Wie funktioniert die elektronische Signatur 2026

Einführung

Die elektronische Signatur steht heute im Mittelpunkt der digitalen Transformation von Unternehmen: 2025 haben über 70 % der großen europäischen Organisationen sie in mindestens einen Vertragsprozess integriert (Quelle: Gartner, Digital Process Automation Survey 2025). Dennoch gibt es nur wenige Entscheidungsträger, die die Mechanismen genau verstehen, die sie rechtlich gültig und technisch fälschungssicher machen. Das Verständnis für die technische Funktionsweise der elektronischen Signatur — Kryptographie, PKI, Zertifikate — ermöglicht es, die richtige Lösung zu wählen, Rechtsrisiken zu reduzieren und die interne Einführung zu beschleunigen. Dieser Artikel führt Sie Schritt für Schritt durch die technische Architektur und die Standards, die die elektronische Signatur 2026 regeln.

---

Die kryptographischen Grundlagen der elektronischen Signatur

Die elektronische Signatur basiert auf bewährten kryptographischen Primitiven. Wenn man ihre Mechanismen versteht, erkennt man, warum sie zuverlässiger ist als eine digitalisierte handschriftliche Signatur.

Asymmetrische Verschlüsselung: öffentlicher Schlüssel und privater Schlüssel

Das fundamentale Prinzip ist die asymmetrische Kryptographie, die in den 1970er Jahren erfunden und durch Algorithmen wie RSA (Rivest–Shamir–Adleman) oder elliptische Kurven (ECDSA) standardisiert wurde. Jeder Unterzeichner verfügt über zwei mathematisch verknüpfte Schlüssel:

• Der private Schlüssel: wird vom Unterzeichner geheim aufbewahrt, auf einem sicheren Gerät (Chipkarte, HSM-Token oder geschütztes Softwaremodul). Er wird verwendet, um die Signatur zu erstellen.
• Der öffentliche Schlüssel: wird frei verteilt und ist in einem digitalen Zertifikat enthalten. Er wird verwendet, um die Signatur zu überprüfen.

Das Sicherheitsprinzip beruht auf einer rechnerischen Asymmetrie: Es ist mathematisch trivial, eine Signatur mit dem öffentlichen Schlüssel zu überprüfen, aber praktisch unmöglich, den privaten Schlüssel aus dem öffentlichen Schlüssel wiederherzustellen (Problem des diskreten Logarithmus oder der Faktorisierung großer Ganzzahlen).

Hash-Funktionen: der digitale Fingerabdruck des Dokuments

Vor dem Signieren berechnet das System einen kryptographischen Fingerabdruck des Dokuments mit einer Hash-Funktion (SHA-256 oder SHA-3 in 2026). Dieser Fingerabdruck, auch Hash oder Digest genannt, ist eine Zeichenkette fester Größe (256 Bits für SHA-256), die den Dokumenteninhalt eindeutig darstellt.

Wesentliche Eigenschaft: Das Ändern von nur einem Zeichen im Dokument führt zu einem völlig unterschiedlichen Hash. Dies garantiert die Integrität des signierten Dokuments: Jede nachträgliche Änderung ist sofort erkennbar.

Die elektronische Signatur selbst ist daher die Verschlüsselung dieses Hashs mit dem privaten Schlüssel des Unterzeichners. Bei der Überprüfung:

1. Entschlüsselt der Empfänger die Signatur mit dem öffentlichen Schlüssel, um den ursprünglichen Hash wiederherzustellen;
2. Berechnet er selbst den Hash des empfangenen Dokuments neu;
3. Vergleicht die beiden: Sind sie identisch, ist die Signatur gültig.

---

Die Public Key Infrastructure (PKI): die Vertrauenskette

Kryptographie allein genügt nicht: Es muss auch bewiesen werden, dass der öffentliche Schlüssel tatsächlich der Person gehört, die ihn beansprucht. Dies ist die Aufgabe der PKI (Public Key Infrastructure) — oder Infrastruktur mit öffentlichen Schlüsseln.

Zertifizierungsstellen (CA)

Eine Zertifizierungsstelle (AC oder CA) ist eine akkreditierte Vertrauensstelle, die digitale Zertifikate ausstellt. Ein digitales Zertifikat ist eine standardisierte Datei (Format X.509) mit folgenden Inhalten:

• Identität des Inhabers (Name, Organisation, E-Mail);
• Sein öffentlicher Schlüssel;
• Gültigkeitszeitraum;
• Die digitale Signatur der CA selbst.

In Europa sind akkreditierte CAs in den Trusted Lists aufgeführt, die von jedem EU-Mitgliedstaat gemäß der eIDAS-Verordnung veröffentlicht werden. In Frankreich veröffentlicht und pflegt die ANSSI diese Liste. Anbieter qualifizierter Vertrauensdienste (QTSP) — wie CertSign, Certigna oder Universign — unterliegen regelmäßigen Audits gemäß der Norm ETSI EN 319 401.

Die Zertifikatskette und der Widerruf

Die PKI funktioniert nach einem hierarchischen Modell:

• Eine Root CA (selbstsigniert), die unter maximalen physischen Sicherheitsbedingungen offline aufbewahrt wird;
• Zwischen-CAs, die Zertifikate für Endbenutzer ausstellen.

Der Widerruf von Zertifikaten ist ein entscheidendes Verfahren: Wenn ein privater Schlüssel kompromittiert wird, veröffentlicht die CA seine Ungültigkeit über eine CRL (Certificate Revocation List) oder über das Protokoll OCSP (Online Certificate Status Protocol), was eine Echtzeitüberprüfung ermöglicht.

Für die qualifizierte elektronische Signatur gemäß eIDAS muss der private Schlüssel in einem QSCD (Qualified Signature Creation Device) — zertifizierter Hardware CC EAL4+ oder höher, wie eine Chipkarte oder ein HSM (Hardware Security Module) — generiert und aufbewahrt werden.

---

Die drei Signatur-Ebenen gemäß eIDAS

Die europäische Verordnung eIDAS Nr. 910/2014 (und ihre Weiterentwicklung eIDAS 2.0 in der Implementierungsphase) definiert drei Signatur-Ebenen, jede mit zunehmenden technischen Garantien. Um diesen Regulierungsrahmen zu vertiefen, konsultieren Sie unseren umfassenden Leitfaden zur eIDAS-Verordnung.

Einfache elektronische Signatur (SES)

Die einfache Signatur ist die am wenigsten einschränkende Form technisch gesehen. Sie kann so einfach sein wie ein Kontrollkästchen, einen OTP-Code (One-Time Password) per SMS oder ein Bild einer handschriftlichen Signatur. Sie erfordert nicht zwingend ein qualifiziertes Zertifikat.

Typische Verwendung: Angebotsvalidation, Marketing-Zustimmungen, Verträge mit niedrigem Risiko.

Risiko: Begrenzte Beweiskraft im Falle einer gerichtlichen Anfechtung. Die Beweislast liegt bei demjenigen, der die Signatur geltend macht.

Fortgeschrittene elektronische Signatur (AdES)

Die fortgeschrittene Signatur erfüllt vier präzise technische Anforderungen (Artikel 26 eIDAS):

1. Sie ist auf eindeutige Weise an den Unterzeichner gebunden;
2. Sie ermöglicht die Identifizierung des Unterzeichners;
3. Sie wird mit Daten erstellt, die sich unter der ausschließlichen Kontrolle des Unterzeichners befinden;
4. Sie ermöglicht die Erkennung jeder nachträglichen Änderung am Dokument.

Konkret bedeutet dies die Verwendung eines persönlichen digitalen Zertifikats und eines robusten Authentifizierungsmechanismus. Die Standardformate werden durch ETSI definiert: PAdES (für PDF), XAdES (XML), CAdES (Binärdaten) und JAdES (JSON), alle standardisiert in der ETSI EN 319 100 Serie.

Qualifizierte elektronische Signatur (QES)

Die qualifizierte Signatur ist die höchste Ebene. Sie erfordert:

• Ein qualifiziertes Zertifikat, das von einem akkreditierten QTSP eIDAS ausgestellt ist;
• Ein QSCD für die Erstellung der Signatur.

Sie profitiert von einer gesetzlichen Vermutung der Zuverlässigkeit und einer rechtlichen Gleichwertigkeit mit der handschriftlichen Signatur in der gesamten Europäischen Union (Artikel 25 eIDAS). Dies ist die erforderliche Ebene für elektronische beglaubigte Urkunden, bestimmte notarielle Urkunden oder sensible öffentliche Aufträge.

Unser Vergleich der Lösungen für elektronische Signaturen analysiert die praktischen Unterschiede zwischen diesen Ebenen, um Ihnen bei der Auswahl zu helfen.

---

Der vollständige Prozess einer elektronischen Signatur Schritt für Schritt

So verläuft konkret eine elektronische Signaturtransaktion auf einer SaaS-Plattform wie Certyneo:

Schritt 1: Vorbereitung und Dokumentübermittlung

Der Unterzeichner lädt das Dokument (Vertrag, Änderung, Bestellung) auf die Plattform. Das System generiert sofort einen SHA-256-Hash der ursprünglichen Datei, zeitgestempelt und unveränderlich gespeichert. Dieser Fingerabdruck dient als Referenz für alle zukünftigen Überprüfungen.

Schritt 2: Authentifizierung des Unterzeichners

Je nach gewählter Signaturebene variiert die Authentifizierung:

• SES: E-Mail + Signatur-Link;
• AdES: Starke Authentifizierung (OTP SMS, FIDO2 Mobile-App);
• QES: Identitätsüberprüfung im Voraus (persönlich oder per Video IDV), Ausstellung eines qualifizierten Zertifikats für einmalige oder persistente Nutzung.

Schritt 3: Erstellung der kryptographischen Signatur

Der Unterzeichner löst den Signaturakt aus. Die Plattform (oder das QSCD):

1. Berechnet den Hash des Dokuments;
2. Verschlüsselt diesen Hash mit dem privaten Schlüssel des Unterzeichners;
3. Integriert die Signatur und das Zertifikat in das Dokument (PDF im PAdES-LTV-Format für Langzeiterhaltung).

Schritt 4: Qualifizierte Zeitstempelung

Ein qualifizierter Zeitstempel-Dienst (TSA) gemäß RFC 3161 fügt einen kryptographischen Timestamp ein, der beweist, dass die Signatur zu einem bestimmten Zeitpunkt existierte. Dies schützt vor Datumsfälschung und garantiert Beweiskraft im Laufe der Zeit — selbst wenn das Zertifikat des Unterzeichners später abläuft.

Schritt 5: Beweiswürdige Archivierung

Das signierte Dokument wird mit seiner vollständigen Audit-Spur archiviert: Identität des Unterzeichners, IP-Adresse, Zeitstempel, Dokumenten-Hash, verwendete Zertifikate. Dieses Beweispaket (Audit Trail) ist entscheidend bei gerichtlicher Anfechtung. Konforme eIDAS-Lösungen bewahren diese Nachweise im PAdES-LTV-Format (Long-Term Validation) auf, das Validierungsdaten integriert, um die Überprüfung Jahre nach der Signatur zu ermöglichen.

Um zu verstehen, wie Sie diesen Prozess in Ihre HR-Workflows integrieren, entdecken Sie unsere Lösung für elektronische Signaturen in der Personalabteilung und unsere herunterladbare Vertragsvorlagen.

Anwendbarer Rechtsrahmen für die elektronische Signatur

Die elektronische Signatur ist in einen mehrschichtigen normativen Rahmen eingebettet, der nationales Zivilrecht mit harmonisiertem europäischem Recht verbindet.

Französischer Code Civil

Der Artikel 1366 des Code Civil legt das Grundprinzip fest: „Die elektronische Schrift hat die gleiche Beweiskraft wie die auf Papierträger geschriebene Schrift, unter der Voraussetzung, dass die Person, von der sie stammt, ordnungsgemäß identifiziert werden kann und dass sie unter Bedingungen erstellt und aufbewahrt wird, die ihrer Integrität Gewähr bieten." Artikel 1367 verdeutlicht, dass die elektronische Signatur „die Verwendung eines zuverlässigen Verfahrens zur Identifizierung ist, das garantiert, dass sie mit dem Akt verbunden ist, an den sie angehängt ist".

Das Dekret Nr. 2017-1416 vom 28. September 2017 definiert die Zuverlässigkeitsvermutung für qualifizierte und fortgeschrittene Signaturen, die eIDAS konform sind.

Verordnung eIDAS Nr. 910/2014

Eckpfeiler des europäischen Rechts der digitalen Vertrauensdienste, die Verordnung eIDAS (electronic IDentification, Authentication and trust Services) schafft einen einheitlichen Rechtsrahmen für elektronische Signaturen, elektronische Siegel, qualifizierte Zeitstempel, empfohlene Versanddienste und Website-Authentifizierungszertifikate. Ihr Artikel 25, Absatz 2, verleiht der qualifizierten Signatur eine gesetzliche Vermutung der Gleichwertigkeit mit der handschriftlichen Signatur in der gesamten EU.

Die Verordnung eIDAS 2.0 (in Umsetzung im 1. Quartal 2026) stärkt diese Bestimmungen mit dem europäischen digitalen Identitätsportfolio (EUDIW) und erweitert die Anforderungen auf die Finanz- und Gesundheitssektoren.

ETSI-Normen

Die Signaturformate werden durch ETSI standardisiert:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) definieren die technischen Profile für fortgeschrittene und qualifizierte Signaturen;
• ETSI EN 319 421 regelt die Richtlinien für qualifizierte Zeitstempel-Dienste.

DSGVO und Datenschutz

Die Verarbeitung von Identitätsdaten im Zusammenhang mit elektronischer Signatur (Name, E-Mail, Biometrie für Identitätsüberprüfung) unterliegt der DSGVO Nr. 2016/679. Verantwortliche für die Datenverarbeitung müssen: eine Rechtsgrundlage (berechtigtes Interesse oder Vertragserfüllung) haben, das Minimierungsprinzip für Daten anwenden und Sicherheit durch angemessene technische Maßnahmen (Verschlüsselung, Pseudonymisierung) gewährleisten.

NIS2-Richtlinie

Die Richtlinie NIS2 (2022/2555/EU), seit Oktober 2024 in französisches Recht umgesetzt, verpflichtet Betreiber wesentlicher Dienste und Anbieter digitaler Dienste (einschließlich Anbietern von elektronischen Signaturen) zu verstärkten Cybersicherheitsverpflichtungen, Risikomanagement und Meldung von Vorfällen innerhalb von 24 Stunden. Nichteinhaltung kann zu Sanktionen bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes führen.

Konkrete Anwendungsszenarien der elektronischen Signatur

Szenario 1: Ein Wirtschaftsanwaltskanzlei automatisiert die Signatur von Aufträgen

Eine Wirtschaftsanwaltskanzlei mit etwa zwölf Mitarbeitern verarbeitete durchschnittlich 120 Vertretungsaufträge pro Monat. Das Papierverfahren erforderte Druck, Postversand oder persönliche Übergabe, dann Digitalisierung der zurückgesendeten Dokumente — was zu einer durchschnittlichen Verzögerung von 4,5 Arbeitstagen pro Fall und einer geschätzten Dokumentverlustquote von 8 % führte.

Durch die Bereitstellung einer fortgeschrittenen elektronischen Signatur (AdES) mit OTP-Authentifizierung verkürzte die Kanzlei die durchschnittliche Signaturverzögerung auf weniger als 4 Stunden, reduzierte die Dokumentanomalienquote auf unter 1 % und sparte etwa 2.200 € pro Jahr an Porto- und Druckkosten. Die automatisch generierte Audit-Spur vereinfachte auch zwei Verfahren zur Anfechtung von Aufträgen durch Bereitstellung eines unbestreitbaren zeitgestempelten Beweises. Entdecken Sie unsere Lösung für Anwaltskanzleien.

Szenario 2: Ein mittelständisches Industrieunternehmen digitalisiert seine Lieferantenverträge

Ein mittelständisches Industrieunternehmen verwaltete etwa 200 Lieferantenverträge pro Jahr (allgemeine Einkaufsbedingungen, Preisanpassungen, NDAs) und litt unter Signaturverzögerungen, die drei Wochen für Verträge über Grenzen hinweg mit Partnern in Deutschland und Spanien übersteigen konnten. Die unterschiedlichen Rechtssysteme und die fehlende gegenseitige Anerkennung verlangsamten die Verhandlungen.

Durch die Annahme einer qualifizierten Signatur (QES), die von einem akkreditierten QTSP eIDAS ausgestellt wurde und in der gesamten EU anerkannt ist, profitierte das Unternehmen von automatischer rechtlicher Anerkennung in allen drei Ländern ohne zusätzliche Legalisierung. Die durchschnittliche Verzögerung grenzüberschreitender Signaturen sank von 18 Tagen auf 2,5 Tage. Die elektronische Signatur im Unternehmen beschreibt diese Vorteile für Einkaufsteams.

Szenario 3: Ein Krankenhausverbund sichert die informierte Zustimmung von Patienten

Ein Krankenhausverbund mit etwa 800 Betten musste die informierte Zustimmung von Patienten zu klinischen Forschungsprotokollen eingeholt werden. Die Papierverwaltung schuf DSGVO-Compliance-Risiken (schlecht archivierte Dokumente, nicht nachverfolgbare Daten) und band Pflegepersonal für administrative Aufgaben.

Durch die Integration einer einfachen elektronischen Signatur mit Identifizierung per SMS-Code — ausreichend für Verfahren ohne qualifizierte Anforderungen — automatisierte der Verbund die Erfassung, Archivierung und Nachverfolgung von Zustimmungen. Die administrative Zeit pro Patient sank von 12 Minuten auf unter 2 Minuten, wodurch etwa 800 Pflegestunden pro Jahr freigesetzt wurden. Alle Dokumente sind mit qualifiziertem Zeitstempel archiviert und erfüllen vollständig die CNIL-Anforderungen. Erkunden Sie unsere Signaturregel für Gesundheitswesen.

Fazit

Das Verständnis, wie die elektronische Signatur technisch funktioniert — von asymmetrischer Kryptographie über PKI bis hin zu qualifizierten Zertifikaten und Beweiswürdigung von Zeitstempeln — ist unerlässlich für fundierte Entscheidungen in Bezug auf Compliance und betriebliche Effizienz. Die drei eIDAS-Ebenen (einfach, fortgeschritten, qualifiziert) entsprechen unterschiedlichen Anforderungen, und die Auswahl sollte immer von der Analyse des Rechtsrisikos und der erwarteten Beweiskraft geleitet werden.

Certyneo begleitet Sie in diesem Übergang mit einer eIDAS-konformen SaaS-Plattform, akkreditierten QTSPs und vereinfachter Integration in Ihre bestehenden Prozesse. Schätzen Sie die potenziellen Gewinne für Ihre Organisation mit unserem ROI-Rechner für elektronische Signaturen, oder beginnen Sie direkt mit unserem Angebote und Preise. Compliance und Leistung sind keine Kompromisse mehr.