Sind digitale Signaturen rechtsgültig? Der vollständige Rechtsguide

Eine elektronische Signatur ist nach Artikel 3(10) der eIDAS-Verordnung definiert als "Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft werden und die der Unterzeichner zum Unterschreiben verwendet."

Im Kern geht es darum, digital die Identität des Unterzeichners nachzuweisen und sicherzustellen, dass das signierte Dokument nach der Signatur nicht verändert wurde – zwei Funktionen, die auch die handschriftliche Unterschrift erfüllt.

In Deutschland wird offiziell von elektronischen Signaturen gesprochen, nicht von "digitalen Signaturen". Dieser Begriff ist im Gesetzestext verankert (Vertrauensdienstegesetz, BGB) und entspricht der EU-Terminologie nach eIDAS. "Digitale Signatur" wird umgangssprachlich verwendet, bezeichnet technisch aber ein spezifisches kryptografisches Verfahren (Public-Key-Infrastruktur).

Die eIDAS-Verordnung (Electronic Identification, Authentication and Trust Services) gilt seit 1. Juli 2016 EU-weit und definiert drei Typen elektronischer Signaturen mit steigenden Sicherheits- und Rechtsanforderungen:

Die einfache elektronische Signatur ist die niedrigste Sicherheitsstufe und unterliegt keinen technischen Anforderungen.

Beispiele:

• Name am Ende einer E-Mail
• Angehakte Checkbox "Ich akzeptiere"
• Gescannte handschriftliche Unterschrift
• Klick auf einen "Bestätigen"-Button

Rechtliche Gültigkeit:

• Kann die Textform (§126b BGB) erfüllen, wenn vertraglich vereinbart
• Erfüllt NICHT die Schriftform (§126 BGB)
• Schwache Beweiskraft vor Gericht – Beweislast liegt beim Unterzeichner

Wann ausreichend: Für einfache B2B-Verträge, interne Dokumente, Bestellbestätigungen ohne hohen Streitwert.

Die fortgeschrittene elektronische Signatur muss nach Artikel 26 eIDAS vier kumulative Anforderungen erfüllen:

1. Eindeutige Zuordnung zum Unterzeichner
2. Identifizierung des Unterzeichners ermöglichen
3. Ausschließliche Kontrolle durch den Unterzeichner über die Signaturerstellungsmittel
4. Erkennbarkeit jeder nachträglichen Änderung der signierten Daten

Technische Umsetzung:

• Kryptografische Verfahren (Public-Key-Infrastruktur)
• Digitales Zertifikat (nicht zwingend qualifiziert)
• Integritätsprüfung des Dokuments

Rechtliche Gültigkeit:

• Kann die Textform erfüllen
• Stärkerer Beweiswert als EES
• Erfüllt NICHT automatisch die Schriftform
• Freie Beweiswürdigung durch das Gericht (§286 ZPO)

Wann empfohlen: Für Handelsverträge mittleren Werts, Geschäftskorrespondenz, Lieferverträge.

Die qualifizierte elektronische Signatur ist die höchste Sicherheitsstufe und der handschriftlichen Unterschrift rechtlich gleichgestellt.

Voraussetzungen nach eIDAS:

Rechtliche Privilegien:

• Ersetzt die Schriftform (§126a BGB) – außer bei gesetzlichen Ausnahmen
• Präsumtion der Echtheit (§371a ZPO) – nur durch "ernstliche Zweifel" widerlegbar
• Umkehr der Beweislast – Gegner muss Unechtheit beweisen
• EU-weite Anerkennung – gültig in allen 27 Mitgliedstaaten

Wann zwingend erforderlich:

• Befristete Arbeitsverträge
• Gewerbliche Mietverträge mit Schriftformklausel
• Behördliche Einreichungen (z.B. elektronischer Rechtsverkehr §130a ZPO)
• Notarielle Urkunden (mit elektronischem Notarsiegel)
• Handelsregisteranmeldungen

Die eIDAS-Verordnung ist seit 1. Juli 2016 in allen EU-Staaten unmittelbar anwendbar und schafft einen einheitlichen Rechtsrahmen für elektronische Identifizierung und Vertrauensdienste.

Artikel 25 (3) – Grenzüberschreitende Anerkennung:

QES, die in einem Mitgliedstaat erstellt wurden, werden in allen anderen Mitgliedstaaten als QES anerkannt.

Artikel 20 – Aufsicht:

Qualifizierte Vertrauensdiensteanbieter unterliegen regelmäßigen Audits (alle 24 Monate) und stehen auf einer öffentlich einsehbaren Trusted List der zuständigen Behörde.

Das Vertrauensdienstegesetz vom 18. Juli 2017 setzt die eIDAS-Verordnung in deutsches Recht um und regelt nationale Besonderheiten.

Zuständige Behörden in Deutschland:

Das deutsche Bürgerliche Gesetzbuch (BGB) unterscheidet drei Formvarianten:

• §126 BGB – Schriftform: Erfordert grundsätzlich eigenhändige handschriftliche Unterschrift.
• §126a BGB – Elektronische Form: Die Schriftform kann durch die elektronische Form ersetzt werden – erfordert aber zwingend eine QES.
• §126b BGB – Textform: Eine abgeschwächte Form: Dokument auf dauerhaftem Datenträger + Name des Ausstellers, ohne Signatur-Pflicht. Kann durch EES, FES oder QES erfüllt werden.

Entscheidungshilfe:

Trotz der Gleichstellung der QES mit der handschriftlichen Unterschrift gibt es gesetzliche Ausnahmen, bei denen selbst die qualifizierte elektronische Signatur nicht zulässig ist.

Der Gesetzgeber verfolgt mit diesen Ausnahmen zwei Ziele:

1. Warnfunktion: Die Anforderung der eigenhändigen Unterschrift soll dem Unterzeichner die Tragweite seiner Entscheidung bewusstmachen (z.B. Bürgschaft).
2. Schutz vor übereilten Entscheidungen: Bei existenziellen Rechtsgeschäften (Immobilienkauf, Kündigung) will der Gesetzgeber sicherstellen, dass keine vorschnellen digitalen Klicks erfolgen.

Die prozessuale Beweiskraft elektronischer Signaturen unterscheidet sich erheblich je nach Sicherheitsstufe:

§371a ZPO (Zivilprozessordnung):

"Für die Echtheit einer in elektronischer Form vorliegenden privaten Urkunde mit qualifizierter elektronischer Signatur gilt §371a ZPO entsprechend."

Das bedeutet: Das Gericht geht davon aus, dass die QES echt ist – der Gegner muss substantiiert darlegen, warum ernstliche Zweifel bestehen (z.B. gehackte Signaturkarte, Missbrauch, technischer Fehler).

Bundesgerichtshof BGH XII ZB 8/19 (2019):
Der Bundesgerichtshof stellte klar, dass ein gescanntes Dokument ohne QES für förmliche Gerichtsverfahren nicht ausreicht. Die bloße Digitalisierung einer handschriftlichen Unterschrift genügt nicht den Anforderungen der elektronischen Form. Volltext auf juris.de

Landgericht Bonn 3 C 193/01 (2001):
Ausgedruckte E-Mails ohne digitale Signatur wurden als Beweis abgelehnt, da sie zu leicht manipulierbar sind.

Nur von der Bundesnetzagentur (BNetzA) zugelassene qualifizierte Vertrauensdiensteanbieter (QTSP) dürfen qualifizierte elektronische Signaturen ausstellen.

Qualifizierte Vertrauensdiensteanbieter müssen gemäß Artikel 20 eIDAS:

• Ein Konformitätsbewertungsverfahren durchlaufen (ETSI EN 319 401)
• Regelmäßige Audits alle 24 Monate bestehen
• Auf der öffentlichen Trusted List der BNetzA geführt werden
• Technische Sicherheitsstandards des BSI einhalten
• Einen Versicherungsschutz oder gleichwertige finanzielle Garantien vorweisen

Traditionell erforderte die QES ein physisches Gerät (Chipkarte, USB-Token). Dank technologischer Fortschritte ermöglichen Remote QSCD-Lösungen (Remote Qualified Signature Creation Device) heute qualifizierte Signaturen direkt vom Smartphone oder Computer.

1. Initiale Identitätsprüfung: Video-Identifikation nach PostIdent- oder eIDAS-Standard
2. Sicherer Schlüssel: Der private Schlüssel wird in einem Hardware Security Module (HSM) in hochsicheren Rechenzentren des QTSP gespeichert
3. Zwei-Faktor-Authentifizierung: Signaturvorgang erfordert PIN + SMS/App-basiertes OTP
4. Einhaltung eIDAS: Remote QSCD erfüllt alle Anforderungen der Annexe II der eIDAS-Verordnung (bereits oben verlinkt)

Vorteile für Unternehmen:

• Keine Hardware-Investition für Nutzer
• Sofortige Skalierbarkeit auf 100+ Mitarbeiter
• Multi-Device: Signatur von jedem Gerät möglich
• Geringere Kosten: Wegfall von Kartenlesern, Wartung, Logistik

Rechtlicher Status:

Remote QSCD-Lösungen sind von der BNetzA zugelassen und erfüllen vollständig die Anforderungen für qualifizierte elektronische Signaturen.

Die eIDAS-Verordnung 2.0 (EU-Verordnung 2024/1183), verabschiedet am 11. April 2024, bringt bedeutende Neuerungen:

Ab Dezember 2026 werden alle EU-Mitgliedstaaten ihren Bürgern ein kostenloses digitales Identitäts-Wallet bereitstellen:

• Eine App für alles: Personalausweis, Führerschein, Impfnachweise, Bildungszertifikate
• Kostenlose QES für Privatpersonen: Qualifizierte Signatur für nicht-kommerzielle Nutzung
• EU-weite Anerkennung: Automatische Akzeptanz in allen 27 Mitgliedstaaten
• Datenschutz by Design: Minimierung übertragener Daten, Kontrolle durch Nutzer

Zeitplan:

• Mai 2025: Technische Durchführungsverordnungen (Implementierungsstandards)
• Dezember 2026: EU-Staaten müssen EUDI Wallets bereitstellen
• 2027-2028: Schrittweise verpflichtende Akzeptanz durch Großplattformen

Für B2B-Unternehmen bedeutet eIDAS 2.0:

• Vereinfachte Onboarding-Prozesse: Kunden können sich direkt per EUDI Wallet authentifizieren
• Geringere Identitätsprüfungskosten: Staatlich verifizierte Identitäten
• Neue Geschäftsmodelle: Attestierungen von Attributen (z.B. "Geschäftsführungsbefugnis nachgewiesen")
• Höhere Akzeptanz: Bürger gewöhnen sich an digitale Identität und Signatur

Elektronische Signaturen sind in Deutschland nicht nur rechtsgültig – sie bieten bei richtiger Anwendung sogar rechtliche Vorteile gegenüber der klassischen Papierunterschrift. Die qualifizierte elektronische Signatur (QES) genießt eine Präsumtion der Echtheit vor Gericht und ist EU-weit anerkannt.

Der Schlüssel liegt in der richtigen Wahl des Signaturtyps für Ihren Anwendungsfall:

• Nutzen Sie EES für unkritische interne Prozesse
• Setzen Sie FES für B2B-Verträge mittleren Werts ein
• Verwenden Sie QES für rechtlich kritische Dokumente, hohe Vertragswerte und grenzüberschreitende Geschäfte

Mit der Einführung der eIDAS 2.0 und dem EUDI Wallet wird die Akzeptanz elektronischer Signaturen weiter steigen. Unternehmen, die jetzt in digitale Signaturprozesse investieren, sichern sich Wettbewerbsvorteile durch Effizienz, Kosteneinsparungen und Rechtssicherheit.