eIDAS-Verordnung: Alles über die elektronische Signatur in Europa
Aktualisiert am
Die eIDAS-Verordnung ist das Gründungsdokument der elektronischen Signatur in Europa. Sie definiert drei Signaturstufen (einfach, fortgeschritten, qualifiziert), legt den Rechtswert elektronischer Dokumente fest und regelt die Vertrauensdiensteanbieter. Dieser Leitfaden erklärt Ihnen alles, was Sie für die Einhaltung im Jahr 2026 wissen müssen.
Was ist eIDAS und warum wurde es geschaffen?
Vor eIDAS hatte jeder EU-Mitgliedstaat seine eigenen Vorschriften für elektronische Signaturen, was zu einer rechtlichen Zersplitterung führte, die grenzüberschreitende Transaktionen behinderte. Eine elektronische Signatur, die in Frankreich gültig war, wurde nicht unbedingt in Deutschland oder Spanien anerkannt.
Die Verordnung (EU) Nr. 910/2014, eIDAS (Electronic IDentification, Authentication and trust Services), wurde am 23. Juli 2014 verabschiedet und trat am 1. Juli 2016 in Kraft. Als Verordnung (nicht Richtlinie) gilt sie unmittelbar und einheitlich in allen 27 Mitgliedstaaten ohne erforderliche nationale Umsetzung.
eIDAS verfolgt drei Hauptziele: Schaffung eines einheitlichen digitalen Marktes in Europa durch gegenseitige Anerkennung elektronischer Identitäten, Gewährleistung der Rechtssicherheit grenzüberschreitender elektronischer Transaktionen und Schaffung eines Vertrauensrahmens für digitale Dienste durch qualifizierte Vertrauensdienstanbieter (QTSP – Qualified Trust Service Provider).
Die 3 Signatur-Ebenen gemäß eIDAS
eIDAS etabliert eine Pyramide aus drei Ebenen elektronischer Signaturen, jede mit eigenen technischen Anforderungen und Beweiskraft.
Einfache elektronische Signatur
eIDAS-Anforderungen
- Daten in elektronischer Form mit anderen Daten verknüpft
- Zur Unterzeichnung verwendet (keine spezifischen technischen Anforderungen)
- Kann ein einfacher Klick, ein Kontrollkästchen oder ein eingegebener Name sein
Anwendungsbeispiele
- Akzeptanz von AGB
- Online-Formular
- Bestätigungs-E-Mail
Rechtliche Gültigkeit
Grundlegende Vertragskraft, keine gesetzliche Vermutung
Fortgeschrittene elektronische Signatur
eIDAS-Anforderungen
- Eindeutig dem Unterzeichner zugeordnet
- Ermöglicht die Identifikation des Unterzeichners
- Mit Daten erstellt, die sich unter der ausschließlichen Kontrolle des Unterzeichners befinden
- Nachträgliche Änderungen am Dokument sind erkennbar
Anwendungsbeispiele
- Arbeitsverträge
- NDAs
- Geschäftsverträge
- Vollmachten
Rechtliche Gültigkeit
Hohe Beweiskraft – empfohlen für wichtige Verträge
Qualifizierte elektronische Signatur
eIDAS-Anforderungen
- Erfüllt alle Anforderungen der AES
- Erstellt mit einer qualifizierten Signaturerstellungsvorrichtung (QSCD)
- Basierend auf einem qualifizierten Zertifikat eines QTSP (EU-Vertrauensliste)
Anwendungsbeispiele
- Digitale öffentliche Urkunden
- Anspruchsvolle öffentliche Ausschreibungen
- Geregelte Akte
Rechtliche Gültigkeit
Gesetzliche Vermutung gleichwertig mit handschriftlicher Signatur (Art. 25 eIDAS)
eIDAS 2.0: Neuheiten 2024
Die eIDAS-Verordnung wurde durch die Verordnung (EU) 2024/1183 überarbeitet, veröffentlicht im Amtsblatt der EU am 30. April 2024 und am 20. Mai 2024 in Kraft getreten. Diese Überarbeitung modernisiert den ursprünglichen Rahmen, um den Herausforderungen der modernen Digitalisierung gerecht zu werden: digitale Identität von Bürgern, digitale Souveränität, Widerstandsfähigkeit von Vertrauensdiensten.
Das Flaggschiff von eIDAS 2.0 ist die Europäische Geldbörse für digitale Identität (EUDIW). Bis Ende 2026 muss jeder Mitgliedstaat seinen Bürgern und Einwohnern eine Anwendung anbieten, mit der sie beglaubigte Identitätsnachweise speichern und vorlegen können – das digitale Äquivalent des Personalausweises, Führerscheins und von Diplomen. Diese Entwicklung wird direkten Einfluss auf Prozesse der qualifizierten Signatur haben.
Europäische Geldbörse für digitale Identität (EUDIW)
eIDAS 2.0 führt die European Digital Identity Wallet ein: Jeder europäische Bürger kann seine beglaubigten Identitätsnachweise (Personalausweis, Führerschein, Diplome) in einer mobilen Anwendung speichern, die in der gesamten EU interoperabel ist.
Verstärkung der QTSP
Die Anforderungen an qualifizierte Vertrauensdienstanbieter (QTSP) werden verschärft, insbesondere bezüglich Cybersicherheit, Audits und Geschäftskontinuität.
Neue Vertrauensdienste
eIDAS 2.0 fügt neue qualifizierte Dienste hinzu: qualifizierte elektronische Archivierung, qualifizierte Verwaltung von Zuordnungsdaten, qualifiziertes elektronisches Register (beglaubigte Blockchain).
Verstärkte Interoperabilität
Bessere gegenseitige Anerkennung digitaler Identitäten zwischen Mitgliedstaaten. Qualifizierte Signaturen, die in einem EU-Land ausgestellt werden, werden überall anerkannt.
Wie wird man eIDAS-konform in der Praxis?
eIDAS-Konformität beschränkt sich nicht auf die Wahl eines Signatur-Niveaus. Sie erfordert eine Überlegung zum gesamten Prozess: Risikoidentifikation, Werkzeugwahl, Nachweissicherung und Dokumentenverwaltung.
Hier ist eine praktische Checkliste für Unternehmen, die ihre elektronischen Signaturprozesse in Übereinstimmung mit eIDAS sichern möchten:
Der eIDAS-Konformitätsansatz von Certyneo
Certyneo implementiert die Stufen SES (Einfache elektronische Signatur) und AES (Fortgeschrittene elektronische Signatur) der eIDAS-Verordnung. Die fortgeschrittene Signatur basiert auf einer Zwei-Faktor-Authentifizierung: Ein Link zur einmaligen Verwendung, der per E-Mail versendet wird, und ein OTP-Code, der per SMS über unseren OTP-SMS-Anbieter versendet wird. Dieser Mechanismus erfüllt die vier Kriterien von Artikel 26 der eIDAS-Verordnung für fortgeschrittene Signaturen.
Jede Umschlag generiert eine vollständige Audit-Spur: Zeitstempel jeder Aktion (Versand, Link-Öffnung, OTP-Validierung, Signaturanwendung, eventueller Ablehnung), IP-Adresse des Unterzeichners, User-Agent des Browsers. Diese Audit-Spur ist in der Fußzeile jeder PDF-Seite integriert (Audit-Footer) und wird 10 Jahre lang aufbewahrt.
Die Daten werden in Deutschland (EU) gehostet (IONOS-Infrastruktur), innerhalb der Europäischen Union, gemäß den Anforderungen der digitalen Souveränität und des RGPD. Konsultieren Sie unsere Seite Sicherheit und Compliance für alle technischen Details.
Häufig gestellte Fragen zu eIDAS
Was ist die eIDAS-Verordnung?
eIDAS (Electronic Identification, Authentication and Trust Services) ist die Europäische Verordnung (EU) Nr. 910/2014, die einen gemeinsamen Rechtsrahmen für elektronische Signaturen, elektronische Siegel, Zeitstempel, elektronische beglaubigte Zustellungsdienste und Dienste zur Website-Authentifizierung in der Europäischen Union schafft. Sie trat am 1. Juli 2016 in Kraft und gilt unmittelbar in den 27 Mitgliedstaaten.
Was ist der Unterschied zwischen eIDAS und eIDAS 2.0?
eIDAS 2.0 (Verordnung (EU) 2024/1183, in Kraft getreten am 20. Mai 2024) modernisiert eIDAS 1.0, insbesondere durch Einführung der Europäischen digitalen Identitätsbrieftasche (EUDIW – European Digital Identity Wallet), die es europäischen Bürgern ermöglicht, zertifizierte digitale Identitätsnachweise zu speichern. Für Unternehmen verschärft eIDAS 2.0 die Anforderungen an qualifizierte Vertrauensdiensteanbieter (QTSP) und verbessert die grenzüberschreitende Interoperabilität.
Hat eine einfache elektronische Signatur nach eIDAS Rechtsgültigkeit?
Ja. Artikel 25 der eIDAS verbietet ausdrücklich, einer elektronischen Signatur Rechtswirkung zu versagen, nur weil sie elektronisch ist. Eine einfache Signatur (SES) hat daher Rechtsgültigkeit, profitiert aber nicht von der für qualifizierte Signaturen (QES) reservierten gesetzlichen Vermutung. Im Streitfall muss derjenige, der die Signatur geltend macht, deren Authentizität nachweisen.
Wie erkenne ich, welches eIDAS-Niveau ich für meine Verträge wählen sollte?
Die allgemeine Regel ist, das Niveau am rechtlichen und kommerziellen Risiko des Dokuments auszurichten. Für häufige Dokumente mit geringem Risiko (Angebote, interne Bestellungen) ist eine einfache Signatur ausreichend. Für wichtige Geschäftsverträge, Arbeitsverträge, NDAs oder Vollmachten wird eine fortgeschrittene Signatur (AES) empfohlen. Die qualifizierte Signatur (QES) ist Situationen vorbehalten, in denen das Gesetz dies ausdrücklich verlangt (bestimmte Verwaltungsakte, umfangreiche öffentliche Aufträge) oder wenn das Anfechtungsrisiko maximal ist.
Wie ist Certyneo eIDAS-konform?
Certyneo implementiert einfache Signaturen (SES) und fortgeschrittene Signaturen (AES) gemäß eIDAS. Die fortgeschrittene Signatur basiert auf doppelter OTP-Authentifizierung per E-Mail + SMS (unser OTP-SMS-Anbieter), die den Unterzeichner an seine Handlung bindet. Jede Enveloppe generiert einen zeitgestempelten Audit Trail, der in das endgültige PDF integriert wird. Die Daten werden in Deutschland (EU) gehostet, gemäß den Anforderungen der digitalen Souveränität.
Gilt eIDAS für Unternehmen außerhalb der Europäischen Union?
eIDAS gilt für Vertrauensdienste, die in der EU erbracht werden. Ein Unternehmen mit Sitz außerhalb der EU, das möchte, dass seine Signaturen in der EU anerkannt werden, muss eine eIDAS-konforme Lösung oder einen in der Vertrauensliste eines Mitgliedstaats eingetragenen qualifizierten Vertrauensdiensteanbieter (QTSP) nutzen. Für internationale B2B-Austausche bestehen gegenseitige Anerkennungsvereinbarungen mit bestimmten Drittländern.