eIDAS / Elektronische Signatur

Die eIDAS-Verordnung (EU) Nr. 910/2014 regelt seit dem 01.07.2016 EU-weit elektronische Identifizierung und Vertrauensdienste und schafft einen einheitlichen Rechtsrahmen, der die Vorgängerrichtlinie 1999/93/EG ablöste. Im Beschaffungsalltag entscheidet die Signaturstufe darüber, ob ein Vertrag formwirksam zustande kommt — und ob ein per Mail empfangenes PDF überhaupt eine Verbindlichkeit begründet.

Detaillierte Erklärung

eIDAS unterscheidet drei Stufen elektronischer Signatur. Die einfache elektronische Signatur umfasst jede Form digitaler Zustimmung, etwa eine eingescannte Unterschrift oder das Anklicken einer Bestätigung. Die fortgeschrittene elektronische Signatur (FES) ist dem Unterzeichner eindeutig zuordenbar, mit nachträglicher Änderungserkennung und unter ausschließlicher Kontrolle des Unterzeichners. Die qualifizierte elektronische Signatur (QES) basiert auf einem qualifizierten Zertifikat und einer sicheren Signaturerstellungseinheit; nach Artikel 25 Absatz 2 der Verordnung ist sie der eigenhändigen Unterschrift rechtlich gleichgestellt. Für die Beschaffung ist die Abstufung relevant, weil [[zahlungsbedingungen]] und [[liefervertrag]] in vielen Fällen mit einer FES wirksam zustande kommen, während formgebundene Geschäfte wie eine [[buergschaft]] oder ein notariell beglaubigter Vertrag die QES voraussetzen.

In Deutschland führt die Bundesnetzagentur die Liste der Vertrauensdiensteanbieter mit derzeit rund 14 zugelassenen Anbietern; etabliert sind unter anderem Bundesdruckerei, D-Trust, Swisscom Trust Services und DocuSign. Die Folgeverordnung (EU) 2024/1183 — bekannt als eIDAS 2.0 — trat am 20.05.2024 in Kraft und verpflichtet die EU-Mitgliedstaaten, bis Ende 2026 eine European Digital Identity Wallet (EUDIW) bereitzustellen, in der Personen und Unternehmen Identitäts- und Qualifikationsnachweise selektiv teilen können.

Praxisbeispiel (konkretes Einkaufsszenario)

Ein bayerischer Maschinenbauer mit 410 Mitarbeitern schließt einen Rahmenvertrag über drei Jahre und 8,4 Millionen Euro Volumen mit einem österreichischen Edelstahllieferanten ab. Die Rechtsabteilung prüft die Formerfordernisse: Der Rahmenvertrag selbst ist formfrei und wird über eine FES via DocuSign unterzeichnet. Die parallel verlangte Anzahlungsbürgschaft über 420.000 Euro muss dagegen schriftlich oder qualifiziert elektronisch signiert sein — die Bank stellt eine QES über D-Trust aus, die Rechtsabteilung verifiziert das qualifizierte Zertifikat gegen die EU-Trusted-List. Drei Wochen später kommt eine angeblich vom Lieferanten unterzeichnete Vertragsänderung per einfacher PDF-Anlage; die Prüfung zeigt fehlende kryptographische Bindung, der Vorgang wird als Phishing-Versuch erkannt und an die IT eskaliert.

Typische Fehler & Verhandlungskontext

Der erste typische Fehler ist die Verwechslung von einfacher Signatur mit Beweiskraft — eine eingescannte Unterschrift hat zwar Gültigkeit nach eIDAS Artikel 25 Absatz 1, im Streitfall liegt die Beweislast aber vollständig beim Verwender, weil keine kryptographische Integritätssicherung vorliegt. Der zweite Fehler ist die Verwendung eines nicht-qualifizierten Zertifikats für formgebundene Geschäfte: Eine Bürgschaftserklärung mit FES statt QES ist nach BGB §766 in Verbindung mit eIDAS Artikel 25 unwirksam. Der dritte Fehler ist die fehlende Validierung der Trusted List zum Zeitpunkt der Signatur — Zertifikate können widerrufen werden, ein Long-Term-Validation-Format wie PAdES-LTA sollte für archivierungspflichtige Beschaffungsverträge zwingend verwendet werden. Für die Einkaufspraxis lohnt es sich, signaturbezogene Anforderungen direkt in den Vertragsstandards zu verankern und das eingesetzte Tool auf EUDIW-Kompatibilität zu prüfen, da die Umstellung über [[lieferantenfreigabe]] und [[xrechnung]] hinausgehende Auswirkungen auf [[zugferd]]-Workflows und revisionssichere Archivierung hat.

Verwandte Begriffe

eIDAS bildet die rechtliche Klammer für [[xrechnung]] und [[zugferd]], weil qualifizierte elektronische Siegel als Authentizitätsanker für Rechnungsdokumente vorgesehen sind. In der Vertragsabwicklung greift eIDAS in [[liefervertrag]] und [[zahlungsbedingungen]] ein, in der Lieferantenanbindung in [[lieferantenfreigabe]] und die [[bonitaetspruefung]]. Bei formgebundenen Sicherheiten wie [[buergschaft]] ist die QES verpflichtend.