E-Signatures for Regulated Firms: QES, AES und SES & #x2014; Wenn jeder gültig ist: Qualifizierte, erweiterte und einfache elektronische Signaturen erklärt. Welche Ebene Ihre regulierten Unternehmen Bedürfnisse für Verträge, Kunden Onboarding und Compliance..
HubSecure ist relevant, wenn Teams sichere Client-Aufzeichnungen, Dokumentensammlung, Workflow-Besitz, rollenbasierter Zugriff und audit-ready-Anweisungen in einem geregelten Workspace benötigen.
Verwandter HubSecure-Kaufpfad
AML/KYC- und Onboarding-Leitfaden Kunden-Onboarding-Software AML/KYC-Modul Sumsub-Vergleich AML/KYC-Compliance-Software-Leitfaden Leitfaden Bibliothek Buchen Sie eine Workflow-Demo
Zugehörige Ressourcen zur sicheren Dokumentensammlung
Fahren Sie fort mit sicherer Dokumentensammlung, Checkliste für die Dokumentensammlung, sicherem Kundenportal, Secure Vault-Modul, Sicherheit und Trustcenter.
Verwandter Anwendungsfall
Dieses Handbuch gehört zum Cluster „Secure Document Collection Guides“. Fahren Sie mit dem Produkthub für sichere Dokumentensammlung fort.
Warum E-Signature Levels für regulierte Unternehmen
Elektronische Signaturen gehören mittlerweile zur Geschäftsroutine. Die meisten regulierten Unternehmen — Anwaltskanzleien, Finanzberater, Vermögensverwalter, Versicherer — Verwenden Sie eine Form der digitalen Signatur für Kunden-Onboarding, Auftragsschreiben und Vereinbarungen. Aber „digitales Signieren“ ist keine Einzelsache. Gemäß der EU-Verordnung 910/2014 (eIDAS) existieren elektronische Signaturen auf einer Hierarchie von drei Vertrauensebenen mit jeweils unterschiedlicher Rechtswirkung und Beweiskraft.
Die Verwendung der falschen Ebene für einen bestimmten Anwendungsfall birgt ein echtes rechtliches Risiko. Im Jahr 2024–2025 drehten sich mehrere Vertragsstreitigkeiten vor britischen und kontinentaleuropäischen Gerichten um die Frage, ob eine elektronische Signatur den durch geltendes Recht oder Branchenvorschriften geforderten Schwellenwert erreicht. In zwei Fällen, in denen es um Auftragsschreiben zur Finanzberatung ging, stellten Gerichte fest, dass Click-to-Sign-E-Mail-Signaturen — Einfache elektronische Signaturen — reichten für Verträge, die den schriftlichen Vereinbarungsanforderungen von MiFID II unterliegen, nicht aus.
Für regulierte Unternehmen lautet die Frage nicht: „Kann ich elektronische Signaturen verwenden?“ — Die Antwort lautet fast immer ja. Die Frage lautet: „Welchen Grad der Signatur erfordert dieses spezifische Dokument in diesem spezifischen rechtlichen Kontext?“
Die drei Ebenen der elektronischen Signatur unter eIDAS
Einfache elektronische Signatur
Die weiteste Definition. Alle Daten in elektronischer Form, die einem Dokument zum Zwecke der Unterzeichnung beigefügt oder logisch damit verknüpft werden. Dazu gehören ein eingegebener Name in einer E-Mail, eine gescannte Nasssignatur, ein Kontrollkästchen „Ich stimme zu“ oder ein einfacher Click-to-Sign-Workflow. Es ist keine Identitätsprüfung oder kryptografische Bindung erforderlich.
Erweiterte elektronische Signatur
Muss eindeutig mit dem Unterzeichner verknüpft sein; muss in der Lage sein, den Unterzeichner zu identifizieren; müssen unter Verwendung von Daten erstellt werden, die unter der alleinigen Kontrolle des Unterzeichners stehen; und muss alle späteren Änderungen an den signierten Daten erkennen. Typischerweise implementiert durch eine PKI-basierte digitale Signatur mit Identitätsprüfung (E-Mail-OTP, SMS-OTP oder Ausweisdokumentprüfung). Erfordert kein qualifiziertes Zertifikat oder QSCD.
Qualifizierte elektronische Signatur
Das höchste Niveau. Es muss sich um eine fortgeschrittene elektronische Signatur handeln, die mit einem qualifizierten Gerät zur Erstellung elektronischer Signaturen (QSCD) erstellt wurde und auf einem qualifizierten Zertifikat basiert, das von einem Vertrauensdienstanbieter auf der EU-Vertrauensliste ausgestellt wurde. QES hat in allen EU-Mitgliedstaaten die gleiche Rechtswirkung wie eine handschriftliche Unterschrift. Dies ist die einzige gesetzlich vorgeschriebene Stufe der elektronischen Signatur für bestimmte Dokumentenkategorien.
eIDAS 2.0 (Verordnung 2024/1183) trat im Mai 2024 in Kraft und erweitert das Rahmenwerk um das EU Digital Identity Wallet (EUDIW). Die Mitgliedstaaten müssen bis 2026 allen Bürgern QES auf EUDIW-Basis anbieten. Für regulierte Unternehmen wird dies letztendlich dazu führen, dass die Ausgabe von QES weitaus zugänglicher und kostengünstiger wird — Das zugrunde liegende dreistufige Signatur-Framework bleibt jedoch unverändert.
Rechtlicher Effekt: Was jeder Tier Ihnen gibt
| Eigentum | SES | AES | QES |
|---|---|---|---|
| Als Beweismittel rechtlich zulässig? | ✓ Generell ja | ✓ Ja | ✓ Ja |
| Entspricht einer handschriftlichen Unterschrift? | ✗ Nicht garantiert | ~ Variiert je nach Gerichtsbarkeit | ✓ Ja, in der gesamten EU |
| Unbestreitbarkeit? | ✗ Schwach | ~ Mäßig | ✓ Stark |
| Manipulationsbeweis? | ✗ Keiner | ✓ Ja | ✓ Ja |
| Identitätsnachweis erforderlich? | ✗ NEIN | ~ Moderat (OTP/ID-Prüfung) | ✓ Qualifiziertes Zertifikat |
| Für bestimmte Dokumente gesetzlich vorgeschrieben? | ✗ Niemals | ~ Manchmal | ✓ Ja (bestimmte Kontexte) |
| Grenzüberschreitende rechtliche Anerkennung in der EU? | ✗ Nicht garantiert | ~ Teilweise | ✓ Obligatorische gegenseitige Anerkennung |
Welche Ebene benötigt Ihr Dokument?
Die häufigste Frage: „Welchen Grad an E-Signatur benötige ich dafür eigentlich?“ Die Antwort hängt von drei Faktoren ab: dem geltenden nationalen Recht für den Dokumententyp, branchenspezifischen Vorschriften und der Risikobereitschaft Ihres Unternehmens bei der Beweisführung.
Dokumente, die gesetzlich QES erfordern
Einige Dokumenttypen erfordern eine qualifizierte elektronische Signatur (oder Nasssignatur), da das nationale Recht die Schriftform mit rechtlicher Äquivalenz vorschreibt. Beispiele in den EU-Mitgliedstaaten:
- Immobilienverkaufsverträge und Eigentumsübertragungen (meist Mitgliedstaaten)
- Testamentliche Dispositionen und Notarinstrumente
- Verbraucherkreditvereinbarungen über bestimmte Schwellenwerte in bestimmten Zuständigkeiten
- Kündigungsvereinbarungen in einigen Mitgliedstaaten
- Bestimmte Firmengründung und Aktientransferdokumentation
- Vorbringen des Gerichtshofes und Rechtsanwälte, die verifizierte Unterschriften verlangen
Dokumente, in denen AES typischerweise für regulierte Unternehmen ausreicht
- Kundenbindungsbriefe und Geschäftsbedingungen (Rechtsunternehmen, Finanzberater)
- Dienstleistungsvereinbarungen und SaaS-Verträge über Standard-Handelsschwellen
- MiFID II Eignung und Angemessenheit
- Offenlegungsvereinbarungen
- Datenverarbeitungsvereinbarungen nach DSGVO Art. 28
- DS-GVO-Einwilligungsformulare für die Hochrisikoverarbeitung, wenn eine echte Zustimmung nachgewiesen werden muss
- Versicherungsschutzdokumente
- Kreditdokumentation (Nicht-mortgage)
- KYC/CDD-Deklarationen in digitalen Onboarding-Workflows
Dokumente, in denen SES allgemein akzeptabel ist
- Interne Genehmigungen, Workflow-Zeichen und Protokolle
- Bestellungen mit geringem Wert und Lieferantenbestätigungen
- Bestätigungen und Bestätigungen von Mitarbeitern
- Marketing-Einwilligung (obwohl dokumentierte Einwilligungsmechanismen noch DSGVO-konform sein müssen)
- Standard-Bedingungen Akzeptanz für B2C-Dienste ohne verbesserte regulatorische Überlagerung
Die Forderung nach schriftlicher Vereinbarung von MiFID II (Artikel 25 Absatz 5 und Durchführungsmaßnahmen) ist eine wiederkehrende Verwirrungsquelle. MiFID gibt keine Signature-Ebene — an; es erfordert eine "durable medium" schriftliche Vereinbarung vor der Bereitstellung von Investitionsdienstleistungen. Die meisten Regulatoren akzeptieren AES als erfüllen diese Anforderung. SES (ein eingegebener Name in einer E-Mail) wird zunehmend herausgefordert & #x2014; insbesondere für hochwertige Ermessensmandate, bei denen Kundenstreitigkeiten vorhersehbar sind.
E-Signatures in bestimmten regulierten Kontexten
Recht (Rechtsanwälte und Notare)
Anwaltskanzleien nutzen e-Zeichen im gesamten Spektrum. Für Routinekorrespondenz und interne Genehmigungen ist SES in Ordnung. Für Verlobungsbriefe und Kundendienstvereinbarungen bietet AES eine angemessene Nichteinhaltung für Streitzwecke. Für die Vermittlung, Unternehmenstransaktionen und Dokumente, die im gerichtlichen oder ordnungsrechtlichen Verfahren verwendet werden, bestimmt das geltende materielle Recht der regierenden Gerichtsbarkeit, ob QES erforderlich ist. Notarialakte in den meisten EU-Rechtsvorschriften müssen vor einem Notar persönlich oder mit QES & #x2014 ausgeführt werden; dies kann nicht abgebaut werden.
Finanzdienstleistungen (MiFID, Versicherung, Bankwesen)
Finanzdienstleistungen erzeugen hohe Mengen an e-signierten Dokumentationen. Kundenorientierte Unternehmen sollten AES als Basis für alles über interne Workflow-Zulassungen verwenden. Das Hauptrisiko ist die Streitbeilegung: Wenn ein Kunde eine Eignungsbeurteilung oder eine Vertragslaufzeit bestreitet, stellt ein AES mit einem klaren Prüfungspfad (Identitätsprüfungsmethode, Zeitstempel, IP, Dokumentenhah) einen robusten offensichtlichen Rekord bereit. SES bietet nahezu keinen Schutz in einem Streitfall, in dem der Kunde behauptet, dass er einem Begriff nicht zustimmte oder eine Risikoinformation nicht verstanden habe.
Gesundheit
Die Einwilligung der Patienten zur medizinischen Behandlung stellt komplexe Fragen. Informierte Einwilligung ist eine klinische und rechtliche Voraussetzung, nicht rein vertraglich. In den meisten EU-Behörden ist die dokumentierte mündliche Zustimmung des Klinikers rechtlich ausreichend für die Routineversorgung. Für die Forschungsbeteiligung, klinische Studien und die Verarbeitung spezieller Gesundheitsdaten gemäß DSGVO ist Art. 9 schriftliche Zustimmung mit einem klaren, überprüfbaren Prüfpfad erforderlich. AES ist allgemein angemessen; QES kann für bestimmte Zustimmungstypen in bestimmten nationalen Systemen erforderlich sein.
Personal und Beschäftigung
Die meisten Beschäftigungsdokumentation & #x2014; bieten Buchstaben, politische Bestätigungen, Nicht-Vergabe-Vereinbarungen & #x2014; können AES verwenden. Arbeitsverträge in der EU erfordern typischerweise schriftliche Form (Pen-and-Papier oder elektronisches Äquivalent). QES ist am sichersten für Arbeitsabschlußdokumente in Gerichtsbarkeiten mit strengen schriftlichen Formanforderungen. Beachten Sie, dass die Einwilligung der Mitarbeiter unter DSGVO konkrete Einschränkungen aufweist (siehe DSGVO für HR-Guide in unserem Blog).
Wie ein konformes E-Signatur-Prüfprotokoll aussieht
Der Prüfpfad ist oft wichtiger als der Signaturmechanismus selbst. Im Falle eines Streits, Ihre Fähigkeit zu beweisen, was unterzeichnet wurde, von wem, wann, und welche Überprüfung getan wurde, ist, was Gerichte und Regulierungsbehörden beurteilen. Ein konformer AES-Prüfpfad sollte Folgendes umfassen:
- Vollständiges Dokument vor und nach der Unterzeichnung (beweist keine Manipulation)
- Timestamp von einem vertrauenswürdigen Zeitstempeldienst (nicht nur die Serveruhr der Anmeldeplattform)
- Identity-Prüfmethode verwendet (E-Mail OTP, SMS OTP, Identitätsdokument-Scan, eID)
- IP-Adresse und Gerät Fingerabdruck des Unterzeichners
- Auditprotokoll aller Ereignisse: Dokument gesendet, geöffnet, signiert, heruntergeladen
- Abschlusszertifikat des Plattformanbieters
- Langfristige Archivierung in einem Format, das nach Ablauf des Zertifikats (PAdES oder XAdES mit Archivzeitstempeln) nachprüfbar bleibt
Auswahl eines E-Signatur-Anbieters: Schlüsselfragen
- Ist der Anbieter auf der EU Trusted List (EUTL)? Nur Anbieter des EUTL können QES ausstellen. Überprüfen Sie auf dem offiziellen EUTL-Browser der Europäischen Kommission.
- Welche Signaturwerte unterstützt die Plattform tatsächlich? Viele Anbieter bewerben "legally binden" e-signatures, die technisch SES oder am besten Low-assurance AES sind. Fragen Sie nach der eIDAS Compliance-Dokumentation.
- Welche Identitätsprüfungsmethoden werden angeboten? E-Mail OTP allein bietet eine geringe Sicherheit. SMS OTP ist moderat. Regierungsbezogene ID-Scan mit Liveness-Check ist eine hohe Sicherheit.
- Welches Archivformat wird verwendet? PAdES (PDF Erweiterte elektronische Signatur) mit LTV (Long-Term Validation) ist der Standard für langfristige Zulässigkeit. XAdES für XML Dokumente.
- Wo werden signierte Dokumentdaten gespeichert? Gemäß DSGVO unterliegt der Speicherort von unterschriebenen Dokumenten, die personenbezogene Daten enthalten, denselben Übertragungsverpflichtungen wie alle anderen personenbezogenen Daten. Stellen Sie sicher, dass Ihr Anbieter eine konforme Speicherung oder entsprechende SCCs anbietet.
Häufig gestellte Fragen
Erhalten Sie Plattform- und Compliance-Einsichten in Ihrem Posteingang
Begleiten Sie 300+ Compliance Officers und juristische Teams, die wöchentliche Updates zu DSGVO, AML und Regulierungstechnik & #x2014 erhalten; kein Rauschen, jederzeit abbestellen.
Siehe HubSecure in Aktion
Eingebaute e-signature Workflows, DS-GVO-konforme Dokumenten-Standards und Client onboarding Automation — alles in einer Plattform für regulierte Unternehmen.
Buchen Sie eine 20-minütige Demo & #x2192;