Qualifizierte Elektronische Signatur (QES) Erklärt
Die qualifizierte elektronische Signatur (QES) ist die höchste Stufe elektronischer Signaturen unter der eIDAS-Verordnung. Sie hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift und wird in allen EU-Mitgliedstaaten anerkannt. Dieser Leitfaden erklärt die drei eIDAS-Ebenen, den QES-Erstellungsprozess und wann Sie eine QES benötigen.
Inhaltsverzeichnis
1. Die drei eIDAS-Signaturebenen
Die eIDAS-Verordnung (EU Nr. 910/2014) definiert drei Ebenen elektronischer Signaturen. Jede bietet ein unterschiedliches Niveau an Sicherheit, Identitätssicherung und Rechtswirkung. Das Verständnis dieser Ebenen ist grundlegend für die Wahl der richtigen Signatur für Ihr Dokument.
Einfache Elektronische Signatur (SES)
Die breiteste Kategorie. Umfasst alle Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die der Unterzeichner zum Unterzeichnen verwendet. Das Eintippen eines Namens, das Zeichnen einer Signatur auf einem Touchscreen oder das Klicken auf „Ich akzeptiere“ sind Beispiele für eine SES. Es gibt keine spezifischen technischen Anforderungen.
Rechtswirkung: Kann nicht allein aufgrund ihrer elektronischen Form als Beweismittel abgelehnt werden. Geeignet für die meisten Geschäftsdokumente.
Fortgeschrittene Elektronische Signatur (AES)
Muss vier Anforderungen gemäß Artikel 26 erfüllen: Sie muss eindeutig dem Unterzeichner zugeordnet sein, den Unterzeichner identifizieren können, unter Verwendung von Daten erstellt werden, die unter der alleinigen Kontrolle des Unterzeichners stehen, und so mit den unterzeichneten Daten verknüpft sein, dass jede nachträgliche Änderung erkennbar ist.
Rechtswirkung: Stärkere Beweiskraft als SES durch Identifizierung und Manipulationserkennung. Für die meisten Geschäftsfälle mehr als ausreichend.
Qualifizierte Elektronische Signatur (QES)
Die höchste Stufe. Eine QES ist eine fortgeschrittene elektronische Signatur, die zusätzlich zwei Bedingungen erfüllt: Sie wird von einer qualifizierten Signaturerstellungseinheit (QSCD) erstellt und basiert auf einem qualifizierten Zertifikat, das von einem qualifizierten Vertrauensdiensteanbieter (QTSP) ausgestellt wurde.
Rechtswirkung: Hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift (Artikel 25 Absatz 2 eIDAS). Die Beweislast liegt bei demjenigen, der die Signatur anficht.
2. Qualifizierte Vertrauensdiensteanbieter (QTSP)
Ein qualifizierter Vertrauensdiensteanbieter (Qualified Trust Service Provider, QTSP) ist eine Organisation, die von einer nationalen Aufsichtsbehörde als qualifiziert eingestuft wurde und qualifizierte Vertrauensdienste erbringen darf. Der Weg zum QTSP-Status ist anspruchsvoll und streng reguliert.
Um den QTSP-Status zu erhalten, muss ein Anbieter folgende Anforderungen erfüllen:
- Konformitätsbewertung: Eine Überprüfung durch eine akkreditierte Konformitätsbewertungsstelle bestätigt, dass der Anbieter alle Anforderungen der eIDAS-Verordnung und der zugehörigen technischen Standards erfüllt.
- Nationale Aufsicht: Die zuständige nationale Behörde überwacht den Anbieter fortlaufend. In Luxemburg ist dies das ILNAS (Institut Luxembourgeois de la Normalisation, de l'Accréditation, de la Sécurité et qualité des produits et services).
- Versicherungsschutz: QTSPs müssen über eine angemessene Haftpflichtversicherung oder vergleichbare finanzielle Garantien verfügen, um Schäden abzudecken.
- Regelmäßige Audits: QTSPs werden mindestens alle 24 Monate von einer akkreditierten Stelle geprüft, um die fortlaufende Einhaltung der Anforderungen sicherzustellen.
Wichtig: Nur QTSPs können qualifizierte Zertifikate ausstellen, die für die Erstellung qualifizierter elektronischer Signaturen erforderlich sind. Die Liste der anerkannten QTSPs wird auf der EU-Vertrauensliste veröffentlicht.
3. Qualifizierte Zertifikate
Ein qualifiziertes Zertifikat für elektronische Signaturen ist ein digitales Zertifikat, das von einem QTSP ausgestellt wird und bestimmte in Anhang I der eIDAS-Verordnung festgelegte Anforderungen erfüllt. Es dient als verifizierter Identitätsnachweis des Unterzeichners.
Ein qualifiziertes Zertifikat muss folgende Informationen enthalten:
Identität des Inhabers
Mindestens der Name des Unterzeichners oder ein Pseudonym, das als solches gekennzeichnet ist.
Name des QTSP
Der qualifizierte Vertrauensdiensteanbieter, der das Zertifikat ausgestellt hat, muss eindeutig identifizierbar sein.
Gültigkeitsdauer
Beginn und Ende der Gültigkeitsdauer des Zertifikats müssen angegeben sein.
Validierungsdaten
Die Signaturvalidierungsdaten, die den Signaturerstellungsdaten des Inhabers entsprechen.
Die Identität des Unterzeichners muss vor der Ausstellung des Zertifikats verifiziert werden. Dies kann persönlich (face-to-face), über einen eID-Dienst oder über ein qualifiziertes Fern-Identifizierungsverfahren erfolgen. Die Anforderungen an die Identitätsprüfung sind bewusst hoch, um das Vertrauen in qualifizierte Signaturen zu gewährleisten.
4. Qualifizierte Signaturerstellungseinheit (QSCD)
Die qualifizierte Signaturerstellungseinheit (Qualified Signature Creation Device, QSCD) ist die Hardware oder Software, die die privaten Signaturschlüssel des Unterzeichners schützt und die Signatur erstellt. Die QSCD stellt sicher, dass die Signaturerstellungsdaten vertraulich bleiben, nur einmal vorkommen und nicht abgeleitet werden können.
Eine QSCD muss gemäß Anhang II der eIDAS-Verordnung folgende Anforderungen erfüllen:
- 1Vertraulichkeit der Schlüssel
Die Signaturerstellungsdaten (privater Schlüssel) müssen mit hinreichender Sicherheit vertraulich bleiben. Sie dürfen nicht extrahierbar oder ableitbar sein.
- 2Einmaligkeit
Die Signaturerstellungsdaten können praktisch nur einmal vorkommen. Eine Duplizierung ist technisch verhindert.
- 3Schutz vor Fälschung
Die Signatur ist mit dem gegenwärtig verfügbaren Stand der Technik vor Fälschung geschützt.
- 4Schutz der Signatur durch den Unterzeichner
Die Nutzung der Signaturerstellungsdaten kann vom rechtmäßigen Unterzeichner zuverlässig gegen unbefugte Nutzung geschützt werden.
In der Praxis kann eine QSCD eine Smartcard, ein USB-Token oder ein Hardware-Sicherheitsmodul (HSM) sein, das beim QTSP gehostet wird. Moderne Fernsignatur-Lösungen verwenden zentrale HSMs, sodass der Unterzeichner keine physische Hardware benötigt, sondern sich über eine Zwei-Faktor-Authentifizierung autorisiert.
5. QES-Erstellungsprozess
Die Erstellung einer qualifizierten elektronischen Signatur folgt einem definierten Prozess, der Sicherheit und Rechtskonformität gewährleistet:
Identitätsprüfung
Der Unterzeichner muss seine Identität gegenüber einem QTSP nachweisen. Dies kann persönlich, per Video-Identifizierung oder über einen anerkannten eID-Dienst erfolgen. Die Prüfung erfolgt einmalig bei der Registrierung.
Zertifikatsausstellung
Nach erfolgreicher Identitätsprüfung stellt der QTSP ein qualifiziertes Zertifikat aus, das die Identität des Unterzeichners mit seinen Signaturerstellungsdaten verknüpft.
Signaturerstellung
Beim Signieren eines Dokuments werden die Daten gehasht und der Hash mit den privaten Signaturerstellungsdaten auf der QSCD signiert. Der Unterzeichner autorisiert diesen Vorgang über eine Zwei-Faktor-Authentifizierung.
Signaturvalidierung
Die Signatur kann anhand des qualifizierten Zertifikats und der EU-Vertrauensliste validiert werden. Jeder kann prüfen, ob die Signatur von einem verifizierten Unterzeichner stammt und das Dokument unverändert ist.
Moderne QES-Lösungen machen diesen Prozess für den Endbenutzer nahezu so einfach wie eine einfache elektronische Signatur. Die Komplexität wird im Hintergrund vom QTSP und der Signaturplattform gehandhabt. Der Unterzeichner muss lediglich seine Identität einmalig verifizieren und anschließend jede Signatur per Zwei-Faktor-Authentifizierung bestätigen.
6. Anwendungsfälle & wann QES erforderlich ist
Eine QES ist nicht für jedes Dokument erforderlich. Für die meisten Geschäftsdokumente reicht eine SES oder AES aus. Die QES wird dann relevant, wenn das nationale Recht ausdrücklich ein Handschrift-Equivalent verlangt oder wenn höchste Beweissicherheit gewünscht ist.
QES empfohlen
- Einreichungen bei Behörden
- Regulierte Finanzdienstleistungen
- Bestimmte Immobilientransaktionen
- Dokumente mit hohem Streitwert
- Grenzüberschreitende Verträge mit hohem Risiko
SES/AES ausreichend
- Arbeitsverträge
- NDAs & Vertraulichkeitsvereinbarungen
- Kaufverträge & Bestellungen
- Interne Genehmigungen
- Rechnungen & Angebote
Die Wahl der richtigen Ebene ist eine Abwägung zwischen Sicherheitsanforderungen, Benutzerfreundlichkeit und Kosten. Eine QES bietet das höchste Maß an rechtlicher Sicherheit, ist aber mit einem aufwendigeren Identifizierungsprozess verbunden. Für den Großteil der Geschäftsdokumente ist eine SES mit einem robusten Audit-Trail völlig ausreichend.
7. EU-Vertrauensliste
Die EU-Vertrauensliste (EU Trusted List) ist das zentrale Register aller qualifizierten Vertrauensdiensteanbieter in der Europäischen Union. Jeder Mitgliedstaat führt seine eigene nationale Vertrauensliste, die auf europäischer Ebene zusammengeführt wird.
Die Vertrauensliste dient mehreren Zwecken: Sie ermöglicht die Überprüfung, ob ein Vertrauensdiensteanbieter tatsächlich qualifiziert ist. Sie bildet die Grundlage für die Validierung qualifizierter Signaturen. Und sie stellt sicher, dass qualifizierte Signaturen grenzüberschreitend validiert werden können.
Praxistipp: Sie können die EU-Vertrauensliste jederzeit online einsehen, um zu prüfen, ob ein Anbieter qualifiziert ist. Die Liste wird von der Europäischen Kommission unter eidas.ec.europa.eu veröffentlicht und regelmäßig aktualisiert.
Für Unternehmen in Luxemburg ist die Vertrauensliste besonders relevant, da das Land ein Zentrum für grenzüberschreitende Geschäfte ist. Die Fähigkeit, qualifizierte Signaturen aus allen EU-Mitgliedstaaten zu validieren, ist eine grundlegende Voraussetzung für reibungslose internationale Transaktionen.
eIDAS-konforme Signaturen für jede Ebene
LuxSign unterstützt alle eIDAS-Signaturebenen — von SES bis QES. Ende-zu-Ende-verschlüsselt, DSGVO-konform und in Luxemburg gehostet. Starten Sie jetzt kostenlos.
Kostenlos starten