• Start
V-Hub by Vodafone BusinessSecuritySicherheitMehr Sicherheit online: So funktioniert die qualifizierte elektronische Signatur (QES) für E-Mails
Schmuckbild
Security

Mehr Sicherheit online: So funktioniert die qualifizierte elektronische Signatur (QES)

Portrait von Dr. Lorenz SteinkeLorenz Steinke
21.05.2025
9 Min.

    Viele Verträge werden heute direkt über das Internet geschlossen. Das spart Bearbeitungszeit und reduziert die Portokosten. Für die notwendige Rechtssicherheit sorgt hierbei häufig die qualifizierte elektronische Signatur (QES). Was kann diese und wie sicher ist sie?

    Unter ehrbaren Kaufleuten gilt der per Handschlag geschlossene Vertrag noch immer als bindend – Ehrensache! Doch wenn die Geschäftspartner gerade auf verschiedenen Kontinenten unterwegs sind, wird es schwierig mit dem Vertragsabschluss von Hand zu Hand. Hier hilft die digitale Unterschrift, die über das Internet versendet werden kann. Auch für Behördengänge oder notarielle Beglaubigungen ist sie praktisch.

    Inhaltsverzeichnis

    Was ist eine qualifizierte elektronische Signatur (QES)?Unterschiede verschiedener SignaturtypenWas benötigt man für eine QES?QES, FES oder EES: Welche digitale Unterschrift brauche ich?

    Was ist eine qualifizierte elektronische Signatur (QES)?

    Eine qualifizierte elektronische Signatur (QES) ist eine EU-weit gültige digitale Unterschrift, die Sie im Geschäftsverkehr rechtsverbindlich anstelle Ihrer handschriftlichen Signatur verwenden können. Mit Ihrer persönlichen QES können Sie sich gegenüber Dritten eindeutig ausweisen und beispielsweise über das Internet Verträge unterzeichnen. Auch Behörden akzeptieren inzwischen die QES als vollwertigen Ersatz für die persönliche Unterschrift.
    Eine QES ist überall dort der händischen Unterschrift gleichgestellt, wo der Gesetzgeber nicht ausdrücklich die Schriftform verlangt (§126a BGB). Seit dem 1. Januar 2025 können Sie beispielsweise auch Arbeitsverträge und Arbeitszeugnisse digital unterzeichnen (Bürokratieentlastungsgesetz IV).
    Eine persönliche QES können Sie bei einem sogenannten zertifizierten „Vertrauensdiensteanbieter“ (VDA) erhalten. Dieser stellt Ihnen nach Prüfung Ihrer Identität („Authentifizierung“) ein digitales Zertifikat aus. Mit diesem Zertifikat und einer dafür eingerichteten Software können Sie sich dann per Internet oder über eine andere Datenverbindung bei Geschäftspartnern oder Behörden mit Ihrer Signatur eindeutig ausweisen. Der Vertrauensdiensteanbieter bürgt gegenüber Dritten, dass dieses Zertifikat wirklich Ihr persönlicher digitaler Fingerabdruck ist.

    Manipulationssichere Verträge dank Verschlüsselung

    Wenn Sie einen Vertrag online mit Ihrer QES unterzeichnen, werden Ihre Unterschrift und die genaue Uhrzeit der Vertragsunterzeichnung manipulationssicher in der Datei verschlüsselt. Ein digitales Sigel gewährleistet, dass Unterschrift, Uhrzeit und Vertragsinhalt zusammengehören. Somit können Dritte ein von Ihnen unterzeichnetes Dokument nachträglich nicht verfälschen.
    Rechtliche Grundlage der QES ist die „EU-Verordnung 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“. Diese Verordnung ist auch bekannt als „eIDAS Regulation“. Hierbei steht die Abkürzung für „electronic IDentification, Authentication and Trust Services".
    Die Schweiz als Nicht-EU-Staat hat die eIDAS-Regelungen ebenfalls übernommen und mit dem Bundesgesetz über die elektronische Signatur (ZertES) in nationales Recht überführt. Somit ist eine QES heute in allen 27 EU-Staaten sowie der Schweiz rechtlich anerkannt und gerichtsfest.
    Infografik zur Beantragung eines digitalen Zertifikates bei einer Zertifizierungsstelle und zu anschließender Nutzung des Zertifikates für eine qualifizierte elektronische Signatur.
    So funktioniert es: Erst beantragen Sie ein digitales Zertifikat bei einer akkreditierten Zulassungsstelle, mit dem Sie eine qualifizierte elektronischer Signatur erzeugen. Diese nutzen Sie gegenüber Behörden oder im Geschäftsverkehr als digitalen Identitätsnachweis.

    Unterschiede verschiedener Signaturtypen

    Neben QES-Standards gibt es im Internet viele weitere digitale Signatur- und Authentifizierungsverfahren. PGP (Pretty Good Privacy) und OpenPGP sind zwei bekannte Verschlüsselungssysteme, die auf Basis einer asymmetrischen Verschlüsselung über öffentliche und private Datenschlüssel zugleich auch Authentifizierungsverfahren bereitstellen. Bei der asymmetrischen Verschlüsselung sind die Schlüssel für das Ver- und Entschlüsseln unterschiedlich („asymmetrisch”), weswegen asymmetrische Verfahren gut für Anmelde- und Authentifizierungsverfahren im Internet geeignet sind. PGP und OpenPGP werden aber in der EU nicht als QES anerkannt, da sie bestimmte rechtliche Voraussetzungen dafür nicht erfüllen. So sind die oben genannten Standards bisher in keinem EU-Staat offiziell registriert und zertifiziert.
    Einige Systeme arbeiten bei der Authentifizierung mit zentralen Zertifizierungsstellen, die wiederum der Anbieter des jeweiligen Systems lizenziert und überwacht. Andere Technologien setzen auf ein sogenanntes Web of Trust (auf Deutsch: „Netz des Vertrauens“), also einen Kreis von gleichberechtigten Nutzer:innen, die sich untereinander kennen und gegenseitig authentifizieren. Diese Personen nehmen dann wiederum weitere Personen in ihren Kreis auf, sofern diese mindestens einem Mitglied des Kreises persönlich bekannt sind.
    Wieder andere Verfahren verlangen eine einmalige Registrierung, etwa bei Vertragsabschluss mittels Kreditkarte oder E-Mail-Adresse. Sie identifizieren ihre Nutzer:innen ab diesem Zeitpunkt über eine Zwei-Faktor-Authentifizierung (2FA).
    Die einzelnen Verfahren unterscheiden sich somit deutlich in Hinblick auf Sicherheit und Zuverlässigkeit. Die eIDAS-Verordnung teilt Signatursysteme in drei Kategorien mit jeweils unterschiedlichen Sicherheitsniveaus ein. Im Einzelnen sind dies:
    1. Einfache Elektronische Signatur (EES): Verfahren dieser Stufe eignen sich für Prozesse mit nur geringen Sicherheitsanforderungen. Nutzer:innen identifizieren sich mittels einer EES beispielsweise für das Herunterladen von Lieferangeboten oder bestätigen den Erhalt von Schulungsunterlagen. Vor Gericht hat die EES nur eine geringe Beweiskraft. Sie ist vergleichbar mit einer eingescannten oder kopierten händischen Unterschrift, die auf einem nicht sicheren Weg übertragen wurde. Weil die technischen Voraussetzungen für eine EES niedrig sind, gibt es am Markt zahlreiche Anbieter von EES-Systemen.
    2. Fortgeschrittene Elektronische Signatur (FES): FES-Verfahren arbeiten gegenüber EES mit zusätzlichen Sicherheitsschlüsseln, über die sich die Unterzeichner gegenseitig authentifizieren. Außerdem protokollieren FES-Systeme den Zeitpunkt der digitalen Unterzeichnung von Dokumenten, um nachträgliche Änderungen an deren Inhalt auszuschließen. Für FES wird alternativ auch die englische Bezeichnung Advanced Electronic Signature (AES) benutzt. Diese ist nicht zu verwechseln mit dem Advanced Encryption Standard, der ebenfalls mit AES abgekürzt wird und bei der SSL-Verschlüsselung von Webseiten zum Einsatz kommt. Die FES ist geeignet für Dokumente ohne gesetzliche Schriftformerfordernis mit akzeptablem Haftungsrisiko.
    3. Qualifizierte elektronische Signatur (QES): Die QES als höchste Sicherheitsstufe gemäß der eIDAS-Verordnung arbeitet ähnlich wie FES mit Sicherheitsschlüsseln, um die Identität einer Person zu überprüfen. QES stellt allerdings zusätzliche Anforderungen an die Zertifizierungsstellen („Vertrauensdiensteanbieter“) und die von ihnen eingesetzten Verfahren zur eindeutigen Identitätsfeststellung. So muss sich der Betreiber eines solchen QES-Dienstes erst gegenüber einer nationalen Zulassungsbehörde umfassend akkreditieren. In Deutschland ist diese Behörde die Bundesnetzagentur. Hierfür muss der QES-Anbieter seine besondere Zuverlässigkeit und Fachkunde nachweisen, ein Sicherheitskonzept vorlegen und nachweisen, dass er bei Cyberattacken und Datenverlusten gegenüber seinen Kund:innen in ausreichender Höhe haften kann. Alle 24 Monate wird der Anbieter von der Zertifizierungsstelle erneut überprüft (Artikel 20 eIDAS-Verordnung). Gegenwärtig (Stand: Mai 2025) gibt es in Deutschland nur etwa ein Dutzend anerkannte QES-Signaturverfahren und Anbieter, darunter Postident von der Deutschen Post AG, das Zertifizierungsverfahren der Bundesnotarkammer sowie das Chipkarten-System des Deutschen Gesundheitsnetzes (DGN). Eine Übersicht aller in Europa registrierten Anbieter finden Sie auf den Seiten der Bundesnetzagentur.
    Eine Frau in roter Bluse sitzt an einem Mac und telefoniert via Headset

    Fertig für Sie eingerichtet und startklar: Microsoft 365 Business mit Vodafone Services

    Produktivität steigern. Sicherheit stärken. Und sich dabei komplett auf Ihr Business konzentrieren? Das geht. Unsere Expert:innen helfen mit Ihren Microsoft 365 Business-Lizenzen. So haben Sie Zeit für Ihr Kerngeschäft.

    Jetzt mehr erfahren

    Was benötigt man für eine QES?

    Die eIDAS-Verordnung stellt sehr hohe Anforderungen an eine QES. Nur so ist sichergestellt, dass wirklich die betreffende Person ein wichtiges Schriftstück digital unterzeichnet hat. Daher gilt:
    • Jede QES muss der entsprechenden Person eindeutig zugeordnet sein. Diese Person muss außerdem anhand ihrer Signatur eindeutig identifiziert werden können. Gruppensignaturen oder Alias-Signaturen sind somit nicht zulässig.
    • Alle Prozesse müssen sicher sein nach dem aktuellen Stand der Technik. Die jeweilige nationale Zulassungsbehörde überprüft dies regelmäßig.
    • Eine QES muss mit einer sogenannten „Sicheren Einheit aus Soft- und Hardware“ übermittelt werden, auf die zum Zeitpunkt der Übertragung allein die unterzeichnende Person Zugriff hat. Dies kann zum Beispiel der eigene Arbeitsplatzcomputer oder das private Smartphone sein – sofern sichergestellt ist, dass Dritte nicht auf das digitale Zertifikat zugreifen und so die digitale Identität der Person stehlen, der das Gerät gehört.
    • Es muss mit technischen Mitteln sichergestellt werden, dass ein mittels QES unterschriebenes Dokument nachträglich nicht mehr verändert werden kann.
    Zur Identitätsprüfung nutzen die QES-Anbieter unterschiedliche Methoden. In Deutschland sind besonders verbreitet:
    • das Video-Ident-Verfahren, bei dem sich die Person während einer Videoübertragung mit ihrem Personalausweis oder Reisepass identifiziert
    • die Nutzung der eID-Funktion von Personalausweisen (bei allen ab Juli 2017 ausgestellten Personalausweisen standardmäßig aktiviert)
    • die Identifizierung über eine NFC-Verbindung mit einem entsprechenden Endgerät, beispielsweise dem persönlichen Smartphone
    eine Hardware-Kombination aus individuellen, personenbezogenen Chipkarten und entsprechenden Lesegeräten
    Ein Flugplatz und verschiedene Flugzeuge aus der Vogelperspektive

    Microsoft 365 Copilot: Mehr Produktivität dank KI

    Microsoft 365 Copilot ist eine künstliche Intelligenz, die sich nahtlos in Ihr Unternehmen integrieren lässt. Sie nutzen Copilot mit Ihren Office-Anwendungen. Geben Sie Ihre Frage oder Ihren Auftrag einfach ein – schon erhalten Sie Zusammenfassungen, Ideen oder Gestaltungsvorschläge.

    • Gesteigerte Produktivität
    • Hilfe und Tipps in Echtzeit
    • Austausch per Business Chat
    Jetzt mehr erfahren

    QES, FES oder EES: Welche digitale Unterschrift brauche ich?

    Grundsätzlich gilt: Jedes gemäß eIDAS höherwertige Signaturverfahren erfüllt immer auch alle Anforderungen an die weniger sicheren Verfahren. Somit liefert eine QES alle Sicherheitsmerkmale, die auch eine EES oder FES beinhalten.
    In vielen Fällen ist es Ihnen selbst überlassen, wo Sie im Geschäftsverkehr auf weniger aufwändige EES oder FES setzen oder mit QES signieren. Überall dort, wo der Gesetzgeber zwingend die Schriftform oder ein gleichwertiges Verfahren verlangt, müssen Sie jedoch für eine digitale Unterschrift QES verwenden. Dies gilt beispielsweise bei Verbraucherdarlehensverträgen oder auch im Arbeitsrecht für befristete Arbeitsverträge, für Aufhebungsverträge oder die Kündigung von Arbeitsverhältnissen (§ 623 BGB). Tun Sie dies nicht, tragen Sie im Streitfall die Rechtsfolgen – beispielsweise, weil Sie vor Gericht die Unterzeichnung eines Vertrages nicht rechtssicher beweisen können.
    Deshalb hinaus nutzen viele Unternehmen mittlerweile auch dort QES, wo weniger sichere Verfahren grundsätzlich zulässig wären. Damit schützen sie sich und ihre Vertragspartner gegen Identitätsdiebstahl und andere Formen von Cyberkriminalität und können bei möglichen späteren Rechtsstreitigkeiten die digitale Unterschrift sicher nachweisen.
    Schmuckbild
    Die qualifizierte elektronische Signatur ist der handschriftlichen Signatur rechtlich gleichgestellt – egal, ob Sie einen Vertrag am Desktop, Notebook oder am Smartphone unterzeichnen.

    Was benötigt man zum Versenden einer E-Mail mit qualifizierter elektronischer Signatur?

    Eine QES ist nicht zu verwechseln mit einer klassischen, persönlichen E-Mail-Signatur, die Sie ganz einfach mit Microsoft Outlook oder jedem anderen E-Mail-Programm erstellen können. Eine solche klassische E-Mail-Signatur ist weder fälschungssicher, noch enthält sie einen Zeitstempel oder ist von einem Vertrauensdiensteanbieter authentifiziert.
    Eine normale E-Mail und deren Signatur könnten beispielsweise auf dem Übertragungsweg durch einen Man-in-the-Middle-Angriff heimlich verändert werden. So könnte in einer unverschlüsselten E-Mail beispielsweise Ihre Bankverbindung unbemerkt durch eine andere Kontonummer ersetzt worden sein.
    Folglich ist eine E-Mail ohne weitere Schutzmechanismen kein sicheres Medium. Zwar könnten Sie Ihre digitale Unterschriftsdatei an eine E-Mail anhängen; doch damit allein werden diese E-Mail und deren Inhalt noch nicht rechtssicher authentifiziert.
    Erst wenn Sie die gesamte E-Mail zusammen mit Ihrem persönlichen Zertifikat verschlüsseln und der:die Empfänger:in Ihrer E-Mail durch eine Rückfrage bei der Zertifizierungsstelle überprüfen kann, ob Ihre E-Mail wirklich echt ist und von Ihnen stammt, wird die Kommunikation sicher.
    Eine QES braucht also immer eine externe Zertifizierungsstelle und für den Datentransport eine sichere Verschlüsselung. Erst so können beispielsweise Dokumente rechtssicher mit einer QES unterzeichnet und versendet werden. Meist bauen die Anbieter von QES daher direkt eine eigene Kommunikationsverbindung auf, beispielsweise über eine verschlüselte Website beim Online-Banking.
    Neben den bekannten Frameworks, die Online-Banken und viele weitere Dienstleister für ihren Kundenverkehr verwenden, gibt es weitere Frameworks, darunter:
    • das Docusign-Addon für Microsoft Office
    • Acrobat Sign zur Einbindung externer QES in Adobe-Dokumente
    • Skribble für Microsoft Office
    Je nach Anbieter weisen Sie sich dabei über Postident oder ein anderes sicheres Verfahren als Person aus und binden dann Ihr vom Anbieter erhaltenes, persönliches digitales Zertifikat in Ihre Word- oder Adobe-Dokumente ein.
    Menschen vor einer Wand

    Microsoft Teams Telefonie

    Nutzen Sie Microsoft Teams auch als Telefonanlage. Mit Teams telefonieren Sie von außerhalb Ihres Unternehmens mit der selben Nummer ins öffentliche Fest- und Mobilfunknetz.

    • Ihre Telefonnummer bleibt
    • Mobiles Arbeiten ortsunabhängig und mit jedem Gerät
    • Flexibel skalierbar
    Jetzt hier informieren

    Das Wichtigste zur qualifizierten elektronischen Signatur in Kürze

    • Mit einer qualifizierten elektronischen Signatur (QES) können Sie Dokumente rechtssicher elektronisch unterzeichnen.
    • Eine zertifizierte QES wird in allen 27 EU-Staaten und der Schweiz anerkannt und kann auch im Behördenverkehr als Unterschriftenersatz verwendet werden.
    • Es gibt unterschiedliche Verfahren und Anbieter, über die Sie eine eigene QES erhalten können.
    • In Deutschland werden die Anbieter („Vertrauensdiensteanbieter“) von der Bundesnetzagentur beaufsichtigt und zugelassen.
    Portrait von Dr. Lorenz SteinkeLorenz Steinke
    21.05.2025
      # Tags:SicherheitMessengerTippsBusiness Basics
      Das könnte Sie auch interessieren:
      Security
      Auf einer Computertastatur liegt ein Handy, dessen Display eine Warnung anzeigt, dass sich jemand soeben unbefugten Zugriff zu gespeicherten Daten verschafft hat.

      Trojaner vom Handy entfernen – Anleitung & Prävention

      Moderne Smartphones sind zwar vergleichsweise sicher, was Gefahren aus dem Internet angeht, aber nicht vollständig immun gegen Malware. Diese wird zum Beispiel über E-Mail-Anhänge oder Downloads eingeschleust. Besonders tückisch: Trojaner, die sich als legitime Anwendungen tarnen. Einmal installiert, können sie vertrauliche Daten ausspähen oder schädliche Aktionen durchführen. Wie Sie Trojaner auf Ihrem Mobiltelefon erkennen und entfernen, erfahren Sie hier. Es wird immer schwieriger, Trojaner auf Anhieb zu erkennen. Oft wirken sie auf den ersten Blick wie seriöse Apps, die einen echten Mehrwert bieten. Auch Virenscanner entdecken nicht alle Angriffe auf Handys sofort – gerade, wenn es sich um neue Malware handelt. Android-Geräte sind stärker gefährdet als iPhones: Kriminelle haben es zunehmend auf Android-Smartphones abgesehen. Sie versuchen zum Beispiel mithilfe von Banking-Trojanern, Finanzdaten vom Handy zu stehlen. So oder so gilt: Je schneller Sie einen Trojaner auf dem Smartphone entdecken und entfernen, desto geringer ist das Risiko für Ihre Daten. Doch was, wenn sich die Malware bereits eingenistet hat? Unser Ratgeber klärt auf.

      Weiterlesen

      Digitalisierungsberatung

      Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.

      Termin vereinbaren