Die eIDAS-Verordnung: Alles zur elektronischen Signatur in Europa
Aktualisiert am
Die eIDAS-Verordnung ist der Grundlagentext für elektronische Signaturen in Europa. Sie definiert drei Signaturstufen (einfach, fortgeschritten, qualifiziert), legt die Rechtsverbindlichkeit elektronischer Rechtsakte fest und regelt Vertrauensdiensteanbieter. Dieser Leitfaden zeigt, was Sie 2026 für die Konformität wissen müssen.
Was ist eIDAS und warum wurde es geschaffen?
Vor eIDAS hatte jeder Mitgliedstaat der Europäischen Union seine eigene Regelung für elektronische Signaturen, was zu rechtlicher Fragmentierung und Hemmnissen im grenzüberschreitenden Geschäftsverkehr führte. Eine in Frankreich gültige elektronische Signatur wurde nicht zwangsläufig in Deutschland oder Spanien anerkannt.
Die Verordnung (EU) Nr. 910/2014, eIDAS genannt (Electronic IDentification, Authentication and trust Services), wurde am 23. Juli 2014 angenommen und ist seit dem 1. Juli 2016 anwendbar. Als Verordnung (und nicht Richtlinie) gilt sie unmittelbar und einheitlich in allen 27 Mitgliedstaaten, ohne dass eine nationale Umsetzung erforderlich wäre.
eIDAS verfolgt drei Hauptziele: die Schaffung eines digitalen Binnenmarkts in Europa durch die gegenseitige Anerkennung elektronischer Identitäten, die Gewährleistung der Rechtssicherheit grenzüberschreitender elektronischer Transaktionen und die Schaffung eines Vertrauensrahmens für digitale Dienste über qualifizierte Vertrauensdiensteanbieter (QTSP — Qualified Trust Service Provider).
Die 3 von eIDAS definierten Signaturstufen
eIDAS beschreibt eine Pyramide aus drei Stufen elektronischer Signaturen, jeweils mit eigenen technischen Anforderungen und eigener Beweiskraft.
Einfache elektronische Signatur
eIDAS-Anforderungen
- Daten in elektronischer Form, die mit weiteren Daten verknüpft sind
- Zum Unterzeichnen verwendet (keine spezifische technische Anforderung)
- Kann ein Klick, ein Häkchen oder ein eingegebener Name sein
Anwendungsbeispiele
- Zustimmung zu AGB
- Onlineformular
- Bestätigungs-E-Mail
Rechtsverbindlichkeit
Grundlegender vertraglicher Wert, keine gesetzliche Vermutung
Fortgeschrittene elektronische Signatur
eIDAS-Anforderungen
- Eindeutig dem Unterzeichner zugeordnet
- Ermöglicht die Identifizierung des Unterzeichners
- Erstellt mit Daten, die unter alleiniger Kontrolle des Unterzeichners stehen
- Jede nachträgliche Änderung des Dokuments ist erkennbar
Anwendungsbeispiele
- Arbeitsverträge
- NDAs
- Geschäftsverträge
- Vollmachten
Rechtsverbindlichkeit
Hohe Beweiskraft — empfohlen für wesentliche Verträge
Qualifizierte elektronische Signatur
eIDAS-Anforderungen
- Erfüllt sämtliche Anforderungen der AES
- Erstellt mit einer qualifizierten Signaturerstellungseinheit (QSCD)
- Basiert auf einem qualifizierten Zertifikat eines QTSP (EU-Vertrauensliste)
Anwendungsbeispiele
- Digitale öffentliche Urkunden
- Anspruchsvolle öffentliche Aufträge
- Regulierte Rechtsakte
Rechtsverbindlichkeit
Gesetzliche Vermutung entspricht der handschriftlichen Unterschrift (Art. 25 eIDAS)
eIDAS 2.0: die Neuerungen von 2024
Die eIDAS-Verordnung wurde durch die Verordnung (EU) 2024/1183 überarbeitet, die am 30. April 2024 im Amtsblatt der EU veröffentlicht wurde und am 20. Mai 2024 in Kraft getreten ist. Diese Überarbeitung modernisiert den ursprünglichen Rahmen, um aktuellen digitalen Herausforderungen gerecht zu werden: digitale Identität der Bürgerinnen und Bürger, souveräne Cloud, Widerstandsfähigkeit der Vertrauensdiensteanbieter.
Das Herzstück von eIDAS 2.0 ist die Europäische Brieftasche für digitale Identität (EUDIW). Bis Ende 2026 muss jeder Mitgliedstaat seinen Bürgerinnen und Bürgern sowie Einwohnern eine App anbieten, mit der sich zertifizierte Identitätsnachweise – das digitale Pendant zu Personalausweis, Führerschein oder Zeugnissen – speichern und vorzeigen lassen. Diese Entwicklung wirkt sich unmittelbar auf Prozesse der qualifizierten Signatur aus.
Europäische Brieftasche für digitale Identität (EUDIW)
eIDAS 2.0 führt das European Digital Identity Wallet ein: Jede EU-Bürgerin und jeder EU-Bürger wird zertifizierte Identitätsnachweise (Personalausweis, Führerschein, Zeugnisse) in einer EU-weit interoperablen Mobilanwendung speichern können.
Stärkere QTSP-Anforderungen
Die Anforderungen an qualifizierte Vertrauensdiensteanbieter (QTSP) werden verschärft, insbesondere in den Bereichen Cybersicherheit, Audits und Fortbestand der Dienste.
Neue Vertrauensdienste
eIDAS 2.0 ergänzt neue qualifizierte Dienste: qualifizierte elektronische Archivierung, qualifizierte Attributverwaltung, qualifiziertes elektronisches Register (zertifizierte Blockchain).
Mehr Interoperabilität
Bessere gegenseitige Anerkennung digitaler Identitäten zwischen Mitgliedstaaten. Qualifizierte Signaturen aus jedem EU-Land werden überall anerkannt.
Wie wird man in der Praxis eIDAS-konform?
eIDAS-Konformität beschränkt sich nicht auf die Wahl einer Signaturstufe. Sie erfordert die Betrachtung des Gesamtprozesses: Risikoanalyse, Toolauswahl, Beweissicherung und Dokumentenführung.
Hier eine praxisorientierte Checkliste für Unternehmen, die ihre elektronischen Signaturprozesse konform zu eIDAS absichern möchten:
Der Certyneo-Ansatz zur eIDAS-Konformität
Certyneo implementiert die Stufen SES (einfache elektronische Signatur) und AES (fortgeschrittene elektronische Signatur) der eIDAS-Verordnung. Die fortgeschrittene Signatur beruht auf einer Zwei-Faktor-Authentifizierung: ein einmaliger Link per E-Mail und ein per SMS über OTP SMS versendeter OTP-Code. Dieser Mechanismus erfüllt alle vier Kriterien des Artikels 26 eIDAS für die fortgeschrittene Signatur.
Jeder Umschlag erzeugt einen vollständigen Audit Trail: Zeitstempel jeder Aktion (Versand, Öffnen des Links, OTP-Bestätigung, Anbringen der Signatur, gegebenenfalls Ablehnung), IP-Adresse des Unterzeichners, User-Agent des Browsers. Dieser Audit Trail wird am Fuß jeder Seite des endgültigen PDFs eingebettet (Audit-Fußzeile) und 10 Jahre aufbewahrt.
Die Daten werden in Frankreich gehostet (IONOS-Infrastruktur), innerhalb der Europäischen Union, im Einklang mit den Anforderungen an digitale Souveränität und an die DSGVO. Weitere technische Details finden Sie auf unserer Seite Sicherheit und Konformität.
Häufige Fragen zu eIDAS
Was ist die eIDAS-Verordnung?
eIDAS (Electronic Identification, Authentication and Trust Services) ist die europäische Verordnung (EU) Nr. 910/2014, die einen gemeinsamen Rechtsrahmen für elektronische Signaturen, elektronische Siegel, Zeitstempel, elektronische Einschreibzustellungsdienste und Website-Authentifizierungsdienste in der Europäischen Union festlegt. Sie trat am 1. Juli 2016 in Kraft und gilt unmittelbar in allen 27 Mitgliedstaaten.
Worin unterscheiden sich eIDAS und eIDAS 2.0?
eIDAS 2.0 (Verordnung (EU) 2024/1183, in Kraft seit 20. Mai 2024) modernisiert eIDAS 1.0 insbesondere durch die Einführung der Europäischen Brieftasche für digitale Identität (EUDIW — European Digital Identity Wallet), mit der die EU-Bürgerinnen und -Bürger zertifizierte digitale Identitätsnachweise speichern können. Für Unternehmen verschärft eIDAS 2.0 die Anforderungen an qualifizierte Vertrauensdiensteanbieter (QTSP) und verbessert die grenzüberschreitende Interoperabilität.
Hat eine einfache elektronische Signatur nach eIDAS rechtliche Wirkung?
Ja. Artikel 25 eIDAS verbietet ausdrücklich, einer elektronischen Signatur die rechtliche Wirkung allein deshalb abzusprechen, weil sie in elektronischer Form vorliegt. Eine einfache Signatur (SES) hat somit rechtliche Wirkung, genießt jedoch nicht die gesetzliche Vermutung, die qualifizierten Signaturen (QES) vorbehalten ist. Im Streitfall muss derjenige, der sich auf die Signatur beruft, deren Echtheit nachweisen.
Wie wähle ich die passende eIDAS-Stufe für meine Verträge?
Die allgemeine Regel lautet: die Stufe am rechtlichen und wirtschaftlichen Risiko des Dokuments ausrichten. Für gängige Dokumente mit geringem Risiko (Angebote, interne Bestellungen) reicht die einfache Signatur aus. Für wesentliche Handelsverträge, Arbeitsverträge, NDAs oder Vollmachten wird die fortgeschrittene Signatur (AES) empfohlen. Die qualifizierte Signatur (QES) bleibt Fällen vorbehalten, in denen das Gesetz sie ausdrücklich verlangt (bestimmte Verwaltungsakte, große öffentliche Vergaben) oder das Risiko einer Anfechtung am höchsten ist.
Wie ist Certyneo eIDAS-konform?
Certyneo implementiert die einfache (SES) und die fortgeschrittene (AES) Signatur gemäß eIDAS. Die fortgeschrittene Signatur beruht auf einem doppelten OTP per E-Mail und SMS (OTP SMS), der den Unterzeichner mit seinem Rechtsakt verbindet. Jeder Umschlag erzeugt einen zeitgestempelten Audit Trail im finalen PDF. Die Daten werden in Frankreich (EU) gehostet, in Übereinstimmung mit den Anforderungen an digitale Souveränität.
Gilt eIDAS für Unternehmen außerhalb der Europäischen Union?
eIDAS gilt für in der EU erbrachte Vertrauensdienste. Ein außerhalb der EU niedergelassenes Unternehmen, dessen Signaturen in der EU anerkannt werden sollen, muss eine eIDAS-konforme Lösung einsetzen oder einen qualifizierten Vertrauensdiensteanbieter (QTSP) nutzen, der auf der Vertrauensliste eines Mitgliedstaats geführt wird. Für internationalen B2B-Verkehr bestehen gegenseitige Anerkennungsabkommen mit bestimmten Drittstaaten.