Wie elektronische Signatur 2026 funktioniert

Einführung

Die elektronische Signatur steht heute im Zentrum der digitalen Transformation von Unternehmen: Im Jahr 2025 haben über 70 % der großen europäischen Organisationen sie in mindestens einen Vertragsprozess integriert (Quelle: Gartner, Digital Process Automation Survey 2025). Und doch sind es wenige Entscheidungsträger, die die Mechanismen genau verstehen, die sie rechtlich gültig und technisch fälschungssicher machen. Das Verständnis für wie elektronische Signatur technisch funktioniert — Kryptografie, PKI, Zertifikate — ermöglicht es, die richtige Lösung zu wählen, juristische Risiken zu reduzieren und die interne Adoption zu beschleunigen. Dieser Artikel führt Sie Schritt für Schritt durch die technische Architektur und die Standards, die die elektronische Signatur 2026 regeln.

---

Die kryptografischen Grundlagen der elektronischen Signatur

Die elektronische Signatur basiert auf bewährten kryptografischen Primitiven. Das Verstehen der Mechanismen bedeutet zu verstehen, warum sie zuverlässiger ist als eine digitalisierte handschriftliche Signatur.

Asymmetrische Verschlüsselung: öffentlicher Schlüssel und privater Schlüssel

Das fundamentale Prinzip ist die asymmetrische Kryptografie, die in den 1970er Jahren erfunden und durch Algorithmen wie RSA (Rivest–Shamir–Adleman) oder elliptische Kurven (ECDSA) standardisiert wurde. Jeder Unterzeichner verfügt über zwei mathematisch verbundene Schlüssel:

• Der private Schlüssel: wird geheim vom Unterzeichner gehalten, auf einem sicheren Gerät (Smartcard, HSM-Token oder geschütztes Softwaremodul). Er dient zum Erstellen der Signatur.
• Der öffentliche Schlüssel: wird frei verteilt, in einem digitalen Zertifikat enthalten. Er dient zur Überprüfung der Signatur.

Das Sicherheitsprinzip beruht auf einer rechnerischen Asymmetrie: es ist mathematisch trivial, eine Signatur mit dem öffentlichen Schlüssel zu überprüfen, aber praktisch unmöglich, den privaten Schlüssel aus dem öffentlichen Schlüssel zu rekonstruieren (Problem des diskreten Logarithmus oder der Faktorisierung großer Ganzzahlen).

Hash-Funktionen: der digitale Fingerabdruck des Dokuments

Bevor signiert wird, berechnet das System einen kryptografischen Fingerabdruck des Dokuments mit Hilfe einer Hash-Funktion (SHA-256 oder SHA-3 im Jahr 2026). Dieser Fingerabdruck, auch Hash oder Kondensat genannt, ist eine Zeichenkette fester Größe (256 Bits für SHA-256), die den Dokumenteninhalt eindeutig darstellt.

Wesentliche Eigenschaft: das Ändern eines einzigen Zeichens im Dokument führt zu einem radikal unterschiedlichen Hash. Dies garantiert die Integrität des signierten Dokuments: jede nachträgliche Änderung ist sofort erkennbar.

Die eigentliche elektronische Signatur ist daher die Verschlüsselung dieses Hash mit dem privaten Schlüssel des Unterzeichners. Bei der Überprüfung:

1. Entschlüsselt der Empfänger die Signatur mit dem öffentlichen Schlüssel, um den ursprünglichen Hash zu erhalten;
2. Berechnet er selbst den Hash des empfangenen Dokuments neu;
3. Vergleicht die beiden: sind sie identisch, ist die Signatur gültig.

---

Die Public Key Infrastructure (PKI): die Vertrauenskette

Kryptografie allein ist nicht ausreichend: es muss auch bewiesen werden, dass der öffentliche Schlüssel tatsächlich der Person gehört, die ihn beansprucht. Dies ist die Rolle der PKI (Public Key Infrastructure).

Zertifizierungsstellen (CA)

Eine Zertifizierungsstelle (CA) ist ein akkreditierter vertrauenswürdiger Dritter, der digitale Zertifikate ausstellt. Ein digitales Zertifikat ist eine standardisierte Datei (X.509-Format) mit:

• Die Identität des Inhabers (Name, Organisation, E-Mail);
• Seinen öffentlichen Schlüssel;
• Die Gültigkeitsdauer;
• Die digitale Signatur der CA selbst.

In Europa sind akkreditierte ACs in den Trusted Lists aufgeführt, die von jedem EU-Mitgliedstaat gemäß der eIDAS-Verordnung veröffentlicht werden. In Frankreich veröffentlicht die ANSSI diese Liste. Qualifizierte Vertrauensdienstanbieter (QTSP) — wie CertSign, Certigna oder Universign — unterliegen regelmäßigen Audits gemäß der Norm ETSI EN 319 401.

Zertifikatskette und Widerruf

Die PKI funktioniert nach einem hierarchischen Modell:

• Eine Root-CA (Wurzeli-Zertifizierungsstelle) mit Selbstsignatur, die offline unter maximalen physischen Sicherheitsbedingungen aufbewahrt wird;
• Zwischenzertifizierungsstellen, die Zertifikate für Endbenutzer ausstellen.

Der Widerruf von Zertifikaten ist ein kritischer Mechanismus: Wenn ein privater Schlüssel kompromittiert wird, veröffentlicht die CA seine Invalidität über eine CRL (Certificate Revocation List) oder das OCSP-Protokoll (Online Certificate Status Protocol), was eine Echtzeit-Überprüfung ermöglicht.

Für qualifizierte elektronische Signaturen gemäß eIDAS muss der private Schlüssel in einem QSCD (Qualified Signature Creation Device) — zertifizierter Hardware CC EAL4+ oder höher, wie eine Smartcard oder ein HSM (Hardware Security Module) — generiert und aufbewahrt werden.

---

Die drei Signaturebenen nach eIDAS

Die europäische Verordnung eIDAS Nr. 910/2014 (und ihre Entwicklung eIDAS 2.0 in laufender Umsetzung) definiert drei Signaturebenen, jede mit zunehmenden technischen Garantien. Um diesen Regelungsrahmen zu vertiefen, konsultieren Sie unseren umfassenden Leitfaden zur eIDAS-Verordnung.

Einfache elektronische Signatur (SES)

Die einfache Signatur ist die technisch am wenigsten restriktive Form. Sie kann so einfach sein wie ein Kontrollkästchen, einen OTP-Code (One-Time Password) per SMS oder ein Bild einer handschriftlichen Signatur. Sie erfordert nicht notwendigerweise ein qualifiziertes Zertifikat.

Typische Anwendung: Genehmigung von Angeboten, Marketing-Zustimmungen, Verträge mit geringem Risiko.

Risiko: begrenzte Beweiskraft im Streitfall. Die Beweislast liegt bei dem, der die Signatur geltend macht.

Fortgeschrittene elektronische Signatur (AdES)

Die fortgeschrittene Signatur erfüllt vier genaue technische Anforderungen (Artikel 26 eIDAS):

1. Sie ist eindeutig mit dem Unterzeichner verbunden;
2. Sie ermöglicht die Identifizierung des Unterzeichners;
3. Sie wird mithilfe von Daten erstellt, die sich ausschließlich unter der Kontrolle des Unterzeichners befinden;
4. Sie ermöglicht es, jede nachträgliche Änderung des Dokuments zu erkennen.

In der Praxis bedeutet dies die Verwendung eines persönlichen digitalen Zertifikats und eines robusten Authentifizierungsmechanismus. Die Standard-Formate sind von ETSI definiert: PAdES (für PDF), XAdES (XML), CAdES (Binärdaten) und JAdES (JSON), alle standardisiert in der ETSI EN 319 100 Serie.

Qualifizierte elektronische Signatur (QES)

Die qualifizierte Signatur ist die höchste Ebene. Sie erfordert:

• Ein qualifiziertes Zertifikat von einem akkreditierten eIDAS-QTSP;
• Ein QSCD für die Signaturerstellung.

Sie genießt eine gesetzliche Zuverlässigkeitsvermutung und juristische Gleichwertigkeit mit der handschriftlichen Signatur in der gesamten Europäischen Union (Artikel 25 eIDAS). Dies ist die Stufe, die für elektronische authentische Urkunden, bestimmte notarielle Urkunden oder sensible öffentliche Aufträge erforderlich ist.

Unser Vergleich von Lösungen für elektronische Signaturen analysiert die praktischen Unterschiede zwischen diesen Ebenen, um Ihnen bei der Auswahl zu helfen.

---

Der vollständige Prozess einer elektronischen Signatur Schritt für Schritt

So läuft eine elektronische Signaturvorgabe auf einer SaaS-Plattform wie Certyneo konkret ab:

Schritt 1: Dokumentvorbereitung und -versand

Der Signaturinitiator lädt das Dokument (Vertrag, Änderung, Bestellung) auf die Plattform hoch. Das System generiert sofort einen SHA-256-Hash der Originaldatei, zeitgestempelt und unveränderbar gespeichert. Dieser Fingerabdruck dient als Referenz für jede zukünftige Überprüfung.

Schritt 2: Authentifizierung des Unterzeichners

Je nach gewählter Signaturebene variiert die Authentifizierung:

• SES: E-Mail + Signaturlink;
• AdES: Starke Authentifizierung (OTP-SMS, mobile FIDO2-Anwendung);
• QES: vorherige Identitätsüberprüfung (persönlich oder per Video-IDV), Ausstellung eines qualifizierten Zertifikats zur einmaligen oder wiederholten Verwendung.

Schritt 3: Erstellung der kryptografischen Signatur

Der Unterzeichner löst den Signaturakt aus. Die Plattform (oder das QSCD):

1. Berechnet den Hash des Dokuments;
2. Verschlüsselt diesen Hash mit dem privaten Schlüssel des Unterzeichners;
3. Integriert die Signatur und das Zertifikat in das Dokument (im PAdES-LTV-Format für die Langzeiterhaltung signiertes PDF).

Schritt 4: Qualifizierte Zeitstempelung

Ein qualifizierter Zeitstempeldienst (TSA) konform zu RFC 3161 bringt einen kryptografischen Zeitstempel an, der beweist, dass die Signatur zu einem bestimmten Zeitpunkt existierte. Dies schützt vor Datumsfälschung und garantiert Beweiskraft über die Zeit — selbst wenn das Zertifikat des Unterzeichners später abläuft.

Schritt 5: Beweissicheres Archivierung

Das signierte Dokument wird mit seinem vollständigen Audit-Trail archiviert: Identität des Unterzeichners, IP-Adresse, Zeitstempel, Dokumenten-Hash, verwendete Zertifikate. Dieser Beweisdossier ist im Falle eines Rechtsstreits wesentlich. Konforme eIDAS-Lösungen bewahren diese Beweise im PAdES-LTV-Format (Long-Term Validation) auf, das Validierungsdaten enthält, um die Überprüfung Jahre nach der Signatur zu ermöglichen.

Um zu erfahren, wie Sie diesen Prozess in Ihre HR-Workflows integrieren, entdecken Sie unsere Lösung elektronische Signatur für HR und unsere herunterladbaren Vertragsvorlagen.

Anwendbares Rechtsrahmen für elektronische Signatur

Die elektronische Signatur ist in einem mehrstufigen Regelungsrahmen verankert, der das nationale Zivilrecht und das harmonisierte europäische Recht vereint.

Französisches Bürgerliches Gesetzbuch

Artikel 1366 des Bürgerlichen Gesetzbuchs stellt das Grundprinzip auf: „Die elektronische Urkunde hat die gleiche Beweiskraft wie die Urkunde auf Papierträger, vorbehaltlich der Möglichkeit, diejenige Person, von der sie ausgeht, ordnungsgemäß zu identifizieren und dass sie unter Bedingungen erstellt und aufbewahrt wird, die die Wahrung ihrer Integrität garantieren." Artikel 1367 präzisiert, dass die elektronische Signatur „in der Verwendung eines zuverlässigen Verfahrens besteht, das seine Verbindung zur Urkunde, der sie beigefügt ist, garantiert".

Das Dekret Nr. 2017-1416 vom 28. September 2017 definiert die Zuverlässigkeitsvermutung für qualifizierte und fortgeschrittene Signaturen, die eIDAS konform sind.

Verordnung eIDAS Nr. 910/2014

Eckstein des europäischen Rechts des digitalen Vertrauens, legt die Verordnung eIDAS (electronic IDentification, Authentication and trust Services) einen einheitlichen Rechtsrahmen für elektronische Signaturen, elektronische Siegel, qualifizierte Zeitstempelung, empfohlene Versanddienste und Website-Authentifizierungszertifikate fest. Sein Artikel 25, Absatz 2, verleiht der qualifizierten Signatur eine gesetzliche Vermutung der Gleichwertigkeit mit der handschriftlichen Signatur in der gesamten EU.

Die Verordnung eIDAS 2.0 (wird im 1. Quartal 2026 umgesetzt) verstärkt diese Bestimmungen mit der europäischen digitalen Identitätsbrieftasche (EUDIW) und erweitert die Verpflichtungen auf die Finanz- und Gesundheitsdienstmärkte.

ETSI-Normen

Die Signaturformate sind standardisiert durch ETSI:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) definieren die technischen Profile fortgeschrittener und qualifizierter Signaturen;
• ETSI EN 319 421 regelt die Richtlinien für qualifizierte Zeitstempeldienste.

DSGVO und Datenschutz

Die Verarbeitung von Identitätsdaten im Rahmen einer elektronischen Signatur (Name, E-Mail, Biometrie zur Identitätsüberprüfung) unterliegt der DSGVO Nr. 2016/679. Datenverantwortliche müssen: eine Rechtsgrundlage haben (berechtigtes Interesse oder Vertragserfüllung), das Minimierungsprinzip anwenden und Sicherheit durch angemessene technische Maßnahmen gewährleisten (Verschlüsselung, Pseudonymisierung).

NIS2-Richtlinie

Die NIS2-Richtlinie (2022/2555/EU), die seit Oktober 2024 in französisches Recht umgesetzt wurde, stellt höhere Anforderungen an Betreiber wesentlicher Dienste und Anbieter von digitalen Diensten (einschließlich Anbietern elektronischer Signaturen) bezüglich Cybersicherheit, Risikomanagement und Incident-Benachrichtigung innerhalb von 24 Stunden. Die Nichteinhaltung führt zu Sanktionen von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes.

Konkrete Anwendungsszenarien für elektronische Signatur

Szenario 1: eine Wirtschaftskanzlei automatisiert die Signatur von Vollmachten

Eine Wirtschaftskanzlei mit etwa zwölf Mitarbeitern wickelte im Durchschnitt 120 Vollmachten pro Monat ab. Das Papierverfahren erforderte Druck, Postversand oder persönliche Übergabe, gefolgt von der Digitalisierung der zurückgegebenen Dokumente — was eine durchschnittliche Verzögerung von 4,5 Arbeitstagen pro Fall und eine geschätzte Dokumentenverlustrate von 8 % verursachte.

Durch die Einführung einer fortgeschrittenen elektronischen Signatur (AdES) mit OTP-Authentifizierung reduzierte die Kanzlei die Signaturverzögerung auf durchschnittlich weniger als 4 Stunden, senkte die Dokumentenanomalierate auf weniger als 1 % und sparte etwa 2.200 € pro Jahr für Porto und Druck. Der automatisch generierte Audit-Trail vereinfachte auch zwei Vollmachtstreitigkeitsverfahren, indem er einen unwiderlegbaren datierten Beweis lieferte. Entdecken Sie unsere Lösung für Kanzleien.

Szenario 2: ein mittelständisches Industrieunternehmen digitalisiert seine Lieferantenverträge

Ein mittelständisches Industrieunternehmen, das etwa 200 Lieferantenverträge pro Jahr verwaltete (allgemeine Einkaufsbedingungen, Preisänderungen, NDAs), war mit Signaturverzögerungen von über drei Wochen für länderübergreifende Verträge mit Partnern aus Deutschland und Spanien konfrontiert. Die Unterschiede in den Rechtssystemen und das Fehlen gegenseitiger Anerkennung verlangsamten Verhandlungen.

Durch die Einführung einer qualifizierten Signatur (QES), die von einem akkreditierten eIDAS-QTSP ausgestellt wurde und in allen drei Ländern anerkannt ist, profitierte das Unternehmen von automatischer Rechtsanerkennung in allen drei Ländern ohne zusätzliche Legalisierung. Die durchschnittliche Verzögerung für länderübergreifende Signaturen sank von 18 Tagen auf 2,5 Tage. Die elektronische Signatur im Unternehmen erläutert diese Vorteile für Einkaufsteams im Detail.

Szenario 3: ein Krankenhausverbund sichert die informierte Zustimmung von Patienten

Ein Krankenhausverbund mit etwa 800 Betten musste die informierte Zustimmung von Patienten für klinische Forschungsprotokolle einholen. Die Papierverwaltung schuf DSGVO-Konformitätsrisiken (schlecht archivierte Dokumente, keine nachverfolgbaren Daten) und band medizinisches Personal für administrative Aufgaben ein.

Durch die Integration einer einfachen elektronischen Signatur mit SMS-Authentifizierung — ausreichend für Akte ohne qualifizierte Anforderung — automatisierte der Verbund die Erfassung, Archivierung und Nachverfolgung von Zustimmungen. Die Verwaltungszeit pro Patient sank von 12 Minuten auf weniger als 2 Minuten, was etwa 800 Pflegstunden pro Jahr freisetzt. Alle Dokumente werden mit qualifiziertem Zeitstempel archiviert und erfüllen vollständig die CNIL-Anforderungen. Erkunden Sie unsere Signaturlösung für das Gesundheitswesen.

Schlussfolgerung

Das Verständnis, wie elektronische Signatur technisch funktioniert — von asymmetrischer Kryptografie bis zur PKI, von qualifizierten Zertifikaten bis zur beweissicheren Zeitstempelung — ist unerlässlich, um informierte Entscheidungen bei Compliance und operativer Effizienz zu treffen. Die drei eIDAS-Ebenen (einfach, fortgeschritten, qualifiziert) erfüllen unterschiedliche Bedürfnisse, und die Wahl sollte immer von einer Risikoanalyse und der erwarteten Beweiskraft geleitet werden.

Certyneo begleitet Sie bei diesem Übergang mit einer eIDAS-konformen SaaS-Plattform, akkreditierten QTSPs und vereinfachter Integration in Ihre bestehenden Prozesse. Schätzen Sie die potenziellen Gewinne für Ihre Organisation mit unserem ROI-Rechner für elektronische Signaturen, oder beginnen Sie direkt mit der Beratung unserer Angebote und Preise. Compliance und Leistung sind nicht länger Kompromisse.