Häufige Fragen (FAQ)

Mit der Einführung der Elektronischen Signatur wird die Sicherheit und Nachvollziehbarkeit im elektronischen Rechtsverkehr erhöht. Unterschriftsnotwendige Prozesse können effizienter, schneller und umweltfreundlicher gestaltet werden. Somit leistet die E-Signatur ebenfalls einen wichtigen Beitrag zur Optimierung administrativer Abläufe an der Universität Hamburg.

In Deutschland basiert die rechtliche Grundlage für Elektronische Signaturen auf der eIDAS-Verordnung (EU-Verordnung Nr. 910/2014), die einen einheitlichen Rahmen für alle EU-Mitgliedstaaten schafft. Damit können auch in Deutschland Elektronische Signaturen rechtssicher eingesetzt werden.

Zusätzlich regeln folgende Gesetze die Verwendung Elektronischer Signaturen und sind damit auch im Verwaltungskontext der UHH relevant:

Bürgerliches Gesetzbuch (BGB):

• § 126 Abs. 3: Unter bestimmten Voraussetzungen können Elektronische Signaturen die Schriftform ersetzen.
• § 126a: Die Qualifizierte Elektronische Signatur (QES) erfüllt die Anforderungen der Schriftform, wo dies gesetzlich vorgeschrieben ist.

Verwaltungsverfahrensgesetz (VwVfG):

• § 3a: Elektronische Signaturen sind im Verwaltungsverfahren zulässig und elektronisch signierte Dokumente sind den schriftlichen Dokumenten gleichgestellt.

Handelsgesetzbuch (HGB):

• Elektronische Signaturen sind im Geschäftsverkehr anerkannt und können für Handelsverträge verwendet werden, wo normalerweise eine handschriftliche Unterschrift erforderlich ist.

Nach der eIDAS-Verordnung gibt es drei Arten Elektronischer Signaturen, die sich nach ihrer Beweiskraft unterscheiden:

• Einfache Elektronische Signatur (EES): Ein Beispiel für eine EES sind eingescannte Unterschriften oder die Signatur, die in E-Mails verwendet wird. Diese Art der Signatur hat das niedrigste Sicherheitsniveau und ein Nachweis der Identität des Unterzeichners ist nicht möglich. Daher ist sie nur für Vorgänge geeignet, die ein geringes rechtliches Risiko mit sich bringen.Im universitären Kontext wird die Einfache Elektronische Signatur häufig verwendet z.B. für die Unterzeichnung eines Vermerks, für internen Schriftverkehr oder für Bekanntmachungen ohne rechtliche Konsequenzen.Perspektivisch wird für alle Mitarbeitenden der UHH die Einfache Elektronische Signatur über das Tool sproof sign zur Verfügung stehen.
• Fortgeschrittene Elektronische Signatur (FES): Diese Signatur bietet mehr Sicherheit, da sie den Unterzeichner eindeutig identifiziert und mit Mitteln erstellt wird, die unter dessen Kontrolle stehen (z.B. durch Nutzung einer speziellen Signatur-Software mit einem persönlichen Login). Die FES nutzt kryptografische Verfahren, um sicherzustellen, dass keine nachträglichen Änderungen an den Dokumenten vorgenommen werden können.  Sie ist geeignet für Verträge mit mittlerem rechtlichen Risiko, wie zum Beispiel für das Unterzeichnen von Lehraufträgen oder Leihverträgen im Forschungskontext bis 20.000 EUR. Die Fortgeschrittene Elektronische Signatur wird allen Mitarbeitenden der Universität Hamburg, die eine Zeichnungsbefugnis zur internen Vertretung der UHH besitzen, über die Softwarelösung sproof sign zur Verfügung stehen.
• Qualifizierte Elektronische Signatur (QES): Die QES erfüllt die höchsten Sicherheitsanforderungen und hat die gleiche rechtliche Gültigkeit wie eine handschriftliche Unterschrift. Sie basiert auf einem qualifizierten Zertifikat, das von einem vertrauenswürdigen Dienstanbieter ausgestellt wird und die Identität des Unterzeichners bestätigt. Dieses Zertifikat enthält einen öffentlichen Schlüssel, der zur Überprüfung der Signatur verwendet wird. Zusätzlich sorgt ein privater Schlüssel dafür, dass das Dokument nicht unbemerkt verändert werden kann. Dadurch bietet die QES maximale Sicherheit, Authentizität und rechtliche Verbindlichkeit.
  An der Universität Hamburg wird die Qualifizierte Elektronische Signatur beispielsweise für Verträge im Rahmen von Beschaffungen und Dienstleistungen sowie für Kooperationsverträge ab einem Betrag von 20.000 EUR eingesetzt. Mitarbeitende, die die Befugnis haben, die UHH nach außen zu vertreten, können über die Anwendung sproof sign Dokumente qualifiziert signieren.

Sproof sign ist eine europäische Plattform für Elektronische Signaturen, die vollständig mit der EU-Verordnung eIDAS und der Datenschutz-Grundverordnung (DSGVO) konform ist. Sie ermöglicht die Erstellung von rechtverbindlichen Elektronischen Signaturen und richtet sich insbesondere an Unternehmen und Behörden mit hohen Anforderungen an Datensicherheit und Compliance.

Im öffentlichen Vergabeverfahren hat sich die sproof GmbH im Rahmen der vorgegebenen Kriterien gegenüber den Mitbewerbern klar durchgesetzt: sproof sign erfüllt vollständig alle technischen und qualitativen Anforderungen und überzeugt durch die Einhaltung aller rechtlichen und nachhaltigen Standards, die für die UHH von hoher Bedeutung sind.

Es werden Dokumente in folgenden Formaten unterstützt: PDF, PDF/A, docx. Andere Formate sind für das elektronische Signieren in sproof sign zunächst in ein PDF Format umzuwandeln.

Nicht alle dokumentenbasierten Prozesse eignen sich für den Einsatz Elektronischer Signaturen. Daher ist es nicht sinnvoll gängige Abläufe 1:1 digital zu übertragen, sondern den zukünftigen Prozess nachhaltig zu gestalten. Hierbei spielt auch die Wahl der richtigen Signaturart je nach Dokument und Anwendungsfall eine Rolle, da diese Auswirkung auf die rechtliche Verbindlichkeit des Dokumentes hat.

Im Detail gilt es zu analysieren:

• wer (Antragssteller, Genehmiger, Unterzeichnender etc.)

• unterschreibt was (Antrag, Bericht, Vertrag etc.)

• wo (innerhalb der UHH, extern)

• wie (konkreter Use Case)

• warum (Haftungsrahmen und erforderliche Rechtsverbindlichkeit).

Bitte beachten Sie, dass der Rollout an der UHH sukzessiv erfolgt. Nicht alle dokumentenbasierten Prozesse eignen sich für den Einsatz elektronischer Signaturen. Um den Bedarf in Ihrer Abteilung im Detail zu prüfen, sind wir auf Ihre Hilfe angewiesen. Bitte verwenden Sie die anliegenden Excelvorlage (xlsx), um uns die relevanten Informationen zu Ihrem Signaturprozess gesammelt zur Verfügung zu stellen. Nehmen Sie bei Interesse Kontakt mit uns auf unter: elektronische-signatur"AT"uni-hamburg.de

Die Wahl der Signaturart hängt vom rechtlichen Kontext, der erforderlichen Sicherheitsstufe und der Beweiskraft der Signatur ab.

Die Qualifizierte Elektronische Signatur (QES) hat den höchsten rechtlichen Status und wird rechtlich der handschriftlichen Unterschrift gleichgestellt. Ein Dokument, das mit einer QES unterzeichnet wurde, ist also rechtlich bindend und hat volle Beweiskraft.

Die Fortgeschrittene Elektronische Signatur (FES) ist ebenfalls rechtlich verbindlich, hat aber nicht den gleichen Status wie eine QES. Sie erfüllt bestimmte Anforderungen, um die Identität des Unterzeichners und die Integrität des Dokuments zu gewährleisten, ist jedoch nicht gleichwertig zu einer handschriftlichen Unterschrift.

Wenn eine Partei ein Dokument mit einer Fortgeschrittenen Elektronischen Signatur (FES) und die andere Partei diese mit einer Qualifizierten Elektronischen Signatur (QES) unterzeichnet, bleibt das Dokument rechtlich verbindlich. Die Qualifizierte Elektronische Signatur kann jedoch eine stärkere rechtliche Stellung einnehmen, besonders in strittigen Fällen, da sie zusätzliche Sicherheits- und Identitätsanforderungen erfüllt. Die Kombination von FES und QES in der Praxis führt zu einer rechtlich bindenden Vereinbarung, wobei die QES die stärkere Beweiskraft hat. Es ist jedoch wichtig, die spezifischen rechtlichen Rahmenbedingungen und Anforderungen in Ihrem konkreten Fall zu prüfen, um sicherzustellen, dass alle Erwartungen erfüllt werden.

Um eine rechtlich anerkannte Signatur gemäß der eIDAS-Verordnung zu erstellen, benötigt man ein qualifiziertes Zertifikat von einem registrierten Vertrauensdienstanbieter, der auf der EU-Liste der vertrauenswürdigen Anbieter (Trusted List) aufgeführt ist. Die Anwendung sproof sign erfüllt diese Anforderungen. Das persönliche Nutzerzertifikat von SECTIGO, das über RRZ Serviceportal erhältlich ist, stammt von einer anerkannten Zertifizierungsstelle. Allerdings erfüllen nicht alle Zertifikate, die ausgestellt werden, die Anforderungen für Elektronische Signaturen nach der eIDAS-Verordnung. Die Universität Hamburg nutzt ausschließlich das PKI-Zertifikat für die E-Mail-Verschlüsselung und die Server-Authentifizierung. Daher ist eine rechtlich verbindliche Elektronische Signatur mit dem Nutzerzertifikat von SECTIGO nicht gegeben.

Ein Vertrauensdienstanbieter ist eine Organisation, die elektronische Services anbietet, um die Sicherheit, Integrität, Authentizität und Verbindlichkeit in der digitalen Kommunikation und der Verwaltung von Dokumenten zu gewährleisten. Diese Services sind vor allem durch die eIDAS-Verordnung geregelt. Ein Vertrauensdienstanbieter muss von einer zuständigen Behörde, wie zum Beispiel der Bundesnetzagentur in Deutschland, geprüft und in die EU-Liste der qualifizierten Vertrauensdienstanbieter (Trusted List) aufgenommen werden. Dienste, die von einem qualifizierten Vertrauensdienstanbieter angeboten werden, haben somit in der gesamten EU volle rechtliche Anerkennung. Zu den wichtigsten Aufgaben solcher Anbieter gehören unter anderem: das Ausstellen von digitalen Zertifikaten, die Bereitstellung von Zeitstempeldiensten und Authentifizierungsdiensten.

Die Prüfung der Vertrauenswürdigkeit Elektronischer Signaturen ist ein sehr komplexes Thema, da die Zahl der Anbieter in den letzten Jahren stetig zugenommen hat.

Prüfen Sie zunächst bitte folgende Kriterien, bevor Sie Links zu Signaturanfragen öffnen bzw. externe Dokumente im Zuge von Signatureinladungen herunterladen:

• Ist der Absender der Anfrage (Person bzw. Unternehmen) bekannt?
• Besteht Ihrerseits eine sichere Internetverbindung (HTTPS)?
• Werden ggf. sensible Daten abgefragt?

Nehmen Sie Kontakt zum Absender der Signaturanfrage auf, um sich die Wahl des Anbieters sowie dessen Vertrauenswürdigkeit bestätigen zu lassen. Die Zertifizierung nach ISO27001 sowie DSGVO-Konformität (Artikel 28 DSGVO) geben Hinweise auf die Erfüllung notwendiger Standards in Bezug auf Datenschutz und Informationssicherheit.

Nehmen Sie im Zweifelsfall mit dem Informationssicherheitsbeauftragten Kontakt auf unter: informationssicherheit"AT"uni-hamburg.de.

Es gibt mehrere Möglichkeiten zur Validierung Elektronischer Signaturen. Software-Lösungen wie Adobe Acrobat Reader oder auch die Anwendung sproof sign zeigen z.B. an, ob:

• das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde,

• das Zertifikat noch gültig ist (nicht abgelaufen oder widerrufen wurde),

• das Zertifikat zu dem spezifischen Dokument passt.

Die UHH empfiehlt jedoch die Prüfung über offizielle Online-Dienste, wie das eIDAS Dashboard. Diese bieten gegenüber kommerziellen Software-Lösungen eine europaweite Anerkennung sowie die Prüfung Elektronischen Signaturen nach den höchsten Standards.

Im internationalen Kontext, beispielsweise bei der Unterzeichnung eines Vertrags zwischen einer deutschen und einer amerikanischen Partei ist es wichtig sicherzustellen, dass die gewählte Art der Elektronischen Signatur in beiden Ländern auch rechtlich anerkannt ist.  

Verträge sollten spezifische Klauseln enthalten, die die Verwendung Elektronischer Signaturen regeln, um Missverständnisse zu vermeiden. So ist es ratsam, klarzustellen, dass beide Parteien der Verwendung Elektronischer Signaturen zustimmen.

Bei der Verwendung Elektronischer Signaturen sollte auch der Sicherheitsaspekt beachtet werden. Fortgeschrittene oder Qualifizierte Elektronische Signaturen bieten in der Regel eine höhere Sicherheit gegenüber Einfachen Elektronischen Signaturen.

Sowohl in Deutschland als auch in den USA ist es zudem wichtig, über Nachweise und Protokolle der elektronischen Unterschrift zu verfügen, um im Falle eines Rechtsstreits die Gültigkeit der Unterschrift nachweisen zu können.

Generell gilt: für wichtige oder umfangreiche Dokumente ist die Qualifizierte Elektronische Signatur empfehlenswert. Insgesamt wird jedoch empfohlen, juristische Beratung in Anspruch zu nehmen, um die spezifischen Anforderungen und Risiken im Kontext einer internationalen Vertragsunterzeichnung zu klären.

Signierte Dokumente werden nach 30 Tagen automatisch gelöscht, sofern diese Einstellung durch die Nutzer:innen in sproof sign nicht deaktiviert wird. Das individuelle Herunterladen und Löschen der Dokumente durch die Nutzer:innen ist jederzeit möglich.

Sproof sign verwendet für die Übertragung der Dokumente eine entsprechende Transportverschlüsselung (TLS 1.3). Zwischen dem Client und den sproof Servern werden die Daten Ende-zu-Ende-Verschlüsselt. Darüber hinaus werden die Daten sicher in den europäischen, ISO-zertifizierten und DSGVO-konformen Rechenzentren der sproof GmbH gespeichert. Um höchsten Datenschutz und IT-Sicherheit zu gewährleisten, wurde mit der sproof GmbH ein Auftragsverarbeitungsvertrag geschlossen, der die Rahmenbedingungen für die Datenverarbeitung klar definiert und die Einhaltung aller erforderlichen Sicherheitsstandards garantiert.

Für die langfristige Archivierung elektronisch signierter Dokumente gilt insbesondere die Richtline TR-ESOR vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Um die Gültigkeit dieser Dokumente sicherzustellen, sollten folgende Punkte beachtet werden:

1. Integrität: Das Dokument darf während der Archivierung nicht verändert werden.
2. Qualifizierter Zeitstempel: Dieser muss erhalten bleiben, um die Gültigkeit der Signatur zu einem bestimmten Zeitpunkt nachzuweisen.
3. Nachsignierung: Es sollte möglich sein, das Dokument zu erneuern, falls das ursprüngliche Zertifikat abgelaufen ist.

Zur sicheren Archivierung empfiehlt sich die Verwendung spezieller Software, z.B. ELDORADO.

Nein, die Elektronische Signatur ist für Kassenanordnungen aus kassenrechtlichen Gründen nicht zugelassen. Doch es gibt gute Neuigkeiten: In Abteilung 7 Finanz- und Rechnungswesen läuft ein Digitalisierungsprojekt zur Einführung der DRiVe-IT. Mit der DRiVe-IT, einem Finanzverwaltungssystem der Freien und Hansestadt Hamburg, kann die UHH Kassenanordnungen digital und rechtskonform erstellen. Zudem kann die UHH über dieses System Rechnungen im X-Rechnungsformat von ihren Rechnungsstellern empfangen und weiterbearbeiten.

Aktuell werden ausgewählte Rechnungssteller schrittweise an das System angebunden. Parallel dazu sind einige Fakultäten als Pilotbereiche gestartet, um digitale Kassenanordnungen für die Abrechnung von Lehraufträgen und Bibliotheksrechnungen zu erstellen. Bei Bedarf nehmen Sie gern Kontakt auf mit Christina Semke: christina.semke"AT"uni-hamburg.de.

Bitte informieren Sie aus Ihrem betroffenen Fachbereich proaktiv die Administrator:innen unter elektronische-signatur@uni-hamburg.de. Dies ist notwendig, da sich mit dem Austritt von Mitarbeitenden oder personellen Veränderungen ggf. auch Zeichnungsbefugnisse ändern. Dies hat unmittelbar Auswirkungen auf das Berechtigungsmanagement in sproof sign.

Weitere Informationen zur Anwendung sproof sign finden Sie in den FAQs von sproof sign.  

Sie haben spezifische Anwenderfragen? Die sproof sign Academy gibt einen strukturierten Überblick über die Anwendungsbeispiele und unterstützt Sie mit kurzen Videosequenzen.