Gesetz über elektronische Unterschriften: Was Entwickler über ESIGN, UETA und eIDAS wissen müssen

Jeder Entwickler, der E-Signatur-Funktionen erstellt, stößt letztendlich auf die gleiche Frage: "Warte, ist das tatsächlich legal?"

Die Antwort ist ja, aber mit Bedingungen. Zwei US-Bundes- und Landesgesetze sowie eine EU-Verordnung definieren, was eine elektronische Signatur durchsetzbar macht. Die gute Nachricht ist, dass die Anforderungen einfach sind und Ihr Code wahrscheinlich bereits die meisten von ihnen behandelt. Die schlechte Nachricht ist, dass bestehende Leitfäden von Anwälten für Compliance-Officers geschrieben wurden, nicht von Entwicklern für Entwickler.

Dies ist die praktische Version. Keine juristischen Fachbegriffe, keine alles absichernden Haftungsausschlüsse. Nur das, was das Gesetz von Ihrer Implementierung verlangt.

Die zwei Gesetze, die E-Signaturen in den USA legal gemacht haben

Vor 2000 war der rechtliche Status elektronischer Signaturen je nach Bundesstaat sehr unterschiedlich. Einige Gerichte akzeptierten sie, andere nicht. Das Ergebnis war Chaos für jeden, der Software baute, die Signaturen benötigte.

Zwei Gesetze haben dies behoben.

UETA (Uniform Electronic Transactions Act) kam zuerst, entworfen 1999 von der Uniform Law Commission. Es ist ein Mustergesetz, das Staaten übernehmen können, und 49 Staaten haben dies getan. Nur New York ging seinen eigenen Weg mit einem separaten Gesetz namens ESRA (Electronic Signatures and Records Act), das ähnlich funktioniert.

ESIGN Act (Electronic Signatures in Global and National Commerce Act) folgte 2000 als Bundesgesetz. Präsident Clinton unterzeichnete es am 30. Juni 2000, wodurch elektronische Signaturen für den interstaatlichen und internationalen Handel landesweit gültig wurden. Wo Landesgesetze mit ESIGN in Bezug auf den interstaatlichen Handel kollidieren, gewinnt ESIGN.

Der praktische Effekt ist, dass überall in den USA elektronische Signaturen das gleiche rechtliche Gewicht tragen wie Tinte auf Papier. Ihre Benutzer können Verträge, Vereinbarungen und die meisten Geschäftsdokumente elektronisch unterzeichnen, ohne sich um die Durchsetzbarkeit zu sorgen.

Was ESIGN und UETA tatsächlich erfordern

Beide Gesetze teilen die gleichen vier Anforderungen für eine gültige elektronische Signatur. Dies sind keine Vorschläge. Sie sind das, was Ihre Implementierung erfüllen muss, damit Signaturen vor Gericht Bestand haben.

1. Absicht zu unterschreiben

Der Unterzeichner muss zeigen, dass er beabsichtigt, das Dokument zu unterzeichnen. Dies erfordert kein ausgefallenes Signaturbild. Das Klicken auf einen "Ich stimme zu"-Button, das Eingeben eines Namens in ein Signaturfeld oder das Ankreuzen eines mit "Signieren" bezeichneten Kästchens reicht aus. Wichtig ist, dass die Handlung eindeutig Akzeptanz anzeigt.

Ihre Implementierung sollte die Signieraktion eindeutig machen. Vergraben Sie sie nicht in einer Liste von Kontrollkästchen. Machen Sie sie zu einem eindeutigen Schritt, den der Benutzer bewusst abschließt.

2. Zustimmung, elektronisch Geschäfte zu machen

Alle Parteien müssen zustimmen, die Transaktion elektronisch durchzuführen. Bei B2B-Transaktionen kann dies aus dem Kontext heraus impliziert werden (Sie verwenden schließlich beide Software zum Unterzeichnen). Bei Verbrauchertransaktionen erfordert ESIGN mehr: Sie müssen ihr Recht auf Erhalt von Papierdokumenten offenlegen, erläutern, wie sie die Zustimmung widerrufen können, und bestätigen, dass sie auf die elektronischen Aufzeichnungen zugreifen können.

Die meisten SaaS-Anwendungen handhaben dies mit einem Akzeptanzablauf für die Bedingungen vor der ersten Unterschrift. Sobald ein Benutzer elektronischen Transaktionen zustimmt, deckt diese Zustimmung typischerweise zukünftige Signaturen ab, es sei denn, sie widerrufen sie.

3. Verknüpfung der Signatur mit dem Dokument

Die Signatur muss mit dem Dokument in einer Weise verbunden sein, die zeigt, dass sie auf diesen spezifischen Datensatz angewendet wurde. An diesem Punkt werden Prüfpfade unerlässlich. Sie müssen erfassen, was unterzeichnet wurde, wann es unterzeichnet wurde, und Beweise, die den Unterzeichner mit dieser Aktion verbinden.

Mindestens sollte Ihr System Zeitstempel, die Dokumenthash zum Zeitpunkt der Unterzeichnung und einen Bezug erfassen, der das Signaturereignis mit der spezifischen Dokumentversion verbindet.

4. Aufbewahrung des Dokuments

Beide Parteien müssen in der Lage sein, auf das unterzeichnete Dokument zuzugreifen und es zu speichern. Das Gesetz spezifiziert kein Format, aber der Datensatz muss die Vereinbarung exakt widerspiegeln und auf Abruf reproduzierbar sein.

Das bedeutet, Download-Links bereitzustellen, Kopien per E-Mail zu versenden oder Dokumente so zu speichern, dass Unterzeichner sie später abrufen können. Wenn ein Gericht das signierte Dokument in drei Jahren sehen muss, müssen Sie es vorlegen können.

Wenn Sie mehr als eine einfache E-Signatur benötigen

ESIGN und UETA decken die meisten Geschäftstransaktionen ab, schließen jedoch ausdrücklich bestimmte Dokumenttypen aus. Für diese gilt entweder, dass elektronische Signaturen nicht anwendbar sind oder eine spezielle Behandlung erforderlich ist.

Dokumente, die weiterhin Tinte benötigen:

• Testamente, Nachträge und testamentarische Trusts (alle 50 Staaten schließen diese aus)

• Gerichtsbeschlüsse und offizielle Gerichtsdokumente

• Adoptionspapiere und Scheidungsvereinbarungen

• Bestimmte UCC-Transaktionen (wobei Artikel 2 und 2A, die Verkäufe und Leasingverträge abdecken, eingeschlossen sind)

• Energieversorgungsbeendigungsbenachrichtigungen

• Versicherungsbeendigungsbenachrichtigungen

• Produkt Rückrufbenachrichtigungen

Branchenspezifische Anforderungen:

Einige Branchen legen zusätzliche Regeln auf ESIGN und UETA.

Gesundheitswesen (HIPAA): E-Signaturen sind erlaubt, aber Sie müssen sicherstellen, dass das Gesamtsystem PHI schützt. Die Signatur selbst ist nicht das Problem; es geht um den Umgang mit den Dokumenten, die Gesundheitsinformationen enthalten.

FDA-regulierte Branchen (21 CFR Part 11): Wenn Sie Software für Pharmaunternehmen oder Hersteller von medizinischen Geräten entwickeln, fügt Teil 11 Anforderungen an Prüfpfade, Systemvalidierung und elektronische Aufzeichnungen hinzu. Die Signaturen müssen mit dem Unterzeichner in einer Weise verknüpft sein, die nicht gefälscht werden kann, und Sie benötigen sichere, zeitgestempelte Prüfpfade.

Finanzdienstleistungen: Verschiedene Vorschriften (SEC, FINRA, staatliche Versicherungsgesetze) können abhängig von der Art der Transaktion zusätzliche Aufbewahrungs- oder Authentifizierungsanforderungen auferlegen.

Der Schlüssel ist, dass ESIGN und UETA das Fundament liefern, aber Ihr spezifischer Anwendungsfall möglicherweise mehr erfordert. Überprüfen Sie die Vorschriften, die Ihre Branche regeln, bevor Sie davon ausgehen, dass der Basisstand ausreichend ist.

Wie dies auf EU-Recht abbildet (eIDAS Crash-Kurs)

Wenn Ihre Benutzer Dokumente in der Europäischen Union unterzeichnen, haben Sie es auch mit eIDAS (Electronic Identification, Authentication and Trust Services) zu tun, das am 1. Juli 2016 in Kraft trat. Der Ansatz unterscheidet sich vom US-Recht.

Wo ESIGN und UETA alle elektronischen Signaturen gleich behandeln, definiert eIDAS drei Ebenen mit zunehmender rechtlicher Sicherheit:

Einfache elektronische Signatur (SES)

Das Basisniveau. Jede elektronische Datennutzung, die eine Person zum Unterzeichnen verwendet, qualifiziert sich. Das Eingeben Ihres Namens, das Klicken auf einen Button oder das Zeichnen einer Signatur auf einem Touchscreen zählt. SES ist gültig für die meisten Geschäftstransaktionen und kann nicht allein wegen ihrer Elektronik rechtlich abgelehnt werden.

Betrachten Sie SES als gleichwertig mit dem, was ESIGN und UETA abdecken. Es ist rechtlich gültig, aber wenn jemand die Signatur bestreitet, kann die Beweislast bei Ihnen liegen, um ihre Authentizität zu belegen.

Erweiterte elektronische Signatur (AdES)

Ein höherer Standard. AdES muss vier Kriterien erfüllen: eindeutig mit dem Unterzeichner verknüpft, in der Lage, den Unterzeichner zu identifizieren, erstellt mit Daten unter der alleinigen Kontrolle des Unterzeichners und mit dem Dokument verbunden, sodass jede nachträgliche Änderung erkennbar ist.

In der Praxis erfordert AdES typischerweise kryptografische Signaturen mit Identitätsüberprüfung. Der Schlüssel oder das Zertifikat des Unterzeichners muss eindeutig sein und das unterzeichnete Dokument muss manipulationssicher sein. Die meisten Geschäftsverträge, HR-Dokumente und Finanzvereinbarungen verwenden AdES, wenn die Parteien eine stärkere Sicherheit wünschen.

Das Wichtigste für grenzüberschreitende Anwendungen: Wenn Sie für sowohl US- als auch EU-Benutzer entwickeln, gestalten Sie Ihr System so, dass es AdES-Anforderungen erfüllt. Es wird automatisch die US-Gesetze erfüllen (die kein gestuftes System haben) und gleichzeitig die stärkere Sicherheit bieten, die EU-Benutzer möglicherweise erwarten. Konzentrieren Sie sich auf die Erfassung von Unterzeichneridentität, das Erstellen manipulationssicherer Aufzeichnungen und das Entwickeln umfassender Prüfpfade.

Aufbau von konformen E-Signatur-Flows: Die technische Checkliste

Folgendes sollte Ihre Implementierung für jeden Signaturvorgang erfassen:

Unterzeichneridentifizierung:

• E-Mail-Adresse (verifiziert)

• IP-Adresse zum Zeitpunkt der Unterzeichnung

• Zeitstempel (idealerweise mit Zeitzone)

• Benutzeragent oder Geräteinformation

• Beliebige zusätzliche Authentifizierungsfaktoren (SMS-Codes, SSO-Sitzung, etc.)

Integrität des Dokuments:

• Hash des Dokuments im Moment der Unterzeichnung (SHA-256 ist Standard)

• Versionskennung, wenn das Dokument geändert werden kann

• Mechanismus zur Erkennung, ob das Dokument nach der Unterzeichnung geändert wurde

Zustimmung und Absicht:

• Nachweis der Zustimmung zu elektronischen Transaktionen

• Explizite Handlung, die die Signatur darstellt (Button klicken, gezeichnete Signatur, eingegebener Name)

• Klare Angabe, dass der Unterzeichner erkannt hat, dass er unterzeichnet hat

Prüfpfad:

• Jede Aktion, die am Dokument vorgenommen wurde: angesehen, unterschrieben, heruntergeladen, weitergeleitet

• Zeitstempel für jede Aktion

• Unveränderlicher Speicher (nur anhängbare Protokolle, kryptografische Verkettung oder einmaliger Speicher)

Aufbewahrung des Datensatzes:

• Fähigkeit zur Reproduktion des genau unterzeichneten Dokuments

• Zugriffskontrollen, damit berechtigte Parteien darauf zugreifen können

• Aufbewahrungsfrist, abgestimmt auf den Dokumenttyp (Verträge erfordern oft 7+ Jahre)

Wenn Ihr System all dies erfasst, sind Sie für die ESIGN-, UETA- und eIDAS-SES/AdES-Compliance auf solidem Kurs. Die genaue Implementierung variiert je nach Plattform, aber die Datenanforderungen sind konsistent.

Wo Firma.dev passt

Firma.dev wurde entwickelt, um diese Anforderungen sofort zu erfüllen. Jede Signatur erzeugt einen unveränderlichen Prüfprotokoll, der die Identität des Unterzeichners, Zeitstempel, IP-Adressen, Dokumenthashs und Zustimmung erfasst. Dokumente sind manipulationssicher, und Prüfprotokolle können nach der Erstellung nicht geändert oder gelöscht werden.

Für die eIDAS-Ausrichtung unterstützt Firma.dev sowohl einfache als auch erweiterte elektronische Signaturen mit standardmäßiger EU-Datenresidenz. Alle Daten verbleiben in EU-Rechenzentren, was die DSGVO-Konformität für grenzüberschreitende Transaktionen vereinfacht.

Die technischen Details sind in der Sicherheitsdokumentation und im vollständigen Einrichtungsleitfaden beschrieben. Wenn Sie Signierabläufe erstellen, die rechtlich Bestand haben müssen, bietet Ihnen Firma.dev die Infrastruktur ohne die Implementierungsproblematik.

Starten Sie kostenlos mit Firma.dev, keine Kreditkarte erforderlich.