Qualifizierte elektronische Signatur (QES): Alle Infos 2025

Qualifizierte elektronische Signatur

Eine Businesswelt, die sich zunehmend ins Internet verlagert, oder Mitarbeiter, die im Homeoffice arbeiten: Oft ist das elektronische Unterzeichnen von wichtigen Dokumenten dem langsamen Postweg vorzuziehen. Die qualifizierte elektronische Signatur eignet sich dann, wenn höchste Sicherheitsstandards gefragt sind. Hier klären wir die zehn wichtigsten Fragen zur qualifizierten elektronischen Signatur.

Key Facts

  • Die qualifizierte elektronische Signatur stellt eine Form der digitalen Unterschrift dar und ermöglicht einen unkomplizierten, aber rechtssicheren Online-Datenverkehr. 

  • Um die Gültigkeit einer qualifizierten elektronischen Signatur sicherzustellen, müssen mehrere Anforderungen wie z. B. die eindeutige Zuordnung zum oder zur  Unterschreibenden und dessen zweifelsfreie Identifizierung erfüllt sein. 

  • In Deutschland existieren mehrere Anbieter, die eine qualifizierte elektronische Signatur ermöglichen.

Einfach und rechtssicher elektronisch unterschreiben. So funktioniert es mit Personio!

Was ist eine qualifizierte elektronische Signatur?

Die qualifizierte elektronische Signatur (kurz: QES) ist dem Gesetz nach mit der handschriftlichen Unterschrift gleichgestellt und die sicherste Form der elektronischen Signatur. Das gilt laut Art. 25 Abs. 2 eIDAS-Verordnung für alle EU-Mitgliedsstaaten. Mit der qualifizierten elektronischen Signatur können Unternehmen und Institutionen ihre Identität beim elektronischen Datenverkehr, z. B. bei Rechtsgeschäften im Internet, nachweisen.

Die QES besitzt alle Merkmale der fortgeschrittenen elektronischen Signatur und basiert zudem auf einem einzigartigen Zertifikat, das ihre Gültigkeit zweifelsfrei belegt.

Qualifizierte elektronische Signatur vs. digitale Signatur – was ist der Unterschied?

Die qualifizierte elektronische Signatur stellt ein juristisches Konzept dar, da sie der handschriftlichen Unterschrift auf Papier gleichgestellt ist. Die digitale Signatur ist hingegen ein mathematisches Kryptografieverfahren, mit dem man die Integrität und Authentizität von signierten Dateien nachweisen kann. Dafür wird ein Schlüsselpaar, bestehend aus einem Private Key und einem Public Key, genutzt.

Eine digitale Signatur wird in den meisten Fällen wie folgt erstellt:

  • Ermittlung des Hash-Werts eines Dokuments mit einem sicheren (kollisionsresistenten) Hash-Algorithmus.

  • Signatur des Hash-Werts mit dem Signaturschlüssel (Private Key).

Prüfung:

  • Ermittlung des Hash-Werts des Dokuments mit demselben Hash-Algorithmus.

  • Prüfung der digitalen Signatur mit dem Verifikationsschlüssel (Public Key).

  • Stimmt das Prüfergebnis der Signatur mit dem ermittelten Hash-Wert überein, ist die Integrität der vorliegenden Datei bestätigt. Wurde der Private Key konsequent geheim gehalten, wird auch die Authentizität der Nachricht bestätigt.

Auch im Rahmen der Erstellung einer qualifizierten elektronischen Signatur wird unter anderem auf eine digitale Signatur zurückgegriffen. Zusätzlich zertifiziert ein sogenannter Trust Service Provider (TSP) die Zuordnung des Schlüsselpaars zum/zur mutmaßlich Unterzeichnenden.

Digitale Signatur: Beispiel

Sogenannte Datenmanagementsysteme (DMS) helfen nicht nur dabei, Dateien übersichtlich abzulegen und den Dateizugriff zu regulieren, sie setzen auch Bestimmungen der GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form) wie z. B. die Unveränderlichkeit und Nachvollziehbarkeit von elektronischen Daten um. 

Damit ein Datenmanagementsystem nachweisen kann, dass eine vorliegende Datei nicht weiter verändert wurde, wird deren Hash an eine Time Stamping Authority (TSA) gesendet. Diese bildet mithilfe ihres privaten Schlüssels eine digitale Signatur aus Hash und aktuellem Zeitpunkt, die als Zertifikat zurückgesendet wird.

Wird im Rahmen einer Betriebsprüfung der Beweis der Unveränderlichkeit verlangt, kann anhand der digitalen Signatur, des Datei-Hashwerts und Public Keys der TSA die Dateiintegrität bis auf den im Zertifikat ausgewiesenen Zeitpunkt zurückgehend belegt werden.

Welche Anforderungen muss die QES erfüllen?

Aus der eIDAS-Verordnung, die den Umgang mit elektronischen Signaturen und Vertrauensdiensten in der EU regelt, ergeben sich folgende Anforderungen an die qualifizierte elektronische Signatur:

  1. Sie ist Unterschreibenden eindeutig zugeordnet.

  2. Sie ermöglicht dessen Identifizierung zweifelsfrei.

  3. Sie wird mithilfe einer qualifizierten elektronischen Signaturerstellungseinheit erstellt.

  4. Sie ist so konzipiert, dass man eine nachträgliche Veränderung der Daten in der Signatur erkennen kann.

  5. Sie beruht auf einem qualifizierten Zertifikat für elektronische Signaturen.

Digitale Dokumente in Nu unterzeichnen

Elektronische Signatur Laptop iPhone Vertragsunterschrift

Bringen Sie wichtige Personaldokumente mit einer elektronischen Unterschrift blitzschnell unter Dach und Fach – und speichern Sie die Dokumente direkt in Personio ab.

Elektronisch unterschreiben mit Personio

Qualifizierte elektronische Signatur: So funktioniert sie

Eine qualifizierte elektronische Signatur ist anhand folgender Merkmale zu erkennen: 

Wie sieht eine qualifizierte elektronische Signatur aus?

Die qualifizierte und die fortgeschrittene elektronische Signatur sind aus technischer Perspektive identisch, jedoch wird bei der QES zusätzlich die Identität des Unterzeichnenden durch den anerkannten Zertifizierungsdienst garantiert, der die qualifizierte Signatur ausstellt.

Wie funktioniert die Verschlüsselung der QES?

Bei der elektronischen Unterschrift wird dem Unterschreibenden ein privater Signaturschlüssel zugewiesen, der eine starke kryptographische Verschlüsselung aufweist. Dieser private Schlüssel kann nur mit einem eindeutig dazu passenden öffentlichen Schlüssel gelesen werden. Das qualifizierte Zertifikat des Trust Service Providers verbindet beide Schlüssel miteinander, um die Identität der unterzeichnenden Person zu bestätigen.

Wie lässt sich eine qualifizierte elektronische Signatur prüfen?

Der Empfänger oder die Empfängerin erhält ein elektronisch unterzeichnetes Dokument inklusive eines öffentlichen Schlüssels. Um die Gültigkeit der qualifizierten elektronischen Signatur zu prüfen, müssen die Adressaten nachverfolgen, von wem das Dokument stammt, und sicherstellen, dass dessen Inhalt nicht verändert wurde. Mit dem beigefügten öffentlichen Schlüssel lässt sich die übermittelte elektronische Signatur auslesen. Stimmen die Werte des privaten Schlüssels des Absenders und des öffentlichen Schlüssels überein, ist das signierte Dokument unverändert übermittelt worden.

Wie bekommt man eine QES?

Um eine qualifizierte elektronische Signatur zu erstellen, ist eine Signaturkarte nötig, die mit einem einzigartigen, fälschungssicheren elektronischen Zertifikat versehen ist.

Das Zertifikat muss von einem anerkannten Zertifizierungsdienst (engl. Trust Service Provider) ausgestellt werden, der die Sicherheitsansprüche der eIDAS-Verordnung abdeckt.Der Zertifizierungsdienst erzeugt eine sichere Signaturerstellungseinheit, die der Trust Service Provider aus der Ferne steuern kann. So lassen sich Manipulationen bei der qualifizierten elektronischen Signatur ausschließen, die andernfalls an Lesegeräten und Co. vorgenommen werden könnten.

Qualifizierte elektronische Signatur: Anbieter in Deutschland

Um ein Dokument mit einer qualifizierten elektronischen Signatur zu unterzeichnen, ist es also vonnöten, sich zunächst bei einem Zertifizierungsdienst anzumelden. Ein solcher Zertifizierungsdienst muss der Bundesnetzagentur angezeigt oder freiwillig akkreditiert sein.

Anerkannte Anbieter für Zertifizierungsdienste in Deutschland sind z. B.

  • D-Trust (Bundesdruckerei)

  • Bundesnotarkammer

  • Signtrust (Deutsche Post)

  • S-Trust (Deutscher Sparkassen Verlag)

  • Telesec (Deutsche Telekom)

  • TC Trustcenter

Tipp: Auf der Seite der Bundesnetzagentur findet sich eine stets aktuelle Liste der derzeitigen Anbieter.

Gut zu wissen: Um Kund:innen die Möglichkeit zur Online-Identifikation und Online-Unterschrift zu geben, greifen auch Banken, Versicherungs-, Kreditanbieter etc. auf akkreditierte Zertifizierungsdiensteanbieter zurück.

In Personio erstellen und verwalten Sie Dokumente einfach in der digitalen Personalakte und unterzeichnen rechtssicher mit einer fortgeschrittenen elektronischen Signatur.

Elektronische Signatur rechtssicher einsetzen

Webinar-Aufzeichnung: Elektronische Signatur rechtssicher einsetzen

In dieser Webinar-Aufzeichnung erklärt Rechtsanwalt Dr. Paul Brummer, worin sich einzelne E-Signaturen unterscheiden, wann Sie welche Art der E-Signatur einsetzen können und wie Sie Risiken minimieren.

Jetzt kostenfrei anschauen

Was braucht man, um eine qualifizierte elektronische Signatur zu erstellen?

Zur Erstellung einer qualifizierten elektronischen Signatur sind die Signaturkarte eines Zertifzierungsanbieters (siehe oben), ein geeignetes Kartenlesegerät und eine Signatursoftware erforderlich.

Hier ein Überblick über die Schritte im QES-Verfahren

  • Wählen Sie einen geeigneten Zertifizierungsdienst aus.

  • Registrieren Sie sich dort.

  • Organisieren Sie die erforderliche Hard- und Software.

    • Kartenlesegerät

    • Signaturkarte

    • Software für qualifizierte elektronische Signatur

  • Fügen Sie eine digitale Unterschrift auf Ihrem Dokument ein.

  • Identifizieren Sie sich eindeutig, z. B. durch PostIdent, damit ein qualifiziertes Zertifikat ausgestellt werden kann.

Laut der Definition in der eIDAS-Verordnung können auch cloudbasierte Signaturen die Voraussetzungen für eine qualifizierte Signatur erfüllen. In diesem Fall wird keine Signaturkarte benötigt. Die Zertifikate sind dort auf einem Server gespeichert und die qualifizierte elektronische Signatur kann im Auftrag des Unterschreibenden von einem qualifizierten Zertifizierungsdienst aus der Ferne verwaltet werden.

Qualifizierte elektronische Signatur: Kosten

Die Kosten für die Umsetzung von qualifizierten elektronischen Signaturen im Unternehmen variieren je nach Anbieter. Zur groben Orientierung: Für ein Kartenlesegerät, eine Signaturkarte und Zertifikat für eine qualifizierte elektronische Signatur mit einer Gültigkeitsdauer von drei Jahren zahlen Sie normalerweise zwischen 120 und 160 Euro.

Gibt es E-Mails mit qualifizierter elektronischer Signatur?

Qualifizierte Signaturen sind ihrem handschriftlichen Pendant gleichgestellt und werden somit nur auf Dokumenten und nicht in E-Mails eingesetzt. Die digitalen Signaturen, die man manchmal in E-Mails finden, sind eher mit einem Briefsiegel vergleichbar. Sie können beweisen, ob eine E-Mail wirklich von einem bestimmten Absender verschickt wurden oder ob ihre Inhalte während des Versands manipuliert wurden. Bestimmte Systeme sind in der Lage, bei eingehenden E-Mails die Signatur einer E-Mail und die qualifiziert signierten Dokumente im E-Mail-Anhang zu prüfen.

Qualifizierte elektronische Signatur: Anwendungsgebiete und die Bedeutung für HR

Ein Großteil der Anwendungsfälle im HR lässt sich über die einfache oder die fortgeschrittene elektronische Signatur abbilden.

Die qualifizierte elektronische Signatur brauchen Sie im Wesentlichen bei:

Auf dieser Liste sehen Sie, welche arbeitsrechtlichen Dokumente Sie mit der einfachen, fortgeschrittenen oder fortgeschrittenen E-Signatur unterzeichnen können.

Grundsätzlich genüge beim Vertragsschluss eine normale elektronische Signatur, erklärt der Anwalt für Arbeitsrecht, Dr. Paul Brummer. Unzureichend sei sie nur dann, wenn ihre Nutzung im Gesetz eindeutig ausgeschlossen oder eine qualifizierte elektronische Signatur vorgeschrieben ist.

Die qualifizierte elektronische Signatur ist zwar die sicherster Form der E-Signatur, jedoch erfordert sie bei der ersten Implementierung immer eine persönliche Identifizierung. Im Anschluss daran ist eine Zwei-Faktor-Authentifizierung, etwa mittels einer Signaturkarte, nötig.

Bei der Frage, welche Art der Signatur für Sie relevant ist, gilt es also nach den gesetzlichen Vorschriften und dem konkreten Anwendungsfall abzuwägen.

FAQ QES

Was ist eine qualifizierte elektronische Signatur?

Die qualifizierte elektronische Signatur ist das digitale, juristische Pendant zur handschriftlichen Unterschrift auf Papier. In den meisten Fällen ist die qualifizierte elektronische Signatur als ebenbürtig anzusehen; jedoch existieren Anwendungsbereiche, bei denen eine handschriftliche Signatur weiterhin zwingend erforderlich ist (z. B. Kündigung). 

Wie bekommt man eine qualifizierte elektronische Signatur?

Um eine qualifizierte elektronische Signatur zu erstellen, werden eine Signaturkarte, eine Signaturerstellungseinheit und ein Zertifizierungsdiensteanbieter benötigt. Die elektronische Signatur wird durch das qualifizierte Zertifikat des Dienstleisters zur qualifizierten elektronischen Signatur. 

Wann braucht man eine qualifizierte elektronische Signatur?

Eine qualifizierte elektronische Signatur ist dann erforderlich, wenn eine einfache oder fortgeschrittene elektronische Signatur gesetzlich explizit nicht mehr ausreicht. Dies ist zum Beispiel bei Empfangsbekenntnissen, Befristungsabreden oder Änderungen/Ergänzungen des Arbeitsvertrags bei doppelter Schriftformklausel der Fall.

Disclaimer

Dokumente ektronisch und sicher unterschreiben

Elektronische Signatur Vertragsdokument senden