Dokmatiq DOKMATIQ
Digitale Signaturen

Qualifizierte elektronische Signatur (QES)

Höchste Stufe der elektronischen Signatur nach eIDAS-Verordnung — rechtlich gleichwertig zur handschriftlichen Unterschrift, basiert auf qualifiziertem Zertifikat und sicherer Signaturerstellungseinheit.

Auch bekannt als: Qualified Electronic Signature, QES, eIDAS qualifiziert

Kurzdefinition

Die Qualifizierte elektronische Signatur (QES) ist die höchste der drei Vertrauens­stufen elektronischer Signaturen in der eIDAS-Verordnung (EU 910/2014). Sie ist der handschriftlichen Unterschrift rechtlich gleichgestellt und europaweit anerkannt — ohne dass Empfänger oder Gericht zusätzliche Prüfungen vornehmen müssen.

Eine Signatur gilt nur dann als QES, wenn alle drei Voraussetzungen erfüllt sind:

  1. Sie ist eine fortgeschrittene elektronische Signatur (FES) nach Art. 26 eIDAS
  2. Sie wurde mit einer qualifizierten Signatur­erstellungs­einheit (QSCD) erzeugt
  3. Sie basiert auf einem qualifizierten Zertifikat eines gelisteten Trust Service Providers

Die drei Signaturstufen nach eIDAS

StufeAbkürzungAnforderungenRechtswirkung
Einfache SignaturEESkeine technischen VorgabenBeweiswert gering, Gericht würdigt frei
Fortgeschrittene SignaturFESdem Signierenden eindeutig zuordenbar, nachträgliche Änderungen erkennbarBeweiswert höher
Qualifizierte SignaturQESFES + QSCD + qualifiziertes Zertifikatder Handunterschrift gleichgestellt

Die QES ist aufwändiger zu erzeugen — lohnt sich aber überall dort, wo Schriftform verlangt wird: Arbeits­verträge in bestimmten Konstellationen, manche Behörden­kommunikation, revisions­sichere Archive.

Qualifiziertes Zertifikat

Ein qualifiziertes Zertifikat stammt ausschließlich von einem in der EU Trusted List (EU-TL) geführten Qualified Trust Service Provider (QTSP). Die EU-TL wird von jedem Mitgliedstaat eigenständig gepflegt; deutsche QTSPs listet die Bundesnetzagentur.

Beispiele deutscher QTSPs:

  • D-Trust GmbH
  • Bundesdruckerei
  • DGN Service GmbH
  • TeleSec Trust Center (T-Systems)

Das Zertifikat selbst enthält die Kennung des Unterzeichnenden (natürliche Person, ggf. mit Organisations­bezug) und ist standardmäßig 1–3 Jahre gültig.

QSCD — Qualified Signature Creation Device

Die Qualified Signature Creation Device ist die sichere Hardware, die den privaten Schlüssel aufbewahrt und die Signatur erzeugt. Zulässig sind:

  • Smart Cards mit HSM-Chip (z.B. D-Trust Card, Bundesdruckerei)
  • HSMs (Hardware Security Modules) in Rechenzentren
  • Cloud-HSMs bei Trust-Service-Providern (für Fernsignaturen nach Art. 29a eIDAS)

Eine reine Software-Lösung — ein Schlüssel in einer .p12-Datei — erfüllt die QSCD-Anforderung nicht. Solche Signaturen sind „nur” fortgeschritten (FES), wenn auch mit qualifiziertem Zertifikat.

Fernsignatur — QES aus der Cloud

Seit eIDAS in der 2024er Fassung sind Fernsignaturen (Remote Qualified Electronic Signatures, kurz rQES) eine vollwertige Alternative. Der private Schlüssel liegt beim QTSP in einem Cloud-HSM, die Freigabe erfolgt durch den Unterzeichnenden per 2FA. Das Nutzungs­modell erinnert an klassische OAuth-Flows, die Rechtswirkung ist identisch zur lokalen QES mit Smart Card.

QES und PAdES

Technisch wird eine QES für ein PDF typischerweise als PAdES-B-LT oder PAdES-B-LTA eingebettet — das Format kodiert nicht die Qualifikations­stufe, sondern verpackt die PKCS#7-Signatur samt Zertifikatskette. Die Qualifikation ergibt sich aus:

  • dem Zertifikat (qualifiziert laut EU-TL?)
  • dem Erzeugungs­weg (QSCD genutzt?)

Validierer wie EU DSS oder die Dokmatiq-Verifikations-API prüfen beides und liefern im Verifikations­ergebnis ausdrücklich den Qualifikations-Status.

Mit der Dokmatiq-API eine QES-Validierung prüfen

curl -X POST https://api.dokmatiq.com/v1/pdf/sign/verify \
  -H "Authorization: Bearer $DOKMATIQ_KEY" \
  --data-binary "@signiert.pdf"

Antwort enthält u.a.:

{
  "valid": true,
  "profile": "PAdES-B-LTA",
  "signatureLevel": "QES",
  "trustAnchor": "EU-Trusted-List:DE:D-Trust GmbH",
  "signingTime": "2026-04-18T10:22:31Z",
  "qualifiedCertificate": true,
  "qualifiedSSCD": true
}

Häufige Missverständnisse

  1. „Wir signieren mit einem qualifizierten Zertifikat, also ist es eine QES” — nein, ohne QSCD bleibt es FES
  2. „Eine QES ist nur für Behörden relevant” — nein, überall wo §§ 126, 127 BGB die Schriftform verlangen, ist die QES Alternative (§ 126a BGB)
  3. „Cloud-Signaturen sind schwächer” — nicht, wenn sie als rQES nach eIDAS erbracht werden
  4. „Zeitstempel ist optional” — für Langzeit-Gültigkeit einer QES ist der qualifizierte Zeitstempel praktisch Pflicht, sonst verliert sie mit Zertifikats­ablauf ihre Prüfbarkeit

Bereit, es direkt per API zu nutzen?

Kostenlos starten. Keine Kreditkarte. 100 Dokumente pro Monat inklusive.

Kostenlos starten Zurück zum Glossar