eIDAS-Konformität für KMU: die vollständige Checkliste 2026

Die europäische eIDAS-Verordnung (EU Nr. 910/2014, bald geändert durch eIDAS 2.0) regelt elektronische Signaturen in der gesamten Europäischen Union. Für ein KMU ist die Einhaltung der Vorschriften nicht nur ein Ankreuzfeld: Es ist die Garantie dafür, dass seine Verträge durchsetzbar sind, dass seine Signaturdaten geschützt sind und dass es sich vor rechtlichen Risiken schützt, die kostspielig sein können. Hier ist die Checkliste 2026 in 12 konkreten Punkten, um zu überprüfen, ob Ihr KMU vollständig eIDAS-konform ist.

Punkt 1: Wählen Sie das richtige Signaturniveau.

Erster Reflex: Ordnen Sie Ihre Vertragstypen zu und ordnen Sie ein Zielniveau zu. Standard-Handelsverträge (Angebote, Bestellungen, einfache NDAs): SES reicht aus. Arbeitsverträge, Mietverträge, sensible NDAs, strategische Vereinbarungen: mindestens AES, vorzugsweise mit OTP-SMS. Geregelte Handlungen (Rechtsanwalt, Notar, öffentliche Aufträge über einem Schwellenwert): Obligatorische QES. Ohne diese Zuordnung riskieren Sie eine Unterdimensionierung (Ablehnung des Vertrags) oder eine Überdimensionierung (zu hohe Kosten).

Punkt 2: Überprüfen Sie die Qualifikation des Dienstanbieters

Ihr Dienstanbieter muss ein vertrauenswürdiger Dienstanbieter (QTSP) sein oder sich für AES/QES-Level auf einen QTSP verlassen. Konsultieren Sie die von ANSSI veröffentlichte Trust Services List (eidas.ssi.gouv.fr) und die European Trusted List (webgate.ec.europa.eu/tl-browser). Die französischen Referenz-QTSPs: Certigna, Docaposte, Certinomis, Universign. Überprüfen Sie bei SES/AES über Plattformen (Certyneo, Yousign usw.) deren explizit dokumentierte eIDAS-Konformität.

Punkt 3: Testen Sie den Prüfpfad

Unterschreiben Sie einen Testumschlag und sammeln Sie den Prüfpfad (normalerweise ein separates PDF). Es muss Folgendes enthalten: Identität und E-Mail-Adresse des Unterzeichners, Zeitstempel jedes Schritts (Senden, Öffnen, Validieren, Signatur), IP-Adresse, Benutzeragent, Hash des Dokuments, OTP-Validierung bei AES. Fehlt eines dieser Elemente, wird die Beweiskraft geschwächt. Certyneo bietet den vollständigen Audit-Trail auch im kostenlosen Plan.

Punkt 4: Kontrollieren Sie den Zeitstempel

Der Zeitstempel muss von einer Zeitstempelbehörde (TSA) gemäß RFC 3161 ausgestellt werden. Ein einfacher Zeitstempel von einem NTP-Server des Unternehmens reicht nicht aus. Öffnen Sie das signierte PDF im Adobe Reader: Registerkarte „Signaturen“ → Details → Zeitstempel. Dort sollten Sie ein gültiges TSA-Zertifikat und eine zertifizierte Uhr sehen. Wenn das PDF keinen zertifizierten Zeitstempel hat, sollten Sie bei der Wahl des Dienstleisters zurückschrecken.

Punkt 5: Archivierung für mindestens 10 Jahre

Das Handelsgesetzbuch (Artikel L. 123-22) schreibt für Handelsdokumente eine Aufbewahrungsfrist von 10 Jahren vor. Das Arbeitsgesetz schreibt für Arbeitsverträge nach Beendigung eine Laufzeit von 5 Jahren vor. Bei der Archivierung müssen Integrität (Hash, Versiegelung) und Zugriff gewährleistet sein. Ideal: PDF/A-Format (ISO 19005), doppelte Speicherung (primäre + externe Sicherung), qualifizierter elektronischer Safe (CFE) für maximale Beweiskraft. Certyneo archiviert standardmäßig 10 Jahre und bietet den Export an CFE-Partner an.

Punkt 6: Datenlokalisierung prüfen

Wo werden Ihre Signaturdaten gehostet? Für ein französisches KMU, das sich mit sensiblen Verträgen befasst, wählen Sie französisches oder EU-Hosting. Erfragen Sie bei Ihrem Dienstleister die Liste der Subunternehmer und deren Standorte (Art. 28 DSGVO). Vermeiden Sie Lösungen, die dem US Cloud Act für strategische Verträge unterliegen. Certyneo wird in Frankreich gehostet, ohne Abhängigkeit vom Cloud Act. Lesen Sie unseren Artikel unter /blog/cloud-act-signature-electronique.

Punkt 7: Mit der DSGVO artikulieren

Unterschrift und DSGVO hängen eng zusammen: Jeder Umschlag enthält personenbezogene Daten (Name, E-Mail, IP, Telefon). Stellen Sie sicher, dass Ihr Verarbeitungsregister (Art. 30 DSGVO) die elektronische Signatur enthält, dass die Aufbewahrungsfristen konsistent sind (10 Jahre) und dass die Rechte des Einzelnen umgesetzt werden können (Auskunft, Berichtigung, Portabilität). Wenn Sie viele Unterschriften anfordern, wird ein DSB empfohlen. Siehe unseren Artikel /blog/signature-electronique-rgpd.

Punkt 8: Unterzeichner im Vorfeld identifizieren

Für ein solides AES beginnt die Identifizierung nicht mit der Unterzeichnung, sondern mit der Datenerfassung. Überprüfen Sie E-Mails (keine Aliase, keine Mailingliste), Telefonnummern (keine gemeinsam genutzte Leitung) und behalten Sie den Überblick über die Identifikationsquelle (ID für umfangreiche Verträge, KYC bestehender Kunden für laufende Verträge). Diese Due Diligence macht die Beweise im Streitfall stichhaltig.

Punkt 9: Trainieren Sie die Teams

Ihre Vertriebs-, Personal- und Rechtsteams müssen die Regeln verstehen: Zwingen Sie einen Unterzeichner niemals dazu, ein Gerät eines Drittanbieters zu verwenden, geben Sie niemals ein modifiziertes signiertes PDF zurück, fügen Sie niemals ein gescanntes Signaturbild anstelle einer echten Signatur ein. Eine Stunde Training pro Team reicht aus, um gute Reflexe zu trainieren. Certyneo bietet einen vollständigen Leitfaden zur internen Weitergabe (/resources).

Punkt 10: Verträge der Dienstleister prüfen

Die CGU/CGV des Signaturdienstleisters muss: die eIDAS-Konformität veranlassen, Archivierungsfristen festlegen, eine DSGVO-Unterauftragsvereinbarung (Art. 28) beifügen, die Unterauftragnehmer dokumentieren, einen Reversibilitätsplan für den Fall einer Einstellung vorlegen. Fordern Sie außerdem SOC 2 Typ II oder ein gleichwertiges Produkt an, wenn Sie große Mengen verarbeiten. Für Certyneo sind diese Dokumente unter /legal und /security verfügbar.

Punkt 11: eIDAS 2.0 und das EUDI-Wallet vorbereiten

Die eIDAS 2.0-Verordnung (EU 2024/1183) tritt schrittweise in Kraft und verpflichtet die Mitgliedstaaten, vor Ende 2026 ein EUDI-Wallet einzuführen. Dieses digitale Identitäts-Wallet ermöglicht insbesondere den Fernzugriff auf das QES ohne eine physische Registrierungsstelle. Bereiten Sie Ihr KMU vor: Überprüfen Sie, ob Ihr Dienstanbieter über eine EUDI-Wallet-Roadmap verfügt, und befolgen Sie die Mitteilungen von ANSSI und der Europäischen Kommission. Siehe /blog/eidas-2-nouveau-reglement-2026.

Punkt 12: Jährliches Audit

Compliance ist kein erworbener Status, sondern ein fortlaufender Prozess. Planen Sie ein jährliches Audit (intern oder extern), um Folgendes zu überprüfen: regulatorische Änderungen, Entwicklungen bei Dienstleistern, aktuelle Zuordnung von Vertragstypen, effektive Bindung, Schulung neuer Mitarbeiter. Ein leichtes Audit dauert für ein KMU einen halben Tag und vermeidet viele Überraschungen. Erstellen Sie zunächst ein kostenloses Certyneo-Konto unter certyneo.com/signup, um die Compliance in der Praxis zu testen, und schauen Sie sich dann unseren eIDAS-Leitfaden an, um tiefer zu gehen (/guide/eidas).