Qualifizierte elektronische Signatur: Was genau ist die QES?

Was ist eine qualifizierte elektronische Unterschrift (QES)?

Eine "qualifizierte elektronische Signatur" (kurz: QES) – oder englisch "qualified electronic signature" – ist in der eIDAS-Verordnung definiert als eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wird und auf einem qualifizierten Zertifikat für elektronische Signaturen basiert.

Klingt ziemlich kompliziert? Wir lösen auf und gehen nochmal ein paar Schritte zurück.

Welche Arten von elektronischen Signaturen gibt es?

Wie bereits angerissen, gibt es drei Formen der elektronischen Signatur: die einfache elektronische Signatur (EES), die fortgeschrittene elektronische Signatur (FES) und die qualifizierte elektronische Signatur (QES). Elektronische Signaturen sind in fast jedem Industrieland rechtsverbindlich. Den regulatorischen Rahmen für elektronische Signaturen gibt in der Europäischen Union die sogenannte eIDAS-Verordnung (Electronic Identification, Authentication and Trust Services) vor, zu Deutsch "Verordnung über elektronische Identifizierung und Vertrauensdienste". Sie trat am 1. Juli 2016 in Kraft und enthält europaweit geltende technische Verfahren und Standards für die Nutzung elektronischer Interaktionen zwischen Unternehmen. So soll elektronischen Transaktionen eine länderübergreifende, einheitliche rechtliche Stellung verschafft werden.

Wenn wir das auf unsere qualifizierte elektronische Signatur übertragen, bedeutet das, dass eine QES, die von einer Bürgerin oder einem Bürger eines EU-Mitgliedstaats erstellt wird, in allen EU-Mitgliedstaaten die gleiche Rechtswirkung entfaltet, wie eine handschriftliche Signatur in dem betreffenden Staat.

Um jedoch zu verstehen, was genau eine qualifizierte elektronische Signatur leistet, lass uns zunächst anschauen, was die beiden anderen Varianten der elektronischen Signatur ausmacht.

• Einfache elektronische Signatur (EES): Die einfache elektronische Signatur ist – wie der Name bereits vermuten lässt – die einfachste Form der elektronischen Unterschrift, für die keine besonderen Anforderungen gelten. Darunter fallen beispielsweise eingescannte händische Unterschriften oder solche Unterschriften, die man mit dem Finger auf ein elektronisches Gerät zeichnet – z. B. bei der Paketannahme. Einfache elektronische Signaturen finden dementsprechend vor allem bei Fällen mit einem geringen rechtlichen Risiko, geringen Geldbeträgen und unter Ausschluss von geschäftskritischen Themen Anwendung. Sie bietet jedoch eine geringe Identitätssicherheit. Da die einfache elektronische Signatur in der EU-Verordnung nicht explizit erwähnt wird, ist sie in ihrer Rechtsgültigkeit allerdings eingeschränkt. Nichtsdestotrotz darf die Rechtswirksamkeit und Zulässigkeit der EES als Beweismittel in einem Gerichtsverfahren nicht allein mit der Begründung verweigert werden, dass sie in elektronischer Form vorliegt. Für weitere Informationen zu dieser Variante der elektronischen Signatur empfehlen wir dir unseren Artikel über die einfache elektronische Signatur.
• Fortgeschrittene elektronische Signatur (FES): Im Gegensatz zu der einfachen elektronischen Signatur muss die fortgeschrittene elektronische Signatur dem Unterzeichner oder der Unterzeichnerin eindeutig zugeordnet werden können und somit die Identifizierung des*der Unterzeichner*in ermöglichen. Außerdem muss die FES mit einem einmaligen Signaturschlüssel erstellt und etwaige nachträgliche Veränderungen transparent gemacht werden. Ein Anwendungsfall ist beispielsweise der Abschluss von Kaufverträgen, bei denen eine höhere Summe im Spiel ist, und wo die Identität des*der Unterzeichner*in mittels einer Mobilfunknummer überprüft wird. Obwohl einer fortgeschrittenen elektronischen Signatur keine besondere Rechtswirkung zugeschrieben wird, gilt sie als vertrauenswürdiger und beweiskräftiger vor Gericht – und bietet damit eine höhere rechtliche Sicherheit für die Vertragsparteien. Für weitere Informationen zu dieser Variante der elektronischen Signatur empfehlen wir unseren Artikel über die fortgeschrittene elektronische Signatur.

Nachdem wir nun bereits zwei Varianten der elektronischen Signatur kennen gelernt haben, kommen wir nun zu unserem eigentlichen Thema zurück: der qualifizierten elektronischen Signatur.

Wie funktioniert die qualifizierte elektronische Signatur?

Die eIDAS-Verordnung setzt die Rechtsgültigkeit der qualifizierten elektronischen Signatur mit der einer handschriftlichen Unterschrift gleich. Die qualifizierte elektronische Signatur unterliegt deshalb strengeren Kriterien als die fortgeschrittene elektronische Signatur: Die qualifizierte elektronische Signatur erfüllt alle Anforderungen einer fortgeschrittenen elektronischen Signatur – sie ist also dem*der Unterzeichner*in eindeutig zuzuordnen –, benötigt jedoch zusätzlich eine zertifikatbasierte digitale ID, die von akkreditierten EU-Vertrauensdiensten herausgegeben werden. Was genau ein solcher Vertrauensdiensteanbieter ist, was ein solcher Anbieter leistet und wie du ihn findest, dazu kommen wir später.

Die technische Umsetzung der qualifizierten elektronischen Signatur basierte bis zur Einführung der eIDAS-Verordnung auf dem Einsatz von Signaturkarten. Dabei wird die Sicherheit des Verfahrens durch die Signaturkarte und zusätzlich durch eine Zwei-Faktor-Authentifizierung bei der Signaturerstellung realisiert. Während der private Schlüssel auf der Signaturkarte vor unbefugten Zugriffen geschützt wird, ist die Verwendung der Signaturkarte nur in Verbindung mit den Authentifizierungsfaktoren Wissen (PIN) und Besitz (Signaturkarte) möglich.

Wie bekomme ich eine qualifizierte elektronische Signatur?

Der Einsatz von Signaturkarten für den Erhalt einer qualifizierten elektronischen Signatur ist nach wie vor üblich. Doch mit der eIDAS-Verordnung kam die Möglichkeit der sogenannten Fernsignatur hinzu, die bis dahin in Deutschland nicht möglich war. Bei der Fernsignatur wird eine qualifizierte elektronische Signatur nicht mehr mittels einer Signaturkarte erstellt, sondern von einem qualifizierten Vertrauensdiensteanbieter (VDA) im Auftrag des*der Unterzeichner*in. Der Vorteil: es wird keine zusätzliche technische Ausstattung (Signaturkarte, Lesegerät) für das Erstellen einer qualifizierten elektronischen Signatur benötigt.

Dafür muss die unterzeichnende Person zunächst gegenüber dem Vertrauensdiensteanbieter ihre Identität sicher nachweisen. Die Authentifizierung des*der Unterschreibenden erfolgt beispielsweise über eine Kombination von Usernamen, Passwort und einer Zwei-Faktor-Authentifizierung oder über ein zertifiziertes Verfahren wie Video-Ident oder eID. Durch dieses vorgeschriebene Authentifizierungsverfahren ist die qualifizierte elektronische Signatur die sicherste Signatur-Variante unter den elektronischen Signaturen, die in allen EU-Staaten rechtsverbindlich anerkannt wird.

Außerdem gilt bei der qualifizierten Signatur die Beweisumkehr. Im Konfliktfall muss also nicht der*die Unterzeichner*in nachweisen, dass er*sie unterschrieben hat, sondern die Gegenpartei.

Welche Signatur-Variante nun die "Beste" ist, ist – im geschäftlichen Kontext – mitunter von den Anforderungen und Compliance-Richtlinien in Unternehmen abhängig. Wir haben jedoch ein paar Beispiele für dich gesammelt, wo die qualifizierte elektronische Signatur zum Einsatz kommt.

Wann brauche ich eine qualifizierte elektronische Signatur?

In der Praxis werden QES bei digital abgewickelten Geschäftsprozessen eingesetzt, bei denen es um Dokumente und Verträge mit einem hohen Wert, immenser Wichtigkeit oder um sensible Daten wie etwa im Bankenwesen für Kredite und Vollmachten, im Gesundheitswesen für die Ausstellung von Rezepten oder in der Personalwirtschaft für Kund*innen- und Dienstleistungsverträge geht.

Für eine Reihe von Dokumenten und Verträgen schreibt der Gesetzgeber allerdings die Schriftform vor, um für mehr Klarheit im Rechtsverkehr zu sorgen. Die Regelungen dazu finden sich im Bürgerlichen Gesetzbuch (§126). Wichtig ist dabei die Unterscheidung: Text- ist nicht gleich Schriftform. Ein Vertrag in Textform muss nicht unterschrieben werden, hingegen ist bei der Schriftform eine Unterschrift unerlässlich.

In unserem Fall auch wichtig: die Legislative erlaubt jedoch, Dokumente, die der Schriftform unterliegen, elektronisch zu unterzeichnen. Dafür ist wiederum die qualifizierte elektronische Signatur erforderlich, denn sie erfüllt nicht nur höchste Sicherheitsstandards, sondern bietet im Streitfall vor Gericht die umfassendste Beweiskraft. Hier kommen wir nochmal auf den Fall der Beweisumkehr zu sprechen. Angenommen, es kommt vor Gericht zum Streitfall, muss bei einer einfachen oder fortgeschrittenen Signatur der*die Unterzeichner*in die Echtheit der elektronischen Unterschrift selbst belegen. Bei einer qualifizierten elektronischen Signatur ist es umgekehrt – die Beweislage wird also umgekehrt: Hier ist die Gegenseite in der Pflicht, die Ungültigkeit der elektronischen Unterschrift

nachzuweisen. Ein weiterer, wichtiger Vorteil der QES – fernab vom Gerichtsgebäude, aber nicht minder relevant – ist die Nachhaltigkeit von elektronischen Signaturen. Immer mehr Unternehmen und Behörden in Deutschland nutzen E-Signaturen, um Geschäfts- und Validierungsprozesse effizienter zu gestalten – und um Papier zu sparen. Nicht nur kann der Papieraufwand dank elektronischer Signaturen reduziert werden. Außerdem können Vertragspartner*innen so ortsunabhängig und zeitlich flexibel agieren.

So erstellst du eine qualifizierte elektronische Signatur mit Adobe Acrobat Sign.

Kommen wir nun von der Theorie in die Praxis. Wir möchten dir nun zeigen, wie du selbst eine qualifizierte elektronische Signatur mit Acrobat Sign erstellst. Doch lass uns dazu zunächst schauen, was Acrobat Sign eigentlich ist und wie es dich bei der effizienten Verwaltung von Dokumentensignaturprozessen unterstützt.

Acrobat Sign: Die cloudbasierte Unternehmenslösung für digitale Unterschriften- und Genehmigungsprozesse von Adobe.

Acrobat Sign ist eine SaaS-basierte elektronische Signaturlösung, die es Benutzer*innen ermöglicht, den Dokumentensignaturprozess flexibel in der Cloud zu verwalten. Acrobat Sign übernimmt dabei alle Aspekte des elektronischen Signaturprozesses – von der Bereitstellung von Benutzervalidierungsoptionen über die Einbettung der Genehmigung in das finale Dokument bis hin zur Versiegelung des Dokuments mit einer manipulationssicheren Zertifizierung. Bei jedem Schritt des Prozesses übernimmt Acrobat Sign die Benutzerüberprüfung und verknüpft alle Prüfinformationen des*der Unterzeichner*in mit seiner*ihrer Unterschrift im Dokument. Acrobat Sign kann über einen Webbrowser, ein mobiles Gerät, die Adobe Acrobat-Desktopsoftware oder über APIs verwendet werden, die eine Verbindung zu den vorhandenen Geschäftsanwendungen des*der Benutzer*in herstellen.

Auf einen Blick: Acrobat Sign ermöglicht:

• sichere Signaturen, die Compliance-Richtlinien entsprechen
• flexible und effiziente Workflows über mehrere Geräte hinweg
• Self-Service-Formulare zur Einbindung in Webseiten oder das Intranet

Erstellung einer QES mit einem Cloud-Signatur-Zertifikat bzw. Fernsignatur-Zertifikat.

Nun haben wir bereits gelernt, dass es für die Erstellung von qualifizierten elektronischen Signaturen zwei zugelassene Verfahren gibt:

• über eine Signaturkarte und ein Kartenlesegerät
• über ein Cloud-Signaturzertifikat bzw. Fernsignatur-Zertifikat

Wir wollen uns im Folgenden das zweite Verfahren genauer anschauen.

Für die Erstellung qualifizierter elektronischer Signaturen stellt Adobe Sign selbst keine digitalen Zertifikate aus, sondern funktioniert mit praktisch jedem digitalen Zertifikat, das von Drittanbietern von Vertrauensdiensten ausgestellt wurde. Viele dieser digitalen Zertifikate werden von Acrobat Sign über die Adobe Approved Trust List (AATL) anerkannt, deren Herausgeber und Verwalter Adobe ist. Die AATL sowie die European Union Trusted List (EUTL) werden von Adobe Acrobat und Acrobat Sign nativ unterstützt. Ziel ist der Aufbau eines Netzwerks von "Trust Service Providers" (TSP) und "Qualified Trust Service Providers" (QTSP), welches wiederum die Validierung von fortgeschrittenen elektronischen Signaturen und qualifizierten elektronischen Signaturen erleichtert.

Exkurs: TSP und QTSP.

Die eIDAS-Verordnung definiert einen Vertrauensdiensteanbieter – auf Englisch "Trust Service Provider" oder kurz "TSP" – als natürliche oder juristische Person, die einen oder mehrere Vertrauensdienste erbringt.

Diese Vertrauensdienste können umfassen:

• Erstellung, Verifizierung und Validierung von elektronischen Signaturen, Siegeln oder Zeitstempeln, elektronischen Einschreibediensten und Zertifikaten im Zusammenhang mit diesen Diensten
• Erstellung, Verifizierung und Validierung von Zertifikaten, die für die Authentifizierung von Websites verwendet werden
• Aufbewahrung von elektronischen Signaturen, Siegeln oder Zertifikaten im Zusammenhang mit diesen Diensten

Ein qualifizierter Vertrauensdiensteanbieter – auf Englisch "Qualified Trust Service Provider" oder kurz "QTSP" – muss darüber hinaus zusätzliche Maßnahmen im Rahmen der eIDAS-Verordnung der Europäischen Union einhalten. Mit diesen Vorschriften soll das Vertrauen von Verbraucher*innen und Unternehmen gestärkt und die Nutzung von zertifizierten Vertrauensdiensten gefördert werden.

Um ein Cloud-Signatur-Zertifikat bzw. Fernsignatur-Zertifikat von einem solchen Vertrauensdiensteanbieter zu erhalten, muss der*die Nutzer*in zunächst seine*ihre Identität bei diesem Vertrauensdiensteanbieter überprüfen. Dabei brauchen Nutzer*innen im Gegensatz zu der Signaturkarte keine zusätzliche Hardware oder Software-Treiber. Der Identitätsnachweis erfolgt stattdessen über ein mobiles Endgerät oder über einen Browser durch eine Zwei-Faktor-Authentifizierung per SMS oder App.

Bevor du jedoch den Identitätsnachweis mit einem Cloud-Signatur-Zertifikat nutzen kannst, musst du dich vorab bei dem entsprechenden Trust Service Provider anmelden. Beachte, dass du dafür einen gültigen Personalausweis bzw. Reisepass vorlegen musst. Die angebotenen Verfahren können sich je nach Anbieter leicht unterscheiden. Das Verfahren dauert in der Regel zwischen 5 und 15 Minuten. Das erhaltene Zertifikat gilt dann für die lizenzierte Laufzeit von 1 bis 3 Jahren.

Schritt-für-Schritt-Anleitung zur Erstellung einer qualifizierten elektronischen Signatur.

Bist du bereit, eine qualifizierte elektronische Signatur zu erstellen? Dann führen wir dich jetzt anhand eines Beispiel-Workflows Schritt für Schritt durch die Erstellung einer qualifizierten elektronischen Signatur mit Acrobat Sign durch.

1. Du erhältst ein Dokument per Mail und wirst in dieser aufgefordert, das Dokument zu unterzeichnen. Öffne das Dokument, indem du auf "Prüfen und signieren" klickst.
2. Beim Scrollen über das digitale Signaturfeld erscheinen weitere Anweisungen. Um fortzufahren, klicke auf das Signaturfeld.
3. Es öffnet sich ein Fenster, in welchem du aufgefordert wirst, dich für eines der zwei Identifizierungsverfahren zu entscheiden: Cloud-Signatur oder Signaturkarte. Wähle "Cloud-Signatur" aus und klicke dann auf "Weiter".
4. Nun kannst du den voreingestellten Trust Service Provider oder einen alternativen aus einer Liste auswählen.
5. Melde dich bei dem Trust Service Provider deiner Wahl an. Falls du noch kein QES-Zertifikat hast, wirst du automatisch in den Identifizierungsprozess weitergeleitet (z. B. via Video-Identifizierung,).
6. Du erhältst nun eine Vorschau deiner elektronischen Signatur. Klicke auf "Signatur bearbeiten", um per Maus oder Touchpad manuell zu signieren oder ein Signaturbild hochzuladen. Um fortzufahren, klicke auf "Hier signieren".
7. Nun musst du dich erneut beim Trust Service Provider via Zwei-Faktor-Authentifizierung identifizieren und dann den zweiten Faktor per SMS oder App eingeben.
8. Fertig. Das Dokument ist nun signiert.
9. Im Anschluss erhältst du das unterschriebene Dokument mit allen Zertifikaten. Es ist immer auch ein eIDAS-Siegel von Acrobat Sign enthalten. Zusätzlich ist die qualifizierte Signatur mit einem zweiten QES-Zertifikat in der PDF-Datei mit abgespeichert. Das Dokument ist nun nicht mehr veränderbar und verschlüsselt. Je nach Einstellung wird auch noch ein Prüfbericht mitversendet.