anzolino Vielen Dank für Deine Erklärungen und Empfehlungen.
Wir verfahren nun so, dass wir die IT entscheiden lassen, welche Formen der QES in unserem Verein überhaupt umgesetzt werden könnten und spielen dann den Spielverderber, sollte das ausgewählte System nicht datenschutzkonform sein. :woman_shrugging:

Habt ihr denn mal mit Euren Juristen definiert, in welchen Fällen überhaupt eine QES wirklich erforderlich ist? In vielen Fällen tut es doch auch eine einfache digitale Signatur. Bei einem Fortbildungsantrag bestimmt.

Lieben Gruss

Wozu braucht man eine qualifizierte elektronische Signatur in den angesprochenen Fällen (wenn’s nicht gerade um Arbeitsverträge geht) ?

Meinen Bossen geht es um Rechtssicherheit. Denn sie streben die vollständige Digitalisierung aller Arbeitsprozesse an. Außerdem möchte man nicht mit mehreren Systemen arbeiten (bzw. sich einarbeiten), sondern alles über einen Kamm scheren. Aus Sicht der Juristen muss dann die QES her. … :woman_shrugging:

Danke allen für euren Input! :cherry_blossom:

Hallo,

das sehe ich genauso (Mitarbeiter Datenschutz und Justiziar). Wenn man schon die elektronische Signatur einführt dann gleich QES, um in allen Bereichen (rechtlich) sicher zu sein und nicht in die Lage zu kommen, dass aus allen Bereichen Rückfragen kommen ob eine einfache Signatur ausreicht oder die QES genutzt werden muss. Ist aus Unternehmersicht die einfachste Lösung.