Die Digitalisierung von Geschäftsprozessen erfordert ein vertrauenswürdiges elektronisches Äquivalent handschriftlicher Unterschriften zur Ausführung von Verträgen und Vereinbarungen. Da Einzelpersonen und Organisationen papierlose Arbeitsabläufe einführen, hat die Einführung digitaler Signaturen in den letzten Jahren explosionsartig zugenommen.
Allerdings variieren die Rechtmäßigkeit und Akzeptanz verschiedener Standards für digitale Signaturen je nach Region erheblich. Dieser umfassende Leitfaden untersucht die Gültigkeit von PKI-basierte Gesetze und Vorschriften für digitale Signaturen in den wichtigsten globalen Märkten.
USA
Überblick
In den Vereinigten Staaten genießen digitale Signaturen volle Rechtsgültigkeit und Durchsetzbarkeit auf Bundes- und Landesebene.
Das im Jahr 2000 vom Kongress verabschiedete Gesetz gewährt elektronischen Verträgen und digitalen Signaturen offiziell den gleichen rechtlichen Status wie herkömmlichen Papierdokumenten und handschriftlichen Unterschriften. Dieses Gesetz bildet den Grundrahmen für rechtsgültige elektronische Signaturen in den USA.
Darüber hinaus haben fast alle Bundesstaaten Gesetze erlassen, die die Rechtmäßigkeit digitaler Signaturen für Geschäfts- und Regierungstransaktionen in ihrem Zuständigkeitsbereich anerkennen. Beliebig PKI-basierte digitale Signaturmethode kann in den USA rechtsgültig sein, solange sie bestimmte in ESIGN festgelegte Authentifizierungs- und Sicherheitskriterien erfüllt.
Standards für digitale Signaturen
Der in den USA am häufigsten verwendete Standard für digitale Signaturen ist:
: AATL stellt Branchenrichtlinien und technische Spezifikationen für die Ausstellung und Signatur digitaler Zertifikate bereit. Die meisten Zertifizierungsstellen halten sich an die AATL-Regeln, sodass ihre Zertifikate nahtlos mit Adobe-Produkten und Desktop-Signatur-Workflows funktionieren.
Signaturen, die mit AATL-kompatiblen Zertifikaten und Adobe-Produkten wie Acrobat angewendet werden, gelten im Rahmen von ESIGN sowohl auf Landes- als auch auf Bundesebene als sicher und rechtlich durchsetzbar.
Alle digitalen Signaturzertifikate von SSL.com sind standardmäßig mit dem Adobe Trust Framework kompatibel. Verträge, Vereinbarungen und andere Dokumente, die mit unseren Zertifikaten unterzeichnet wurden, werden von Adobe-Software als vertrauenswürdig eingestuft und erlangen nach US-amerikanischem Recht Rechtsgültigkeit. Der Cloud-Signaturdienst eSigner von SSL.com lässt sich auch nativ in Adobe Sign integrieren.
Es ist wichtig zu beachten, dass während SSL.com Zertifikate sind AATL-konform und entsprechen vollständig den ESIGN-Kriterien. SSL.comDer Cloud-Signaturdienst eSigner von kann mit jedem Dokumentsignaturzertifikat von jeder anderen vertrauenswürdigen Zertifizierungsstelle verwendet werden, die anderen anerkannten Standards wie dem europäischen eIDAS-Standard entspricht. Dies stellt sicher, dass Organisationen ein breites Spektrum an Lösungen für digitale Signaturen mit der Gewissheit der Rechtsgültigkeit nutzen können.
Europa
Überblick
Die Rechtmäßigkeit elektronischer Signaturen und digitaler Verträge ist bundesweit einheitlich
Die 2014 vom EU-Parlament verabschiedete eIDAS-Verordnung definiert Standards für elektronische Identifizierungsverfahren, Vertrauensdienste und elektronische Transaktionen, die alle Mitgliedsstaaten übernehmen müssen. Es garantiert die grenzüberschreitende Rechtsgültigkeit bestimmter Arten sicherer digitaler Signaturen im gesamten Binnenmarkt.
Standards für digitale Signaturen
eIDAS definiert spezifisch PKI Standards für fortgeschrittene und qualifizierte digitale Signaturen. Hier sind die nach EU-Recht anerkannten Signaturarten:
Erweiterte elektronische Signaturen (AES): AES bezieht sich auf alle digitalen Signaturen, die technische Anforderungen hinsichtlich der Authentifizierung des Unterzeichners und der Dokumentenintegrität erfüllen. Sie bieten die Gewissheit, dass die Unterschrift der unterzeichnenden Person gehört und dass das Dokument seit der Unterzeichnung nicht verändert wurde.
Qualifizierte elektronische Signaturen (QES): QES bezieht sich auf fortgeschrittene digitale Signaturen, die mithilfe eines qualifizierten Signaturzertifikats erstellt werden, das von einem akkreditierten und geprüften Vertrauensdienstanbieter ausgestellt wurde. Aufgrund des hohen Sicherheitsniveaus und der erforderlichen Identitätsprüfung genießen QES nach EU-Recht die volle rechtliche Gleichstellung mit handschriftlichen Unterschriften.
QES gibt es in drei EU-weit anerkannten Standardformaten, um grenzüberschreitende digitale Mehrparteientransaktionen zu erleichtern:
PAdES: QES für PDF-Dokumente
XAdES: QES für XML-Dokumente
CAdES: ein erweiterter CMS-Standard für erweitertes Signieren
Daher hat jede gemäß diesen Spezifikationen mithilfe eines qualifizierten Signaturzertifikats angewendete digitale Signatur die gleiche Gültigkeit wie eine Nasssignatur innerhalb der EU.
Wir arbeiten eng mit europäischen Partnern zusammen, um sicherzustellen, dass Cloud-Signaturen in der gesamten EU reibungslos funktionieren. Obwohl unsere Zertifikate so konzipiert sind, dass sie mit dem PAdES-Standard für digitale Signaturen in Europa kompatibel sind, werden wir derzeit nicht auf eIDAS-Konformität geprüft. Der eSigner-Cloud-Signaturdienst kann jedoch mit Dokumentensignaturzertifikaten von jeder anderen Zertifizierungsstelle verwendet werden, einschließlich solcher, die den europäischen Standards für digitale Signaturen entsprechen.
Großbritannien
Nach dem Brexit weichen die Vorschriften für elektronische Signaturen im Vereinigten Königreich leicht von denen der EU ab, wahren aber weiterhin hohe Standards an Sicherheit und Durchsetzbarkeit.
Fortgeschrittene (AES) und qualifizierte digitale Signaturen (QES), die den technischen Spezifikationen von eIDAS entsprechen, bleiben im Vereinigten Königreich weiterhin gültig, auch wenn die verwendeten Signaturschlüssel in der EU ansässig sind.
Asiatische Pazifik-Region
Im asiatisch-pazifischen Raum ist die Rechtmäßigkeit digitaler Signaturen von Land zu Land sehr unterschiedlich. Hier finden Sie einen Überblick über die Anforderungen in den wichtigsten APAC-Märkten:
China
China hat unabhängig voneinander Verschlüsselungsalgorithmen entwickelt und PKI Standards, die sich vom Rest der Welt unterscheiden. Diese beinhalten:
SM2-Verschlüsselungsalgorithmus
GM/T 0013 – Standards für elektronische Signaturen mit SM2-Kryptowährung mit öffentlichem/privatem Schlüssel.
In China sind digitale Signaturen, die mithilfe von Zertifizierungsstellenzertifikaten mit SM2-Algorithmus angewendet werden, nach dem Gesetz des Landes zu elektronischen Signaturen rechtsgültig und durchsetzbar. Ausländische Besucher müssen möglicherweise KOMPATIBLE CA-Zertifikate für die Rechtsgültigkeit erwerben.
India
Indien hat bereits im Jahr 2000 eines der ersten landesweiten Gesetze zur Regelung digitaler Signaturen erlassen , 2000. Dadurch wird digitalen Signaturen unter Verwendung lizenzierter indischer Zertifizierungsstellen Rechtsgültigkeit verliehen.
Durch eine Gesetzesfortschreibung im Jahr 2008 wurden elektronische Signaturen zusätzlich als rechtsgültig anerkannt, wenn sie bestimmte technische Kriterien erfüllen. Allerdings haben nur digitale Signaturen, die von einem vom indischen IT-Ministerium lizenzierten Controller der Zertifizierungsstelle ausgestellt wurden, im Land volle Rechtsgültigkeit.
Japan
Japan war auch ein früher Pionier im Recht der digitalen Signatur. Artikel 3 von Das im Jahr 2001 verabschiedete Gesetz gewährt fortgeschrittenen elektronischen Signaturen, die mithilfe der Public-Key-Kryptographie erstellt wurden, die gleiche Rechtsgültigkeit wie handschriftliche Signaturen.
Daher gelten digitale Signaturen, die von lizenzierten japanischen ausstellenden Zertifizierungsstellen angewendet werden und die Sicherheitsspezifikationen zur Unterzeichnerauthentifizierung erfüllen, im Land als völlig rechtsverbindlich.
Singapur
Laut , haben digitale Signaturen den gleichen rechtlichen Status wie Nasstintensignaturen, sofern sie mithilfe von Zertifikaten erstellt werden, die von lizenzierten Zertifizierungsstellen ausgestellt wurden.
Das Land hat branchenübergreifend Standards festgelegt, die die technischen Anforderungen festlegen, die digitale Signaturen erfüllen müssen, um in diesem Sektor oder Transaktionstyp Rechtsgültigkeit zu erlangen. Diese sektorspezifischen Rahmenwerke stehen im Einklang mit dem übergeordneten Gesetz über elektronische Transaktionen.
Lateinamerika
Viele lateinamerikanische Länder haben Gesetze für elektronische Transaktionen erlassen, die digitalen Signaturen die gleiche Gültigkeit verleihen wie manuellen Signaturen:
México
Mexiko hat das mexikanische Handelsgesetzbuch im Jahr 2003 aktualisiert und erlaubt sowohl Einzelpersonen als auch Unternehmen ausdrücklich, elektronische Signaturen und digitale Zertifikate zu verwenden, um alle Arten von Handelsvereinbarungen, Verträgen und Transaktionen digital zu unterzeichnen.
Fortgeschrittene oder zuverlässige digitale Signaturen – gemäß Artikel 89 des Handelsgesetzbuchs – haben volle rechtliche Gleichwertigkeit mit Tintensignaturen, wenn bestimmte technische und Sicherheitsprüfungen erfüllt sind, darunter:
Einzigartigkeit für den Unterzeichner
Fähigkeit zur unabhängigen Überprüfung
Erkennung nachträglicher Änderungen
Peru
Bereits im Jahr 2000 wurden in Peru gesetzliche Standards für digitale Zertifizierungen und elektronische Signaturen eingeführt. Das Oberste Dekret Nr. 019-2002-JUS legt technische Kriterien fest, die digitale Signaturen, die mit lizenzierten peruanischen Zertifizierungsstellen erstellt wurden, erfüllen müssen, um volle Rechtsgültigkeit zu erlangen.
Das Gesetz schreibt vor, dass Signaturen den Kryptografiestandard X.509 Version 3 mit öffentlichen/privaten Schlüsseln und die Hash-Funktion SHA-1 verwenden müssen. Qualifizierte digitale Signaturen, die die Identität, Authentizität und Integrität des Unterzeichners nachweisen können, haben die gleiche Gültigkeit wie manuelle Signaturen.
Kolumbien
In Kolumbien legt das 527 erlassene Gesetz 1999 ausdrücklich fest, dass sowohl natürliche als auch juristische Personen verbindliche rechtliche Vereinbarungen durch die Verwendung digitaler Signaturen abschließen können, wodurch die gleiche Gültigkeit wie handschriftliche Signaturen gewährleistet wird.
Die kolumbianische Regierung hat außerdem ein nationales System zur elektronischen Zertifizierung eingerichtet, um die ausstellenden Behörden zu regulieren, die im Land digitale IDs und Zertifikate erstellen dürfen, die für rechtsgültige digitale Signaturen verwendet werden.
Argentina
wurde im Jahr 2001 erlassen. Es schafft einen rechtlichen Rahmen für lizenzierte Zertifizierungsstellen, die im Land Zertifikate für digitale Signaturen ausstellen dürfen.
Digitale oder elektronische Signaturen, die mithilfe solcher regulierter Zertifikate vorgenommen werden und die festgelegten technischen Standards erfüllen, genießen die volle rechtliche Gleichwertigkeit mit Papierverträgen, die nach traditionellen Signaturgesetzen unterzeichnet werden.
Zusammenfassung
Es gibt einen klaren globalen Trend dahingehend, elektronische Signaturen sowohl in Industrie- als auch in Entwicklungsländern als rechtsgültig anzuerkennen.
Während die Einzelheiten von Land zu Land unterschiedlich sind, PKI Standards wie digitale Zertifikate, Kryptografie mit öffentlichen/privaten Schlüsseln, Hash-Funktionen, vertrauenswürdige Identitätsprüfung und Manipulationsnachweise bilden das technische Rückgrat, um in den meisten Gerichtsbarkeiten rechtliche Gültigkeit zu erlangen.
< p class=“md-end-block md-p“>
