Gesetzliche Anforderungen für elektronische Signaturen: Eine Checkliste für Entwickler

Dies ist das Referenzdokument. Lesezeichen setzen, darauf zurückkommen, Ihre Implementierung damit überprüfen.

Wenn Sie E-Signatur-Funktionen in Ihre Anwendung einbauen, muss Ihr System bestimmte gesetzliche Anforderungen erfüllen, damit diese Signaturen durchsetzbar sind. Keine „schönen Extras." Anforderungen.

Hier ist genau das, was Sie brauchen.

Die 4 Kernanforderungen für eine gesetzlich gültige E-Signatur

Gemäß US-Recht (ESIGN Act und UETA) muss jede elektronische Signatur vier Kriterien erfüllen:

1. Absicht zu unterschreiben

• Der Unterzeichner hat eine bewusste Handlung vorgenommen, um zu unterschreiben

• Die Aktion war eindeutig (Button-Klick, gezeichnete Signatur, getippter Name)

• Die Benutzeroberfläche hat klar gemacht, dass sie unterschreiben und nicht nur bestätigen

2. Zustimmung zum elektronischen Prozess

• Alle Parteien haben elektronisches Geschäftsabwickeln zugestimmt

• Für B2B: kann aus dem Kontext abgeleitet werden

• Für B2C: erfordert ausdrückliche offengelegte Rechte (Papieroption, Widerrufsprozess, Hardware-/Softwareanforderungen)

3. Zuordnung zum Dokument

• Die Signatur ist mit der spezifischen Dokumentversion verknüpft

• Sie können nachweisen, welches Dokument unterschrieben wurde

• Änderungen nach der Unterschrift sind nachweisbar

4. Aufbewahrung des Dokuments

• Das unterzeichnete Dokument kann genau reproduziert werden

• Alle Parteien können auf ihre Kopie zugreifen

• Dokumente stehen für den gesetzlich vorgeschriebenen Zeitraum zur Verfügung

Wenn Ihre Implementierung alle vier abdeckt, sind Sie konform mit dem US-Bundesrecht für die meisten Geschäftstransaktionen.

Was Ihr Audit Trail erfassen muss

Dies ist der Abschnitt zum Screenshot machen. Für jedes Signatur-Ereignis erfassen:

Identifikation des Unterzeichners

• E-Mail-Adresse (vor der Unterschrift verifiziert)

• IP-Adresse zum Zeitpunkt der Unterschrift

• Zeitstempel mit Zeitzone (ISO 8601 Format)

• User-Agent-String

• Geräte-/Browser-Fingerabdruck (optional aber nützlich)

• Verwendete Authentifizierungsmethode (E-Mail-Link, SMS-Code, SSO, etc.)

Dokumentintegrität

• Dokument-Hash zum Zeitpunkt der Unterschrift (SHA-256)

• Dokumentversionskennzeichnung

• Dateigröße und Seitenanzahl

• Mechanismus zur Manipulationserkennung

Zustimmungserfassung

• Zeitstempel der Zustimmung zu elektronischen Transaktionen

• Protokoll dessen, was offengelegt wurde (Bedingungen, Rechte, Widerrufsprozess)

• Explizite Opt-in Handlung (nicht vorab angekreuzte Kästchen)

Signatur-Ereignis

• Genauer Zeitstempel der Signaturhandlung

• Art der Signatur (klicken, zeichnen, tippen, hochladen)

• Signaturbild oder -daten (falls zutreffend)

• Bildschirmkoordinaten oder Interaktionsdaten (optional)

Kette der Obhut

• Zeitstempel der Dokumentenerstellung

• Jedes Anzeigeereignis mit Zeitstempel und Betrachter

• Jedes Signaturereignis in der Reihenfolge

• Download- und Weiterleitungsereignisse

• Zeitstempel der Fertigstellung

Speichern Sie Audit-Protokolle unveränderlich. Append-only-Datenbanken, kryptografische Verkettung oder einmaliges Speichern. Wenn jemand das Audit-Trail bearbeiten kann, ist es kein Audit-Trail.

Dokumenttypen, die noch handschriftliche Unterschriften erfordern

E-Signaturen funktionieren nicht für alles. Diese Kategorien sind vom ESIGN und UETA ausgeschlossen:

Immer ausgeschlossen (alle US-Bundesstaaten):

• Testamente, Kodizille, testamentarische Vertrauensgeschäfte

• Gerichtsentscheidungen und offizielle Gerichtsunterlagen

• Adoptionspapiere

• Scheidungsverfügungen

Oft ausgeschlossen (überprüfen Sie Ihren Staat):

• Vollmachten

• Immobilienurkunden (variieren erheblich nach Bundesstaat)

• Pflegevollmachten

• Anordnungen nicht wiederbeleben

Vom ESIGN speziell ausgeschlossen:

• Kündigungsmitteilungen für Versorgungsleistungen

• Kündigungsmitteilungen für Versicherungen

• Produkt-Rückrufbenachrichtigungen

• Mitteilungen über Zahlungsverzug oder Zwangsvollstreckungen

• Dokumente, die für den Transport gefährlicher Materialien erforderlich sind

Wenn Ihre Anwendung einen dieser Dokumenttypen bearbeitet, konsultieren Sie rechtlichen Rat, bevor Sie elektronische Signaturen ermöglichen. Landesgesetze variieren, und Fehler hierbei schaffen echte Haftung.

Grenzüberschreitende Signaturen: Welche Regeln gelten?

Wenn Unterzeichner sich in unterschiedlichen Rechtsgebieten befinden, befolgen Sie den strengeren Standard.

Nur US: ESIGN/UETA-Anforderungen (die vier Kriterien oben)

EU beteiligt: Fügen Sie eIDAS-Anforderungen hinzu

• Für grundlegende Gültigkeit: Einfaches Elektronische Signatur (SES) funktioniert

• Für stärkere Sicherheit: richten Sie sich nach Kriterien für Fortgeschrittene Elektronische Signatur (AdES)

• Signatur eindeutig mit Unterzeichner verknüpft

• Unterzeichner aus der Signatur erkennbar

• Signatur erstellt mit Daten unter der alleinigen Kontrolle des Unterzeichners

• Dokument nach der Unterschrift manipulationssicher

Praktische Regel: Wenn Sie nach AdES-Standards bauen, erfüllen Sie automatisch US-Anforderungen und die meisten internationalen Rahmenwerke. Der zusätzliche Aufwand ist minimal und die Abdeckung breiter.

Datenresidenz zählt: EU-Benutzer können EU-Datenspeicherung für die Einhaltung der DSGVO verlangen. Wissen Sie, wo Ihre Dokumente und Audit-Protokolle gehostet werden.

Häufige Fehler, die E-Signaturen ungültig machen

Dies sind die Fehler, die dazu führen, dass Signaturen vor Gericht angefochten werden:

Fehlende Erfassung der Zustimmung

Der Benutzer hat unterschrieben, aber Sie haben nie festgehalten, dass er elektronischen Transaktionen zugestimmt hat.

Behebung: Fügen Sie einen ausdrücklichen Zustimmungsschritt vor der ersten Unterschrift hinzu. Speichern Sie den Zeitstempel und was offengelegt wurde.

Kein Audit-Trail

Sie haben das unterzeichnete PDF, aber kein Protokoll, wer wann und wie unterschrieben hat.

Behebung: Protokollieren Sie alles, was in der Audit-Trail-Sektion oben aufgeführt ist. Machen Sie Protokolle unveränderlich.

Fehlerhafte Aufbewahrung von Aufzeichnungen

Dokumente wurden gespeichert, aber Links sind abgelaufen oder Dateien wurden gelöscht.

Behebung: Implementieren Sie Aufbewahrungsrichtlinien im Einklang mit dem Dokumenttyp. Verträge benötigen in der Regel 7+ Jahre. Niemals automatische Löschung ohne explizite Richtlinie.

Unklare Unterzeichneridentität

Jeder mit dem Link konnte unterschreiben. Keine Verifizierung, dass der angegebene Unterzeichner die tatsächliche Person war.

Behebung: Mindestens E-Mail-Verifizierung verlangen. SMS-Codes, SSO oder wissensbasierte Authentifizierung für Dokumente mit höherem Risiko hinzufügen.

Bearbeitbare Dokumente nach der Unterschrift

Das unterzeichnete Dokument kann ohne Erkennung geändert werden.

Behebung: Dokumente zum Zeitpunkt der Unterschrift hashen. Speichern Sie den Hash in Ihrem Audit-Protokoll. Überprüfen Sie den Hash bei der Abrufung.

Vorab angekreuzte Zustimmungskästen

Zustimmung wurde „erfasst“, aber der Benutzer hat nie aktiv zugestimmt.

Behebung: Erfordern Sie eine positive Handlung. Ungeprüfte Kästchen, die der Benutzer ankreuzen muss, oder explizite „Ich stimme zu” Buttons.

Fehlender Zeitstempel oder falsche Zeitzone

Sie haben "um 15:00 Uhr unterschrieben" protokolliert, aber nicht welche Zeitzone.

Behebung: Verwenden Sie das ISO 8601-Format mit Zeitzonenoffset, oder speichern Sie alles in UTC mit der separat notierten Zeitzone des Unterzeichners.

Wie Firma.dev die Compliance für Sie übernimmt

Den gesamten Compliance-Infrastruktur von Grund auf neu zu erstellen, dauert Zeit. Firma.dev übernimmt die Compliance-Infrastruktur, damit Sie sich auf Ihre Anwendung konzentrieren können.

Eingebaute Audit-Trails: Jedes Signaturereignis erzeugt ein unveränderliches Protokoll mit Unterzeichneridentität, Zeitstempeln, IP-Adressen, Dokument-Hashes und Zustimmungserfassung. Protokolle können nicht verändert oder gelöscht werden.

Manipulationserkennbare Dokumente: Unterzeichnete Dokumente enthalten kryptografische Verifizierung. Jede Änderung nach der Unterschrift ist nachweisbar.

EU-Datenresidenz: Alle Daten standardmäßig in EU-Datenzentren gespeichert. Vereinfacht die DSGVO-Konformität für grenzübergreifende Transaktionen.

Zustimmungserfassung: Elektronische Zustimmungsabläufe in den Signaturprozess eingebaut. Zeichnet auf, was offengelegt wurde und wann der Unterzeichner zugestimmt hat.

Aufbewahrung von Aufzeichnungen: Dokumente sicher mit Zugriffskontrollen gespeichert. Keine automatische Löschung. Abrufbar über API oder Dashboard.

Vollständige technische Details in der Sicherheitsdokumentation und API-Dokumentation.

Starten Sie kostenlos mit Firma.dev, keine Kreditkarte erforderlich.