August 25, 2021

Was ist die eIDAS-Verordnung?

Linard D'Agostini

Wenn man sich in der EU mit der elektronischen Signatur beschäftigt, wird man unweigerlich über die eIDAS-Verordnung stolpern. Was sich dahinter verbirgt und inwiefern sie relevant für das elektronische Signieren ist, behandeln wir in diesem Artikel.

Was ist die eIDAS-Verordnung?

eIDAS, auch bekannt als Artikel Nr. 910/2014, ist eine gesetzliche Verordnung der EU, die seit 2016 vollständig in Kraft ist. Die Verordnung bringt eine einheitliche gesetzliche Grundlage für die elektronische Identifizierung und Vertrauensdienste, die in der gesamten EU, im Vereinigten Königreich, Island, Norwegen und Liechtenstein gilt. In der Schweiz gilt nicht eIDAS sondern das Bundesgesetz ZertES, doch die Inhalte sind sehr ähnlich.

«Die eIDAS-Verordnung ermöglicht das rechtssichere elektronische Signieren in der EU.»

Durch die eIDAS-Verordnung ist das rechtssichere Signieren von Dokumenten auf dem digitalen Weg möglich, ein wichtiger Baustein für die schnelle und sichere Digitalisierung von Unternehmen und Verwaltungen in der EU.

Die Vorteile der rechtsgültigen E-Signatur im Gegensatz zum Signieren auf Papier: keine Medienbrüche mehr, Zeitersparnisse und geringere Kosten. Das Potenzial der E-Signatur für die EU-Wirtschaft ist enorm, was einer der Gründe für die Lancierung der Verordnung war.

Welche elektronischen Signaturen sind eIDAS-konform?

Die eIDAS-Verordnung definiert drei verschiedenen Sicherheitsstufen von elektronischen Unterschriften, die auch als Signaturstandards bezeichnet werden:

  • die einfache elektronische Signatur (EES), die sehr einfach zu handhaben ist, jedoch auch nur eine geringe Beweiskraft hat.
  • die fortgeschrittene elektronische Signatur (FES), für die schon eine höhere Identifikation erforderlich ist, dadurch aber auch mehr Beweiskraft hat.
  • die qualifizierte elektronische Signatur (QES), die maximale Identifikationsanforderungen stellt, gleichzeitig aber auch höchste Beweiskraft garantiert.

Mehr zu den drei E-Signatur-Standards...

Die eIDAS-Verordnung definiert drei E-Signatur-Standards. (Quelle: Skribble)

Gut zu wissen: Eine eingescannte Unterschrift oder eine Unterschrift, die mittels eines Touch-Displays angebracht wurde, entspricht nicht der Definition einer E-Signatur, wie sie in eIDAS festgehalten ist. 

«Eine gescannte Unterschrift ist eine digitalisierte Form der handschriftlichen Unterschrift – ein Abbild. Das entspricht nicht der Definition einer elektronischen Signatur, wie es in der eIDAS-Verordnung steht.»

Beim gesetzlich geregelten E-Signieren werden Daten miteinander verknüpft. Anders als bei der handschriftlichen Unterschrift mit Kugelschreiber gilt im digitalen Bereich nicht das Schriftbild als ausschlaggebend für die Beweiskraft einer Signatur.

Wann kann ich die E-Signatur-Standards gemäss eIDAS rechtsgültig einsetzen?

Bezüglich der Rechtskraft der elektronischen Signatur schreibt die eIDAS-Verordnung vor, dass diese von Gerichten als Beweismittel gewürdigt werden muss: 

«Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.»

eIDAS, Art. 25, Absatz. 1, VERORDNUNG (EU) Nr. 910/2014

Zur Rechtsgültigkeit ist in der Verordnung nichts Weiteres erlassen. Deshalb definiert das nationale Recht für welche Dokumente die E-Signatur zugelassen ist und für welche Verträge welcher Signaturstandard vorgeschrieben ist. 

Aufgrund dessen machen wir hier einen kurzen Abstecher zum Vertragsrecht in Deutschland: Dieses unterscheidet zwischen Dokumenten mit Schriftformerfordernis und formfreien Dokumenten. Formfreie Dokumente können auf beliebige Weise abgeschlossen werden, zum Beispiel auch mündlich.

Solange die Schriftform für einen Vertrag nicht gesetzlich vorgeschrieben ist, kann somit jede der drei Sicherheitsstufen nach eIDAS-Verordnung als rechtsgültig eingestuft werden.

«Solange die Schriftform für einen Vertrag nicht gesetzlich vorgeschrieben ist, kann jede der drei E-Signatur-Standards nach eIDAS-Verordnung als rechtsgültig eingestuft werden.»

Bei der Entscheidung, welchen E-Signatur-Standard Unternehmen bei formfreien Verträgen wählen, fliesst aber nicht nur die Frage nach der Rechtsgültigkeit mit ein, sondern auch die Frage nach der Beweiskraft.

Die Beweiskraft der EES ist viel geringer, als die der QES. Wenn die Authentizität oder Integrität der Unterschrift angefochten wird, hat man es mit der EES deshalb viel schwieriger – nicht zuletzt auch weil bei der einfachen und fortgeschrittenen elektronischen Signatur die konkreten Rechtsfolgen im Ermessen des Gerichts liegen. 

Bei der QES definiert eIDAS hingegen die Rechtsfolge:

«Eine qualifizierte elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift.»

eIDAS, Art. 25, Absatz. 2, VERORDNUNG (EU) Nr. 910/2014

Das Gesetz erachtet die QES als genauso rechtsgültig wie die handschriftliche Unterschrift.  (Quelle: Skribble)

Bei Verträgen mit Schriftlichkeitserfordernis kann folglich nur die QES verwendet werden – ansonsten ist der Vertrag nichtig. 

«Bei Verträgen mit Schriftlichkeitserfordernis kann nur die QES verwendet werden.»

Ein weiterer Vorteil der QES ist, dass sie in allen EU-Mitgliedstaaten grenzübergreifend als “qualifiziert” anerkannt werden muss und somit standardisiert eingesetzt werden kann. Das ist ein weiterer Grund warum durch die eIDAS-Verordnung im Bereich der elektronischen Signatur Rechtssicherheit entstanden ist. 

Wie regelt eIDAS die erhöhte Beweiskraft der qualifizierten elektronischen Signatur?

eIDAS schreibt vor, dass jeder E-Signatur mit dem Standard QES ein digitales qualifiziertes Zertifikat hinzugefügt wird. Dieses dient als elektronischer Ausweis der signierenden Person und kann nur einer einzigen Person zugeordnet werden.

Das Zertifikat garantiert folglich die Identität des Unterzeichners. Zudem stellt es sicher, dass das unterschriebene Dokument nicht unbemerkt verändert wurde (Integrität).

Die Zertifikate werden von Vertrauensdiensteanbietern (VDA) ausgestellt und dürfen nur nach Identitätsprüfung des Unterzeichners herausgegeben werden. Um qualifiziert zu werden, muss ein VDA alle Anforderungen der eIDAS-Verordnung erfüllen und von einer Aufsichtsstelle geprüft werden. 

«Qualifizierte Zertifikate dürfen nur von qualifizierten Vertrauensdiensteanbietern und nach Identitätsprüfung des Unterzeichners herausgegeben werden.»

Sind die in eIDAS definierten Anforderungen an den VDA erfüllt, gilt das Unternehmen für maximal 24 Monate als eIDAS-zertifiziert und darf während dieser Zeit qualifizierte Zertifikate zur Verfügung stellen. Nach Ablauf von 24 Monaten muss ein VDA erneut geprüft werden.

Die maximale Beweiskraft der qualifizierten elektronischen Signatur wird somit mithilfe von qualifizierten VDA und allen Prüfungsverfahren, welche diese durchlaufen, garantiert.

Welche Vertrauensdiensteanbieter sind eIDAS-zertifiziert?

Bekannte qualifizierte VDA aus Deutschland, Österreich und der Schweiz sind zum Beispiel (Stand August 2021):

  • Deutsche Telekom Security GmBH
  • D-Trust GmBH
  • A-Trust Gesellschaft für Sicherheitssysteme im elektronischen Datenverkehr GmbH
  • QuoVadis
  • Swisscom Trust Services

Bekannte qualifizierte Vertrauensdiensteanbieter aus Deutschland, Österreich und der Schweiz (Quelle: Skribble)

Warum braucht es E-Signaturanbieter wie Skribble, wenn es Vertrauensdiensteanbieter gibt?

Um einfach und sicher elektronisch signieren zu können, braucht es mehr als nur das Zertifikat eines qualifizierten Vertrauensdiensteanbieters. Zu weiteren wichtigen Komponenten gehören:

  • Identifikationsanbieter (Identification Provider, IdP): Diese helfen dabei, die Identifikation der Signierenden sicherzustellen, z.B. mittels Video-Identifikation oder Ausweis-Scan. Da die verschiedenen E-Signatur-Standards verschiedene Anforderungen an Identifikation haben und die Identifikationsanbieter oft nur regional agieren, sind Unternehmen üblicherweise auf eine Vielzahl von IdPs angewiesen.
  • Signatur-Plattform: Die Benutzeroberfläche, über die die Vertragsparteien signieren. Diese ist idealerweise intuitiv und benutzerfreundlich.
  • Zertifikate anderer Rechtsräume: International agierende Unternehmen brauchen mehr als nur Signaturzertifikate nach EU-Recht. Möchten Sie zum Beispiel nach Schweizer Recht signieren, brauchen Sie unter Umständen Signaturzertifikate nach Schweizer Recht.
  • Mehrere E-Signatur-Standards: Unternehmen, die all Ihre Unterschriftsprozesse digitalisieren möchten, greifen üblicherweise auf alle drei E-Signatur-Standards zurück.

Skribble ist ein unabhängiger Anbieter von elektronischen Signaturen, der alle Komponenten vereint, die Unternehmen zum elektronischen Signieren benötigen. Wir haben den Anspruch, dass Unternehmen jede Art Dokument in jedem Rechtsraum mit jedem Stakeholder innerhalb von Sekunden signieren können. 

Mehrwert von Skribble auf einen Blick (Quelle: Skribble)

«Skribble ist ein unabhängiger Anbieter von elektronischen Signaturen, der alle Komponenten vereint, die Unternehmen zum elektronischen Signieren benötigen.»

Wir integrieren zum Beispiel verschiedene Vertrauensdiensteanbieter in unsere Plattform, damit unsere Kunden alle Signaturstandards zur Verfügung haben – über mehrere Rechtsräume hinweg. Wir sind stolz auf unsere einfache und intuitive Benutzeroberfläche. Und Unternehmen gefällt es, dass Sie Skribble in ihre bestehenden Systeme integrieren und beispielsweise direkt aus Microsoft OneDrive signieren können. 

Ein mann steht mit einem riesen füller neben einem elektronischen dokument

Signieren Sie rechtsgültig
mit wenigen Klicks

Weltweit einsetzbar, gehosted in der Schweiz.

Kostenlos testen Preise vergleichen

Kostenlose Testphase verfügbar.
Nutzbar auf Deutsch, Englisch und Französisch.
Italienisch möglich für Kunden, die ohne Konto signieren.