Elektronische Unterschrift: Schlüssel zur digitalen Vertragswelt

Tobias Hager

vor 3 Stunden

Detailansicht eines Computers mit zahlreichen Kabeln in einem dunklen Raum, passend für technische Artikel und IT-Themen.

Elektronische Unterschrift: Schlüssel zur digitalen Vertragswelt

Du druckst noch PDFs aus, kritzelst eine Unterschrift drauf, scannst das Ganze wieder ein und verschickst es per Mail? Willkommen im Jahr 2003. In einer Welt, in der Verträge in Sekunden online geschlossen und rechtskräftig digital signiert werden können, wirkt das wie das Faxgerät im Zeitalter der Glasfaser. Die elektronische Unterschrift ist nicht nur ein nettes Feature, sie ist der Schlüssel zur digitalen Vertragswelt – rechtssicher, skalierbar und integraler Bestandteil jeder modernen Business-Infrastruktur.

Was eine elektronische Unterschrift wirklich ist – und was sie nicht ist
Die drei Arten der elektronischen Signatur: einfach, fortgeschritten, qualifiziert
Rechtliche Grundlagen nach eIDAS-Verordnung und BGB
Technische Abläufe und kryptografische Sicherheit im Signaturprozess
Unterschiede zwischen elektronischer Signatur, digitaler Signatur und elektronischem Siegel
Tools und Anbieter im Vergleich: DocuSign, Adobe Sign, FP Sign, Signicat & Co.
Warum die elektronische Unterschrift ein Muss für Remote Work, SaaS und Legal Tech ist
Datenschutz, DSGVO und Compliance: Was du beachten musst
Best Practices für die Integration in bestehende Workflows und APIs
Wie du die elektronische Signatur skalierst – und wo die Grenzen liegen

Was ist eine elektronische Unterschrift? Definition, Mythen und technischer Unterbau

Die elektronische Unterschrift – oder auch elektronische Signatur – ist nicht einfach nur ein eingescanntes Bild deiner Handschrift. Sie ist ein rechtlich definierter, technischer Prozess, der Identität, Integrität und Authentizität eines Dokuments sicherstellt. Dabei geht es nicht darum, wie schön die Unterschrift aussieht, sondern ob der Signaturprozess nachvollziehbar, manipulationssicher und rechtlich bindend ist.

Gemäß der eIDAS-Verordnung (EU Nr. 910/2014) ist eine elektronische Signatur „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden sind und die vom Unterzeichner zum Unterzeichnen verwendet werden“. Klingt trocken? Ist aber das Fundament für digitale Verträge, die vor Gericht bestehen.

Wichtig zu verstehen: Nicht jede elektronische Signatur ist automatisch rechtsgültig. Es gibt drei Stufen – einfache, fortgeschrittene und qualifizierte elektronische Signatur (EES, FES, QES) – mit jeweils steigender rechtlicher Beweiskraft. Und nur die QES hat das gleiche rechtliche Gewicht wie eine handschriftliche Unterschrift.

Technisch basiert die Signatur auf einem Public-Key-Infrastructure-Verfahren (PKI), bei dem asymmetrische Kryptografie zum Einsatz kommt. Der Unterzeichner verwendet einen privaten Schlüssel, dessen Authentizität durch ein Zertifikat beglaubigt wird. Die so erzeugte Signatur ist eindeutig mit dem Dokument und dem Unterzeichner verknüpft – Änderungen am Dokument machen die Signatur ungültig.

Wer also denkt, eine Unterschrift sei nur eine Grafik auf einem PDF, hat das ganze Thema nicht verstanden. Es geht um Vertrauen, Beweiskraft und Integrität – und das lässt sich nur mit Technik absichern.

Die drei Signaturstufen: EES, FES und QES erklärt

Elektronische Unterschrift ist nicht gleich elektronische Unterschrift. Je nach Anwendung, Risiko und rechtlicher Relevanz kommen unterschiedliche Signaturstufen zum Einsatz. Die eIDAS-Verordnung definiert diese wie folgt:

Einfache elektronische Signatur (EES): Die niedrigste Stufe, z. B. das Anklicken eines „Ich stimme zu“-Buttons oder das Hochladen eines eingescannten Dokuments mit Signaturbild. Niedrige Sicherheit, kaum Beweiskraft.
Fortgeschrittene elektronische Signatur (FES): Setzt eine eindeutige Identifizierung des Unterzeichners voraus und stellt sicher, dass das Dokument nicht verändert wurde. Wird meist per Zwei-Faktor-Authentifizierung oder SMS-TAN umgesetzt.
Qualifizierte elektronische Signatur (QES): Höchste Stufe, benötigt eine qualifizierte Signaturerstellungseinheit (z. B. Smartcard, HSM) und eine Identitätsprüfung durch einen Trust Service Provider. Gilt rechtlich wie eine handschriftliche Unterschrift.

Für viele B2B- und B2C-Anwendungen reicht eine FES völlig aus – etwa bei Vertragsabschlüssen, Angeboten oder AGB-Zustimmungen. Sobald es aber um notarielle Dokumente, Verbraucherdarlehen oder Arbeitsverträge geht, ist häufig eine QES notwendig.

Die Wahl der richtigen Stufe ist also kein Feelgood-Entscheid, sondern ein Balanceakt zwischen Usability, Risiko und rechtlicher Absicherung. Wer auf Nummer sicher gehen will, setzt auf QES. Wer schnelle Prozesse braucht, kombiniert FES mit Audit Trails und Identitätsnachweisen.

Und hier trennt sich die Spreu vom Weizen: Viele Anbieter werben mit „rechtsgültiger elektronischer Unterschrift“, liefern aber nur EES – und verkaufen damit ein Feature, das im Ernstfall vor Gericht keinen Cent wert ist.

Rechtslage: eIDAS, BGB und was wirklich zählt

Die eIDAS-Verordnung ist die zentrale Rechtsgrundlage für elektronische Signaturen in der EU. Sie schafft einheitliche Standards für Vertrauensdienste und legt fest, wann welche Form der Signatur rechtsverbindlich ist. Ergänzt wird sie durch das deutsche Bürgerliche Gesetzbuch (BGB), das in § 126a die elektronische Form regelt.

Grundsatz: Verträge sind grundsätzlich formfrei – außer das Gesetz schreibt eine bestimmte Form vor. In diesen Fällen reicht eine EES nicht aus. Dann braucht es eine QES oder sogar notarielle Beurkundung. Beispiele sind: Kündigungen, Verbraucherdarlehen, Bürgschaften oder Testamente. Hier muss man ganz genau hinschauen, welche Signatur zulässig ist.

Wichtig auch: Eine elektronische Signatur ist nicht automatisch beweiskräftig. Vor Gericht zählt, ob die Signatur dem Unterzeichner zweifelsfrei zugeordnet werden kann. Deshalb sind Audit-Protokolle, Zeitstempel und Identitätsnachweise so wichtig – sie liefern die technische Beweisführung.

Trust Service Provider (TSP) wie D-Trust, Swisscom Trust Services oder CertEurope sind gemäß eIDAS qualifiziert, QES bereitzustellen. Sie übernehmen Identitätsprüfung, Schlüsselvergabe und Zertifikatsverwaltung – und stehen damit rechtlich gerade für die Integrität des Signaturprozesses.

Kurz: Wer rechtssicher digital unterschreiben will, muss sich an eIDAS und BGB orientieren – und seine Anbieterwahl danach ausrichten. Alles andere ist juristische Kosmetik.

Technik hinter der Signatur: Kryptografie, Hashing und Zertifikate

Hinter der elektronischen Unterschrift steckt keine schwarze Magie, sondern knallharte Kryptografie. Die Signaturtechnologie basiert auf asymmetrischen Verschlüsselungsverfahren. Dabei wird ein sogenannter Hashwert des Dokuments erzeugt – eine Art kryptografischer Fingerabdruck – und mit dem privaten Schlüssel des Unterzeichners verschlüsselt.

Dieser verschlüsselte Hashwert ist die eigentliche Signatur. Der Empfänger kann mit dem öffentlichen Schlüssel des Unterzeichners prüfen, ob der Hashwert zum Dokument passt – und ob es seit der Signatur verändert wurde. Ist das der Fall, ist die Signatur ungültig. Simple, aber effektiv.

Wichtig ist dabei das Zertifikat, das bestätigt, dass der öffentliche Schlüssel wirklich zu einer bestimmten Person gehört. Dieses Zertifikat wird von einer Zertifizierungsstelle (CA) ausgestellt und enthält unter anderem Name, E-Mail-Adresse, Gültigkeitsdauer und die digitale Signatur der CA selbst.

Für eine qualifizierte Signatur ist zusätzlich eine qualifizierte Signaturerstellungseinheit (QSCD) erforderlich – etwa eine Smartcard oder ein Hardware-Sicherheitsmodul (HSM). Damit wird sichergestellt, dass der private Schlüssel nicht kopiert oder missbraucht werden kann.

Die Technik ist also nicht nur sicher, sondern hochgradig nachvollziehbar. Jeder Schritt ist auditierbar, jede Aktion protokolliert, jede Signatur eindeutig. Wer das verstanden hat, erkennt: Die elektronische Signatur ist nicht weniger sicher als die analoge – sie ist sicherer.

Tools, Anbieter und Integration in moderne Workflows

Der Markt für elektronische Signaturen ist mittlerweile breit aufgestellt – von globalen Playern bis zu spezialisierten EU-Anbietern. Zu den bekanntesten gehören:

DocuSign: US-Marktführer, bietet einfache bis qualifizierte Signaturen, stark in API-Integration, hoher Funktionsumfang.
Adobe Sign: Teil der Adobe Cloud, besonders stark in PDF-Workflows. Unterstützt QES über Partner-TSPs.
FP Sign: Deutscher Anbieter, DSGVO-konform, mit QES über D-Trust möglich.
Signicat: Skandinavischer Anbieter, spezialisiert auf regulatorische Branchen, starke Identitätslösungen integriert.
Yousign: Französischer Anbieter, fokussiert auf KMU, bietet FES und QES mit guter UX.

Technisch gesehen bieten die meisten Anbieter RESTful APIs zur Integration in bestehende Systeme. Dokumente können per API hochgeladen, Empfänger definiert, Signaturprozesse initiiert und Status überwacht werden. Webhooks ermöglichen Echtzeit-Feedback – und sichern so saubere Workflows.

Besonders spannend: Die Kombination mit Identity-Verification-Services wie Video-Ident, Bank-Ident oder eID. So lassen sich auch komplexe KYC-Prozesse vollständig digital abbilden – inklusive Signatur.

Wer skaliert arbeiten will, sollte auf API-first Anbieter setzen. Denn nur so lassen sich Signaturprozesse automatisieren, in CRM/ERP integrieren und compliance-konform dokumentieren.

Und noch ein Punkt: Achte auf die Datenhaltung. Viele US-Anbieter speichern Signaturdaten außerhalb der EU – was bei DSGVO und Datenschutzbeauftragten für Schnappatmung sorgt. Wer sicher sein will, wählt Anbieter mit EU-Hosting, EU-TSPs und vollständiger Auditierbarkeit.

Fazit: Elektronisch signieren heißt nicht nur klicken – es heißt denken

Die elektronische Unterschrift ist kein Bonusfeature für hippe Startups – sie ist der Grundpfeiler einer digitalen Vertragswelt, die skalierbar, sicher und effizient ist. Wer heute noch mit Papierverträgen hantiert, verliert nicht nur Zeit, sondern auch Wettbewerbsfähigkeit. Verträge, NDAs, AVVs, Onboardings, HR-Prozesse – alles kann digital laufen. Und zwar rechtssicher.

Aber: Elektronisch signieren heißt nicht einfach nur „PDF per Klick bestätigen“. Es heißt, Prozesse neu denken, Signaturstufen verstehen, Tools sauber integrieren und rechtliche Rahmenbedingungen einhalten. Wer das ignoriert, riskiert rechtliche Unsicherheit, Datenschutzprobleme und Compliance-Verstöße.

Die gute Nachricht: Die Technik ist reif, die Anbieter sind da, die Regulatorik ist klar. Es liegt an dir, den Schritt zu machen. Denn wer 2025 noch mit Kugelschreiber unterschreibt, hat digital längst verloren.