Transition eIDAS 1 zu eIDAS 2: Auswirkungen auf die Signatur im Jahr 2025

Am 20. Mai 2024 wurde die Verordnung (EU) 2024/1183 — gemeinhin als eIDAS 2 bezeichnet — im Amtsblatt der Europäischen Union veröffentlicht und hob die Verordnung Nr. 910/2014 (eIDAS 1) schrittweise auf. Dieser Text stellt die umfassendste Reform der digitalen Identität und elektronischen Signatur in Europa seit 2016 dar. Für französische Unternehmen, die elektronische Signaturen in ihren vertraglichen Workflows einsetzen, ist der Übergang kein bloße Formalität: Er erfordert technische, rechtliche und organisatorische Anpassungen, deren Horizont sich bis 2026 und darüber hinaus erstreckt. Das Verständnis des Übergangs von eIDAS 1 zu eIDAS 2 und seiner Auswirkungen auf die elektronische Signatur im Jahr 2025 ist daher für Rechts-, IT- und Personalleiter zur Priorität geworden. Dieser Artikel entschlüsselt die grundlegenden Entwicklungen des Regelwerks, den genauen Übergangszeitplan und konkrete Maßnahmen zur Gewährleistung der Compliance.

Was die Verordnung eIDAS 2 grundlegend verändert

Von der Verordnung von 2014 zur Überarbeitung von 2024: Warum eine Überprüfung notwendig war

EIDAS 1 hatte die Grundlagen für die gegenseitige Anerkennung elektronischer Signaturen innerhalb der Union gelegt. Drei hierarchische Ebenen — einfach (SES), fortgeschritten (AdES) und qualifiziert (QES) — strukturierten die Beweiskraft von Signaturen, gestützt auf eine Liste von Vertrauensdienstanbietern (TSL). Doch in zehn Jahren sind zwei große Lücken deutlich geworden.

Erstens galt die ursprüngliche Verordnung im Wesentlichen für Geschäftsbeziehungen mit Behörden (G2B, G2C). Sie schuf keine direkten Verpflichtungen für private Transaktionen (B2B, B2C), ließ eine normative Lücke, die jeder Mitgliedstaat auf unterschiedliche Weise ausfüllte. Zweitens hatte der Aufschwung digitaler Dienste — mobile Anwendungen, Open Banking, Telemedizin — das Fehlen eines tragbaren und interoperablen Identitätssystems auf kontinentaler Ebene offenbart.

EIDAS 2 geht auf diese beiden Herausforderungen ein, indem es das europäische Portefeuille für digitale Identität (EU Digital Identity Wallet, EUDIW) einführt und den Umfang der Vertrauensdienste auf neue Anwendungsfälle ausweitet: qualifizierte elektronische Archivierung, Bescheinigungen qualifizierter Attribute, qualifizierte elektronische Register (einschließlich zertifizierter Blockchain-Anwendungen).

Die neuen Kategorien qualifizierter Vertrauensdienste

Die Verordnung eIDAS 2 erweitert die Liste der qualifizierten Vertrauensdienste (Artikel 3 und überarbeitete Anlage IV). Neben den bereits von eIDAS 1 anerkannten Signaturen, Siegeln und Zeitstempeln sind nun auch folgende qualifiziert:

• Dienste der qualifizierten elektronischen Archivierung (Art. 34 bis): Verpflichtung, die Integrität und Lesbarkeit signierter Dokumente über längere Zeit zu bewahren, mit verstärkten Anforderungen an die Dienstanbieter (QTSP).
• Dienste der Verwaltung qualifizierter Fernsignaturgeräte (QRCD): Verstärkte Regelung von Remote-Signaturen über HSM (Hardware Security Module) in der Cloud.
• Bescheinigungen qualifizierter Attribute: Ein Mechanismus, der es einem Vertrauensdienstanbieter ermöglicht, Attribute einer Entität (z. B. Rechtsanwalt, Arzt) zu bescheinigen, ohne die gesamte Identität preiszugeben.
• Qualifizierte elektronische Register: Anerkennung verteilter Register unter strikten Prüfbarkeits- und Resilienzanforderungen.

Für Benutzer von Lösungen für elektronische Signaturen bedeutet diese Erweiterung, dass sich die auf dem Markt verfügbaren qualifizierten Vertrauensdienste diversifizieren werden, und dass die Auswahlkriterien für einen Dienstanbieter (QTSP) diese neuen Fähigkeiten integrieren müssen.

Das EUDIW: Das Portefeuille für digitale Identität als Infrastruktur der Signatur

Die sichtbarste Innovation von eIDAS 2 bleibt das EUDIW. Jeder Mitgliedstaat muss seinen Bürgern und Einwohnern bis zum 26. November 2026 ein kostenloses, interoperables digitales Identitätsportefeuille zur Verfügung stellen (Übergangsfrist gemäß Artikel 5 bis). Dieses Portefeuille ermöglicht:

• die Authentifizierung des Benutzers mit hohem Sicherheitsniveau (LoA High) ohne Rückgriff auf einen Drittanbieter;
• die elektronische Unterzeichnung von Dokumenten mit qualifiziertem Status (QES) direkt aus dem Wallet;
• die selektive Weitergabe von Identitätsattributen (selective disclosure) unter Beachtung des Minimierungsprinzips der DSGVO.

Für Unternehmen vereinfacht das EUDIW theoretisch die Verfahren zur Identitätsprüfung vor der qualifizierten Signatur und beseitigt die Reibungsverluste der Video-Identifikation oder persönlichen Identifikation. In der Praxis hängt die Auswirkung vom Tempo der nationalen Umsetzung ab — Frankreich hat 2025 ein Pilotprojekt im Rahmen des Programms « France Identité » gestartet.

Genauer Zeitplan für den Übergang von eIDAS 1 zu eIDAS 2

Die zu beachtenden behördlichen Meilensteine

Die Verordnung 2024/1183 ist am 20. Mai 2024 in Kraft getreten, aber ihre Anwendung verläuft schrittweise. Hier sind die wichtigsten Fristen:

| Datum | Ereignis | |------|----------| | 20. Mai 2024 | Veröffentlichung im Amtsblatt, förmliches Inkrafttreten | | 20. November 2024 | Frist von 6 Monaten für die Annahme von Durchführungsakten durch die Kommission (technische Spezifikationen des EUDIW) | | Ende 2025 | Veröffentlichung überarbeiteter ETSI-Normen (EN 319 411-1/2, EN 319 401) mit eIDAS-2-Anforderungen | | 26. Mai 2026 | Frist für die Compliance der Mitgliedstaaten bei neuen Kategorien qualifizierter Dienste | | 26. November 2026 | Obligatorische Bereitstellung des EUDIW durch jeden Mitgliedstaat | | 2027-2028 | Vollständige Überprüfung der nationalen Vertrauenslisten (TSL) und Akkreditierung neuer QTSP |

EIDAS 1 bleibt gültig und Signaturen, die unter seinem Regime ausgestellt wurden, behalten ihre volle Rechtsgültigkeit. Es gibt keine Verpflichtung, bestehende Dokumente erneut zu unterzeichnen. Allerdings müssen sich qualifizierte Vertrauensdienstanbieter bis 2027 einer neuen Akkreditierung gemäß den neuen technischen Normen unterziehen.

Was sich nicht ändert und worauf zu achten ist

Kontinuität ist ein Kardinalsprinzip des Übergangs. Die drei Ebenen der Signatur (SES, AdES, QES) werden mit ihren unveränderten Definitionen beibehalten. Die Vermutung der Gleichwertigkeit mit einer handschriftlichen Signatur, die an die QES gebunden ist (Artikel 25 eIDAS 1, wiederholt in Artikel 27 eIDAS 2), bleibt in Kraft. Die Beweiskraft Ihrer aktuellen elektronischen Signaturen wird nicht in Frage gestellt.

Worauf jedoch zu achten ist: Die Durchführungsakte der Europäischen Kommission im Laufe von 2025-2026 legen die genauen technischen Spezifikationen des EUDIW und der neuen Dienstkategorien fest. Diese Texte der Stufe 2 haben erhebliche praktische Bedeutung für Integratoren und Softwareanbieter. Für Unternehmen, die elektronische Signaturen in ihren Personalwesen- oder Rechtsprozessen einsetzen, wird empfohlen, von seinem Dienstanbieter einen eIDAS-2-Compliance-Fahrplan anzufordern.

Konkrete Auswirkungen auf Unternehmen und deren Signaturlösungen

Welche Workflows sind in erster Linie betroffen?

Der Übergang von eIDAS 1 zu eIDAS 2 hat je nach Art der verwendeten Signatur unterschiedliche Auswirkungen. Für Unternehmen lassen sich drei Situationen unterscheiden:

Einfache elektronische Signatur (SES): wird für Änderungen mit geringem Wert, Empfangsbestätigungen, interne Formulare verwendet. Keine unmittelbare Verpflichtung zu Updates. Die Beweisregeln richten sich nach dem Zivilgesetzbuch (Art. 1366-1367) und nicht direkt nach eIDAS.

Fortgeschrittene elektronische Signatur (AdES/AdESQC): Unternehmen, die B2B-Lösungen für Handelsverträge, dematerialisierte Arbeitsverträge oder Immobilienakte verwenden, müssen überprüfen, ob ihr Dienstanbieter die Compliance mit den ETSI-Normen EN 319 132 (XAdES), EN 319 122 (CAdES) und EN 319 142 (PAdES) in ihren überarbeiteten Versionen für eIDAS 2 aufrechterhält. Diese Normen werden von der ETSI bis Ende 2025 veröffentlicht.

Qualifizierte elektronische Signatur (QES): Qualifizierte Dienstanbieter (QTSP) müssen sich einer neuen eIDAS-2-Akkreditierung unterziehen. Die Übergangsfrist bietet einen angemessenen Puffer (bis 2027), aber Ausschreibungen, die ab 2025 eingeleitet werden, sollten eine eIDAS-2-Compliance-Klausel in den Auswahlkriterien enthalten. Für Organisationen, die verfügbare Optionen vergleichen, ermöglicht der Vergleich der Lösungen für elektronische Signaturen die Bewertung der Reife von Anbietern zu diesem Thema.

Neue Anforderungen an qualifizierte Vertrauensdienstanbieter (QTSP)

EIDAS 2 verschärft die Anforderungen an QTSP auf drei Hauptpunkten:

1. Systemsicherheit: obligatorische Ausrichtung auf NIS2 (Richtlinie (EU) 2022/2555) für QTSP, nun als essenzielle Einrichtungen klassifiziert. Dies führt zu Verpflichtungen zur Meldung von Sicherheitsverstößen innerhalb von 24 Stunden, jährlichen Sicherheitsprüfungen und zur Implementierung von Geschäftskontinuitätsplänen.

1. Verstärkte Verantwortung: Artikel 13 eIDAS 2 erweitert das Haftungsregime für QTSP. Im Falle eines nachgewiesenen Verstoßes ist es Sache des Dienstanbieters, nachzuweisen, dass er nicht fahrlässig war, nicht umgekehrt.

1. Obligatorische Interoperabilität: QTSP müssen standardisierte APIs bereitstellen, die mit dem EUDIW kompatibel sind, um die native Integration von Identitätswallets zu ermöglichen. Diese Anforderung wird die Modernisierung der verfügbaren Integrationsoberflächen für Entwickler beschleunigen.

Für Unternehmen, die in diesem Zusammenhang einen Wechsel des Dienstanbieters in Betracht ziehen, ist die Migration von DocuSign oder YouSign zu einer eIDAS-2-konformen Lösung ein Unterfangen, das bereits jetzt durchdacht werden sollte, nicht erst in Eile 2027.

Personendaten und eIDAS 2: Die Schnittstelle mit der DSGVO

Das EUDIW erfasst und verarbeitet personenbezogene Identitätsdaten. Die Verordnung eIDAS 2 sieht ausdrücklich vor (Erwägungsgrund 11 und Artikel 5 bis §14), dass das gesamte System der DSGVO (Verordnung (EU) 2016/679) entsprechen muss. Mehrere Punkte verdienen Beachtung:

• Selective Disclosure: Das Portefeuille muss dem Benutzer ermöglichen, nur die Attribute zu teilen, die für die Transaktion unbedingt erforderlich sind (Minimierungsprinzip, Art. 5(1)(c) DSGVO). Für eine Vertragssignatur könnte nur die Volljährigkeit bestätigt werden, ohne das vollständige Geburtsdatum offenzulegen.
• Übermittlungen außerhalb der EU: Personenbezogene Daten, die im Rahmen des EUDIW verarbeitet werden, dürfen nur mit angemessenen Garantien außerhalb des EWR übermittelt werden (Art. 46 DSGVO). Dienstanbieter, die amerikanische Cloud-Infrastrukturen nutzen, müssen ihre Compliance dokumentieren.
• Aufbewahrung von Signaturprotokollen: Die Archivierung von Signaturnachweisen muss der angemessenen Aufbewahrungsdauer entsprechend dem Charakter des Dokuments entsprechen. Der neue qualifizierte Archivierungsdienst von eIDAS 2 bietet einen technischen Rahmen zur Erfüllung dieser Anforderung.

Unternehmen, die internationale Arbeitsverträge verwalten, sind von dieser Schnittstelle zwischen DSGVO und eIDAS 2 besonders betroffen, besonders wenn Unterzeichner außerhalb der EU ansässig sind.

Rechtlicher Rahmen für den Übergang von eIDAS 1 zu eIDAS 2

Referenztexte

Der Übergang basiert auf einer Schichtung von Texten, die unerlässlich sind zu beherrschen:

Auf europäischer Ebene:

• Verordnung (EU) Nr. 910/2014 (eIDAS 1): bleibt bis zu ihrer schrittweisen Aufhebung durch eIDAS 2 in Kraft. Definiert die drei Signaturebenen (SES, AdES, QES) und das Regime der QTSP.
• Verordnung (EU) 2024/1183 (eIDAS 2): am 20. Mai 2024 in Kraft getreten. Ändert eIDAS 1 erheblich, ohne es sofort aufzuheben. Die Bestimmungen zum EUDIW gelten ab Veröffentlichung der Durchführungsakte.
• Verordnung (EU) 2016/679 (DSGVO): gilt vollständig für die Verarbeitung von Identitätsdaten im Rahmen des EUDIW und von Signaturprozessen. Artikel 5 bis §14 von eIDAS 2 erinnert ausdrücklich an diese Unterordnung.
• Richtlinie (EU) 2022/2555 (NIS2): erhebt verstärkte Cybersicherheitsanforderungen für QTSP, nun als essenzielle Einrichtungen klassifiziert. Ins französische Recht transponiert durch Verordnung Nr. 2024-821 vom 20. Juni 2024 (Durchführungsdekrete in Vorbereitung).

Auf französischer Ebene:

• Zivilgesetzbuch, Artikel 1366 und 1367: Grundlage der Beweiskraft schriftlicher Dokumente in elektronischer Form. Artikel 1366 stellt unter Bedingungen die Äquivalenz zwischen elektronischem und Papierschrift her. Artikel 1367 verleiht der qualifizierten Signatur (QES) die gleiche Beweiskraft wie einer handschriftlichen Signatur.
• Dekret Nr. 2017-1416 vom 28. September 2017: präzisiert die Bedingungen für die Verwendung elektronischer Signaturen in privatem Schriftwechsel. Bleibt während der Übergangszeit anwendbar.
• Allgemeine Sicherheitsreferenz (RGS) v2: Für französische Behörden schreibt der RGS die Verwendung von der ANSSI aufgelisteten Lösungen vor. Seine Aktualisierung zur Integration von eIDAS 2 wird für 2026 erwartet.

Anwendbare ETSI-Normen

ETSI-Normen bilden die Ebene 3 der normativen Hierarchie. Die derzeit anwendbaren Versionen:

• EN 319 132-1/2: XAdES-Format (fortgeschrittene XML-Signaturen)
• EN 319 122-1/2: CAdES-Format (fortgeschrittene CMS-Signaturen)
• EN 319 142-1/2: PAdES-Format (fortgeschrittene PDF-Signaturen)
• EN 319 401: allgemeine Anforderungen an Vertrauensdienstanbieter
• EN 319 411-1/2: Anforderungen für Zertifizierungsstellen, die qualifizierte Zertifikate ausstellen

Diese Normen werden bis Ende 2025 überarbeitet, um neue eIDAS-2-Anforderungen zu integrieren. Verträge mit QTSP sollten eine Klausel zur Aktualisierung auf überarbeitete Versionen ohne zusätzliche Kosten enthalten.

Juristische Risiken mangelnder Compliance

Eine von einem nach 2027 nicht mehr akkreditierten Dienstanbieter ausgegebene Signatur würde nicht automatisch ihre Rechtsgültigkeit für bereits signierte Dokumente verlieren, profitiert aber nicht mehr von der gesetzlichen Vermutung der Gleichwertigkeit mit einer handschriftlichen Signatur (Art. 25 eIDAS). Die Beweislast für die Integrität und Identität des Unterzeichners würde im Falle eines Rechtsstreits vollständig auf das Unternehmen fallen. Dieses Beweirisiko ist besonders wichtig bei Akten mit langer Verjährungsfrist (5 Jahre in Handelssachen, 30 Jahre bei Grundeigentum).

Anwendungsszenarien: Wie Organisationen den Übergang zu eIDAS 2 antizipieren

Szenario 1: Eine Anwaltskanzlei mit 25 Mitarbeitern rationalisiert ihre Dokumentenkonformität

Eine Anwaltskanzlei spezialisiert auf Wirtschaftsrecht mit etwa 25 Mitarbeitern und intensiver Signaturaktivität bei Mandaten, Abtretungsurkunden und Vereinbarungsprotokollen nutzte bis 2024 eine fortgeschrittene Signatrlösung (AdES) für alle ihre Workflows. Nach der Ankündigung von eIDAS 2 führte die Kanzlei eine Prüfung von 1.200 jährlich unterzeichneten Dokumenten durch, um diejenigen zu identifizieren, die gemäß den neuen Empfehlungen ihrer Anwaltskammer eine QES benötigen.

Resultat: 15 % der Urkunden (etwa 180 pro Jahr) wurden zur qualifizierten Signatur umklassifiziert, was das Beweisregime dieser Dokumente sicherte. Die Kanzlei verhandelte mit ihrem Signatureditor eine Klausel, die die eIDAS-2-Compliance ab Veröffentlichung der Durchführungsakte ohne Zusatzkosten garantiert. Der Verwaltungsaufwand für die Identitätsprüfung der Unterzeichner sank um 40 % dank Antizipation der für 2026 geplanten EUDIW-Integration.

Szenario 2: Ein KMU mit 150 Mitarbeitern sichert seine Lieferantenverträge

Ein Industrieunternehmen mit etwa 150 Mitarbeitern und einer Verwaltung von etwa 350 Lieferantenverträgen pro Jahr — Bestellungen, NDA, Rahmenverträge — betrieb zwei unterschiedliche Signatrlösungen für interne und externe Workflows, was zu einer Fragmentierung der Audit-Nachweise führte. Im Zusammenhang mit dem Übergang zu eIDAS 2 und neuen Anforderungen an qualifizierte Archivierung beschloss die IT-Abteilung, ihre Plattform zu vereinheitlichen.

Durch die Migration zu einer einheitlichen Lösung mit qualifizierter elektronischer Archivierung (zukünftige eIDAS-2-Kategorie) reduzierte das KMU seine sicheren Speicherkosten um 30 % und konsolidierte seine Signaturnachweise in einem digitalen Tresor, der den Anforderungen genügt. Die gesamte Dokumentenkette ist nun in weniger als 2 Minuten bei Lieferantenprüfungen prüfbar — eine wachsende Anforderung ihrer Auftraggeber in der Automobilindustrie.

Szenario 3: Ein Krankenhausverbund mit etwa 600 Betten bereitet die EUDIW-Integration vor

Ein öffentlicher Krankenhausverbund nutzte qualifizierte elektronische Signaturen für Medizinerverträge und öffentliche Aufträge gemäß Verpflichtungen des öffentlichen Vergaberechts. Mit eIDAS 2 identifizierte die IT-Abteilung zwei vorrangige Aufgaben: Die zukünftige Integration des « France Identité »-Wallets für freiberufliche Ärzte im Krankenhaus und die NIS2-Compliance des QTSP.

Der Verbund schrieb in sein digitales Strategiepapier 2025-2028 einen speziellen Arbeitspaket « eIDAS-2-Compliance » mit einem geschätzten Budget von 45.000 € für technische Migration und Schulung. Das Ziel ist, ab dem geplanten nationalen Rollout des EUDIW im November 2026 Signaturen via EUDIW akzeptieren zu können, womit sich die Vertragsfrist mit freiberuflichen Gesundheitsfachkräften von 3 Tagen auf durchschnittlich weniger als 4 Stunden nach verfügbaren Branchenbenchmarks reduziert.

Fazit

Der Übergang von eIDAS 1 zu eIDAS 2 ist keine Unterbrechung, sondern eine strukturierte Entwicklung mit einem präzisen Zeitplan, der sich bis 2027 erstreckt. Die Auswirkungen auf die elektronische Signatur sind real — Erweiterung qualifizierter Dienste, Ankunft des EUDIW, Verschärfung der NIS2-Anforderungen für QTSP — aber zu bewältigen, wenn sie vorausschauend geplant werden. Unternehmen, die jetzt handeln, profitieren von Spielraum, ihre Workflows zu prüfen, ihre Verträge mit Dienstanbietern zu sichern und ihre Teams ohne Druck von Regelungszwang auszubilden.

Certyneo begleitet Unternehmen bei diesem Übergang mit einer klaren eIDAS-2-Compliance-Roadmap, auf dem neuesten Stand gehaltenen Signaturformaten und einer Architektur, die bereit für die EUDIW-Integration ist. Bereit, Ihre Signaturabläufe in diesem neuen Regulierungsrahmen zu sichern? Entdecken Sie unsere Angebote und starten Sie kostenlos auf Certyneo.