• Qualifizierte elektronische Signatur
• Qualifiziertes elektronisches Siegel
• Qualifizierter Bewahrungsdienst
• Qualifizierter Validierungsdienst
• Verwaltung elektronischer Fernsignaturerstellungseinheiten oder elektronischer Fernsiegelerstellungseinheiten
• Qualifizierte elektronische Attributsbescheinigungen
• Qualifizierter elektronischer Zeitstempel
• Qualifizierter Dienst für die Zustellung von elektronischen Einschreiben
• Qualifizierter elektronischer Archivierungsdienst
• Qualifiziertes elektronisches Journal und
• Websitezertifikate

Ziel der eIDAS-Verordnung ist es, einen umfassenden grenz- und branchenübergreifenden Rahmen für sichere, vertrauenswürdige und einfach zu nutzende elektronische Transaktionen zu schaffen. Qualifizierte Vertrauensdienste sind ein Mittel zu diesem Zweck, da ihre rechtliche Bedeutung auf europäischer Ebene anerkannt ist. Vertrauensdiensteanbieter benötigen eine Qualifizierung durch eine nationale Aufsichtsbehörde, wie z.B. die Bundesnetzagentur in Deutschland, um als qualifizierter Vertrauensdiensteanbieter (europaweit) anerkannt zu sein. Diese Anbieter unterliegen insbesondere den Anforderungen der eIDAS-Verordnung und in Deutschland zudem den Regelungen des Vertrauensdienstegesetzes und der zugehörigen Verordnung.

• elektronische Signaturen
• elektronische Siegel
• elektronischer Zeitstempel
• Website-Authentifizierung

• elektronische Signaturen
• elektronische Siegel
• elektronischen Zeitstempel
• Website-Authentifizierung

• elektronischen Signaturen
• elektronische Siegeln

• elektronischer Signaturen
• elektronischer Siegel

• elektronischer Fernsignaturerstellungseinheiten
• elektronischer Fernsiegelerstellungseinheiten

• elektronische Attributsbescheinigungen
• Archivierung elektronischer Daten und elektronischer Dokumente
• Aufzeichnung elektronischer Daten in einem elektronischen Journal

Die eIDAS-Verordnung definiert einen qualifizierten Vertrauensdiensteanbieter als [...] eine natürliche oder juristische Person, die einen oder mehrere qualifizierte Vertrauensdienste erbringt [...] (siehe Artikel 3 Nr 19 Begriffsbestimmungen eIDAS).

Im Gegensatz zu nicht-qualifizierten Vertrauensdiensteanbietern erhalten qualifizierte Vertrauensdiensteanbieter somit das Recht, einen oder mehrere qualifizierte Vertrauensdienste zu erbringen, nachdem sie einen strengen Bewertungsprozess durchlaufen haben. Im Anschluss erhalten sie durch die Bundesnetzagentur den Status eines qualifizierten Vertrauensdiensteanbieters.

Mit der Qualifizierung wird der qualifizierte Vertrauensdiensteanbieter auf die nationale Vertrauensliste aufgenommen. Dies gewährleistet insbesondere eine sichere Validierung der Vertrauenswürdigkeit der erbrachten Dienste.

Ein Zertifikat, das von einem Vertrauensdiensteanbieter ausgestellt wird, ist eine elektronische Bescheinigung, die die elektronischen Validierungsdaten mit einer natürlichen oder juristischen Person verknüpft und mindestens den Namen oder das Pseudonym dieser Person bestätigt. Auf diese Weise kann mit dem Zertifikat, das in der Regel mit einem Dokument verknüpft ist, die Identität des Unterzeichners überprüft werden.

Elektronische Vertrauensdienste wie z.B. Signaturen auf Basis qualifizierter Zertifikate erlauben eine einfache und zuverlässige Prüfung, da ihre Echtheit automatisch mithilfe der Vertrauenslisten der EU-Mitgliedsstaaten ermittelt werden kann.

Signaturen auf Basis solcher Zertifikate gibt es in zwei Varianten – als qualifizierte und fortgeschrittene Signaturen. Für Prozesse, die der Schriftform bedürfen, werden qualifizierte elektronische Signaturen benötigt. Fortgeschrittene Signaturen auf Basis qualifizierter Zertifikate bieten einen geringeren Beweiswert, profitieren jedoch von der ebenfalls vorhandenen einfachen und zuverlässigen Prüfbarkeit und können Vorteile in der Anwendung haben.

Werden qualifizierte Zertifikate deutscher Anbieter verwendet, stellt zudem das System DA:VE der Bundesnetzagentur die notwendige Auskunft der Anbieter sicher und trägt so zu einer dauerhaften Prüfbarkeit von Signaturen bei. Für die langfristige Sicherheit signierter Dokumente werden ergänzende Maßnahmen empfohlen, z.B. die Nutzung eines qualifizierten Bewahrungsdienstes oder eines nach der TR-ESOR zertifizierten Systems.

Es ist wichtig, zwischen der Gültigkeit eines Zertifikats und seinem qualifizierten Status zu unterscheiden.

Wenn ein Zertifikat von einem Vertrauensdienstanbieter erstellt wird, ist es mit einem bestimmten Zeitrahmen versehen, in dem es als gültig angesehen werden kann. Der Vertrauensdiensteanbieter kann darüber hinaus entscheiden, das Zertifikat innerhalb dieses Zeitrahmens aus verschiedenen Gründen zu widerrufen. Die Überprüfung der Gültigkeit eines Zertifikats kann daher gleichbedeutend mit der Überprüfung sein, ob das Zertifikat abgelaufen ist oder widerrufen wurde.

Der qualifizierte Status eines Zertifikats bedeutet hingegen, dass es von einem qualifizierten Vertrauensdiensteanbieter mit dem Vermerk "qualifiziert" ausgestellt wurde. Da eines der Ziele der eIDAS-Verordnung die grenzüberschreitende Interoperabilität und Anerkennung von qualifizierten Zertifikaten ist, wird ein qualifiziertes Zertifikat, das in einem beliebigen Mitgliedstaat ausgestellt wurde, in jedem Mitgliedstaat der EU als solches anerkannt.

Eines der Ziele des "qualifizierten" Status ist es, grenzüberschreitende Interoperabilität und Anerkennung von elektronischen Produkten und Vertrauensdiensten in allen Mitgliedsstaaten zu erreichen. Als solches wird ein qualifiziertes Zertifikat, das von einem qualifizierten Vertrauensdienst unter einem qualifizierten Vertrauensdiensteanbieter mit Sitz in einem beliebigen Mitgliedstaat bereitgestellt wird, in allen Mitgliedstaaten als qualifiziert angesehen. (siehe Artikel 14 eIDAS)

Vertrauen ist für Transaktionen in der digitalen Welt ein entscheidender Faktor. Mit einer Identitätsprüfung stellt der Vertrauensdiensteanbieter sicher, dass eine natürliche Person hinter den Vorgängen steht. Die Identitätsprüfung beweist ebenfalls, dass die Person diejenige ist, die sie vorgibt zu sein. Gerade bei Vertragsabschlüssen oder dem Austausch sensibler Daten über das Internet verhindert dies, dass unbefugte Person einen Vorgang im Namen einer anderen Person durchführen.

Nach einer positiven Prüfung wird auf einem qualifizierten Zertifikat die geprüfte elektronische Identität festgehalten. Mit diesem Zertifikat können bei Ihrem qualifizierten Vertrauensdiensteanbieter nun qualifiziert elektronische Signaturen oder Siegel erstellen werden.

Die Prüfung der Identität einer natürlichen oder juristischen Person ist zwingend vor der Ausstellung eines qualifizierten Zertifikates durchzuführen. Die Anforderungen und Möglichkeiten für die Vertrauensdiensteanbieter, anhand welcher Methode die Identifizierung durchgeführt werden kann, ist in Artikel 24 der eIDAS-Verordnung festgelegt.

Dem Vertrauensdiensteanbieter stehen zur Überprüfung der Identität von natürlichen oder juristischen Personen verschiedene Methoden zur Verfügung. Alle Identifizierungsmethoden sind gesetzlich durch die eIDAS-Verordnung und in Deutschland durch das Vertrauensdienstegesetz geregelt. Eine Identitätsprüfung kann auf folgende Arten erfolgen:

• mit der europäischen Brieftasche für die Digitale Identität oder einem notifizierten elektronischen Identifizierungsmittel, das die Anforderungen des Artikels 8 in Bezug auf das Sicherheitsniveau hoch erfüllt;
• mit einem Zertifikat einer qualifizierten elektronischen Signatur oder eines qualifizierten elektronischen Siegels, das gemäß Buchstabe a, c oder d ausgestellt wurde;
• mit anderen Identifizierungsmethoden, die die Identifizierung der Person mit einem hohen Maß an Vertrauen gewährleisten und deren Konformität von einer Konformitätsbewertungsstelle bestätigt wird;
• durch die physische Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person nach geeigneten Nachweisen und Verfahren im Einklang mit dem nationalen Recht.

Eine elektronische Signatur sind Daten in elektronischer Form, die an andere Daten in elektronischer Form angehängt oder mit diesen logisch verknüpft sind und die vom Unterzeichner zum Unterschreiben verwendet werden, wenn der Unterzeichner eine natürliche Person ist (siehe Artikel 3 Nr 10 eIDAS-Verordnung).

Wie ihr handschriftliches Gegenstück in der Offline-Welt kann eine elektronische Signatur z.B. dazu verwendet werden, elektronisch anzuzeigen, dass der Unterzeichner das Dokument geschrieben hat, mit dem Inhalt des Dokuments einverstanden ist oder als Zeuge anwesend war.

Falls Sie ein Dokument als juristische Person (z.B. als Unternehmen oder Behörde) siegeln, d.h. unterschreiben wollen, könnte stattdessen ein elektronisches Siegel für Sie interessant sein.

Eine "elektronische Signatur" ist ein Rechtsbegriff, der in der eIDAS-Verordnung wie folgt definiert ist:
"Elektronische Signatur" sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet. (siehe Artikel 3 Nr 10 eIDAS-Verordnung)

Eine digitale Signatur hingegen bezieht sich auf ein mathematisches und kryptographisches Konzept, das weithin verwendet wird, um konkrete und praktische Beispiele für elektronische Signaturen zu liefern. Nach der Definition von ETSI 119 100 handelt es sich um Daten, die an eine Dateneinheit angehängt werden, oder um eine kryptografische Transformation einer Dateneinheit, die es einem Empfänger der Dateneinheit ermöglicht, die Quelle und die Integrität der Dateneinheit zu beweisen und sich vor Fälschungen z.B. durch den Empfänger zu schützen.

Diese beiden Konzepte sollten unterschieden werden, da elektronischen Signaturen nicht unbedingt digitale Signaturen sind.

Die eIDAS-Verordnung definiert drei Niveaus der elektronischen Signatur: "einfache" elektronische Signatur, fortgeschrittene elektronische Signatur und qualifizierte elektronische Signatur. Die Anforderungen jedes Niveaus bauen auf den Anforderungen der darunterliegenden Niveaus auf, so dass eine qualifizierte elektronische Signatur die meisten Anforderungen erfüllt und eine "einfache" elektronische Signatur die wenigsten.

'Einfache' elektronische Signaturen
Eine elektronische Signatur ist definiert als Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet. (Artikel 3 Nr 10 eIDAS-Verordnung). Somit könnte etwas so Einfaches wie das Schreiben Ihres Namens unter eine E-Mail eine elektronische Signatur darstellen.

Fortgeschrittene elektronische Signaturen (AdES)
Eine fortgeschrittene elektronische Signatur ist eine elektronische Signatur, die zusätzlich folgenden Punkte erfüllt:

• eindeutig mit dem Unterzeichner/der unterzeichnenden Person verbunden,
• ermöglicht die Identifizierung der unterzeichnenden Person;
• so erstellt, dass die unterzeichnende Person die alleinige Kontrolle behalten kann;

• mit dem Dokument so verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Die am häufigsten verwendete Technologie, die diese Anforderungen erfüllen kann, beruht auf der Verwendung einer Public-Key-Infrastruktur (PKI), die den Einsatz von Zertifikaten und kryptografischen Schlüsseln beinhaltet.

Qualifizierte elektronische Signaturen (QES)
Eine qualifizierte elektronische Signatur ist eine fortgeschrittene elektronische Signatur, die zusätzlich folgende Punkte erfüllt:

• von einer qualifizierten Signaturerstellungseinheit erstellt und

• auf einem qualifizierten Zertifikat für elektronische Signaturen basiert.

Die qualifizierte elektronische Signatur erfüllt die Schriftform und ist somit der händischen Unterschrift, wie z.B. auf einem Kaufvertrag, gleichgestellt.

Hier ist zwischen der qualifizierten elektronischen Signatur auf Basis einer Signaturkarte und der Fernsignatur zu unterscheiden.

Für die Fernsignatur sind keine weiteren Hilfsmittel notwendig, da sich die qualifizierte Signaturerstellungseinheit beim qualifizierten Vertrauensdiensteanbieter befindet.

Für eine qualifizierte elektronische Signatur auf Basis einer Signaturkarte, ist ein qualifiziertes Zertifikat auf einer sicheren Signaturerstellungseinheit (umgangssprachlich z.B. die sogenannte Signaturkarte), ein Chipkartenleser und eine entsprechende Software (Signaturanwendungskomponente) notwendig. Weitere Informationen erhalten Sie hier vom entsprechenden qualifizierten Vertrauensdiensteanbieter für Signaturen.

Beim Signieren eines Dokuments wird ein Schlüsselpaar benötigt (insbesondere, wenn die Signatur auf der Verwendung einer Public-Key-Infrastruktur beruht) - ein "öffentlicher Schlüssel" und ein "privater Schlüssel". Der öffentliche Schlüssel kann öffentlich zugänglich gemacht werden, während der private Schlüssel sicher aufbewahrt werden muss. Insbesondere wird der private Schlüssel vom Unterzeichner verwendet, um ein Dokument zu signieren. Der öffentliche Schlüssel wird von jeder Person verwendet, die überprüfen möchte, ob es tatsächlich der private Schlüssel des Unterzeichners ist, der zum Signieren des Dokuments verwendet wurde.

Ein Zertifikat für elektronische Signaturen, das von einem Vertrauensdiensteanbieter ausgestellt wird, ist eine elektronische Bescheinigung, die die elektronischen Signaturvalidierungsdaten mit einer natürlichen Person verknüpft und mindestens den Namen oder das Pseudonym dieser Person bestätigt. Auf diese Weise kann mit dem Zertifikat, das in der Regel mit dem signierten Dokument verknüpft ist, die Identität der unterzeichnenden Person überprüft werden. Weiterhin kann geprüft werden, ob das Dokument mit dem entsprechenden privaten Schlüssel signiert wurde.

Qualifizierte Zertifikate für elektronische Signaturen bieten durch die Einhaltung strengerer Anforderungen, die in der eIDAS-Verordnung festgelegt sind, z. B. höhere Garantien hinsichtlich der Identität des Unterzeichners und damit eine höhere Rechtssicherheit bezüglich der erstellten elektronischen Signaturen. Insbesondere werden qualifizierte Zertifikate von qualifizierten Vertrauensdiensteanbietern zur Verfügung gestellt, die als solche geprüft wurden und von der Bundesnetzagentur als Aufsichtsstelle die Qualifizierung erhalten haben Dieser Status ist in der deutschen Vertrauensliste vermerkt

Üblicherweise liefern Anbieter von qualifizierten Zertifikaten für elektronische Signaturen den zugehörigen privaten Schlüssel auf einer qualifizierten Signaturerstellungseinheit aus.

Auf Verlangen des Antragstellers bzw. des zukünftigen Signaturschlüssel-Inhabers können die Vertretungsmacht für eine dritte Person, berufsbezogene und sonstige Angaben zu seiner Person in das qualifizierte Zertifikat aufgenommen werden (Attribute).

Bei Angaben zur Vertretungsmacht ist die Einwilligung dieser dritten Person nachzuweisen, d.h. der Vertretene muss gegenüber dem Vertrauensdiensteanbieter die Vertretungsmacht des Vertreters bestätigen. Soll beispielsweise einigen Mitarbeitern im Unternehmensbereich eine Vertretungsmacht für das Unternehmen eingeräumt werden, obliegt es dem jeweiligen Unternehmen, auf welche Mitarbeiter ein qualifiziertes Zertifikat mit der entsprechenden Vertretungsmacht für das Unternehmen ausgestellt wird. Die Einwilligung in die Vertretungsmacht ist dann dem Vertrauensdiensteanbieter nachzuweisen.

In ein qualifiziertes Zertifikat können auch berufsbezogene Angaben zum Signaturschlüssel-Inhaber aufgenommen werden (z.B. Ärztin, Rechtsanwalt). Diese Angaben müssen gegenüber dem Vertrauensdiensteanbieter durch die für die berufsbezogenen Angaben zum Signaturschlüssel-Inhaber zuständigen Stellen (register- oder berufsaufsichtsführenden Stellen) bestätigt werden. Gleiches gilt für die sonstigen Angaben zur Person. Auch für diese ist die Vorlage einer Bestätigung beim Vertrauensdiensteanbieter erforderlich.

Um als natürliche Person Dokumente zu signieren (für juristische Person ist das elektronische Siegel interessant), wird zunächst ein Zertifikat für elektronische Signaturen benötigt. Und mit diesem Zertifikat können dann elektronische Signaturen erstellt werden. Im Rahmen der eIDAS-Verordnung können diese Zertifikate bei bestimmten Anbietern, den sogenannten Vertrauensdiensteanbietern erworben werden.

Beziehen Sie ein digitales Zertifikat von einem Vertrauensdiensteanbieter

Im Falle einer "fortgeschrittenen elektronischen Signatur" kann das Zertifikat qualifiziert oder nicht qualifiziert sein. Im Falle einer "qualifizierten elektronischen Signatur" muss das Zertifikat qualifiziert sein und der zum Zertifikat gehörende private Schlüssel muss auf einer "qualifizierten elektronischen Signaturerstellungseinheit" gespeichert sein.

Generell gilt: Wenn ein bestimmtes Niveau der elektronischen Signatur (z.B. fortgeschrittene Signatur) gefordert ist, wird wahrscheinlich ein höheres Niveau akzeptiert (z.B. fortgeschrittene Signatur mit qualifiziertem Zertifikat, qualifizierte elektronische Signatur).

Wie in der eIDAS-Verordnung festgelegt, hat eine qualifizierte elektronische Signatur ausdrücklich die gleiche Rechtswirkung wie eine handschriftliche Unterschrift (Artikel 25 eIDAS-Verordnung)

Anbieter von qualifizierten Zertifikaten für elektronische Signaturen sind als gesetzliche Verpflichtung der eIDAS-Verordnung zwingend in der entsprechenden nationalen Vertrauensliste aufgeführt.

Wählen Sie Ihren Vertrauensdiensteanbieter aus
Auf der Übersichtsseite der qualifizierten elektronischen Signatur stehen alle qualifizierten Vertrauensdiensteanbieter, die eine qualifizierte elektronische Signatur anbieten. Dort finden Sie auch die Kontaktmöglichkeiten, um weitere Informationen zu erhalten.

Anbieter von fortgeschrittenen elektronischen Signaturen sind in dieser Übesicht nicht genannt, da diese nur der so genannten Ex-Post-Aufsicht der Bundesnetzagentur unterliegen. Einige der qualifizierten Vertrauensdiensteanbieter bieten jedoch neben den qualifizierten auch die fortgeschrittene elektronische Signatur an.

Unterschreiben Sie Ihr Dokument
Sobald Sie ein Zertifikat für die elektronische Signaur haben, können Sie Dokumente signieren. Vertrauensdiensteanbieter bieten möglicherweise einen eigenen Schritt-für-Schritt-Prozess für das digitale Signieren an.

Die Europäische Kommission bietet auch mit dem Digital Signature Service ein Werkzeug an, das unter anderem die Signatur von Dokumenten ermöglicht. Diese Demo basiert auf der Open-Source-Bibliothek Digital Signature Software (DSS). DSS unterstützt die Erstellung und Überprüfung interoperabler und sicherer elektronischer Signaturen im Einklang mit der eIDAS-Verordnung.

Nein. Die Signatur ist völlig losgelöst von der Verschlüsselung von Daten, also z.B. einer Nachricht oder eines Dokuments, zu sehen.

Während die Verschlüsselung dem Schutz von Daten gegen Kenntnisnahme unberechtigter Personen dient (Umwandlung der Daten in eine für diese unleserliche Zeichenfolge), liegen diese Daten, wenn sie ausschließlich signiert wurden, immer noch im Klartext und somit auch für einen Dritten lesbar vor. Bei Daten bzw. Dokumenten, die qualifiziert elektronisch signiert wurden, ist mittels einer Prüfsoftware erkennbar, ob die signierten Daten unverändert vorliegen. Man kann also im Umkehrschluss anhand des Prüfergebnisses erkennen, ob der Inhalt eines Dokuments nach dessen Signatur nachträglich verändert wurde.

Sollen jedoch die signierten Daten auch vor Kenntnisnahme des Inhalts durch unbefugte Personen geschützt werden, müssen diese zusätzlich verschlüsselt werden.

Sehr vereinfacht dargestellt, kann man also die Verschlüsselung mit einem verschlossenen Briefumschlag und die qualifizierte elektronische Signatur mit der Unterschrift auf dem Briefbogen, der in diesem Umschlag enthalten ist, vergleichen.

Die Verschlüsselung ist im Gegensatz zur qualifizierten elektronischen Signatur nicht in den gesetzlichen Vorgaben zu elektronischen Vertrauensdiensten geregelt und somit auch nicht vom Zuständigkeitsbereich der Bundesnetzagentur erfasst.

Dem Signaturschlüssel-Inhaber kommen gegen einen Missbrauch des elektronischen Äquivalents seiner eigenhändigen Unterschrift im elektronischen Rechtsverkehr zwei Sicherungsmittel zugute. Diese sind einerseits der Besitz der Signaturkarte, auf der das ihm zugeordnete qualifizierte Zertifikat und der geheime, nicht auslesbare Signaturschlüssel aufgebracht sind, und andererseits das Wissen der Signatur-PIN zur Verwendung dieses Schlüssels.

Gibt der Signaturschlüssel-Inhaber die Signaturkarte einschließlich der PIN an eine andere Person weiter, gibt er zugleich die Mittel zur Erzeugung der elektronischen Form seiner eigenhändigen Unterschrift an diese weiter. Diese Weitergabe ist aber für den Empfänger der qualifiziert elektronisch signierten Daten nicht erkennbar. Aus seiner Sicht hat der Signaturschlüssel-Inhaber diese Signatur erstellt. Deshalb tritt die andere Person, die mit der weitergegebenen Signaturkarte signiert, nach außen nicht als Vertreter des Signaturschlüssel-Inhabers auf, sondern als Signaturschlüssel-Inhaber selbst. Die rechtlichen Folgen treffen also zunächst den Signaturschlüssel-Inhaber unmittelbar. Bei einem möglichen Missbrauch der Signaturmittel (Karte und PIN) ist somit der Signaturschlüsselinhaber mit dem Beweis des Missbrauchs belastet.

Wenn sich eine Partei auf signierte elektronische Daten (z. B. ein signiertes Dokument) verlassen muss, ist es sehr oft wichtig, dass sie diese verifizieren kann. Hier stehen die folgenden zwei Aspekte im Vordergrund:

• die Integrität der signierten Daten und

• die Authentizität der signierten Daten.

Die Anforderungen an die Validierung von qualifizierten elektronischen Signaturen sind insbesondere in Artikel 32 der eIDAS-Verordnung beschrieben. In diesem Zusammenhang bedeutet

• Integrität, dass an den signierten Daten nach dem Signieren keine Änderungen vorgenommen wurden;
• Authentizität, dass die Signatur durch ein qualifiziertes Zertifikat unterstützt wird, das den Unterzeichner identifiziert, und dass nur der Unterzeichner die Signatur erstellen kann.

Eine zusammenfassende und nicht abschließende Übersicht über die Schritte des Validierungsprozesses für die qualifizierte elektronische Signatur wäre:

• Überprüfung der Integrität der Daten;
• Überprüfung der Gültigkeit des Zertifikats;
• Überprüfung des qualifizierten Status des Zertifikats und
• Überprüfung der Signatur, ob diese von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde.

Da an diesem Validierungsprozess zahlreiche Schritte beteiligt sind, kann die Antwort auf eine Validierungsanfrage in Form eines Validierungsberichts erfolgen, der die Antworten auf die verschiedenen Überprüfungen und Schritte während des Validierungsprozesses enthält.

Für die Validierung einer qualifizierten elektronischen Signatur gibt es verschiedene Wege:

Über ein PDF-Programm und Softwarelösungen (nur für Signaturen)
Wenn das signierte Dokument ein PDF ist, können Sie auch viele Software-Programme, die eine integrierte Signaturprüfung anbieten, nutzen. Abhängig vom gewählten Software-Programm kann die Auswertung unterschiedlich angezeigt werden, wenn jedoch auf die eIDAS-Verordnung (EU-Verordnung 910/2014) verwiesen wird, kann mit hoher Wahrscheinlichkeit davon ausgegangen werden, dass die Signatur qualifiziert ist.

Über einen qualifizierten Vertrauensdienstanbieter
Einige qualifizierte Vertrauensdiensteanbieter bieten auch "qualifizierte Validierungsdienste für qualifizierte elektronische Signaturen/Siegel" an. Derzeit ist dieser Dienst nicht in Deutschland verfügbar, jedoch in anderen EU-Europäische Union-Mitgliedsstaaten. Bei der Nutzung dieser Art von Diensten stellen die Nutzer sicher, dass der Validierungsdienst den in eIDAS-Verordnung festgelegten Anforderungen entspricht und profitieren somit von einer höheren Rechtssicherheit.

DSS-Demonstrations-WebApp verwenden
Um auf einfache Weise an einem beliebigen Dokumentenformat zu überprüfen, ob eine Unterschrift/Siegel qualifiziert ist, könnte Sie die Funktion "Validate a signature" der DSS der EU-Europäische Union interessieren. Diese Demonstration WebApp basiert auf der Open-Source-Bibliothek Digital Signature Software (DSS). DSS unterstützt die Erstellung und Prüfung von interoperablen und sicheren elektronischen Signaturen/Siegeln im Sinne der eIDAS-Verordnung.

Ein elektronisches Siegel sind Daten in elektronischer Form, die an andere Daten in elektronischer Form angehängt oder mit diesen logisch verknüpft sind und die vom Unterzeichnenden zum Unterschreiben verwendet werden, wenn der Unterzeichnende eine juristische Person ist.

Wie sein Gegenstück in der Offline-Welt kann ein elektronisches Siegel z.B. dazu verwendet werden, elektronisch anzuzeigen, dass der Unterzeichnende als juristische Person das Dokument geschrieben hat und mit dem Inhalt des Dokuments einverstanden ist.

Falls Sie ein Dokument als natürliche Person unterschreiben wollen, könnte stattdessen eine elektronische Signatur für Sie interessant sein

e die elektronische Signatur definiert die eIDAS-Verordnung drei Niveaus des elektronischen Siegels: "einfaches" elektronisches Siegel, fortgeschrittenes elektronisches Siegel und qualifiziertes elektronisches Siegel. Die Anforderungen jedes Niveause bauen auf den Anforderungen des darunterliegenden Niveaus auf, so dass ein qualifiziertes elektronisches Siegel die meisten Anforderungen erfüllt und ein "einfaches" elektronisches Siegel die wenigsten.

Nichtsdestotrotz haben Niveaus von elektronischen Siegeln nicht die gleichen Definitionen, Anforderungen und rechtlichen Auswirkungen wie Niveaus von elektronischen Signaturen:

'Einfache' elektronische Siegel

Ein elektronisches Siegel ist definiert als "Daten in elektronischer Form, die an andere Daten in elektronischer Form angehängt oder logisch mit ihnen verbunden sind, um die Herkunft und Integrität der letzteren zu gewährleisten".

Erweiterte elektronische Siegel (AdES)

Ein fortgeschrittenes elektronisches Siegel ist ein elektronisches Siegel, das zusätzlich:

• eindeutig mit dem Ersteller des Siegels verbunden ist;
• in der Lage ist, den Ersteller des Siegels zu identifizieren;

• unter Verwendung von elektronischen Siegelerstellungsdaten erstellt wurde, die der Ersteller des Siegels mit einem hohen Maß an Vertrauen unter seiner Kontrolle für die elektronische Siegelerstellung verwenden kann; und

mit den Daten, auf die sie sich bezieht, so verknüpft ist, dass jede spätere Änderung der Daten erkennbar ist.

Die am häufigsten verwendete Technologie, die diese Anforderungen erfüllen kann, beruht auf der Verwendung einer Public-Key-Infrastruktur, die den Einsatz von Zertifikaten und kryptografischen Schlüsseln beinhaltet.

Qualifizierte elektronische Siegel

Ähnlich wie eine qualifizierte elektronische Signatur ist ein qualifiziertes elektronisches Siegel ein fortgeschrittenes elektronisches Siegel, das zusätzlich:

• durch ein qualifiziertes Siegelerstellungseinheit erstellt ist und
• auf einem qualifizierten Zertifikat für elektronische Siegel basiert.

Dem Siegel kommt die gleichwertige Bedeutung zu wie einem Unternehmensstempel oder einem Behördensiegel.

In allen EU-Mitgliedsstaaten sind die rechtlichen Wirkungen von elektronischen Siegeln in Artikel 35 der eIDAS-Verordnung festgelegt.

Ebenso wie einer elektronischen Signatur darf einem elektronischen Siegel die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil es in elektronischer Form vorliegt oder die Anforderungen an qualifizierte elektronische Siegel nicht erfüllt.

Für qualifizierte elektronische Siegel gilt in allen EU-Mitgliedsstaaten ausdrücklich die Vermutung der Integrität der Daten und der Richtigkeit der Herkunft der Daten, mit denen das qualifizierte elektronische Siegel verknüpft ist.

Ein elektronischer Zeitstempel ist eine Angabe in elektronischer Form, die andere Daten in elektronischer Form an einen bestimmten Zeitpunkt bindet und damit den Nachweis erbringt, dass die letzteren Daten zu diesem Zeitpunkt existierten.

Zum Beispiel kann ein Unterzeichner einen elektronischen Zeitstempel verwenden, um ein signiertes Dokument an ein bestimmtes Datum und eine bestimmte Uhrzeit zu binden und in der Zukunft zu beweisen, dass das signierte Dokument zu diesem bestimmten Datum und dieser Uhrzeit existierte.

Im Rahmen der eIDAS-Verordnung kann ein Zeitstempel qualifiziert werden. Nach den strengeren Anforderungen der eIDAS-Verordnung genießt ein qualifizierter elektronischer Zeitstempel die Vermutung der Richtigkeit des Datums und der Uhrzeit, die er angibt, sowie der Integrität der Daten (z. B. signiertes Dokument), an die das Datum und die Uhrzeit gebunden sind.

In allen EU-Mitgliedstaaten sind die rechtlichen Auswirkungen von elektronischen Zeitstempeln in Artikel 41 der eIDAS-Verordnung festgelegt.

Einem elektronischen Zeitstempel (qualifiziert oder nicht) darf die Rechtswirkung und die Zulässigkeit als Beweismittel in einem Gerichtsverfahren nicht allein mit der Begründung versagt werden, dass er in elektronischer Form vorliegt oder die Anforderungen an den qualifizierten elektronischen Zeitstempel nicht erfüllt.

Für qualifizierte elektronische Zeitstempel gilt in allen EU-Mitgliedstaaten die Vermutung der Richtigkeit des Datums und der Uhrzeit, die sie angeben, sowie der Integrität der Daten, an die das Datum und die Uhrzeit gebunden sind.

Auf der Übersichtseite zum qualifizierten elektronischen Zeitstempel finden Sie alle Anbieter dieses Vertrauensdienstes.

Der Trusted List Browser ist ein öffentlich zugängliches Werkzeug, das von der Europäischen Kommission bereitgestellt wird und die nationalen Vertrauenslisten aller EU-Mitgliedsstaaten übersichtlich aufführt. Der TL Browser bietet den Benutzern eine intuitive Schnittstelle, um Vertrauenslisten nach Vertrauensdiensteanbietern und die durch sie erbrachten Vertrauensdienste zu durchsuchen.

Die nationalen Vertrauenslisten werden im XML-Format veröffentlicht, das die automatisierte Verarbeitung durch Maschinen ermöglicht, jedoch für Menschen nur schwer verständlich ist. Der TL Browser stellt daher wesentliche Informationen zu Vertrauensdiensteanbietern und Vertrauensdienste benutzerfreundlich dar (Artikel 22 Absatz 2 eIDAS-Verordnung).

Der TL Browser sollte als Werkzeug für die Suche nach qualifizierten Vertrauensdiensteanbietern und den von ihnen erbrachten Vertrauensdiensten verstanden werden. Es ist nicht vorgesehen, dass er vollumfängliche und ausreichend detaillierte Informationen liefert, um z.B. in einem Validierungsprozess verwendet werden zu können.

Mithilfe des Trusted List Browsers kann jeder Vertrauensdiensteanbieter, der in einem EU-Mitgliedsstaat einen qualifizierten Vertrauensdienst erbringt, gefunden werden. Zur Erbringung eines qualifizierten Vertrauensdienstes ist es für qualifizierte Vertrauensdiensteanbieter obligatorisch, dass sowohl Anbieter als auch Dienst in der nationalen Vertrauensliste eines EU-Mitgliedsstaats aufgeführt sind. Darüber hinaus können ggf. auch nicht-qualifizierte Vertrauensdienste mit dem TL Browser gefunden werden, falls individuelle nationale Regelungen ihre Aufnahme in die Vertrauensliste vorsehen.

Bitte beachten Sie, dass das Auffinden eines Vertrauensdienstanbieters mit dem TL nicht unbedingt bedeutet, dass es sich um einen qualifizierten Vertrauensdiensteanbieter handelt. Um zu überprüfen, ob ein Vertrauensdiensteanbieter Ihren Anforderungen entspricht, achten Sie auf die entsprechenden Markierungen. In Gelb und mit dem vorangestellten „Q“ für „Qualifiziert“ werden die qualifizierten Vertrauensdiensteanbieter und deren Dienste ausgewiesen).

Mit dem Trusted List Browser können Benutzer nach einem Vertrauensdienst suchen, sich die Inhalte einer nationalen Vertrauensliste eines Mitgliedsstaates anzeigen lassen. Oder auf die Inhalte der Liste der Vertrauenslisten (kurz: LOTL) der europäischen Kommission zugreifen.

Es ist zu beachten, dass der Trusted List Browser nicht dazu gedacht ist, ein Produkt zu erwerben oder einen Vertrag für einen Vertrauensdienst abzuschließen. Er gibt dem Benutzer lediglich Informationen darüber, ob ein Vertrauensdienst und der zugehörige Vertrauensdiensteanbieter in einer nationalen vertrauenswürdigen Liste aufgeführt sind oder nicht. Der Vertragsabschluss für einen Vertrauensdienst oder der Erwerb eines Produkts sollte durch direkte Kontaktaufnahme mit den Vertrauensdiensteanbieter erfolgen.

Gemäß der eIDAS-Verordnung müssen nur die qualifizierten Vertrauensdiensteanbieter in einer Vertrauensliste aufgeführt sein:

Jeder Mitgliedstaat sorgt für die Aufstellung, Führung und Veröffentlichung von Vertrauenslisten, die Angaben zu den qualifizierten Vertrauensdiensteanbietern, für die er verantwortlich ist, und den von ihnen erbrachten qualifizierten Vertrauensdiensten, umfassen. (Artikel 22 Absatz 1 eIDAS-Verordnung)

Darüber hinaus können in den nationalen Vertrauenslisten optional auch nicht-qualifizierte Vertrauensdiensteanbieter und Vertrauensdienste enthalten sein. Die Entscheidung, ob nicht-qualifizierte Vertrauensdiensteanbieter bzw. -dienste in eine Vertrauensliste aufgenommen werden, obliegt dem Aufsichtsorgan des jeweiligen EU-Mitgliedstaats.

Das Fehlen eines bestimmten Vertrauensdiensteanbieters im TL Browser bedeutet daher nicht unbedingt, dass dieser keine eIDAS-konforme Vertrauensdienste anbieten würde. Es bedeutet vielmehr, dass er keine qualifizierten Vertrauensdienste anbietet.

Für Unternehmen oder Behörden, die selbst qualifizierter Vertrauensdiensteanbieter werden wollen, haben wir die nötigen Informationen auf dieser Seite zusammengestellt.