Skip to main content

We have a tailored site for international audiences

Blog
Beatrice von der Brüggen

Regional Marketing Manager

Warum brauchen Unternehmen qualifizierte elektronische Signaturen?

Eine Frage der Identität

Warum ist die Verwendung einer qualifizierten elektronischen Signatur die sicherste Option bei der Digitalisierung von Unterschriftenprozessen?

Unabhängig davon, ob es sich um ein kleines oder großes Unternehmen, eine internationale Firma oder einfach nur um eine Einzelperson handelt, man sollte sicher sein können, dass die digitalen Transaktionen völlig legal, grenzüberschreitend anerkannt und absolut sicher sind. In der Realität ist das was Sie beim Abschluss eines Geschäfts unterzeichnen nur Einsen und Nullen auf einem Computer. Sie unterschreiben de facto nie das eigentliche, physische Dokument. Daher müssen Sie besonders sicher sein und insbesondere darauf vertrauen können, dass diese Bits und Bytes sicher gehandhabt werden.

Sie wollen sicherlich kein Geschäft abschließen, bei dem Sie die Unterlagen komplett unterschrieben und zugestellt bekommen haben, aber dann festzustellen müssen, dass Sie kein Mittel haben es rechtlich durchzusetzen. Aus diesem Grund sollten Sie beim Abschluss wichtiger Vereinbarungen immer auf Anbieter von elektronischen Vertrauensdiensten (TSPs) zurückgreifen, die im Rahmen der EU-Verordnungen tätig sind.

Zu Ihrer Beruhigung und für ein absolutes Höchstmaß an Sicherheit sollte ein qualifizierter Trust Service Provider (QTSP) eingebunden werden.

# 1. Was ist eine qualifizierte elektronische Signatur?

Gemäß eIDAS, der europäischen Verordnung für elektronische Identitäten und Vertrauensdienste, gibt es drei verschiedene Arten von elektronischen Signaturen. Jede Art stellt ein erhöhtes Maß einer rechtsverbindlichen Signatur dar. Trotzdem entscheiden nationale Gesetze, welche Art der Signatur letztendlich für den jeweiligen Vertrag oder die Vereinbarung rechtsverbindlich ist.

Als Erstes betrachten wir einmal eine Standard-Elektronische Signatur (SES) – die manchmal auch nur einfache elektronische Signatur genannt wird – das ist z. B. ein Unterschrifts-Gekritzel auf einem Bildschirm oder eine E-Mail-Nachricht. Eine SES könnte daher zum Beispiel eine Unterschrift sein, die manuell auf einem iPad oder mit einer Maus gezeichnet wird. In einigen Ländern stellt eine Standard-Elektronische Signatur eine legale Möglichkeit dar, um eine Genehmigung für elektronische Dokumente und Transaktionen zu erhalten. Trotzdem sollte man sich immer im Klaren darüber sein, dass es bei einer SES keinen Beweis dafür gibt, dass der Unterzeichner auch derjenige ist, für den er sich ausgibt. Ebenso wenig gibt es eine Bindung an die unterzeichneten Informationen oder aber einen Schutz vor nachträglichen Änderungen.

Als Nächstes betrachten wir die fortgeschrittene elektronische Signatur (Advanced Electronic Signatures, AES) und die qualifizierte elektronische Signatur (Qualified Electronic Signatures, QES), die beide eine sicherere digitale Signatur erfordern. Das bedeutet, dass das Dokument und die Signatur durch kryptographische Mittel geschützt sind.

Die Anforderungen an eine AES sind:

  • Die Identität des Unterzeichners wird verifiziert, d. h. dies erfolgt durch einen Trust Service Provider (TSP).
  • Niemand sonst kann im Namen eines Benutzers unterschreiben (Unter alleiniger Kontrolle).
  • Alle Änderungen an einem Dokument, die nach der Unterzeichnung passieren, werden gekennzeichnet. Damit ist das Schriftstück sicher vor Manipulationen geschützt (Tamper evident technology).


Eine qualifizierte elektronische Signatur (QES) ist das höchstmögliche Level und damit die sicherste Art einer elektronischen Signatur. Die offizielle Definition lautet, dass es sich um eine AES handelt, die eine Hardware mit dem Namen QSCD (Qualified Secure Signature Creation Device) verwendet und daher auf einem qualifizierten Zertifikat basiert. Damit haben Sie die Möglichkeit Dokumente mit den höchsten Sicherheitsgarantien zu signieren. Diese sind in der gesamten Europäischen Union anerkannt und natürlich auch rechtsgültig.

Eine QES hat die folgenden Anforderungen:

  • Eine dedizierte Hardware/spezielle qualifizierte Signaturerstellungseinheit (QSCD) wird benötigt, die nur der Benutzer verwenden kann. Das kann z. B. ein Kartenlesegerät oder ein Mobiltelefon sein oder die QSCD befindet sich in einer sicheren Umgebung bei einem Qualified Trust Service Provider (QTSP).
  • Die Verwendung eines Qualified Trust Service Providers (QTSP) für den eigentlichen Unterzeichnungsprozess ist erforderlich.
  • Eine zertifikatsbasierte digitale ID wird hinzugefügt, die vom QTSP ausgestellt wird.

In Belgien sind qualifizierte elektronische Signaturen erforderlich um rechtsverbindlich zu agieren, währenddessen die nordischen Länder bereits fortgeschrittene elektronische Signaturen (AES) als rechtsverbindlich akzeptieren.

# 2. Wo werden qualifizierte elektronische Signaturen eingesetzt?

Der Bedarf an qualifizierten elektronischen Signaturen hängt von den rechtlichen Rahmenbedingungen des Landes ab, in dem Sie sich befinden. Wenn bereits fortgeschrittene elektronische Signaturen (AES) als verbindlich erachtet werden, brauchen Sie keine qualifizierten elektronischen Signaturen zu verwenden. Es gibt aber auch Länder in denen eine QES nicht verfügbar ist.

Wenn QES verfügbar sind, sollten sie in jedem Unternehmen eingesetzt werden, das einem hohen Betrugsrisiko ausgesetzt ist. Das reicht sicherlich von Finanzinstituten über Telekommunikation bis hin zu Militär- und Regierungsdokumenten. Ein sicheres Signatursystem ist heutzutage besonders wichtig, da Betrügereien während der COVID-19-Pandemie einen historischen Höchststand erreicht haben.

Verschiedene Wirtschaftszweige, z. B. im Finanz-, Bank-, Versicherungs- und Gesundheitssektor, sind gesetzlich dazu verpflichtet, die Identität und die persönlichen Daten eines Kunden zu schützen. Da heutzutage immer mehr Geschäfte online abgewickelt werden, ist es wichtiger denn je in eine sichere Signaturlösung zu investieren. Gemäß der eIDAS (Electronic Identification, Authentication and Trust Services)-Vorschrift soll QES auf dem gleichen Sicherheitsniveau anerkannt werden wie die "nasse Unterschrift", d. h. eine handschriftliche Unterschrift. Die Entscheidung, ob eine AES akzeptiert wird oder nicht, obliegt jedoch dem Rechtssystem eines Landes, wobei eine QES immer unstrittig sein sollte.

Eine QES kann bei der Unterzeichnung von Verträgen oder Krediten verwendet werden, wenn zwei oder auch drei verschiedene Parteien aus verschiedenen Bereichen beteiligt sind. Einige relevante Beispiele hierfür sind wichtige Vereinbarungen, wie z. B. Arbeitsverträge, Firmendokumente, Steuererklärungen und -anträge, Kreditverträge, Notare und Erbschaftsdokumente.

In Belgien zum Beispiel verlangt das Gesetz QES für Arbeitsverträge oder für ein rechtsgültiges Testament.

# 3. Elektronische Signaturen ermöglichen kurze Bearbeitungszeiten, auch QES!

Neben der Tatsache, dass es sich bei einer QES um die sicherste Form der elektronischen Unterzeichnung handelt, hat diese noch viele weitere Vorteile. Im Allgemeinen bieten elektronische Signaturen eine deutlich schnellere Bearbeitungszeit. Neben dem hohen Maß an Sicherheit, die eine QES bietet, bedeutet die Wahl dieser Art der elektronischen Signatur auch eine schnelle Bearbeitung von Dokumenten oder Verträgen mit höherem Risiko. Ein gutes Beispiel sind Leasinggesellschaften für Autos oder andere Formen von Fahrzeughändlern.


Während COVID-19 haben einige Autofirmen die Produktion einstellen müssen. Kunden bevorzugen es Händler persönlich aufzusuchen, um Probefahrten zu vereinbaren und Verträge zu unterzeichnen. Je schneller Sie ein Auto bestellen können, desto schneller kann es in Produktion gehen. Wenn ein Unternehmen eine Reihe von Dokumenten von verschiedenen Parteien unterzeichnen lassen muss, würde die Nutzung von QES durch einen QTSP (Qualified Trust Service Provider) diesen Geschäftsprozess in hohem Maße beschleunigen.

Ein Grund für den schnelleren Ablauf ist sicherlich, dass Händler alle Unterlagen mit Hilfe der sichersten elektronischen Methode versenden können. Somit werden Dokumente von beiden Parteien gegengezeichnet und an die Bank zur Bestätigung des Kredites geschickt. Die Übertragung der Dokumente erfolgt sofort und dadurch muss nicht tagelang darauf gewartet werden, bis das Geschäft abgeschlossen ist. Dieser Vorgang spart viel Zeit und kann dazu beitragen, den verzögerten Einkauf von Produkten zu beschleunigen. Im Anschluss können Sie allen Beteiligten eine Kopie mit den endgültigen Unterschriften per E-Mail zusenden. Dies führt außerdem zur elektronischen Archivierung Ihrer Verträge, was in Zukunft sehr wichtig sein wird, um sowohl die Daten mit Hilfe von künstlicher Intelligenz zu analysieren oder aber um die Verträge zu archivieren.

# 4. Wird eine QES benötigt oder reicht bereits eine AES?

In einigen Ländern ist die QES für bestimmte Verträge oder Vereinbarungen eine Voraussetzung. Es gibt aber auch Länder wie z. B. in Belgien, die über eine eigene staatlich geförderte QES-Methode verfügt.

Das hängt damit zusammen, dass Belgien auch eine eigene eID-Signaturmethode (elektronische Identifizierung) ins Leben gerufen hat. Die eID-Karte ist in Belgien unentbehrlich und beinhaltet zwei Zertifikate: ein Zertifikat zur Authentifizierung und ein Zertifikat für die elektronische Unterschrift. Die eID-Karte ermöglicht es den Inhabern, Dokumente mit Hilfe einer dritten Partei elektronisch zu unterzeichnen – das Ergebnis ist eine QES-Signatur. Sie hat die gleiche Rechtsgültigkeit wie die traditionelle handschriftliche Unterschrift.

Einfach ausgedrückt: Wenn die Kosten oder das Risiko, dass ein Problem auftritt für Sie und Ihre Kunden hoch sind, dann benötigen Sie eine qualifizierte elektronische Signatur. Die Wahrscheinlichkeit dafür sollten Sie selber abschätzen:

  • Sie sind sich unsicher – kennen Sie die Identität des Unterzeichners? Falls Sie die wahre Identität nicht kennen, sollten Sie überlegen ob es in Ihrem Unternehmen Bereiche gibt, die in diesem Fall anfällig für Betrug sind.
  • Auswirkungen einer solchen Unsicherheit- kann ein solcher Fall zu Geldwäsche oder anderen illegale Aktivitäten führen, die sich sowohl auf Ihr Unternehmen als auch auf Ihre Kunden auswirken?

Es gibt allerdings viele Länder in Europa, die über keine Methode zur Erstellung einer QES-Methode verfügen und auch davon ausgehen, dass sie keine benötigen. In diesen Fällen sind fortgeschrittene elektronische Signaturen (AES) ausreichend.

# 5. Wie ist QES geregelt?

Qualifizierte elektronische Signaturen werden durch die eIDAS (Electronic Identification, Authentication and Trust Services) geregelt. Diese Verordnung legt die EU-Vorschriften für elektronische Transaktionen im Binnenmarkt fest.

Somit definiert die eIDAS die Vertrauensdienste zur Unterstützung von elektronischen Signaturen, elektronischen Siegeln, elektronischen Zeitstempeln, elektronisch registrierten Zustelldiensten und Website-Authentifizierung. Diese Verordnung bietet einen gemeinsamen Rechtsrahmen für alle Parteien, die auf diese Arten von Dienstleistungen angewiesen sind und/oder sie anbieten.

Dadurch wird es für Sie und Ihre Kunden wesentlich einfacher, sichere digitale Transaktionen in Ihrem eigenen Land und in den Mitgliedstaaten der Europäischen Union (EU) durchzuführen.

# 6. QES - das höchste Maß an Sicherheit!

Nach den Vorgaben der eIDAS hat eine QES den höchsten Wert eines Identitätsnachweises. Diese Signatur wird von qualifizierten Vertrauensdienstleistern (QTSP) erstellt. Eine QES benötigt im Streitfall keine zusätzlichen Beweise.

Eine QES dient als digitales Äquivalent zu einer handschriftlichen Unterschrift. Wenn diese vor Gericht als Beweismittel verwendet wird, ist es nicht leicht sie anzufechten, da ein hoher Grad von Unleugbarkeit vorliegt. Das bedeutet, dass der Unterzeichner nicht leugnen kann, dass er für die Erstellung der Signatur verantwortlich ist. Andere Formen elektronischer Signaturen benötigen im Streitfall unter Umständen weitere Informationen oder unterstützende Dokumente.

# 7. Manipulation geschäftskritischer Informationen – nicht mit QES!

Ein QES ist dadurch sicher, dass der eigentliche Signaturprozess in der Regel mit Hilfe einer dedizierten Hardware erfolgt - auch wenn die Signatur später über ein Netzwerk verteilt wird.

Diese dedizierte Hardware wird als Qualified Signature Creation Device (QSCD) bezeichnet und ist eine spezifische, komplexe Hardware, die zur Erstellung einer QES verwendet wird. Das Gerät muss die unter der eIDAS festgelegten Anforderungen erfüllen.

Diese sind im Folgenden aufgelistet:

  • Der Unterzeichner muss mit der Unterschrift verknüpft und eindeutig identifiziert werden.
  • Die zur Erstellung der Signatur verwendeten Daten dürfen nur unter der Kontrolle des Unterzeichners stehen.
  • Die QSCD muss in der Lage sein erkennen zu können, ob die mit der Signatur verknüpften Daten seit der Unterzeichnung des Dokumentes manipuliert wurden.

Außerdem muss die Möglichkeit bestehen einen elektronischen Zeitstempel hinzuzufügen. Jeder kann genau jetzt auf seine Uhr schauen und die Zeit ablesen. Viel schwieriger ist es einer zurückliegenden Zeitangabe zu vertrauen, die bereits in ein unterzeichnetes Dokument eingebettet wurde. Stimmt die Zeitangabe auch wirklich, an dem das Dokument unterzeichnet wurde?

Wenn ein Zeitstempel von einem QTSP hinzugefügt wird, garantiert er, dass das Dokument wirklich zu einem bestimmten Zeitpunkt signiert wurde. So wie eine Signatur Auskunft darüber gibt, wer das Dokument signiert hat, gibt ein Zeitstempel Auskunft darüber, wann es signiert wurde.

Sie wollen sicherlich kein Geschäft abschließen, bei dem Sie die Unterlagen komplett unterschrieben und zugestellt bekommen haben, aber dann festzustellen müssen, dass Sie kein Mittel haben es rechtlich durchzusetzen. Aus diesem Grund sollten Sie beim Abschluss wichtiger Vereinbarungen immer auf Anbieter von elektronischen Vertrauensdiensten (TSPs) zurückgreifen, die im Rahmen der EU-Verordnungen tätig sind.

Zu Ihrer Beruhigung und für ein absolutes Höchstmaß an Sicherheit sollte ein qualifizierter Trust Service Provider (QTSP) eingebunden werden.

Wenn Sie zu dem Thema gerne weitere Informationen hätten, dann lesen Sie weiterhin unseren Blog oder sprechen Sie uns an unter (Kurt.Rindle@signicat.com) oder info.de@signicat.com