eIDAS 2 vs eIDAS 1: Schlüsselveränderungen für KMU

Einleitung: Warum eIDAS 2 für KMU alles ändert

Seit dem 20. Mai 2024 ist die Verordnung (EU) 2024/1183 — allgemein bekannt als eIDAS 2 — in Kraft getreten und hebt die Verordnung (EU) Nr. 910/2014 (eIDAS 1) progressiv auf und ersetzt sie. Für französische KMU ist dieser Wechsel keine bloße administrative Aktualisierung: er definiert die Stufen des digitalen Vertrauens neu, führt eine europäische Identitätsgeldbörse (EUDIW) ein, verschärft die Anforderungen an Anbieter von Vertrauensdiensten und erweitert den Katalog der anerkannten Dienstleistungen. Dieser Artikel vergleicht eIDAS 1 und eIDAS 2 punkt für punkt, identifiziert die konkreten operativen Auswirkungen für kleine und mittlere Unternehmen und gibt Ihnen einen Aktionsplan für die Einhaltung 2026.

---

1. Rückblick: Das, was eIDAS 1 (2014-2024) etablierte

1.1 Die Grundlagen der ursprünglichen Verordnung

Im Juli 2014 verabschiedet und seit September 2016 anwendbar, setzte eIDAS 1 die ersten Meilensteine eines europäischen digitalen Vertrauensraums. Sie führte drei große Kategorien von elektronischen Signaturen ein — einfach (SES), fortgeschritten (AdES) und qualifiziert (QES) — und schuf die Liste der vertrauenswürdigen qualifizierten Anbieter (Trusted List), abrufbar auf dem Portal der Europäischen Kommission.

Für KMU war der Hauptvorteil von eIDAS 1 die grenzüberschreitende Anerkennung qualifizierter Signaturen: Ein mit einer französischen QES unterzeichneter Vertrag wurde rechtlich in Deutschland, Spanien oder Italien ohne Beglaubigung oder weitere Formalität anerkannt. Dieses Prinzip — sogenannte „Nichtdiskriminierung" — war die Grundlage, auf der SaaS-Angebote wie Certyneo ihre Dienste aufgebaut haben.

1.2 Die identifizierten Mängel

Trotz ihrer Fortschritte litt eIDAS 1 unter mehreren Lücken, die die Europäische Kommission in ihrem Bewertungsbericht 2021 dokumentiert hat:

• Fragmentierung der Identitätsschemas: Nur die Mitgliedstaaten, die ihr nationales Schema mitgeteilt hatten (wie FranceConnect+ auf substantiellem Niveau), profitierten von gegenseitiger Anerkennung. 2023 hatten nur 14 von 27 Staaten ein konformes Schema mitgeteilt.
• Fehlerhafte native Mobile-Unterstützung: Das qualifizierte Gerät zur Erstellung von Signaturen (QSCD) erforderte oft eine Chipkarte oder einen physischen Token, was die mobile Nutzung behinderte.
• Begrenzte Vertrauensdienste: eIDAS 1 listete neun Arten qualifizierter Dienste auf; neue Nutzungen (qualifizierte elektronische Archivierung, Attributsverwaltung) waren nicht geregelt.
• Keine einheitliche Identitätsgeldbörse: Jeder Bürger oder jedes Unternehmen verwaltete seine Identifizierungsdaten isoliert ohne garantierte Interoperabilität.

Diese Einschränkungen führten die Kommission dazu, die Überprüfung 2020 einzuleiten, was nach dreijähriger Triloggespräch zur Verordnung eIDAS 2 führte.

---

2. Die fünf großen Neuerungen von eIDAS 2 für KMU

2.1 Die europäische digitale Identitätsgeldbörse (EU Digital Identity Wallet — EUDIW)

Dies ist die sichtbarste Neuerung der Verordnung. Bis November 2026 (in Artikel 5a festgelegter Transpositionsfrist) muss jeder Mitgliedstaat seinen Bürgern und Einwohnern mindestens eine zertifizierte digitale Identitätsgeldbörse anbieten. Für KMU hat diese Entwicklung zwei direkte Folgen:

1. Vereinfachte Authentifizierung von Kunden und Partnern: Die Geldbörse ermöglicht es, verifizierte Attribute (Alter, innergemeinschaftliche Umsatzsteuer-Identifikationsnummer, Kbis-Auszug, zertifizierte Bankdaten) ohne Reibereien freizugeben. Ein Rahmenvertrag mit einem deutschen Partner kann nach sofortiger Verifizierung seiner beruflichen Attribute aus seiner EUDIW unterzeichnet werden.
2. Annahmeverpflichtung für bestimmte Branchen: Online-Dienste großer Plattformen (Artikel 45bis) und bestimmte öffentliche Dienste müssen EUDIW als Authentifizierungsmittel akzeptieren. KMU, die B2B-Portale betreiben, müssen ihre Authentifizierungs-APIs anpassen.

2.2 Erweiterung des Katalogs der qualifizierten Vertrauensdienste

eIDAS 2 erweitert den Katalog der qualifizierten Vertrauensdienste von 9 auf 14 Kategorien. Die neuen Einträge, die direkt KMU betreffen, sind:

• Qualifizierte elektronische Archivierung (Art. 45septies): Langzeitaufbewahrung mit erhöhtem Beweiswert. Bisher stützte sich die Archivierung mit Beweiswert auf nationale Referenzen (in Frankreich das SIAF/ANSSI-Referenzsystem); eIDAS 2 harmonisiert den europäischen Rahmen.
• Fernverwaltung qualifizierter Signaturgenerierungsgeräte (RQSCD): Jetzt ausdrücklich geregelt, behebt sie die Unklarheiten, die auf Cloud-Lösungen für qualifizierte Signaturen wiegten. Für ein KMU mit 50 Mitarbeitern bedeutet dies Zugang zu einer qualifizierten Signatur ohne physischen Token von jedem Gerät aus.
• Service des qualifizierten elektronischen Registers: Register, die auf Blockchain oder verteilten Ledger-Technologien basieren, können jetzt den Status eines qualifizierten Dienstes erhalten und neue Modelle der Vertragsverwaltung ermöglichen.

Für weitere Informationen zu Signaturstufen und ihrem Rechtswert lesen Sie unseren umfassenden Leitfaden zur elektronischen Signatur.

2.3 Verstärkte Sicherheitsanforderungen für qualifizierte Anbieter (QTSP)

eIDAS 2 verschärft die Verpflichtungen der Anbieter qualifizierter Vertrauensdienste (QTSP). Der überarbeitete Artikel 24 schreibt insbesondere vor:

• Eine Cybersicherheitszertifizierung konform zum europäischen Rahmen (EU Cybersecurity Act, Verordnung 2019/881) mit von der ENISA entwickelten Branchenschemas.
• Verstärkte Anforderungen an operative Belastbarkeit: QTSPs müssen jetzt ihren Business-Continuity-Plan dokumentieren und ihrer nationalen Aufsichtsbehörde einreichen (in Frankreich die ANSSI für qualifizierte Anbieter).
• Eine Verpflichtung zur Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden (Angleichung an NIS 2).

Für KMU als Nutzer bedeutet dies eine verstärkte Sorgfaltspflicht bei der Wahl des Anbieters: Die Überprüfung, dass Ihre Signaturnlösung auf der aktualisierten europäischen Trusted List aufgeführt ist, ist jetzt ein kritischer Schritt Ihres Einkaufsprozesses. Unser Vergleich von Lösungen für elektronische Signaturen kann Sie in dieser Analyse unterstützen.

2.4 Obligatorische Interoperabilität der Identitätsschemas

Während eIDAS 1 den Mitgliedstaaten die Freiheit ließ, ihre Schemas zu melden (oder nicht), macht eIDAS 2 die Meldung und Interoperabilität obligatorisch für Identitätsschemas, die in Online-Diensten des öffentlichen Sektors verwendet werden (Art. 5). France Identité — das nationale Schema, das vom Ministerium des Inneren vorangetrieben wird — wird gerade so angepasst, dass es den technischen Spezifikationen der EUDIW entspricht, die von der Kommission in der Durchführungsverordnung (EU) 2024/2977 veröffentlicht wurden.

Für ein KMU, das regelmäßig mit öffentlichen Verwaltungen interagiert (öffentliche Ausschreibungen, elektronische Steuererklärungen, Zollverfahren), bedeutet diese Entwicklung, dass Online-Verfahren progressiv um eine eindeutige und in der gesamten EU anerkannte digitale Identität vereinheitlicht werden.

2.5 Neue Haftungs- und Aufsichtsregeln

eIDAS 2 präzisiert und erweitert die Haftungsregeln der Anbieter (überarbeiteter Art. 13). Ein QTSP haftet jetzt vermutungsweise für jeden Schaden, der einer natürlichen oder juristischen Person durch die Verletzung seiner Pflichten entsteht, es sei denn, er weist die Abwesenheit von Verschulden nach. Diese gegenüber eIDAS 1 verschärfte Haftungsvermutung sollte KMU dazu veranlassen:

• Die Zusagen ihres Anbieters vertraglich formalisieren (SLA, Verfügbarkeitszusagen, Entschädigung).
• Die berufliche Haftpflichtversicherung des QTSP überprüfen.
• Nachweise von Audits der unterzeichneten Transaktionen aufbewahren (Zeitstempel-Journale, Verifizierungsberichte).

Unsere Teams haben einen detaillierten Leitfaden zur elektronischen Signatur in Unternehmen verfasst, der diese Vertragsaspekte behandelt.

---

3. Vergleichstabelle eIDAS 1 vs. eIDAS 2: Was sich konkret ändert

3.1 Zusammenfassung der Hauptveränderungen

| Kriterium | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Identitätsgeldbörse | Abwesend | EUDIW obligatorisch (Mitgliedstaaten) | | Qualifizierte Dienste | 9 Kategorien | 14 Kategorien (Archivierung, RQSCD, Register…) | | Schemameldung | Fakultativ | Obligatorisch für öffentliche Dienste | | QTSP-Sicherheit | Common Criteria | Cybersecurity Act + ENISA-Schemen | | QTSP-Haftung | Teilweise | Verstärkte Haftungsvermutung | | Vorfallmeldungsfrist | Nicht angegeben | 24 Stunden (Angleichung an NIS 2) | | Mobiles QSCD | Rechtliche Unklarheit | RQSCD ausdrücklich geregelt |

3.2 Die wichtigsten Termine für 2026

• Mai 2024: Inkrafttreten der Verordnung (EU) 2024/1183.
• November 2026: Frist für jeden Mitgliedstaat, mindestens eine zertifizierte EUDIW-Lösung anzubieten.
• 2027: Verpflichtung für große Plattformen (Art. 45bis), EUDIW als Authentifizierungsmittel zu akzeptieren.
• 2028: Geplante Überprüfung der technischen Durchführungsbestimmungen (delegierte Verordnungen zu EUDIW-Spezifikationen).

Wenn Ihr KMU einen Wechsel zu einer konformerenLösung erwägt, beinhaltet unser Angebot zur Migration zu Certyneo ein kostenloses eIDAS-2-Konformitätsaudit.

---

4. Praktischer Aktionsplan für die Konformität Ihres KMU mit eIDAS 2

4.1 Auditing Ihrer bestehenden Dokumentenflüsse

Beginnen Sie mit der Kartierung aller Prozesse, in denen Sie derzeit elektronische Signaturen oder digitale Identität verwenden: Lieferantenverträge, elektronische Lohnlisten, SEPA-Mandate, Vertraulichkeitsvereinbarungen, HR-Akte. Für jeden Fluss identifizieren Sie:

• Die verwendete Signaturstufe (SES, AdES, QES).
• Den aktuellen Anbieter und seinen Status auf der Trusted List.
• Das rechtliche Risiko im Falle von Bestritten.

Dieses Audit ist der empfohlene Ausgangspunkt der ANSSI in ihrem im März 2025 veröffentlichten Konformitätsleitfaden.

4.2 Upgrade Ihrer Signaturnlösung

Wenn Ihr aktueller Anbieter nicht auf der eIDAS-2-Trusted-List aufgeführt ist oder RQSCD noch nicht anbietet, ist es Zeit, Marktangebote zu vergleichen. Certyneo ist ein zertifizierter QTSP, der alle drei Signaturstufen (SES, AdES, QES) unterstützt und nativ die neuen eIDAS-2-Anforderungen integriert, insbesondere qualifizierte Archivierung und Fernverwaltung von Geräten.

4.3 Schulung Ihrer Teams und Aktualisierung Ihrer Verträge

eIDAS 2 stärkt den Beweiswert qualifizierter Signaturen, legt aber auch bewährte dokumentarische Verfahren fest. Stellen Sie sicher, dass Ihre Rechts- und Verwaltungsteams:

• Die drei Signaturstufen und ihren jeweiligen Rechtswert unterscheiden können.
• In Lieferantenverträgen eine eIDAS-Konformitätsprüfungsklausel einbinden.
• Nachweise der Signaturverifizierung (Validierungsbericht, qualifizierter Zeitstempel) für die geltende Aufbewahrungsdauer aufbewahren (3 bis 10 Jahre je nach Art der Urkunde).

Um diesen Ansatz zu strukturieren, ermöglicht unser ROI-Rechner für elektronische Signaturen Ihnen, die Betriebsgewinne durch das Upgrade zu quantifizieren.

Anwendbarer rechtlicher Rahmen

Referenztexte

Die eIDAS-2-Konformität für ein französisches KMU fällt unter einen normativen Stapel, den zu beherrschen essentiell ist.

Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates (sogenannte „eIDAS 2"): Dies ist der Gründungstext, veröffentlicht im ABl. am 30. April 2024. Sie hebt die Verordnung (EU) Nr. 910/2014 auf und ersetzt sie nach einem Ausrollungsplan bis 2027. Sie hat direkte Anwendung in allen Mitgliedstaaten ohne Notwendigkeit einer nationalen Legislativumsetzung für ihre Hauptbestimmungen.

Verordnung (EU) Nr. 910/2014 (eIDAS 1): Einige ihrer Bestimmungen bleiben während der in eIDAS 2 vorgesehenen Übergangsphasen anwendbar, insbesondere für qualifizierte Anbieter, die ihre Qualifizierung vor Mai 2024 erhalten haben und Zeit zur Rezertifizierung haben.

Französisches BGB, Artikel 1366 und 1367: Artikel 1366 setzt das Prinzip der Gleichwertigkeit zwischen elektronischem und Papierschriftstücken fest, unter der Voraussetzung, dass „die Person, von der es herrührt, ordnungsgemäß identifiziert werden kann und dass es unter Bedingungen etabliert und aufbewahrt wird, die seine Integrität gewährleisten". Artikel 1367 erkennt die elektronische Signatur als Beweismittel an und verweist auf die durch Dekret des Conseil d'État festgelegten Bedingungen (Dekret nr. 2017-1416 vom 28. September 2017, kodifiziert in Artikeln R. 1369-1 bis R. 1369-10 des BGB).

Verordnung (EU) 2016/679 (DSGVO): Die Einführung der EUDIW und die Verarbeitung von Identitätsattributen in elektronischen Signaturnflüssen stellen Verarbeitungen personenbezogener Daten im Sinne der DSGVO dar. KMU müssen sicherstellen, dass ihr QTSP als Auftragsverarbeiter gemäß Artikel 28 DSGVO handelt, mit einem konformen DPA (Data Processing Agreement). Die CNIL hat im Januar 2026 eine spezifische Empfehlung zur EUDIW-DSGVO-Integration veröffentlicht.

Richtlinie (EU) 2022/2555 (NIS 2): eIDAS 2 harmonisiert sich ausdrücklich mit NIS 2 bei Vorfallmeldungsverpflichtungen (Art. 24, §2 eIDAS 2 verweist auf NIS-2-Bestimmungen). QTSPs gelten als „wesentliche" oder „wichtige" Entitäten im Sinne von NIS 2 je nach Größe und unterliegen insofern regelmäßigen Sicherheitsaudits.

ETSI-Normen: Qualifizierte elektronische Signaturen müssen die ETSI-Normen EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) und ETSI EN 319 102-1 (Validierungsverfahren) erfüllen. Die Norm ETSI TS 119 461 regelt die Fernverifizierung von Identität (IDV), besonders relevant für RQSCD.

Rechtliche Risiken bei Nichtkonformität

Die Verwendung einer nicht mit eIDAS 2 konformen elektronischen Signaturnlösung setzt das KMU mehreren Risiken aus:

• Unzulässigkeit vor Gericht: Ein Richter kann eine elektronische Signatur ablehnen, deren Stufe dem unterzeichneten Akt nicht entspricht (z.B. einfache Signatur für einen Akt, der eine fortgeschrittene oder qualifizierte Stufe erfordert).
• Vertragliche Haftung: Wird ein Vertrag von einem Partner aufgrund der Signaturungültigkeit angefochten, kann das KMU Schadensersatzforderungen ausgesetzt sein.
• DSGVO-Sanktionen: Bei einem Datenverstoß aufgrund eines Sicherheitsmangels des Anbieters kann das KMU als Co-Verantwortlicher oder Verantwortlicher für die Verarbeitung von der CNIL mit bis zu 4 % des weltweiten jährlichen Umsatzes (Art. 83 §4 DSGVO) sanktioniert werden.

Konkrete Nutzungsszenarien

Szenario 1: Ein metallverarbeitendes KMU mit 80 Mitarbeitern, das jährlich 400 Lieferantenverträge verwaltet

Ein KMU im Metallsektor, das etwa 400 Lieferantenverträge jährlich handhabt, nutzte bis 2024 eine einfache elektronische Signaturnlösung (SES) für alle seine Verpflichtungen, einschließlich Rahmenverträge über 50.000 € hinaus. Nach eIDAS-2-Konformitätsprüfung stellte es fest, dass 35 % seiner Verträge eine fortgeschrittene oder qualifizierte Signatur benötigen, um einer Anfechtung standzuhalten, insbesondere mit Lieferanten in anderen EU-Mitgliedstaaten.

Durch Migration zu einer Lösung, die fortgeschrittene Signaturen (AdES) für Standardverträge und qualifizierte (QES) für Rahmenverträge kombiniert, und durch Aktivierung qualifizierter elektronischer Archivierung (neuer eIDAS-2-Dienst), reduzierte dieses KMU um 70 % die Zeit für Post-Signature-Dokumentenverwaltung (Klassifizierung, Suche, beglaubigte Kopien) und senkte Litigationen über Signaturbestreitungen auf null in den folgenden 18 Monaten, gegenüber zwei Vorfällen in den vorherigen 18 Monaten.

Szenario 2: Eine Anwaltskanzlei mit 15 Mitarbeitern

Eine auf Wirtschaftsrecht spezialisierte Kanzlei, die jährlich durchschnittlich 1.200 unterzeichnete Dokumente ausgibt (Aufträge, Mandate, Vertraulichkeitsvereinbarungen), sah sich wachsender Kundennachfrage nach EU-weit anerkannten qualifizierten Signaturen gegenüber. Unter eIDAS 1 erforderte die Erlangung eines qualifizierten Zertifikats ein persönliches Treffen oder eine lange Videobestätigung (45 bis 90 Minuten pro Benutzer).

Dank RQSCD (Remote Qualified Signature Creation Device), das von eIDAS 2 geregelt wird, konnte die Kanzlei die qualifizierte Signatur für alle ihre Mitarbeiter in weniger als zwei Wochen durch ein 100 % ferngesteuertes Registrierungsverfahren konform zu ETSI TS 119 461 implementieren. Die interne Adoptionsrate stieg von 40 % auf 95 % in drei Monaten, und die durchschnittliche Rücklaufzeit für unterzeichnete Dokumente sank von 4,2 Tagen auf weniger als 6 Stunden nach internen Messungen der Kanzlei.

Szenario 3: Ein E-Commerce-KMU, das in drei EU-Ländern tätig ist

Ein Online-Verkaufsunternehmen mit 35 Mitarbeitern und Aktivitäten in Frankreich, Belgien und den Niederlanden musste drei Arten von elektronischen Vereinbarungen verwalten: Arbeitsverträge für seine lokalen Mitarbeiter, Partnerschaftsvereinbarungen mit Transportunternehmen und SEPA-Mandate für seine gewerblichen Kunden. Die Fragmentierung nationaler Anforderungen unter eIDAS 1 zwang es, drei unterschiedliche Signatur-Workflows aufrechtzuerhalten, mit geschätzten Verwaltungskosten von etwa 12.000 € pro Jahr.

Die Einführung einer einzigen eIDAS-2-konformen Lösung — mit gegenseitiger Anerkennung qualifizierter Signaturen in alle drei Ländern — ermöglichte es, Workflows zu vereinheitlichen, Verwaltungskosten auf etwa 4.500 € pro Jahr zu senken (Einsparung von 62 %) und Verzögerungen durch manuelle Validierung ausländischer Signaturen durch die Rechtsabteilung zu eliminieren.

Schlussfolgerung

eIDAS 2 ist keine bloße kosmetische Überarbeitungdes Regelwerks: Sie definiert die Regeln des europäischen Vertrauensspiel grundlegend neu. Für französische KMU stellen die fünf Hauptentwicklungen — EUDIW-Geldbörse, Erweiterung qualifizierter Dienste, RQSCD, obligatorische Interoperabilität und verstärkte Haftung — sowohl eine Konformitätsverpflichtung als auch eine Gelegenheit dar, ihre Dokumentartransformation zu beschleunigen.

KMU, die diese Veränderungen bereits heute antizipieren, werden einen echten Wettbewerbsvorteil genießen: europaweit anerkannte Verträge ohne Reibung, in die Archivierung integrierter Beweiswert und vollständig digitalisierte und sichere Signaturnprozesse.

Certyneo ist konzipiert, diesen Übergang zu begleiten. Starten Sie Ihre kostenlose Testphase auf certyneo.com und profitieren Sie von einem kostenlosen eIDAS-2-Konformitätsaudit für Ihre bestehenden Dokumentenflüsse.