Vor ein paar Monaten habe ich einer Freundin geholfen, die eine kleine Marketing-Agentur in Lissabon führt, einen Deal mit einem deutschen Kunden abzuschließen. Alles lief super, bis es zum Vertragsteil kam. Das deutsche Rechtsteam schickte ein PDF und bat um eine „qualifizierte elektronische Signatur". Meine Freundin starrte eine ganze Minute lang auf die Mail und schrieb mir dann: „Was zur Hölle ist das, und warum kann ich nicht einfach das Signatur-Tool nehmen, das ich seit zwei Jahren benutze?"
Wenn du ein Unternehmen in Europa führst, bist du wahrscheinlich auch schon gegen diese Wand gelaufen. Die EU hat eine einzige Verordnung, die E-Signaturen in allen 27 Mitgliedstaaten regelt, aber sie steckt voller Abkürzungen und juristischer Feinheiten, die sich die meisten Gründer nie merken, bis sie sie wirklich brauchen. Lass uns das also mal aufdröseln.
Das hier ist alles, was ich mir gewünscht hätte, dass mir jemand über eIDAS erklärt – geschrieben so, wie ich es einem Freund bei einem Kaffee erklären würde.
Was eIDAS eigentlich ist
eIDAS steht für „electronic IDentification, Authentication and trust Services". Es ist eine EU-Verordnung (Nr. 910/2014), die seit Juli 2016 in Kraft ist. Der ganze Sinn war, einen einheitlichen rechtlichen Rahmen für elektronische Signaturen, elektronische Siegel, Zeitstempel und digitale Identifikation in der gesamten Europäischen Union zu schaffen.
Vor eIDAS hatte jedes Land seine eigenen Regeln. Frankreich machte es so, Deutschland anders, Spanien wieder ganz eigen. Wenn du in Italien einen Vertrag digital unterschrieben und ihn vor einem Gericht in Belgien benutzen wolltest, konntest du in Schwierigkeiten geraten. eIDAS hat dieses Problem gelöst, indem es festlegt: Eine elektronische Signatur, die in einem EU-Mitgliedstaat erstellt wurde, muss in allen anderen anerkannt werden.
Das ist eine große Sache für KMU. Es bedeutet, dass ich ein SaaS-Abo an einen Kunden in Athen verkaufen, seine E-Signatur einholen kann und dasselbe Dokument hat in Helsinki, Dublin oder Warschau dieselbe rechtliche Wirkung.
Wenn du tiefer einsteigen willst, wie elektronische Signaturen generell funktionieren, deckt mein Rechtsleitfaden für elektronische Signaturen die Grundlagen in einfacher Sprache ab.
Eine kurze Geschichte (versprochen, ist kurz)
Der erste Versuch der EU war die eSignature-Richtlinie von 1999. Richtlinien im EU-Recht sind merkwürdig, weil sie von jedem Land in nationales Recht umgesetzt werden müssen, und genau da wurde es chaotisch. Jeder Mitgliedstaat hat die Richtlinie ein bisschen anders interpretiert, was den ganzen Sinn zunichte machte.
eIDAS hat diese Richtlinie 2014 ersetzt und wurde ab dem 1. Juli 2016 direkt in allen Mitgliedstaaten angewendet. Keine Umsetzung, kein nationaler Spielraum (na ja, größtenteils). Und 2024 hat die EU dann eIDAS 2.0 verabschiedet, das die European Digital Identity Wallet ins Spiel bringt. Dazu später mehr.
Die drei Signatur-Stufen: SES, AES und QES
Hier fängt der Abkürzungs-Salat an. eIDAS definiert drei Stufen elektronischer Signaturen, und sie sind nicht austauschbar. Die falsche zu wählen ist einer der häufigsten Fehler, die ich bei KMU sehe.
Einfache elektronische Signatur (SES)
Das ist die einfachste. Eine SES sind „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die der Unterzeichner zum Unterzeichnen verwendet". Das ist die juristische Definition, und sie ist absichtlich breit gehalten.
In der Praxis kann eine SES sein:
- Deinen Namen am Ende einer E-Mail tippen
- Eine „Ich stimme zu"-Checkbox anklicken
- Eine handschriftliche Unterschrift einscannen und in ein PDF einfügen
- Eine Unterschrift mit der Maus oder dem Finger auf einem Tablet zeichnen
Sie ist am einfachsten zu verwenden und funktioniert für die überwiegende Mehrheit der Geschäftssituationen. NDAs, Verkaufsverträge, Anstellungsangebote, Lieferantenvereinbarungen, Freelancer-Verträge: all das ist normalerweise mit einer SES in Ordnung.
Fortgeschrittene elektronische Signatur (AES)
Eine AES ist eine Stufe höher. Um als AES zu gelten, muss die Signatur vier konkrete Anforderungen erfüllen:
- Sie ist eindeutig dem Unterzeichner zugeordnet
- Sie ermöglicht die Identifikation des Unterzeichners
- Sie wird mit Daten erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann
- Jede nachträgliche Änderung der unterzeichneten Daten ist erkennbar
In der Praxis bedeutet das normalerweise eine kryptographische Signatur mit einem privaten Schlüssel plus eine Form der Identitätsprüfung (E-Mail-Link, SMS-Code, ID-Upload). Die meisten modernen E-Signatur-Plattformen, einschließlich unserer bei CanUSign, erzeugen standardmäßig AES-Signaturen für Business-Pläne.
AES ist das, was du für höherwertige Verträge willst: B2B-SaaS-Vereinbarungen, Partnerschaftsdeals, Kreditdokumente und alles, wo du starke Beweise dafür haben willst, wer unterschrieben hat und dass das Dokument nicht manipuliert wurde.
Qualifizierte elektronische Signatur (QES)
Das ist die schwere Artillerie. Eine QES ist im Grunde eine AES mit zwei zusätzlichen Anforderungen: Sie muss mit einer „qualifizierten Signaturerstellungseinheit" erstellt werden (denk an Hardware-Sicherheitsmodul oder Smartcard) und sie muss durch ein „qualifiziertes Zertifikat" eines Vertrauensdiensteanbieters gedeckt sein, der offiziell auf der EU-Vertrauensliste steht.
Die Killer-Funktion einer QES? Sie hat in der gesamten EU dieselbe rechtliche Wirkung wie eine handschriftliche Unterschrift. Punkt. Kein Gericht kann sie ablehnen, nur weil sie elektronisch ist.
Der Nachteil ist, dass eine QES mühsam einzurichten ist. Der Unterzeichner muss seine Identität typischerweise persönlich oder per Videoanruf verifizieren, ein Zertifikat von einem qualifizierten Vertrauensdiensteanbieter (QTSP) ausstellen lassen und ein spezielles Signiergerät verwenden. Es ist langsamer und teurer als SES oder AES.
Wenn du die technische Seite verstehen willst, wie digitale Signaturen unter der Haube funktionieren, habe ich darüber in digitale Signatur vs. elektronische Signatur geschrieben.
SES vs AES vs QES: Schneller Vergleich
| Feature | SES | AES | QES |
|---|---|---|---|
| Identitätsprüfung | Nicht erforderlich | Erforderlich | Stark (persönlich oder Video) |
| Manipulationserkennung | Nicht erforderlich | Erforderlich | Erforderlich |
| Rechtliches Gewicht | Zulässig, aber schwächer | Starker Beweiswert | Gleichwertig zur handschriftlichen |
| Einrichtungszeit | Sekunden | Minuten | Tage bis Wochen |
| Kosten pro Signatur | Kostenlos oder günstig | Niedrig bis moderat | 5 € bis 50 €+ |
| Typische Anwendungsfälle | NDAs, interne Dokumente, einfache Verträge | B2B-Verträge, Anstellung, Lieferantenvereinbarungen | Immobilien, notarielle Akte, Gerichtsdokumente |
| Grenzüberschreitende Anerkennung | Ja, aber Qualität variiert | Ja | Ja, mit stärkster Stellung |
Grenzüberschreitende Gültigkeit (die echte Magie)
Das ist der Teil von eIDAS, der meiner Meinung nach nicht genug Anerkennung bekommt. Artikel 25 der Verordnung sagt, dass einer elektronischen Signatur die Rechtswirkung und die Zulässigkeit als Beweismittel vor Gericht nicht abgesprochen werden darf, nur weil sie elektronisch ist oder weil sie nicht die Anforderungen einer QES erfüllt.
Und Artikel 25(3) geht weiter: Eine QES aus einem Mitgliedstaat hat in jedem anderen Mitgliedstaat dieselbe rechtliche Wirkung wie eine handschriftliche Unterschrift. Kein „aber unser Land hat Sonderregeln" erlaubt.
Das ist riesig für grenzüberschreitende KMU. Ich habe mit Gründern gearbeitet, die Anwälte in drei verschiedenen Ländern bezahlt haben, um Verträge neu zu machen, weil sie dachten, jede Jurisdiktion brauche ihre eigene Papier-Unterschrift. Brauchten sie nicht. Eine eIDAS-konforme E-Signatur hätte gereicht.
Praktische Anwendungsfälle für KMU
Lass mich konkret werden. Hier ist, was ich tatsächlich für kleine und mittlere Unternehmen in ganz Europa funktionieren sehe:
Verkaufsverträge und Angebote: SES ist in 99 % der Fälle in Ordnung. Wenn dein durchschnittlicher Deal unter 50.000 € liegt und du nicht in stark regulierte Branchen verkaufst, denk nicht zu viel darüber nach.
Arbeitsverträge: AES ist der Sweet Spot. Du willst beweisen können, wer wann unterschrieben hat, und du willst Manipulationserkennung. Die meisten Länder akzeptieren AES für Arbeitsverträge, obwohl ein paar (wie Deutschland für bestimmte Vertragsarten) immer noch QES bevorzugen oder verlangen.
NDAs: Immer SES. Weiter geht's.
Freelancer-Vereinbarungen: SES oder AES, je nach Wert. Unter 5.000 € ist SES okay. Darüber würde ich zu AES tendieren.
Mietverträge (gewerblich): AES in den meisten Ländern. QES in einigen wenigen. Lokal prüfen.
Kreditverträge (B2B): AES, wenn es ein kleiner Geschäftskredit ist. QES, wenn du mit Banken oder regulierten Kreditgebern zu tun hast.
Immobilienkäufe: QES, fast immer. Und in vielen Ländern brauchst du immer noch einen Notar obendrauf.
Grenzüberschreitende Lieferantenverträge: AES ist die sichere Wahl. Funktioniert überall und gibt dir die Beweise, die du brauchst, wenn etwas schiefgeht.
Was in bestimmten Mitgliedstaaten eine QES erfordert
Hier muss ich ehrlich sein: eIDAS überschreibt nationales Recht nicht in der Frage, welche Art von Signatur für bestimmte Dokumenttypen erforderlich ist. Jeder Mitgliedstaat darf weiterhin sagen: „Für diese Art von Dokument brauchst du eine QES, fertig."
Ein paar Beispiele:
- Deutschland: Kündigungen von Arbeitsverträgen (in einigen Fällen), Verbraucherkreditverträge und bestimmte Handelsregistereintragungen erfordern eine QES. Deutschland ist wahrscheinlich das strengste Land in der EU bei diesem Thema.
- Frankreich: Die meisten Verbraucherverträge können AES verwenden, aber Immobilientransaktionen und einige Finanzvereinbarungen brauchen eine QES.
- Italien: Viele Dokumente der öffentlichen Verwaltung und einige kommerzielle Einreichungen erfordern eine QES, lokal oft „firma digitale" genannt.
- Spanien: Steuererklärungen bei der AEAT (spanische Steuerbehörde) und viele staatliche Interaktionen erfordern eine QES, typischerweise mit dem DNI electrónico (spanischer nationaler Ausweis mit eingebautem Chip).
- Polen: Die meisten B2B-Verträge funktionieren mit AES, aber Gerichtseinreichungen brauchen eine QES.
Die Lektion: Wenn du grenzüberschreitend tätig bist und dir unsicher bist, frag einen lokalen Anwalt. Das kostet weniger, als wenn ein Vertrag rausgeworfen wird.
eIDAS 2.0 und die EU Digital Identity Wallet
Die EU hat 2024 eIDAS 2.0 verabschiedet, und die Mitgliedstaaten rollen es bis 2026 aus. Die Schlagzeilen-Änderung ist die European Digital Identity Wallet (EUDI Wallet), die jeder EU-Mitgliedstaat seinen Bürgern bis 2026 anbieten muss.
Die Wallet ist im Grunde eine Smartphone-App, in der du deine staatlich verifizierte Identität, Führerschein, Diplome, Zahlungsinformationen und ja, dein qualifiziertes Signaturzertifikat speichern kannst. Die Idee ist, dass du ein QES-Dokument mit einem Tipp auf deinem Handy unterschreiben kannst, ohne Smartcard oder persönliche Verifizierung für wiederholte Signaturen.
Für KMU sollte das eine QES viel zugänglicher machen. Aktuell kann es eine Woche dauern, eine QES für einen einzigen Unterzeichner einzurichten, und über 100 € kosten. Mit der EUDI Wallet sollte es eher fünf Minuten dauern und für Bürger kostenlos sein.
Der Haken? Die Umsetzung ist ungleichmäßig. Einige Länder sind voraus (Estland macht das seit Jahren mit ihrem e-Residency-Programm), andere sind weit zurück. Erwarte keinen reibungslosen Rollout überall bis 2026.
Wie du die richtige Signatur-Stufe wählst
Mein schnelles Entscheidungs-Framework:
- Was ist das Dokument wert? Unter 10.000 € und nicht reguliert? SES. 10.000 € bis 100.000 €? AES. Darüber oder regulierte Branche? Erwäge QES.
- Ist QES gesetzlich vorgeschrieben? Wenn ja, keine Diskussion. Nimm QES.
- Wird das vor Gericht gehen? Wenn ein Streit auch nur leicht wahrscheinlich ist, geh mindestens auf AES. Der Audit-Trail ist es wert.
- Grenzüberschreitend? AES ist das sichere Minimum. SES kann in einigen Gerichten die Rechtswirkung verweigert werden, auch wenn eIDAS sagt, dass das nicht passieren sollte.
- Was will dein Gegenüber? Wenn ein deutscher Enterprise-Kunde sagt, er braucht eine QES, gib ihm einfach eine QES. Streiten ist den Deal nicht wert.
Ehrliche Grenzen
eIDAS ist großartig, aber es ist kein Zauberstab. Ein paar Dinge, die du im Hinterkopf behalten solltest:
- Nationales Recht zählt immer noch. eIDAS setzt den Boden, nicht die Decke. Mitgliedstaaten können für bestimmte Dokumenttypen QES verlangen, und sie tun es.
- Gerichtsinterpretation variiert. SES ist technisch überall gültig, aber ein französisches Gericht und ein rumänisches Gericht könnten die Beweise sehr unterschiedlich gewichten.
- QES ist immer noch teuer. Auch mit dem kommenden eIDAS 2.0 ist die Reibung real. Versprich Kunden keine QES, wenn du keinen klaren Weg hast, sie zu liefern.
- Die Qualität der Vertrauensdiensteanbieter variiert. Bleib bei QTSPs auf der offiziellen EU-Vertrauensliste. Die Liste ist öffentlich verfügbar und wird regelmäßig aktualisiert.
- Anerkennung außerhalb der EU ist eine separate Frage. Nur weil ein Vertrag in der EU unter eIDAS gültig ist, bedeutet das nicht, dass er in den USA, im UK (nach dem Brexit) oder anderswo durchsetzbar ist. Prüf die lokalen Regeln.
Zum Abschluss
Wenn du eine Sache aus all dem mitnimmst, dann diese: Die meisten KMU-Verträge brauchen keine QES. AES reicht für die überwiegende Mehrheit der Geschäftssituationen, und SES ist okay für den Alltag. Der Trick ist, zu wissen, wann man hochstuft.
eIDAS hat europäischen Unternehmen den besten rechtlichen Rahmen für E-Signaturen weltweit gegeben, und die meisten von uns nutzen ihn immer noch nicht gut. Wir bezahlen für teure Legacy-Tools, obwohl es bessere Optionen gibt, oder wir bleiben beim Papier hängen, weil wir Angst vor dem Rechtskram haben. Beides ist nicht nötig.
Wenn du auf der Suche nach einer E-Signatur-Plattform bist, die AES out of the box beherrscht und dich nicht in den Bankrott treibt, schau dir unseren Vergleich günstigerer DocuSign-Alternativen an. Und wenn du sehen willst, wie eIDAS-konformes Signieren in der Praxis aussieht, kannst du CanUSign kostenlos ausprobieren und dein erstes Dokument in unter zwei Minuten unterschreiben.
Das Gesetz ist auf deiner Seite. Nutze es.