Transition eIDAS 1 zu 2: Auswirkungen auf die Signatur in 2025

Am 20. Mai 2024 wurde die Verordnung (EU) 2024/1183 — allgemein als eIDAS 2 bekannt — im Amtsblatt der Europäischen Union veröffentlicht und hebt die Verordnung Nr. 910/2014 (eIDAS 1) schrittweise auf. Dieser Text stellt die größte Reform der digitalen Identität und der elektronischen Signatur in Europa seit 2016 dar. Für französische Unternehmen, die elektronische Signaturen in ihren Vertragsabläufen einsetzen, ist der Übergang keine Formalität: Er erfordert technische, rechtliche und organisatorische Anpassungen, deren Zeitrahmen sich bis 2026 und darüber hinaus erstreckt. Das Verständnis des Übergangs von eIDAS 1 zu eIDAS 2 und seiner Auswirkungen auf die elektronische Signatur in 2025 ist somit zur Priorität für Juristen, IT-Leiter und Personalverantwortliche geworden. Dieser Artikel entschlüsselt die grundlegenden Änderungen des Regelwerks, den genauen Übergangszeitplan und konkrete Maßnahmen, um die Konformität zu gewährleisten.

Was die Verordnung eIDAS 2 grundlegend ändert

Von der Verordnung von 2014 zur Überarbeitung von 2024: Warum eine Überprüfung notwendig war

eIDAS 1 hatte die Grundlagen für die gegenseitige Anerkennung elektronischer Signaturen innerhalb der Union gelegt. Drei hierarchische Ebenen — einfach (SES), fortgeschritten (AdES) und qualifiziert (QES) — strukturierten den Beweisswert von Signaturen, gestützt auf eine Liste von Vertrauensanbietern (TSL). Doch in zehn Jahren sind zwei grundlegende Lücken entstanden.

Erstens galt die ursprüngliche Verordnung im Wesentlichen für Beziehungen zu öffentlichen Verwaltungen (G2B, G2C). Sie schuf keine direkten Verpflichtungen bei privaten Transaktionen (B2B, B2C), was einen normativen Leerraum ließ, den jeder Mitgliedstaat unterschiedlich füllte. Zweitens hatte der Aufstieg digitaler Dienste — mobile Anwendungen, Open Banking, Telemedizin — das Fehlen eines tragbaren und interoperablen Identitätssystems auf kontinentaler Ebene aufgezeigt.

eIDAS 2 antwortet auf diese beiden Herausforderungen durch die Einführung der europäischen Brieftasche für digitale Identität (EU Digital Identity Wallet, EUDIW) und erweitert den Umfang der Vertrauensdienste auf neue Anwendungsfälle: qualifizierte elektronische Archivierung, attestierte qualifizierte Attribute, qualifizierte elektronische Register (einschließlich zertifizierter Blockchain-Anwendungen).

Die neuen Kategorien qualifizierter Vertrauensdienste

Die Verordnung eIDAS 2 erweitert die Liste der qualifizierten Vertrauensdienste (Artikel 3 und überarbeitete Anlage IV). Neben Signaturen, Siegeln und qualifizierten Zeitstempeln, die bereits von eIDAS 1 anerkannt sind, sind nun qualifiziert:

• Dienste der qualifizierten elektronischen Archivierung (Art. 34 bis): Verpflichtung zur Bewahrung der Integrität und Lesbarkeit signierter Dokumente über lange Zeit, mit verstärkten Anforderungen an die Anbieter (QTSP).
• Dienste der Verwaltung qualifizierter Fernzugriff-Signaturgenerierungsgeräte (QRCD): Verstärkte Regelung von Remote-Signaturlösungen über HSM (Hardware Security Module) in der Cloud.
• Attestierungen qualifizierter Attribute: Mechanismus, bei dem ein Vertrauensanbieter Attribute einer Entität (z.B. Rechtsanwaltseigenschaft, Arztstatus) attestiert, ohne die gesamte Identität preiszugeben.
• Qualifizierte elektronische Register: Anerkennung verteilter Register unter strengen Bedingungen der Prüfbarkeit und Resilienz.

Für Benutzer von elektronischen Signaturdiensten bedeutet dies, dass die verfügbaren qualifizierten Vertrauensdienste auf dem Markt vielfältiger werden, und dass die Auswahlkriterien für einen Anbieter (QTSP) diese neuen Fähigkeiten integrieren müssen.

Das EUDIW: Die digitale Identitätsbrieftasche als Signatur-Infrastruktur

Die sichtbarste Innovation von eIDAS 2 bleibt das EUDIW. Jeder Mitgliedstaat muss seinen Bürgern und Einwohnern eine kostenlose, interoperable digitale Identitätsbrieftasche zur Verfügung stellen, die mit allen anderen Mitgliedstaaten interoperabel ist, bis zum 26. November 2026 (Frist für nationale Konformität gemäß Artikel 5 bis). Diese Brieftasche ermöglicht es:

• den Benutzer mit hohem Sicherheitsniveau zu authentifizieren (LoA High), ohne einen Drittanbieter zur Identifizierung zu nutzen;
• elektronische Dokumente direkt aus der Brieftasche mit qualifiziertem Wert (QES) zu signieren;
• selektive Identitätsattribute zu teilen (selective disclosure), wodurch das DSGVO-Prinzip der Datenvermeidung eingehalten wird.

Für Unternehmen vereinfacht das EUDIW theoretisch die Verfahren zur Identitätsprüfung vor qualifizierter Signatur, wodurch der Aufwand der Videoidentifikation oder Identifikation von Angesicht zu Angesicht entfällt. In der Praxis hängt die Auswirkung vom Tempo der nationalen Umsetzung ab — Frankreich hat 2025 ein Pilotprojekt im Rahmen des Programms „France Identité" gestartet.

Genauer Zeitplan für den Übergang von eIDAS 1 zu eIDAS 2

Die wichtigsten regulatorischen Meilensteine

Die Verordnung 2024/1183 ist am 20. Mai 2024 in Kraft getreten, aber ihre Anwendung ist schrittweise. Hier sind die wichtigsten Termine:

| Datum | Ereignis | |------|----------| | 20. Mai 2024 | Veröffentlichung im ABl., formales Inkrafttreten | | 20. November 2024 | Frist von 6 Monaten für die Annahme von Durchführungsakten durch die Kommission (technische EUDIW-Spezifikationen) | | Ende 2025 | Veröffentlichung überarbeiteter ETSI-Normen (EN 319 411-1/2, EN 319 401) mit eIDAS-2-Anforderungen | | 26. Mai 2026 | Frist für die Einhaltung durch die Mitgliedstaaten hinsichtlich neuer qualifizierter Dienste | | 26. November 2026 | Obligatorische Bereitstellung des EUDIW durch jeden Mitgliedstaat | | 2027-2028 | Vollständige Überarbeitung der nationalen Vertrauenslisten (TSL) und Akkreditierung neuer QTSP |

eIDAS 1 bleibt gültig und Signaturen, die unter diesem Regime ausgestellt wurden, behalten ihre volle Rechtsgültigkeit. Es gibt keine Verpflichtung, bestehende Dokumente neu zu signieren. Qualifizierte Vertrauensanbieter müssen ihre Akkreditierung jedoch bis 2027 nach neuen technischen Normen erneuern.

Was sich nicht ändert und worauf man achten muss

Kontinuität ist ein Kardinalsprinzip des Übergangs. Die drei Signaturebenen (SES, AdES, QES) werden mit ihren unveränderten Definitionen beibehalten. Die Vermutung der Äquivalenz mit einer handschriftlichen Signatur, die an die QES gebunden ist (Artikel 25 eIDAS 1, wiederholt in Artikel 27 eIDAS 2), bleibt gültig. Der Beweisswert Ihrer aktuellen elektronischen Signaturen wird nicht in Frage gestellt.

Worauf man achten muss: Durchführungsakte der Europäischen Kommission, die das ganze Jahr 2025-2026 veröffentlicht werden, werden die genauen technischen Spezifikationen des EUDIW und der neuen Dienstkategorien festlegen. Diese Texte der Ebene 2 haben erhebliche praktische Bedeutung für Integratoren und Softwareentwickler. Für Unternehmen, die elektronische Signaturen in ihren HR- oder Rechtsabläufen einsetzen, wird empfohlen, bei seinem Anbieter eine Konformitäts-Roadmap für eIDAS 2 anzufordern.

Konkrete Auswirkungen auf Unternehmen und ihre Signatursysteme

Welche Workflows sind vorrangig betroffen?

Der Übergang von eIDAS 1 zu eIDAS 2 hat nicht dieselbe Auswirkung je nach genutztem Signaturtyp. Für Unternehmen können drei Situationen unterschieden werden:

Einfache elektronische Signatur (SES): verwendet für geringwertige Änderungen, Empfangsbestätigungen, interne Formulare. Keine Verpflichtung zur sofortigen Aktualisierung. Die Beweisregeln werden durch das BGB (§ 371) und nicht direkt durch eIDAS geregelt.

Fortgeschrittene elektronische Signatur (AdES/AdESQC): Unternehmen, die B2B-Lösungen für Geschäftskontrakte, digital unterzeichnete Arbeitsverträge oder Immobilienurkunden nutzen, müssen überprüfen, dass ihr Anbieter die Konformität mit den ETSI-Normen EN 319 132 (XAdES), EN 319 122 (CAdES) und EN 319 142 (PAdES) in ihren überarbeiteten Versionen für eIDAS 2 wahrt. Diese Normen werden von der ETSI bis Ende 2025 veröffentlicht.

Qualifizierte elektronische Signatur (QES): Qualifizierte Anbieter (QTSP) müssen eine neue eIDAS-2-Akkreditierung erhalten. Der Übergangszeitraum gewährt eine angemessene Frist (bis 2027), aber Ausschreibungen, die ab 2025 gestartet werden, sollten eine eIDAS-2-Konformitätsklausel in den Auswahlkriterien integrieren. Für Organisationen, die verfügbare Optionen vergleichen, ermöglicht der Vergleich von elektronischen Signaturfernlösungen die Bewertung der Reife der Anbieter zu diesem Thema.

Neue Anforderungen an qualifizierte Vertrauensanbieter (QTSP)

eIDAS 2 verschärft die Anforderungen an QTSP in drei wichtigen Bereichen:

1. Systemsicherheit: verbindliche Angleichung an NIS2 (Richtlinie (EU) 2022/2555) für QTSP, die nun als wesentliche Einrichtungen klassifiziert sind. Dies führt zu Verpflichtungen zur Benachrichtigung von Vorfällen innerhalb von 24 Stunden, jährlichen Sicherheitsprüfungen und der Implementierung von Geschäftskontinuitätsplänen.

1. Verstärkte Haftung: Artikel 13 eIDAS 2 erweitert das Haftungsregime für QTSP. Im Falle eines nachgewiesenen Verstoßes ist die Beweislast umgekehrt: Der Anbieter muss nachweisen, dass er keine Fahrlässigkeit begangen hat, nicht umgekehrt.

1. Obligatorische Interoperabilität: QTSP müssen standardisierte APIs zur Verfügung stellen, die mit dem EUDIW kompatibel sind, um die native Integration von Identitätsbrieftaschen zu ermöglichen. Diese Anforderung wird die Modernisierung der verfügbaren Integrationsoberflächen für Entwickler beschleunigen.

Für Unternehmen, die unter diesen Umständen einen Anbieterwechsel in Betracht ziehen, ist von DocuSign oder YouSign zu einer eIDAS-2-konformen Lösung zu migrieren eine Maßnahme, die bereits jetzt statt in Eile im Jahr 2027 in Betracht gezogen werden sollte.

Personendaten und eIDAS 2: Die Verbindung mit der DSGVO

Das EUDIW sammelt und verarbeitet Identitätsdaten, die personenbezogene Daten darstellen. Die Verordnung eIDAS 2 sieht ausdrücklich vor (Erwägungsgrund 11 und Artikel 5 bis §14), dass das gesamte System mit der DSGVO (Verordnung (EU) 2016/679) konform ist. Mehrere Aufmerksamkeitspunkte:

• Selektive Offenlegung: Die Brieftasche muss dem Benutzer ermöglichen, nur die für die Transaktion absolut notwendigen Attribute zu teilen (Minimierungsprinzip, Art. 5(1)(c) DSGVO). Für eine Unterzeichnung eines Vertrags könnte nur die Überprüfung der Volljährigkeit geteilt werden, ohne das vollständige Geburtsdatum preiszugeben.
• Übermittlungen außerhalb der EU: Daten, die im Rahmen des EUDIW verarbeitet werden, können nur mit angemessenen Garantien außerhalb des EWR übermittelt werden (Art. 46 DSGVO). Anbieter, die amerikanische Cloud-Infrastrukturen nutzen, müssen ihre Konformität dokumentieren.
• Aufbewahrung von Signaturprotokollen: Die Archivierung von Signaturbeweisen muss der Aufbewahrungsdauer entsprechen, die der Art des Dokuments angemessen ist. Der neue qualifizierte Archivierungsdienst eIDAS 2 bietet einen technischen Rahmen zur Erfüllung dieser Anforderung.

Unternehmen, die internationale Arbeitsverträge verwalten, sind von dieser DSGVO/eIDAS-2-Schnittstelle besonders betroffen, besonders wenn Unterzeichner außerhalb der EU ansässig sind.

Rechtlicher Rahmen für den Übergang von eIDAS 1 zu eIDAS 2

Referenztexte

Der Übergang basiert auf einer Schichtung von Texten, die beherrscht werden müssen:

Auf europäischer Ebene:

• Verordnung (EU) Nr. 910/2014 (eIDAS 1): noch gültig bis zur schrittweisen Aufhebung durch eIDAS 2. Definiert die drei Signaturebenen (SES, AdES, QES) und das QTSP-Regime.
• Verordnung (EU) 2024/1183 (eIDAS 2): am 20. Mai 2024 in Kraft getreten. Ändert eIDAS 1 wesentlich, ohne es sofort aufzuheben. Die Bestimmungen zum EUDIW gelten ab Veröffentlichung der Durchführungsakte.
• Verordnung (EU) 2016/679 (DSGVO): gilt vollständig für die Verarbeitung von Identitätsdaten im Rahmen des EUDIW und der Signaturprozesse. Artikel 5 bis §14 von eIDAS 2 erinnert diese Unterordnung ausdrücklich.
• Richtlinie (EU) 2022/2555 (NIS2): verhängt verstärkte Cybersicherheitsverpflichtungen für QTSP, die nun als wesentliche Einrichtungen klassifiziert sind. Im französischen Recht umgesetzt durch Verordnung Nr. 2024-821 vom 20. Juni 2024 (Durchführungsdekrete in Bearbeitung).

Auf französischer Ebene:

• Code civil, Artikel 1366 und 1367: Grundlage für den Beweisswert von Schriftstücken in elektronischer Form. Artikel 1366 legt die Äquivalenz zwischen elektronischem Schriftstück und Papier unter Bedingungen fest. Artikel 1367 verleiht der qualifizierten Signatur (QES) die gleiche Beweiskraft wie einer handschriftlichen Signatur.
• Dekret Nr. 2017-1416 vom 28. September 2017: präzisiert die Bedingungen für die Verwendung der elektronischen Signatur in privatrechtlichen Urkunden. Bleibt während der Übergangszeit anwendbar.
• Allgemeiner Sicherheitsrahmen (RGS) v2: Für französische Verwaltungen schreibt der RGS die Verwendung von Lösungen vor, die von der ANSSI registriert sind. Seine Aktualisierung zur Integration von eIDAS 2 wird im Laufe von 2026 erwartet.

Anwendbare ETSI-Normen

ETSI-Normen bilden die Ebene 3 der normativen Hierarchie. Die derzeit geltenden Versionen:

• EN 319 132-1/2: Format XAdES (fortgeschrittene XML-Signaturen)
• EN 319 122-1/2: Format CAdES (fortgeschrittene CMS-Signaturen)
• EN 319 142-1/2: Format PAdES (fortgeschrittene PDF-Signaturen)
• EN 319 401: allgemeine Anforderungen für Vertrauensdienste-Anbieter
• EN 319 411-1/2: Anforderungen für Zertifizierungsstellen, die qualifizierte Zertifikate ausstellen

Diese Normen werden bis Ende 2025 überarbeitet, um die neuen eIDAS-2-Anforderungen zu integrieren. Verträge mit QTSP müssen eine Klausel zur Aktualisierung auf überarbeitete Versionen ohne Zusatzkosten enthalten.

Rechtliche Risiken bei Nichtkonformität

Eine Signatur, die von einem Anbieter ausgestellt wurde, der nach 2027 nicht mehr akkreditiert ist, würde ihre Rechtsgültigkeit für bereits signierte Dokumente nicht automatisch verlieren, würde aber nicht mehr von der gesetzlichen Vermutung der Äquivalenz mit einer handschriftlichen Signatur (Art. 25 eIDAS) profitieren. Die Beweislast für die Integrität und Identität des Unterzeichners würde dann vollständig auf dem Unternehmen im Falle von Streitigkeiten ruhen. Dieses Beweisrisiko ist besonders sensibel bei Urkunden, deren Verjährungsfrist lang ist (5 Jahre in Handelsfällen, 30 Jahre für unbewegliche Rechte).

Anwendungsszenarien: Wie Organisationen den Übergang zu eIDAS 2 vorbereiten

Szenario 1: Eine Anwaltskanzlei mit 25 Mitarbeitern rationalisiert ihre Dokumentenkonformität

Eine Anwaltskanzlei, die auf Wirtschaftsrecht spezialisiert ist, mit etwa 25 Mitarbeitern und intensiver Signaturaktivität bei Mandaten, Abtretungsurkunden und Abspracheprotokollen, nutzte bis 2024 eine fortgeschrittene Signaturdienst (AdES) für alle ihre Abläufe. Mit der Ankündigung von eIDAS 2 führte die Kanzlei einen Audit ihrer 1.200 Dokumente durch, die jährlich signiert wurden, um zu identifizieren, welche eine QES nach neuen Empfehlungen ihrer Anwaltsberatung benötigen.

Ergebnis: 15 % der Urkunden (etwa 180 pro Jahr) wurden neu als qualifizierte Signatur klassifiziert, was den Beweisstand dieser Dokumente sicherte. Die Kanzlei handelte mit ihrem Signaturanbieter eine Klausel aus, die die eIDAS-2-Konformität ab Veröffentlichung der Durchführungsakte garantiert, ohne Zusatzkosten. Die mit der Identitätsprüfung von Unterzeichnern verbundene administrative Zeit sank um 40 % durch die Vorbereitung der für 2026 geplanten EUDIW-Integration.

Szenario 2: Ein Industriebetrieb mit 150 Mitarbeitern sichert seine Lieferantenkette ab

Ein Industriebetrieb, der etwa 350 Lieferantenverträge pro Jahr verwaltet — Bestellscheine, NDAs, Rahmenverträge — funktionierte mit zwei verschiedenen Signaturfernlösungen für seine internen und externen Abläufe, was zu einer Zersplitterung der Audit-Nachweise führte. Im Zusammenhang mit dem Übergang zu eIDAS 2 und neuen Anforderungen für qualifizierte Archivierung beschloss die IT-Abteilung, ihre Plattform zu vereinheitlichen.

Durch die Migration zu einer einzigen Lösung, die die qualifizierte elektronische Archivierung integriert (zukünftige eIDAS-2-Kategorie), senkte der Betrieb seine Kosten für sicheren Speicher um 30 % und konsolidierte seine Signaturnachweise in einem abgestimmten digitalen Tresor. Die gesamte Dokumentenkette ist nun während Lieferantenkontrollinspektionen in weniger als 2 Minuten auditierbar — eine wachsende Anforderung ihrer Auftraggeber in der Automobilindustrie.

Szenario 3: Ein Krankenhausverbund mit etwa 600 Betten bereitet die EUDIW-Integration vor

Ein öffentliches Krankenhausverbund verwendete die qualifizierte elektronische Signatur für seine medizinischen Verträge und öffentlichen Aufträge, gemäß den Verpflichtungen des Vergabegesetzes. Mit eIDAS 2 identifizierte die IT-Abteilung zwei Prioritätsthemen: die künftige Integration der Brieftasche „France Identité" für Ärzte in freier Praxis, die in der Einrichtung tätig sind, und die NIS2-Konformität seines QTSP.

Das Verbund verzeichnete in seinem IT-Strategieschema 2025-2028 ein Spezialpaket „eIDAS-2-Konformität" mit einem Budgetansatz von 45.000 € für die technische Migration und Schulung der Mitarbeiter. Das Ziel ist es, ab dem geplanten nationalen Einsatz im November 2026 Signaturen über EUDIW akzeptieren zu können und die Vertragsabschlusszeiten mit Gesundheitsberufen von 3 Tagen auf durchschnittlich weniger als 4 Stunden laut verfügbaren Branchenbenchmarks zu verkürzen.

Fazit

Der Übergang von eIDAS 1 zu eIDAS 2 ist keine Bruchstelle, sondern eine strukturierte Entwicklung mit einem genauen Zeitplan bis 2027. Die Auswirkungen auf die elektronische Signatur sind real — Erweiterung der qualifizierten Dienste, Ankunft des EUDIW, Verschärfung der NIS2-Anforderungen für QTSP — aber managebar, wenn sie vorausschauend geplant werden. Unternehmen, die jetzt handeln, profitieren von Spielraum, um ihre Workflows zu überprüfen, ihre Verträge mit ihren Anbietern zu sichern und ihre Teams ohne regulatorischen Druck zu schulen.

Certyneo begleitet Unternehmen bei diesem Übergang mit einer klaren eIDAS-2-Konformitäts-Roadmap, aktualisierten Signaturformaten und einer für die EUDIW-Integration vorbereiteten Architektur. Bereit, Ihre Signaturabläufe in diesem neuen regulatorischen Rahmen zu sichern? Entdecken Sie unsere Angebote und starten Sie kostenlos bei Certyneo.