eIDAS-Compliance für KMU: Die vollständige Checkliste 2026

Die europäische Verordnung eIDAS (EU Nr. 910/2014, bald geändert durch eIDAS 2.0) regelt die elektronische Signatur in der gesamten Europäischen Union. Für ein KMU ist die Einhaltung nicht nur ein Kontrollkästchen: Sie garantiert, dass seine Verträge bindend sind, dass seine Signaturdaten geschützt sind, und dass es sich gegen Rechtsrisiken absichert, die teuer werden können. Hier ist die 2026er-Checkliste mit 12 konkreten Punkten, um sicherzustellen, dass Ihr KMU vollständig eIDAS-konform ist.

Punkt 1: Die richtige Signaturebene wählen

Erstes Vorgehen: Erstellen Sie eine Übersicht über Ihre Vertragstypen und ordnen Sie jedem eine Zielebene zu. Standard-Geschäftsverträge (Angebote, Bestellscheine, einfache NDAs): SES reicht aus. Arbeitsverträge, Mietverträge, sensible NDAs, strategische Vereinbarungen: AES mindestens, vorzugsweise mit OTP-SMS. Behördlich geregelte Akte (Anwalt, Notar, öffentliche Aufträge über einem bestimmten Schwellenwert): QES obligatorisch. Ohne diese Übersicht riskieren Sie Unterkapazität (Vertrag wird abgelehnt) oder Überkapazität (übermäßige Kosten).

Punkt 2: Qualifikation des Dienstleisters überprüfen

Ihr Dienstleister muss ein vertrauenswürdiger Diensteanbieter (QTSP) sein oder sich auf einen QTSP für die Ebenen AES/QES stützen. Konsultieren Sie die von der ANSSI veröffentlichte Trust Services List (eidas.ssi.gouv.fr) und die europäische Trusted List (webgate.ec.europa.eu/tl-browser). Die französischen Referenz-QTSPs: Certigna, Docaposte, Certinomis, Universign. Überprüfen Sie für SES/AES über Plattformen (Certyneo, Yousign usw.) deren explizit dokumentierte eIDAS-Konformität.

Punkt 3: Audit-Trail testen

Signieren Sie ein Testpaket und rufen Sie den Audit-Trail ab (normalerweise eine separate PDF). Dieser muss enthalten: Identität und E-Mail des Unterzeichners, Zeitstempel für jeden Schritt (Versand, Öffnung, Validierung, Signatur), IP-Adresse, User Agent, Hash des Dokuments, OTP-Validierung bei AES. Wenn eines dieser Elemente fehlt, ist der Beweiswert gefährdet. Certyneo stellt den vollständigen Audit-Trail auch im kostenlosen Plan zur Verfügung.

Punkt 4: Zeitstempelung kontrollieren

Der Zeitstempel muss von einer RFC 3161-konformen Time Stamp Authority (TSA) ausgestellt sein. Ein Zeitstempel, der einfach vom NTP-Server des Unternehmens stammt, reicht nicht aus. Öffnen Sie die signierte PDF in Adobe Reader: Reiter Signaturen → Details → Zeitstempel. Sie sollten dort ein gültiges TSA-Zertifikat und eine beglaubigte Uhr sehen. Wenn die PDF keinen zertifizierten Zeitstempel hat, überdenken Sie die Wahl des Dienstleisters.

Punkt 5: Mindestens 10 Jahre archivieren

Das Handelsgesetzbuch (Artikel L. 123-22) schreibt eine Aufbewahrung von 10 Jahren für Handelsdokumente vor. Das Arbeitsgesetzbuch schreibt 5 Jahre für Arbeitsverträge nach Beendigung vor. Die Archivierung muss die Integrität (Hash, Versiegelung) und den Zugang bewahren. Ideal: PDF/A-Format (ISO 19005), doppelte Speicherung (primär + externe Sicherung), qualifizierter elektronischer Safe (CFE) für maximale Beweiskraft. Certyneo archiviert standardmäßig 10 Jahre und bietet einen Export zu Partner-CFEs.

Punkt 6: Datenspeicherung überprüfen

Wo werden Ihre Signaturdaten gehostet? Für ein französisches KMU, das sensible Verträge bearbeitet, bevorzugen Sie Hosting in Frankreich oder der EU. Fordern Sie von Ihrem Dienstleister die Liste der Unterauftragnehmer und deren Standorte an (Artikel 28 DSGVO). Vermeiden Sie Lösungen, die dem amerikanischen Cloud Act unterliegen, für strategische Verträge. Certyneo wird in Frankreich gehostet, ohne Cloud-Act-Abhängigkeit. Siehe unseren Artikel über /blog/cloud-act-signature-electronique.

Punkt 7: Mit der DSGVO abstimmen

Signatur und DSGVO sind eng miteinander verbunden: Jedes Paket enthält personenbezogene Daten (Name, E-Mail, IP, Telefon). Stellen Sie sicher, dass Ihr Verarbeitungsregister (Art. 30 DSGVO) die elektronische Signatur enthält, dass die Aufbewahrungsdauern konsistent sind (10 Jahre), und dass die Rechte der Personen umsetzbar sind (Zugang, Berichtigung, Datenportabilität). Wenn Sie viele Signaturen anfordern, wird ein Datenschutzbeauftragter empfohlen. Siehe unseren Artikel /blog/signature-electronique-rgpd.

Punkt 8: Unterzeichner im Voraus identifizieren

Für eine solide AES beginnt die Identifikation nicht bei der Signatur: Sie beginnt bei der Datenerfassung. Überprüfen Sie E-Mails (keine Aliasse, keine Verteilerlisten), Telefonnummern (keine gemeinsam genutzten Leitungen) und dokumentieren Sie die Identifikationsquelle (Ausweisdokument für wichtige Verträge, bestehendes KYC des Kunden für kontinuierliche Verträge). Diese Sorgfaltsprüfung macht die Beweisstärke im Falle eines Streits aus.

Punkt 9: Teams schulen

Ihre Vertriebs-, Personal- und Rechtsabteilungen müssen die Regeln verstehen: Unterzeichner nie zwingen, ein Drittgerät zu nutzen, nie eine geänderte signierte PDF zurückschicken, nie ein Bild einer gescannten Signatur an Stelle einer echten Signatur einfügen. Eine Schulungsstunde pro Abteilung reicht aus, um gute Gewohnheiten zu verankern. Certyneo stellt einen umfassenden Leitfaden zum internen Teilen zur Verfügung (/ressources).

Punkt 10: Verträge des Dienstleisters überprüfen

Die AGBs des Signaturdienstleisters müssen: eIDAS-Konformität zusichern, Archivierungsdauern präzisieren, eine DSGVO-Unterauftragsvereinbarung (Art. 28) enthalten, Unterauftragnehmer dokumentieren, einen Ausstiegsplan vorsehen. Fordern Sie auch SOC 2 Type II oder gleichwertig an, wenn Sie mit großen Mengen arbeiten. Für Certyneo sind diese Dokumente auf /legal und /security verfügbar.

Punkt 11: eIDAS 2.0 und das EUDI Wallet vorbereiten

Die Verordnung eIDAS 2.0 (EU 2024/1183) tritt schrittweise in Kraft und verpflichtet die Mitgliedstaaten, bis Ende 2026 ein EUDI Wallet bereitzustellen. Dieses digitale Identitäts-Wallet wird es insbesondere ermöglichen, ohne physische Registrierungsstelle auf QES zuzugreifen. Bereiten Sie Ihr KMU vor: Überprüfen Sie, dass Ihr Dienstleister eine EUDI-Wallet-Roadmap hat, verfolgen Sie die Mitteilungen der ANSSI und der Europäischen Kommission. Siehe /blog/eidas-2-nouveau-reglement-2026.

Punkt 12: Jährlich prüfen

Compliance ist kein erreichter Status: Es ist ein kontinuierlicher Prozess. Planen Sie eine jährliche Prüfung (intern oder extern), um Folgendes zu überprüfen: behördliche Änderungen, Entwicklungen des Dienstleisters, aktualisierte Vertragstyp-Übersicht, wirksame Aufbewahrung, Schulung neuer Mitarbeiter. Eine leichte Prüfung dauert für ein KMU einen halben Tag und vermeidet viele Überraschungen. Beginnen Sie damit, ein kostenloses Certyneo-Konto auf certyneo.com/signup zu erstellen, um die praktische Compliance zu testen, dann konsultieren Sie unseren eIDAS-Leitfaden, um tiefer einzusteigen (/guide/eidas).