Elektronische Signatur: Der vollständige Leitfaden für Unternehmen

Zusammenfassung in Kürze:

• Drei Sicherheitsstufen: Einfache (EES), Fortgeschrittene (FES) und Qualifizierte Elektronische Signatur (QES) bieten unterschiedliche Rechtssicherheit und Authentifizierungsverfahren
• eIDAS-Verordnung: Der europäische Rechtsrahmen garantiert die grenzüberschreitende Anerkennung elektronischer Signaturen seit 1. Juli 2016 in allen EU-Mitgliedstaaten
• Schriftform digital: Nur die QES ersetzt die handschriftliche Unterschrift gemäß § 126a BGB vollständig und hat dieselbe Rechtswirkung
• Praktische Anwendung: 80% der Geschäftsdokumente können mit FES rechtskonform signiert werden – die optimale Balance zwischen Sicherheit und Benutzerfreundlichkeit
• Archivierung & Beweiswert: Standards wie PAdES und revisionssichere Aufbewahrung nach GoBD sichern langfristigen Beweiswert über 8-10 Jahre

Eine elektronische Signatur (auch e-Signatur oder digitale Unterschrift) ist ein elektronisches Verfahren, mit dem eine Person ihre Zustimmung zu einem Dokument oder einer Transaktion ausdrückt. Im Gegensatz zur handschriftlichen Unterschrift erfolgt der Prozess vollständig digital.

Die rechtliche Grundlage bildet die eIDAS-Verordnung (EU) Nr. 910/2014, die seit dem 1. Juli 2016 in allen EU-Mitgliedstaaten gilt. Diese Verordnung definiert drei Sicherheitsstufen elektronischer Signaturen und garantiert deren rechtliche Anerkennung in der gesamten Europäischen Union.

Die eIDAS-Verordnung unterscheidet drei Sicherheitsstufen, die sich in Authentifizierung, technischer Umsetzung und Rechtswirkung unterscheiden:

Die Einfache Elektronische Signatur ist die grundlegendste Form. Dazu zählen:

• Getippter Name in einer E-Mail
• Angekreuztes Kästchen auf einer Webseite
• Eingescannte handschriftliche Unterschrift (ohne Verschlüsselung)

Rechtlicher Status:

Die EES hat gemäß Artikel 25(1) der eIDAS-Verordnung grundsätzlich rechtliche Anerkennung – ihr darf die Wirksamkeit nicht allein wegen ihrer elektronischen Form abgesprochen werden. Allerdings hat sie keine Beweiskraftvermutung: Im Streitfall muss die unterzeichnende Partei nachweisen, dass sie tatsächlich unterschrieben hat.

Wann verwenden?

• Dokumente mit geringem Risiko oder geringem finanziellen Wert
• Interne Prozesse (Freigaben, Genehmigungen)
• Erste Kontaktaufnahme oder unverbindliche Angebote

Die Fortgeschrittene Elektronische Signatur erfüllt zusätzliche Sicherheitsanforderungen gemäß Artikel 26 eIDAS:

• Sie ist eindeutig dem Unterzeichner zugeordnet
• Sie ermöglicht die Identifizierung des Unterzeichners
• Sie wird mit Daten erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle hält
• Sie ist so mit den signierten Daten verknüpft, dass jede nachträgliche Änderung erkennbar ist

Technische Umsetzung:

Typischerweise erfolgt die Authentifizierung durch E-Mail-Verifizierung kombiniert mit SMS-OTP (One-Time-Password) oder Zwei-Faktor-Authentifizierung (2FA). Die Signatur wird mit einem elektronischen Zertifikat erstellt, das die Identität des Unterzeichners digital nachweist.

Wann verwenden?

• Handelsverträge B2B (Kauf-, Dienstleistungs-, Lizenzverträge)
• NDAs und Vertraulichkeitsvereinbarungen
• Unbefristete Arbeitsverträge (CDI)
• Auftragsdatenverarbeitungsverträge (AVV/DPA)

Die FES ist der "Sweet Spot" für 80% der Geschäftsdokumente in deutschen Unternehmen – sie bietet ein ausgewogenes Verhältnis zwischen Rechtssicherheit, Benutzerfreundlichkeit und Kosten.

Die Qualifizierte Elektronische Signatur ist die höchste Sicherheitsstufe und erfüllt alle Anforderungen der FES sowie zusätzlich:

• Sie basiert auf einem qualifizierten Zertifikat für elektronische Signaturen (gemäß Artikel 28 eIDAS)
• Sie wird mit einer qualifizierten Signaturerstellungseinheit (QSCD) erstellt
• Sie wird von einem qualifizierten Vertrauensdiensteanbieter ausgestellt (in Deutschland zertifiziert durch die Bundesnetzagentur)

Gemäß Artikel 25(2) eIDAS und § 126a BGB hat die QES die gleiche rechtliche Wirkung wie eine handschriftliche Unterschrift. Das bedeutet:

• Sie erfüllt die gesetzliche Schriftform (§ 126 BGB)
• Sie führt zur Beweislastumkehr im Prozess (Beweisumkehr)
• Sie ist in allen EU-Mitgliedstaaten ohne weitere Formalitäten anerkannt

Identifizierungsverfahren für QES:

• Video-Ident: Identitätsprüfung per Videoanruf mit zertifiziertem Agenten (Dauer: 5-10 Minuten)
• Auto-Ident: Automatisierte Prüfung via Smartphone-App mit NFC-Scan des Personalausweises
• eID-Funktion: Nutzung der Online-Ausweisfunktion des deutschen Personalausweises mit AusweisApp2

Wann ist QES zwingend?

Gemäß § 126 BGB und Sondervorschriften ist die QES obligatorisch für:

• Befristete Arbeitsverträge (§ 14 TzBfG – Vermeidung der Umwandlung in unbefristete Verträge)
• Verbraucherdarlehensverträge (§ 492 BGB)
• Bürgschaften (§ 766 BGB – Schriftform erforderlich)
• Jahresabschlüsse und Bilanzen von Wirtschaftsprüfern/Steuerberatern
• Öffentliche Ausschreibungen (E-Vergabe seit 2018)

Ausnahmen – QES nicht zulässig:

• Kündigungen (§ 623 BGB): schriftlich in Papierform oder elektronisch mit QES möglich, aber Arbeitgeber verlangen oft Papierform
• Immobilienkaufverträge (§ 311b BGB): notarielle Beurkundung zwingend

Die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste (eIDAS) ist seit dem 1. Juli 2016 in Kraft und bildet die rechtliche Grundlage für elektronische Signaturen in der gesamten Europäischen Union.

Artikel 25(1) – Nichtdiskriminierung:

Einer elektronischen Signatur darf die rechtliche Wirksamkeit nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder nicht den Anforderungen einer qualifizierten elektronischen Signatur entspricht.

Artikel 25(2) – Gleichwertigkeit:

Eine qualifizierte elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift.

Artikel 27 – Nationale Ausnahmen:

Mitgliedstaaten können für bestimmte Dokumentarten die Verwendung der QES vorschreiben – dies ist in Deutschland z.B. bei befristeten Arbeitsverträgen der Fall.

Am 20. Mai 2024 trat die Verordnung (EU) 2024/1183 (eIDAS 2.0) in Kraft. Die wichtigsten Neuerungen:

• EU Digital Identity Wallet (EUDI Wallet): Die Mitgliedstaaten müssen innerhalb von 24 Monaten nach Annahme der Durchführungsrechtsakte der Kommission mindestens eine europäische digitale Brieftasche bereitstellen, mit der Bürger ihre Identität sichern und elektronisch unterschreiben können
• Kostenlose QES für Privatpersonen: Qualifizierte Signaturen werden für nicht-berufliche Nutzung kostenlos bereitgestellt
• Neue Vertrauensdienste: Archivierungsdienste und elektronische Register werden qualifiziert

Im deutschen Sprachraum werden die Begriffe "elektronische Signatur", "digitale Unterschrift" und "digitale Signatur" oft synonym verwendet. Technisch gibt es jedoch Nuancen:

• Elektronische Signatur: Rechtlicher Oberbegriff aus der eIDAS-Verordnung für alle digitalen Signaturverfahren
• Digitale Signatur: Technischer Begriff für kryptografische Verfahren (Public-Key-Infrastruktur)
• Elektronische Unterschrift: Umgangssprachliche Bezeichnung für den Akt des Unterzeichnens

In der Praxis können Sie alle drei Begriffe verwenden – entscheidend ist die Sicherheitsstufe (EES/FES/QES), nicht die Bezeichnung.

Elektronische Signaturen basieren auf asymmetrischer Kryptografie mit zwei Schlüsseln:

• Privater Schlüssel (Private Key): Wird vom Unterzeichner geheim gehalten und dient zum Erstellen der Signatur
• Öffentlicher Schlüssel (Public Key): Wird im Zertifikat veröffentlicht und dient zur Überprüfung der Signatur

Die Commission Implementing Decision (EU) 2015/1506 schreibt folgende Signaturformate für öffentliche Auftragsvergabe vor – diese haben sich als De-facto-Standards etabliert:

• PAdES (PDF Advanced Electronic Signature): Für PDF-Dokumente
• XAdES (XML Advanced Electronic Signature): Für XML-Daten
• CAdES (CMS Advanced Electronic Signature): Für beliebige Dateiformate
• ASiC (Associated Signature Container): Container-Format für mehrere Dateien

Baseline-Profile:

• B-B (Basic): Kurzfristige Signatur
• B-T (Timestamp): Mit qualifiziertem Zeitstempel
• B-LT (Long Term): Mit Widerrufsinformationen (OCSP/CRL)
• B-LTA (Long Term Archive): Für langfristige Archivierung mit Evidence Records

Die Beweiskraft elektronischer Signaturen ist in § 371a ZPO geregelt:

• EES: Freie Beweiswürdigung durch das Gericht (wie bei E-Mails)
• FES: Erhöhte Beweiskraft durch kryptografische Sicherung und Authentifizierung
• QES: Beweislastumkehr – die Echtheit der Signatur wird vermutet, der Bestreitende muss Manipulation nachweisen

Ein Audit-Trail (Prüfpfad) ist ein unveränderliches Protokoll aller Aktionen rund um ein Dokument:

• Wer hat das Dokument wann hochgeladen?
• Welche Empfänger wurden eingeladen?
• Wann haben die Empfänger das Dokument geöffnet?
• Welche IP-Adresse und welches Gerät wurden verwendet?
• Wann erfolgte die Authentifizierung?
• Wann wurde genau signiert?

Der Audit-Trail wird kryptografisch gesichert und mit einem qualifizierten Zeitstempel versehen. Er dient im Streitfall als zentraler Beweis.

Für steuerrelevante Dokumente gelten die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form (GoBD):

Aufbewahrungsfristen:

• Handelsbücher, Inventare, Jahresabschlüsse: 10 Jahre
• Geschäftsbriefe, Rechnungen: 8 Jahre

Anforderungen an die Archivierung:

• Unveränderbarkeit: WORM-Speicher (Write Once Read Many)
• Vollständigkeit: Alle signierten Dokumente inkl. Audit-Trail
• Nachvollziehbarkeit: Jederzeit rekonstruierbar
• Verfügbarkeit: Zugriff während der gesamten Aufbewahrungsfrist

BSI TR-03125 (TR-ESOR): Der deutsche Standard für beweiswerterhaltende Langzeitarchivierung schreibt vor, dass Signaturen vor Ablauf ihrer kryptografischen Gültigkeit erneuert werden müssen (Re-Timestamping).

Ab dem 1. Januar 2025 wird die elektronische Rechnung (E-Rechnung) für B2B-Transaktionen in Deutschland schrittweise verpflichtend eingeführt (gemäß Wachstumschancengesetz):

• 2025: E-Rechnungsempfang wird Pflicht
• 2027: E-Rechnungsversand wird für Unternehmen > 800.000 € Umsatz Pflicht
• 2028: E-Rechnungsversand wird für alle Unternehmen Pflicht

• XRechnung: XML-basiertes Format nach EU-Norm EN 16931
• ZUGFeRD: Hybridformat (PDF mit eingebetteter XML-Rechnung)

Nein, eine Signatur ist nicht zwingend vorgeschrieben. Allerdings wird eine qualifizierte elektronische Signatur (QES) oder ein qualifiziertes elektronisches Siegel empfohlen, um:

• Die Authentizität des Rechnungsstellers nachzuweisen
• Die Integrität der Rechnungsdaten zu sichern
• Den Vorsteuerabzug abzusichern

Ein qualifizierter Vertrauensdiensteanbieter (Qualified Trust Service Provider – QTSP) ist ein nach eIDAS zertifiziertes Unternehmen, das qualifizierte elektronische Signaturen ausstellt.

In Deutschland zuständig:

• Bundesnetzagentur: Zertifizierung und Überwachung der QTSPs für Signaturen, Siegel und Zeitstempel
• Bundesamt für Sicherheit in der Informationstechnik (BSI): Zertifizierung für Website-Authentifizierungszertifikate

Deutsche Vertrauensliste:

Alle in Deutschland zugelassenen QTSPs sind in der offiziellen Vertrauensliste unter https://tl.bundesnetzagentur.de/ aufgeführt.

EU Trusted List Browser:

Eine europaweite Übersicht aller 27 Mitgliedstaaten + EWR bietet die Europäische Kommission unter https://eidas.ec.europa.eu/efda/tl-browser/.

Yousign arbeitet mit zertifizierten QTSPs zusammen, um sowohl Fortgeschrittene (FES) als auch Qualifizierte Elektronische Signaturen (QES) anzubieten.

Traditionelle Unterschriften erfordern Druck, Versand, manuelle Unterzeichnung und Rücksendung – durchschnittlich 5 bis 7 Tage. Mit elektronischer Signatur ist der Prozess in wenigen Minuten abgeschlossen.

• Keine Druckkosten
• Keine Versandkosten (Post, Kurier)
• Keine Papier- und Archivierungskosten
• Geringerer Verwaltungsaufwand

Durchschnittliche Einsparung pro Vertrag: 15–30 € (ohne Berücksichtigung von Personalkosten)

• Vollständige Nachvollziehbarkeit durch Audit-Trail
• Beweiskraftsicherung durch Zeitstempel und Zertifikate
• GoBD-konforme Archivierung für steuerrelevante Dokumente
• DSGVO-Konformität durch verschlüsselte Übertragung und Speicherung

Elektronische Signaturen reduzieren den Papierverbrauch signifikant. Ein Unternehmen, das 500 Verträge pro Jahr digitalisiert, spart:

• Circa 5.000 Blatt Papier (ca. 25 kg)
• 125 kg CO₂-Emissionen (Druck + Transport)

Dokumente können von überall signiert werden – im Büro, im Homeoffice oder unterwegs. Dies ist insbesondere seit der COVID-19-Pandemie zu einem entscheidenden Wettbewerbsvorteil geworden.

Die elektronische Signatur ist längst kein "Nice-to-have" mehr, sondern ein essenzielles Werkzeug für digitale Geschäftsprozesse. Mit der richtigen Wahl zwischen EES, FES und QES können Unternehmen jeder Größe Zeit sparen, Kosten senken und gleichzeitig höchste Rechtssicherheit garantieren.

Entscheidende Erfolgsfaktoren:

• Richtige Sicherheitsstufe wählen: FES deckt 80% aller Geschäftsdokumente ab
• Zertifizierten Anbieter nutzen: Achten Sie auf eIDAS-Konformität und deutsche QTSPs
• Revisionssichere Archivierung: GoBD-konforme Systeme verwenden
• Mitarbeiter schulen: Akzeptanz und korrekte Anwendung sicherstellen

Mit der Einführung der E-Rechnung 2025 und der EU Digital Identity Wallet (eIDAS 2.0) wird die Bedeutung elektronischer Signaturen weiter zunehmen. Unternehmen, die jetzt digitalisieren, verschaffen sich einen klaren Wettbewerbsvorteil.