eIDAS 2 vs eIDAS 1: Schlüsseländerungen für KMU

Einleitung: Warum eIDAS 2 für KMU ein Game-Changer ist

Seit dem 20. Mai 2024 ist die Verordnung (EU) 2024/1183 – allgemein als eIDAS 2 bezeichnet – in Kraft, die Verordnung (EU) Nr. 910/2014 (eIDAS 1) schrittweise aufhebt und ersetzt. Für französische KMU ist dieser Wechsel kein einfaches administratives Update: Er definiert die Stufen des digitalen Vertrauens neu, führt ein europäisches Identitätsportemonnaie (EUDIW) ein, verschärft die Anforderungen an Vertrauensdiensteanbieter und erweitert den Katalog der anerkannten Dienste. Dieser Artikel vergleicht eIDAS 1 und eIDAS 2 punkt für punkt, identifiziert konkrete operative Auswirkungen auf kleine und mittlere Unternehmen und gibt Ihnen einen Maßnahmenplan, um bis 2026 konform zu bleiben.

---

1. Rückblick: Das war eIDAS 1 (2014-2024)

1.1 Die Grundlagen der ursprünglichen Verordnung

eIDAS 1, verabschiedet im Juli 2014 und seit September 2016 anwendbar, legte die ersten Grundsteine für einen europäischen Raum des digitalen Vertrauens. Es führte drei große Kategorien der elektronischen Signatur ein – einfache (SES), fortgeschrittene (AdES) und qualifizierte (QES) – und schuf die Vertrauensliste der qualifizierten Anbieter (Trusted List), einsehbar im Portal der Europäischen Kommission.

Für KMU war der Hauptnutzen von eIDAS 1 die grenzüberschreitende Anerkennung qualifizierter Signaturen: Ein mit QES unterzeichneter Vertrag in Frankreich wurde in Deutschland, Spanien oder Italien ohne Apostille oder weitere Formalitäten rechtlich anerkannt. Dieses Prinzip – genannt „Nichtdiskriminierung" – war die Grundlage, auf der Angebote wie Certyneo ihre Dienstleistungen aufgebaut haben.

1.2 Identifizierte Schwächen

Trotz seiner Fortschritte litt eIDAS 1 unter mehreren Mängeln, die die Europäische Kommission in ihrem Bewertungsbericht von 2021 dokumentierte:

• Fragmentierung der Identitätsschemas: Nur Mitgliedstaaten, die ihr Schema notifiziert hatten (wie FranceConnect+ mit wesentlichem Niveau), profitierten von gegenseitiger Anerkennung. 2023 hatten nur 14 von 27 Staaten ein konformes Schema notifiziert.
• Kein nativer mobiler Support: Das qualifizierte Signaturgenerierungsgerät (QSCD) erforderte oft eine Smartcard oder einen physischen Token und hemmte die mobile Nutzung.
• Begrenzte Vertrauensdienste: eIDAS 1 listete neun Arten qualifizierter Dienste auf; neue Anwendungsfälle (qualifiziertes elektronisches Archivieren, Attributverwaltung) waren nicht reguliert.
• Kein einheitliches Identitätsportemonnaie: Jeder Bürger und jedes Unternehmen verwaltete seine Identifikatoren isoliert ohne garantierte Interoperabilität.

Diese Lücken führten die Kommission zur Revision ab 2020, was nach drei Jahren Trilog zur Verordnung eIDAS 2 führte.

---

2. Fünf große Neuerungen von eIDAS 2 für KMU

2.1 Das europäische digitale Identitätsportemonnaie (EU Digital Identity Wallet – EUDIW)

Dies ist die sichtbarste Neuerung der Verordnung. Bis November 2026 (in Artikel 5a festgelegter Transpositionsfristab) muss jeder Mitgliedstaat mindestens ein zertifiziertes digitales Identitätsportemonnaie seinen Bürgern und Einwohnern anbieten. Für KMU hat diese Entwicklung zwei direkte Konsequenzen:

1. Vereinfachte Authentifizierung von Kunden und Partnern: Das Portemonnaie wird es ermöglichen, verifizierte Attribute (Alter, Umsatzsteuer-Identifikationsnummer, Handelsregisterauszug, zertifizierte Bankdaten) ohne Reibung zu teilen. Ein Rahmenvertrag mit einem deutschen Partner kann nach sofortiger Überprüfung seiner beruflichen Attribute aus seinem EUDIW unterzeichnet werden.
2. Akzeptanzpflicht in bestimmten Sektoren: Dienste großer Plattformen (Artikel 45bis) und bestimmte öffentliche Dienste müssen das EUDIW als Authentifizierungsmittel akzeptieren. KMU, die B2B-Portale bereitstellen, müssen ihre Authentifizierungs-APIs anpassen.

2.2 Erweiterung des Katalogs qualifizierter Vertrauensdienste

eIDAS 2 erweitert den Katalog der qualifizierten Vertrauensdienste von 9 auf 14 Kategorien. Die neuen Einträge mit direkter Relevanz für KMU sind:

• Qualifiziertes elektronisches Archivieren (Art. 45septies): Langzeitspeicherung mit erhöhtem Beweiswert. Bislang war Archivierung mit Beweiswert auf nationale Referenzrahmen gestützt (in Frankreich das SIAF/ANSSI-Referenzwerk); eIDAS 2 harmonisiert das europäische Rahmenwerk.
• Fernverwaltung qualifizierter Signaturgenerierungsgeräte (RQSCD): Jetzt explizit reguliert, beseitigt es Unklarheiten bei Cloud-Lösungen für qualifizierte Signaturen. Für ein KMU mit 50 Mitarbeitern bedeutet dies Zugriff auf qualifizierte Signatur ohne physischen Token von jedem Gerät aus.
• Qualifizierter elektronischer Registerdienst: Register auf Basis von Blockchain oder verteilten Ledger-Technologien können nun qualifizierten Status erlangen und neue Modelle der Vertragsverwaltung ermöglichen.

Für mehr Informationen zu Signaturebenen und ihrem Rechtswert, konsultieren Sie unseren vollständigen Leitfaden zur elektronischen Signatur.

2.3 Verschärfung der Sicherheitsanforderungen für qualifizierte Anbieter (QTSP)

eIDAS 2 verschärft die Pflichten von Anbietern qualifizierter Vertrauensdienste (QTSP). Der überarbeitete Artikel 24 schreibt insbesondere vor:

• Eine Cybersicherheitszertifizierung gemäß europäischem Rahmen (EU Cybersecurity Act, Verordnung 2019/881) mit Branchenschemas in Entwicklung durch die ENISA.
• Verschärfte Anforderungen an Betriebsresilienz: QTSP müssen jetzt ihren Business-Continuity-Plan dokumentieren und ihrer nationalen Aufsichtsbehörde vorlegen (in Frankreich die ANSSI für qualifizierte Anbieter).
• Pflicht zur Sicherheitsvorfallmeldung innerhalb von 24 Stunden (Angleichung an NIS 2).

Für KMU-Nutzer bedeutet dies erhöhte Sorgfalt bei der Anbieterauswahl: Überprüfung, dass Ihre Signaturl lösung in der aktualisierten europäischen Trusted List verzeichnet ist, wird zu einem kritischen Schritt Ihres Beschaffungsprozesses. Unser Vergleich elektronischer Signaturl ösungen kann Ihnen bei dieser Analyse helfen.

2.4 Obligatorische Interoperabilität von Identitätsschemas

Während eIDAS 1 den Mitgliedstaaten Freiheit bei der Notifizierung ließ, macht eIDAS 2 die Notifizierung und Interoperabilität für Identitätsschemas in öffentlichen Online-Diensten obligatorisch (Art. 5). France Identité – das nationale Schema des französischen Innenministeriums – wird der Konformität mit den technischen Spezifikationen des EUDIW aus der Durchführungsverordnung (EU) 2024/2977 angepasst.

Für ein KMU, das regelmäßig mit öffentlichen Behörden interagiert (öffentliche Aufträge, Steuererklärungen online, Zollverfahren), bedeutet diese Entwicklung, dass Online-Verfahren schrittweise um eine einzige, in der gesamten EU anerkannte digitale Identität vereinheitlicht werden.

2.5 Neue Verantwortungs- und Aufsichtsregeln

eIDAS 2 präzisiert und erweitert Anbieter-Haftungsregime (überarbeiteter Art. 13). Ein QTSP wird nun präsumtiv für Schäden an Personen durch Verletzung seiner Pflichten haftbar gemacht, es sei denn, er beweist fehlende Schuld. Diese gegenüber eIDAS 1 verstärkte Haftungsvermutung sollte KMU veranlassen:

• Vertraglich Verpflichtungen ihres Anbieters zu formalisieren (SLA, Verfügbarkeitsgarantien, Entschädigungen).
• Deckung der beruflichen Haftpflichtversicherung des QTSP zu überprüfen.
• Nachweise von Transaktionsprüfungen zu bewahren (Zeitstempel-Logs, Validierungsberichte).

Unsere Teams haben einen ausführlichen Leitfaden zur elektronischen Signatur im Unternehmen verfasst, der diese vertraglichen Aspekte behandelt.

---

3. Vergleichstabelle eIDAS 1 vs eIDAS 2: Was konkret ändert sich

3.1 Zusammenfassung der Hauptänderungen

| Kriterium | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Identitätsportemonnaie | Keine | EUDIW obligatorisch (Mitgliedstaaten) | | Qualifizierte Dienste | 9 Kategorien | 14 Kategorien (Archivieren, RQSCD, Register…) | | Schema-Notifizierung | Fakultativ | Obligatorisch für öffentliche Dienste | | QTSP-Sicherheit | Common Criteria | Cybersecurity Act + ENISA-Schemas | | QTSP-Haftung | Teilweise | Verstärkte Haftungsvermutung | | Vorfallmeldungsfrist | Nicht spezifiziert | 24 Stunden (Angleichung NIS 2) | | Mobiles QSCD | Rechtliche Unklarheit | RQSCD explizit reguliert |

3.2 Wichtigste Fristen für 2026

• Mai 2024: Inkrafttreten der Verordnung (EU) 2024/1183.
• November 2026: Fristablauf für Mitgliedstaaten zur Bereitstellung mindestens einer zertifizierten EUDIW-Lösung.
• 2027: Pflicht für große Plattformen (Art. 45bis), EUDIW als Authentifizierungsmittel zu akzeptieren.
• 2028: Geplante Überprüfung der technischen Durchführungsakte (Delegierte Verordnungen zu EUDIW-Spezifikationen).

Falls Ihr KMU eine Migr ation zu einer konformeren Lösung plant, umfasst unser Migrationsangebot zu Certyneo ein kostenloses eIDAS-2-Compliance-Audit.

---

4. Praktischer Aktionsplan zur Konformität Ihres KMU mit eIDAS 2

4.1 Audit Ihrer bestehenden Dokumentenabläufe

Beginnen Sie, alle Prozesse zu kartographieren, in denen Sie derzeit elektronische Signatur oder digitale Identität verwenden: Lieferantenverträge, digitalisierte Gehaltsabrechnungen, SEPA-Mandate, Vertraulichkeitsvereinbarungen, HR-Verträge. Für jeden Ablauf identifizieren Sie:

• Die aktuell verwendete Signaturebene (SES, AdES, QES).
• Aktuellen Anbieter und seinen Status in der Trusted List.
• Rechtliches Risiko bei Streitigkeit.

Dieses Audit ist der empfohlene Startpunkt der ANSSI in ihrem im März 2025 veröffentlichten Compliance-Leitfaden.

4.2 Upgrade Ihrer Signaturl ösung

Falls Ihr aktueller Anbieter nicht in der eIDAS-2-Trusted-List verzeichnet ist oder RQSCD noch nicht anbietet, ist Zeit für einen Marktvergleich. Certyneo ist ein zertifizierter QTSP, der alle drei Signaturebenen (SES, AdES, QES) unterstützt und neue eIDAS-2-Anforderungen nativ integriert, einschließlich qualifiziertem Archivieren und Ferngerätverwaltung.

4.3 Schulung Ihrer Teams und Vertragsaktualisierung

eIDAS 2 stärkt den Beweiswert qualifizierter Signaturen, erlegt aber auch Dokumentationspflichten auf. Stellen Sie sicher, dass Ihre Rechts- und Verwaltungsteams:

• Die drei Signaturebenen und ihren jeweiligen Rechtswert unterscheiden können.
• Audit-Compliance-Klauseln in Lieferantenverträge einfügen.
• Validierungsnachweise (Validierungsbericht, qualifizierter Zeitstempel) während der gesetzlich geltenden Aufbewahrungsfrist speichern (3-10 Jahre je nach Dokumenttyp).

Zur Strukturierung dieses Ansatzes kann unser ROI-Rechner für elektronische Signaturen Ihnen die Betriebseinsparungen durch das Upgrade quantifizieren.

Anwendbarer Rechtsrahmen

Rechtsquellen

Die eIDAS-2-Compliance eines französischen KMU erfolgt im Kontext eines komplexen Normengefüges, das es zu beherrschen gilt.

Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates (sog. „eIDAS 2"): Dies ist der Grundlagentext, im Amtsblatt der EU am 30. April 2024 veröffentlicht. Die Verordnung (EU) Nr. 910/2014 wird nach einem bis 2027 laufenden Ausrollplan aufgehoben und ersetzt. Sie ist unmittelbar in allen Mitgliedstaaten anwendbar ohne nationale Umsetzungsgesetze für ihre Hauptbestimmungen.

Verordnung (EU) Nr. 910/2014 (eIDAS 1): Einige ihrer Bestimmungen bleiben während der von eIDAS 2 vorgesehenen Übergangsperioden anwendbar, insbesondere für Anbieter, die vor Mai 2024 qualifiziert wurden und Zeit zur Neuzertifizierung haben.

Französisches Bürgerliches Gesetzbuch, Artikel 1366 und 1367: Artikel 1366 legt den Grundsatz der Gleichwertigkeit zwischen elektronischem und papiergestütztem Schriftstück fest, sofern „die Person, von der es stammt, ordnungsgemäß identifiziert werden kann und es unter Bedingungen etabliert und aufbewahrt wird, die die Integrität gewährleisten". Artikel 1367 erkennt die elektronische Signatur als Beweismittel an und verweist auf Bedingungen per Dekret des Staatsrats (Dekret Nr. 2017-1416 vom 28. September 2017, kodifiziert in Art. R. 1369-1 bis R. 1369-10 BGB).

Verordnung (EU) 2016/679 (DSGVO): Das Deployment des EUDIW und die Verarbeitung von Identitätsattributen in elektronischen Signatur-Workflows sind Datenverarbeitungen im Sinne der DSGVO. KMU müssen sicherstellen, dass ihr QTSP als Auftragsverarbeiter nach Artikel 28 DSGVO fungiert mit einem konformem DPA (Data Processing Agreement). Die CNIL veröffentlichte im Januar 2026 eine spezifische Empfehlung zur EUDIW-DSGVO-Integration.

Richtlinie (EU) 2022/2555 (NIS 2): eIDAS 2 stimmt explizit mit NIS 2 bei Vorfallmeldungspflichten überein (Art. 24 Abs. 2 eIDAS 2 verweist auf NIS-2-Bestimmungen). QTSP werden als „wesentliche" oder „wichtige" Entitäten im Sinne von NIS 2 eingestuft und unterliegen regelmäßigen Sicherheitsaudits.

ETSI-Normen: Qualifizierte elektronische Signaturen müssen ETSI-EN-319-132-1 (XAdES), ETSI-EN-319-122-1 (CAdES), ETSI-EN-319-162-1 (ASiC) und ETSI-EN-319-102-1 (Validierungsverfahren) einhalten. Die Norm ETSI TS 119 461 reguliert die Remote-Identitätsüberprüfung (IDV), besonders relevant für RQSCD.

Rechtliche Risiken bei Nichtkonformität

Die Nutzung einer nicht mit eIDAS 2 konformen elektronischen Signaturl ösung setzt das KMU mehreren Risiken aus:

• Unzulässigkeit vor Gericht: Ein Richter kann eine elektronische Signatur ablehnen, deren Stufe nicht der unterzeichneten Urkunde entspricht (z.B. einfache Signatur für Urkunde, die fortgeschrittene oder qualifizierte Stufe erfordert).
• Vertragliche Haftung: Falls ein Vertrag von einem Partner mit Ungültigkeitsargument bezüglich der Signatur angefochten wird, kann das KMU Schadensersatzforderungen ausgesetzt sein.
• DSGVO-Bußgelder: Bei Datenverletzung durch Sicherheitsmängel des Anbieters kann das KMU als Co-Verantwortlicher oder Verantwortlicher von der CNIL bis zu 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO) sanktioniert werden.

Konkrete Anwendungsszenarien

Szenario 1: Ein Fertigungs-KMU mit 80 Mitarbeitern, ~400 Lieferantenverträge/Jahr

Ein Metallverarbeitungs-KMU mit ca. 400 Lieferantenverträgen pro Jahr nutzte bis 2024 elektronische einfache Signatur (SES) für alle Verpflichtungen, auch Rahmenverträge über 50.000 €. Nach eIDAS-2-Compliance-Audit stellte es fest, dass 35 % seiner Verträge fortgeschrittene oder qualifizierte Signatur bräuchten, um Anfechtung standzuhalten, besonders mit Lieferanten aus anderen EU-Staaten.

Durch Wechsel zu kombinierter Lösung mit fortgeschrittener Signatur (AdES) für Standard-Verträge und qualifizierter Signatur (QES) für Rahmenverträge und Aktivierung qualifizierten elektronischen Archivierens (neuer eIDAS-2-Dienst) reduzierte das KMU die Zeit für Dokumentverwaltung nach Signatur um 70 % (Klassifizierung, Suche, Versand beglaubigter Kopien) und senkte Streitfälle bezüglich Signaturanfechtung auf Null in den folgenden 18 Monaten (vorher zwei Vorfälle in 18 Monaten).

Szenario 2: Eine Rechtsanwaltskanzlei mit 15 Mitarbeitern

Eine auf Unternehmensrecht spezialisierte Kanzlei mit durchschnittlich 1.200 unterzeichneten Urkunden pro Jahr (Mandatsvereinbarungen, Mandate, Vertraulichkeitsvereinbarungen) sah steigende Nachfrage von Corporate-Clients nach EU-weit anerkannter qualifizierter Signatur. Unter eIDAS 1 erforderte Zertifikatsbeschaffung persönliche Treffen oder lange Videoverifizierung (45-90 Minuten pro Nutzer).

Mit RQSCD (Remote Qualified Signature Creation Device) unter eIDAS 2 konnte die Kanzlei qualifizierte Signaturen für alle Mitarbeiter in unter zwei Wochen via 100 % Remote-Enrolling gem. ETSI-TS-119-461 bereitstellen. Die interne Adopti onsrate stieg von 40 % auf 95 % in drei Monaten, und die durchschnittliche Rückgabefrist unterzeichneter Urkunden sank von 4,2 Tagen auf unter 6 Stunden nach internen Messungen.

Szenario 3: Ein E-Commerce-KMU mit Aktivität in drei EU-Ländern

Ein Online-Verkaufsunternehmen mit 35 Mitarbeitern in Frankreich, Belgien und den Niederlanden verwaltete drei Arten elektronischer Verträge: Arbeitsverträge für lokale Mitarbeiter, Partnerschaftsvereinbarungen mit Transporteuren, SEPA-Mandate für professionelle Kunden. Die Fragmentierung nationaler eIDAS-1-Anforderungen erforderte drei separate Signatur-Workflows mit geschätzten Managementkosten von ca. 12.000 €/Jahr.

Die Einführung einer eIDAS-2-konformen, einheitlichen Lösung – mit gegenseitiger Anerkennung qualifizierter Signaturen in allen drei Ländern – ermöglichte Workflow-Vereinheitlichung, Kostenreduktion auf ca. 4.500 €/Jahr (62 % Einsparung) und Wegfall manueller Validierung ausländischer Signaturen durch die Rechtsabteilung.

Fazit

eIDAS 2 ist keine bloße kosmetische Überprüfung des Regelwerks: Es definiert die Regeln digitalen Vertrauens in Europa grundlegend neu. Für französische KMU stellen die fünf Hauptneuerungen – EUDIW-Portemonnaie, erweiterte qualifizierte Dienste, RQSCD, obligatorische Interoperabilität und verschärfte Haftung – sowohl eine Compliance-Anforderung als auch eine Gelegenheit dar, ihre Dokumententransformation zu beschleunigen.

KMU, die diese Änderungen bereits heute voraussehen, gewinnen echte Wettbewerbsvorteile: In der gesamten EU anerkannte Verträge ohne Reibung, integriertes Archivieren mit Beweiswert und vollständig digitalisierte, sichere Signaturprozesse.

Certyneo ist für diese Transition ausgerichtet. Starten Sie Ihren kostenlosen Test auf certyneo.com und erhalten Sie ein kostenloses eIDAS-2-Compliance-Audit für Ihre bestehenden Dokumentabläufe.