Elektronische Signatur

eIDAS-konforme elektronische Signaturen mit Advanced Electronic Signatures (AdES)

KlarKonform implementiert elektronische Signaturen gemaess der EU-Verordnung eIDAS (EU) Nr. 910/2014. Die Advanced Electronic Signatures (AdES) auf BES-Level (Basic Electronic Signature) gewaehrleisten rechtssichere digitale Unterschriften.

eIDAS-Konformitaet

Rechtlicher Rahmen

Vorschrift	Inhalt	Umsetzung in KlarKonform
eIDAS Art. 25	Rechtswirkung elektronischer Signaturen	AdES-BES anerkannt
eIDAS Art. 26	Anforderungen an fortgeschrittene Signaturen	Vollstaendig erfuellt
ETSI TS 101 903	XAdES-Standard	SHA-256 Algorithmus
ETSI TS 103 171	eIDAS technische Spezifikationen	Konform

Signatur-Level

+-------------------------------------------+
|          SIGNATUR-HIERARCHIE              |
+-------------------------------------------+
|                                           |
|  +-----------+                            |
|  | QES       | Qualifizierte Signatur     |
|  +-----------+ (erfordert Hardware-Token)  |
|       ^                                   |
|       |                                   |
|  +----+------+                            |
|  | AdES-BES  | <-- KlarKonform           |
|  +-----------+ Fortgeschrittene Signatur  |
|       ^                                   |
|       |                                   |
|  +----+------+                            |
|  | SES       | Einfache Signatur          |
|  +-----------+                            |
|                                           |
+-------------------------------------------+

Level	Name	Rechtswirkung	Hardware
SES	Simple Electronic Signature	Geringste Beweiskraft	Keine
AdES	Advanced Electronic Signature	Hohe Beweiskraft	Optional
QES	Qualified Electronic Signature	Wie handschriftlich	Erforderlich

KlarKonform nutzt AdES-BES: Diese Stufe bietet hohe Rechtssicherheit ohne Hardware-Anforderungen und ist fuer die meisten Geschaeftsdokumente ausreichend.

Signatur-Komponenten

AdES-BES Struktur

Jede Signatur in KlarKonform enthaelt folgende Elemente:

Signatur-Metadaten:

Eindeutige Signatur-ID (z.B. SIG-A1B2C3D4E5F6)
Signatur-Format: AdES-BES
Algorithmus: SHA-256
Erstellungszeitpunkt

Signiertes Objekt:

Referenz zum Dokument
Dokumentennummer
Kryptographischer Hash des Inhalts (SHA-256)

Unterzeichner-Information:

E-Mail-Adresse des Unterzeichners
Name des Unterzeichners
Identitaetsnachweis (Token-basiert)

Technische Attribute:

IP-Adresse des Unterzeichners
Browser/Client-Information
Zeitstempel der Signatur

Signatur-Policy:

Policy-Name: KlarKonform AdES-BES
Rechtsrahmen: eIDAS (EU) Nr. 910/2014
Commitment-Typ: Herkunftsnachweis

Signatur-Wert:

Kryptographischer SHA-256 Hash aller oben genannten Daten

Signatur-Algorithmus

Komponente	Wert	Beschreibung
Hash-Algorithmus	SHA-256	ETSI-konformer kryptographischer Hash
Encoding	JSON (kanonisch)	Sortierte Schluessel fuer konsistentes Hashing
Tamper-Detection	Hash-Vergleich	Integritaetspruefung durch Neuberechnung

Signatur-Prozess

Ablauf fuer externe Unterzeichner

+---------------+     +----------------+     +---------------+
| E-Mail mit    |     | Signatur-Seite |     | Unterschrift  |
| sicherem Link |---->| aufrufen       |---->| eingeben      |
+---------------+     +----------------+     +---------------+
       |                     |                     |
       |              Dokument ansehen       Consent-Checkbox
       |              PDF herunterladen      aktivieren
       |                     |                     |
       v                     v                     v
+---------------+     +----------------+     +---------------+
| Token wird    |     | Status:        |     | AdES-BES      |
| generiert     |     | "angesehen"    |     | Signatur      |
| (64 Zeichen)  |     |                |     | erstellt      |
+---------------+     +----------------+     +---------------+

Token-basierte Authentifizierung

Die Identitaet des Unterzeichners wird durch sichere Tokens verifiziert:

Eigenschaft	Wert
Token-Format	`SIGN-` + 64 zufaellige Zeichen
Gueltigkeit	30 Tage ab Erstellung
Zustellung	Per E-Mail an den Unterzeichner
Einmalverwendung	Nach Signatur nicht wiederverwendbar

Beispiel-Token:
SIGN-a7f3b8c2d9e4f1g5h6i7j8k9l0m1n2o3p4q5r6s7t8u9v0w1x2y3z4a5b6c7d8

Vor jeder Signatur muss der Unterzeichner explizit zustimmen:

DSGVO Art. 6(1)(a): Die Einwilligung wird durch eine Pflicht-Checkbox eingeholt: "Ich stimme zu, dieses Dokument elektronisch zu unterschreiben und erkenne die Rechtswirkung an."

Signatur-Seiten

Oeffentliche Signatur-Seite

Externe Unterzeichner gelangen ueber den Token-Link zur Signatur-Seite:

Seite	URL	Beschreibung
Signieren	`/signature/[token]`	Dokument ansehen und unterschreiben
Erfolg	`/signature/[token]/success`	Bestaetigung nach Signatur
Abgelehnt	`/signature/[token]/declined`	Nach Ablehnung
Verifizierung	`/signature/verify/[id]`	Signatur pruefen

Signatur-Eingabe

Der Unterzeichner hat folgende Moeglichkeiten:

Eingabemethode	Beschreibung
Zeichnen	Unterschrift auf Canvas malen (Touchscreen/Maus)
Eintippen	Name eintippen (wird stilisiert)

Die Signatur wird als Base64-kodiertes Bild gespeichert.

Ablehnung

Unterzeichner koennen die Signatur ablehnen:

"Ablehnen" klicken
Optional: Begruendung eingeben
Status wird auf "abgelehnt" gesetzt
Dokumenteninhaber wird benachrichtigt

Signatur-Verifizierung

Integritaetspruefung

Jede Signatur kann auf Unveraendertheit geprueft werden:

Verifizierungs-Prozess:
+-------------------+
| Gespeicherte      |
| Signatur laden    |
+--------+----------+
         |
         v
+-------------------+
| signature_value   |
| extrahieren       |
+--------+----------+
         |
         v
+-------------------+
| Restliche Daten   |
| neu hashen        |
+--------+----------+
         |
         v
+-------------------+
| Hash-Werte        |     +---> Signatur gueltig
| vergleichen       |-----|
+-------------------+     +---> Signatur manipuliert

Verifizierungs-Ergebnis

Feld	Beschreibung
Signatur-ID	Eindeutige Kennung
signed_at	Zeitpunkt der Signatur
is_valid	Integritaetsstatus (true/false)
is_eidas_compliant	Erfuellt eIDAS-Anforderungen
signature_format	AdES-BES
signature_algorithm	SHA-256
signer_info	Name und E-Mail des Unterzeichners

Oeffentliche Verifizierung

Jede Signatur kann ueber einen oeffentlichen Verifizierungslink geprueft werden:

https://app.klarkonform.de/signature/verify/SIG-A1B2C3D4E5F6

Diese Seite zeigt:

Signatur-ID und Zeitpunkt
Gueltigkeitsstatus
eIDAS-Konformitaet
Unterzeichner-Informationen
Dokumentenreferenz

Technische Erfassung

IP-Adress-Ermittlung

Die echte Client-IP wird unter Beruecksichtigung von Proxies ermittelt:

Header	Prioritaet	Quelle
`CF-Connecting-IP`	1	Cloudflare
`X-Real-IP`	2	Nginx Proxy
`X-Forwarded-For`	3	Allgemeiner Proxy
`REMOTE_ADDR`	4	Fallback

Erfasste Daten

Fuer jede Signatur werden folgende technische Daten gespeichert:

Datum	Zweck	DSGVO-Grundlage
IP-Adresse	Signatur-Nachweis	Art. 6(1)(f) berechtigtes Interesse
User-Agent	Geraete-Identifikation	Art. 6(1)(f) berechtigtes Interesse
Zeitstempel	Zeitlicher Nachweis	Art. 6(1)(f) berechtigtes Interesse
Timezone	Lokalisierung	Art. 6(1)(f) berechtigtes Interesse

Aufbewahrung

Aufbewahrungsfristen

Dokumenttyp	Frist	Rechtsgrundlage
Handelsrechtlich relevant	10 Jahre	HGB 257
Steuerlich relevant	10 Jahre	AO 147
Allgemeine Vertraege	3 Jahre nach Ende	BGB 195 (Verjaehrung)

Automatische Retention

Signatur erstellt
       |
       v
retention_until = created_at + 10 Jahre
       |
       v
Nach Ablauf: Loeschpruefung

Checkliste: eIDAS-Konformitaet

Signatur eindeutig dem Unterzeichner zugeordnet
Identifizierung des Unterzeichners moeglich (E-Mail-Verifikation via Token)
Signatur unter alleiniger Kontrolle des Unterzeichners
Aenderungen am Dokument nach Signatur erkennbar (Hash-Pruefung)
SHA-256 Algorithmus (ETSI-konform)
Zeitstempel der Signatur
Signatur-Policy dokumentiert
Audit-Trail vollstaendig

Elektronische Signatur

On this page