Zurück zum Blogi
    Gesetzgebung16.2.2026

    EU-Signaturstufen (eIDAS): Was ist der Unterschied zwischen einfacher, fortgeschrittener und qualifizierter elektronischer Signatur?

    Die EU-eIDAS-Verordnung definiert drei Stufen der elektronischen Signatur: einfach (SES), fortgeschritten (AES) und qualifiziert (QES). In diesem Artikel erklären wir verständlich, was jede Stufe bedeutet, wann welche ausreicht und wie ein Kleinunternehmen sie in seinem Alltag nutzen kann.

    Die Grundidee der eIDAS-Verordnung

    eIDAS (electronic IDentification, Authentication and trust Services) ist eine EU-Verordnung, die 2016 in Kraft trat. Sie schafft gemeinsame Regeln für die elektronische Identifizierung und elektronische Signaturen in allen EU-Ländern.\n\nIn der Praxis bedeutet eIDAS Folgendes: Eine elektronische Signatur kann nicht nur deshalb vor Gericht abgelehnt werden, weil sie in elektronischer Form vorliegt. Dies gilt für den gesamten EU-Raum.\n\nDie Verordnung wurde 2024 (eIDAS 2.0) aktualisiert, wobei u. a. die europäische digitale Identitäts-Wallet (EUDI Wallet) und strengere Anforderungen an Vertrauensdienste eingeführt wurden.

    SES – einfache elektronische Signatur

    SES ist die einfachste Signaturstufe. Sie kann beispielsweise sein:

    • Ein in eine E-Mail geschriebener Name
    • Ein „Ich stimme den Bedingungen zu“-Häkchen in einem Online-Formular
    • Eine gezeichnete Signatur auf einem Touchscreen

    SES erfordert keine separate Identitätsprüfung. Sie reicht für Situationen aus, in denen das Risiko gering ist und zwischen den Parteien bereits ein Vertrauensverhältnis besteht. Was das in der Praxis bedeutet: Wenn Sie Ihrem kleinen Stammkunden eine Dienstleistung für 500 Euro verkaufen und dieser die Bestellung per E-Mail bestätigt, handelt es sich um eine SES-Signatur. Sie ist gültig, aber im Streitfall hat sie den schwächsten Beweiswert.

    AES – fortgeschrittene elektronische Signatur

    AES erfordert, dass der Unterzeichner zuverlässig identifiziert wurde und die Signatur so mit ihm verbunden ist, dass sie nachträglich nicht geändert werden kann. In der Praxis bedeutet AES, dass sich der Unterzeichner vor der Signatur beispielsweise mit Bank-IDs, einer mobilen Zertifizierung oder einer ähnlichen Methode authentifiziert. AES erfüllt vier Anforderungen:

    1. Die Signatur ist eindeutig an den Unterzeichner gebunden
    2. Der Unterzeichner ist identifizierbar
    3. Der Unterzeichner hat die alleinige Kontrolle über die zur Erstellung der Signatur verwendeten Daten
    4. Nach der Signatur vorgenommene Änderungen am Dokument sind erkennbar

    Was das in der Praxis bedeutet: Wenn Sie einen Kundenvertrag zur Unterzeichnung über EpicSign versenden und der Kunde sich mit seinen Online-Banking-Zugangsdaten identifiziert, handelt es sich um eine AES-Signatur. Für die meisten kommerziellen Verträge ist dies ausreichend.

    QES – qualifizierte (zugelassene) elektronische Signatur

    QES ist die stärkste Stufe. In der EU-Gesetzgebung ist sie direkt einer handschriftlichen Signatur gleichgestellt.\n\nQES erfordert zwei Dinge:

    1. Ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat (Qualified Certificate)
    2. Ein zugelassenes Signaturerstellungsgerät (Qualified Signature Creation Device, QSCD)

    Die Ersteller von QES-Signaturen finden sich auf der EU Trusted List – einer offiziellen Liste, auf der zugelassene Vertrauensdiensteanbieter registriert sind. Jedes EU-Land pflegt seine eigene Liste.\n\nWas das in der Praxis bedeutet: QES ist hauptsächlich dann erforderlich, wenn das Gesetz ausdrücklich die Schriftform vorschreibt (z. B. bestimmte Immobilientransaktionen, Behördenangelegenheiten) oder wenn der Wert und das Risiko des Vertrags besonders hoch sind.

    Wann reicht welche Stufe aus?

    Für ein Kleinunternehmen hängt die Wahl der richtigen Stufe vom Risiko und Wert des Dokuments ab:

    DokumententypEmpfohlene StufeBegründung
    Interne Bestätigung, AuftragsbestätigungSESGeringes Risiko, schnell und kostengünstig
    Kundenvertrag, AngebotAESUnterzeichner zuverlässig authentifizieren
    Arbeitsvertrag, GeheimhaltungsvertragAESIdentifikation beider Parteien wichtig
    UnterauftragsvertragAESStarker Bezug zum Unterzeichner
    Protokoll (Vorstand, Hauptversammlung)AESAuthentifizierte Person, Manipulationsschutz
    Immobilienverkauf, BehördendokumentQESGesetz kann die stärkste Stufe verlangen

    Audit-Trail und Beweise

    Jede elektronische Signatur hinterlässt eine digitale Spur, einen Audit Trail. Er ist ein elektronischer Beweis dafür, wer wann und von wo aus signiert hat.\n\nEin gut implementierter Audit Trail enthält:

    • Identifikationsdaten des Unterzeichners (Name, E-Mail, Identifizierungsmethode)
    • Zeitstempel (wann die Signatur erstellt wurde)
    • IP-Adresse und Gerätedaten
    • Hash des Dokuments, der beweist, dass das Dokument nach der Signatur nicht geändert wurde

    Praktisches Beispiel: Beratungsunternehmen und Vertragsmanagement

    Ein dreiköpfiges Beratungsunternehmen in Tampere erstellt monatlich 10–15 Kundenverträge. Zuvor wurden Verträge ausgedruckt, unterschrieben und gescannt. Der Prozess dauerte 30–45 Minuten pro Vertrag.\n\nDer Wechsel zu elektronischen Signaturen der AES-Stufe mit EpicSign veränderte den Prozess:

    1. Vertrag in EpicSign hochladen (1 Min.)
    2. Unterzeichner hinzufügen und Signaturanfrage senden (1 Min.)
    3. Kunde authentifiziert sich mit Bank-IDs und unterzeichnet (2 Min.)
    4. Unterzeichneter Vertrag wird automatisch archiviert (0 Min.)

    Zeitersparnis: ca. 2 Stunden pro Woche. Außerdem ist jeder Vertrag dank Audit-Log nachvollziehbar.

    Häufig gestellte Fragen

    Was ist der praktische Unterschied zwischen SES-, AES- und QES-Signaturen?

    SES ist die einfachste (z. B. ein Name in einer E-Mail). AES erfordert eine starke Authentifizierung, wie z. B. Bank-IDs. QES ist die stärkste und entspricht einer handschriftlichen Signatur – sie erfordert ein qualifiziertes Zertifikat.

    Reicht das AES-Niveau für einen Arbeitsvertrag aus?

    Ja, in den meisten Fällen ist AES für Arbeitsverträge in Finnland ausreichend. Das Gesetz verlangt in der Regel kein QES-Niveau für Arbeitsverträge.

    Was ist die EU Trusted List?

    Die Trusted List ist eine von den EU-Ländern geführte offizielle Liste der zugelassenen Vertrauensdiensteanbieter. Die Liste ist auf der Website der EU-Kommission zu finden.

    Kann eine SES-Signatur vor Gericht angefochten werden?

    Eine SES-Signatur kann nicht allein deshalb abgelehnt werden, weil sie in elektronischer Form vorliegt (eIDAS Artikel 25). Der Beweiswert ist jedoch geringer als bei AES oder QES.

    Unterstützt EpicSign Signaturen auf AES-Niveau?

    Ja. EpicSign unterstützt die starke Authentifizierung (Bank-IDs), die die AES-Anforderungen erfüllt.

    Benötigt ein Kleinunternehmen QES-Signaturen?

    Selten. QES ist hauptsächlich dann erforderlich, wenn das Gesetz ausdrücklich die Schriftform vorschreibt oder wenn es um Behördengänge geht. Für normale Verträge reicht AES aus.

    Dieser Artikel ist allgemeiner Natur und stellt keine Rechtsberatung dar.

    EpicSign testen

    Starten Sie eine kostenlose Testphase und senden Sie Ihre erste Signaturanfrage in weniger als 20 Sekunden.

    Preise ansehen