Was eine elektronische Signatur leistet
Eine elektronische Signatur ersetzt im Geschäftsalltag oft die handschriftliche Unterschrift: Sie belegt, dass eine bestimmte Person ein Dokument bestätigt hat, und sichert idealerweise auch ab, dass das Dokument danach nicht mehr verändert wurde. Wie stark dieser Nachweis ist, hängt von der Signaturstufe ab. Der rechtliche Rahmen dafür ist in der EU die eIDAS-Verordnung, die drei Stufen unterscheidet.
Die drei Stufen nach eIDAS
Einfache elektronische Signatur (EES)
Die niedrigste Stufe: jede Form elektronischer Zustimmung, etwa ein getipptes „Akzeptiert", ein eingescanntes Unterschriftsbild oder ein Klick. Sie ist schnell und praktisch, lässt sich aber im Streitfall schwerer beweisen, weil Identität und Unveränderlichkeit nicht stark abgesichert sind.
Fortgeschrittene elektronische Signatur (FES)
Eine Stufe höher: Die Signatur ist eindeutig dem Unterzeichner zugeordnet, ermöglicht dessen Identifizierung und macht nachträgliche Änderungen am Dokument erkennbar. Sie bietet damit ein deutlich höheres Beweisniveau als die EES und deckt einen großen Teil der typischen Geschäftsdokumente ab, für die keine gesetzliche Schriftform vorgeschrieben ist.
Qualifizierte elektronische Signatur (QES)
Die höchste Stufe. Sie beruht auf einem qualifizierten Zertifikat eines Vertrauensdiensteanbieters und einer qualifizierten Signaturerstellungseinheit. Nur die QES ist nach eIDAS der handschriftlichen Unterschrift rechtlich gleichgestellt und kann die gesetzliche Schriftform erfüllen. Eine QES setzt eine geprüfte Identifizierung des Unterzeichners voraus und wird über zertifizierte Vertrauensdiensteanbieter ausgestellt.
Wichtig zur Einordnung: Nicht jede Signaturlösung bietet automatisch QES. Wer eine QES benötigt, sollte ausdrücklich prüfen, ob ein qualifizierter Vertrauensdiensteanbieter eingebunden ist.
Wann welche Stufe sinnvoll ist
Eine Faustregel — ohne Anspruch auf den Einzelfall: Je höher das Risiko und die formalen Anforderungen, desto höher die Signaturstufe.
- EES: interne Freigaben, Bestätigungen, formlose Vereinbarungen mit geringem Risiko.
- FES: die meisten Geschäftsverträge, Angebote, Auftragsbestätigungen, Vereinbarungen ohne gesetzliche Schriftform.
- QES: Fälle, in denen das Gesetz die Schriftform verlangt oder die der handschriftlichen Unterschrift gleichgestellt sein müssen.
Für einige Dokumentarten schreibt das Gesetz die Schriftform vor oder schließt die elektronische Form sogar aus (etwa bestimmte Kündigungen oder beurkundungspflichtige Vorgänge). Welche Stufe in Ihrem konkreten Fall ausreicht, ist eine rechtliche Bewertung — im Zweifel mit rechtlicher Beratung klären.
Elektronische Signatur und Datenschutz
Beim Signieren werden personenbezogene Daten verarbeitet — Name, oft E-Mail-Adresse, manchmal Identitätsnachweise und Metadaten wie Zeitstempel oder IP-Adresse. Damit greift die DSGVO. Für KMU sind vor allem diese Punkte relevant:
- Datenstandort: Wo werden Dokumente und Signaturdaten gespeichert? Eine Verarbeitung in Deutschland bzw. der EU vermeidet die Fragen rund um Drittlandtransfer.
- Auftragsverarbeitung: Der Signaturanbieter verarbeitet Daten in Ihrem Auftrag — ein AVV nach Art. 28 DSGVO gehört dazu.
- Datenminimierung: Es sollten nur die Daten erhoben werden, die für Nachweis und Sicherheit nötig sind.
- Sicherheit: Transport- und Speicherverschlüsselung sowie nachvollziehbare Zugriffskontrolle. Wie wir das umsetzen, lesen Sie auf unserer Seite Sicherheit.
Eine vertiefte Einordnung dieser Datenschutzpunkte bietet unser Leitfaden zur DSGVO-konformen Cloud für KMU.
Worauf KMU bei der Auswahl achten sollten
- Welche Signaturstufen werden tatsächlich unterstützt (EES, FES, ggf. QES)?
- Wo liegt der Datenstandort, und gibt es einen AVV?
- Lässt sich der Signaturprozess in bestehende Abläufe und Dokumente integrieren?
- Sind Nachweis und Protokollierung (Audit-Trail) nachvollziehbar?
- Ist der Anbieter deutschsprachig erreichbar?
Fazit
Für den Großteil der Geschäftsdokumente reicht eine fortgeschrittene Signatur — die qualifizierte Stufe ist Fällen mit gesetzlicher Schriftform vorbehalten. Mindestens so wichtig wie die Signaturstufe ist der Datenschutz: Datenstandort, AVV und Sicherheit sollten stimmen. Unsere integrierte elektronische Signatur in Wolfswerk ONE bringt das mit Daten in Deutschland zusammen. Welche Form für Ihren konkreten Anwendungsfall rechtlich erforderlich ist, klären Sie im Zweifel mit rechtlicher Beratung — dieser Artikel ersetzt sie nicht.
