Qualifizierte elektronische Signatur (QES)
Höchste Stufe der elektronischen Signatur nach eIDAS-Verordnung — rechtlich gleichwertig zur handschriftlichen Unterschrift, basiert auf qualifiziertem Zertifikat und sicherer Signaturerstellungseinheit.
Auch bekannt als: Qualified Electronic Signature, QES, eIDAS qualifiziert
Kurzdefinition
Die Qualifizierte elektronische Signatur (QES) ist die höchste der drei Vertrauensstufen elektronischer Signaturen in der eIDAS-Verordnung (EU 910/2014). Sie ist der handschriftlichen Unterschrift rechtlich gleichgestellt und europaweit anerkannt — ohne dass Empfänger oder Gericht zusätzliche Prüfungen vornehmen müssen.
Eine Signatur gilt nur dann als QES, wenn alle drei Voraussetzungen erfüllt sind:
- Sie ist eine fortgeschrittene elektronische Signatur (FES) nach Art. 26 eIDAS
- Sie wurde mit einer qualifizierten Signaturerstellungseinheit (QSCD) erzeugt
- Sie basiert auf einem qualifizierten Zertifikat eines gelisteten Trust Service Providers
Die drei Signaturstufen nach eIDAS
| Stufe | Abkürzung | Anforderungen | Rechtswirkung |
|---|---|---|---|
| Einfache Signatur | EES | keine technischen Vorgaben | Beweiswert gering, Gericht würdigt frei |
| Fortgeschrittene Signatur | FES | dem Signierenden eindeutig zuordenbar, nachträgliche Änderungen erkennbar | Beweiswert höher |
| Qualifizierte Signatur | QES | FES + QSCD + qualifiziertes Zertifikat | der Handunterschrift gleichgestellt |
Die QES ist aufwändiger zu erzeugen — lohnt sich aber überall dort, wo Schriftform verlangt wird: Arbeitsverträge in bestimmten Konstellationen, manche Behördenkommunikation, revisionssichere Archive.
Qualifiziertes Zertifikat
Ein qualifiziertes Zertifikat stammt ausschließlich von einem in der EU Trusted List (EU-TL) geführten Qualified Trust Service Provider (QTSP). Die EU-TL wird von jedem Mitgliedstaat eigenständig gepflegt; deutsche QTSPs listet die Bundesnetzagentur.
Beispiele deutscher QTSPs:
- D-Trust GmbH
- Bundesdruckerei
- DGN Service GmbH
- TeleSec Trust Center (T-Systems)
Das Zertifikat selbst enthält die Kennung des Unterzeichnenden (natürliche Person, ggf. mit Organisationsbezug) und ist standardmäßig 1–3 Jahre gültig.
QSCD — Qualified Signature Creation Device
Die Qualified Signature Creation Device ist die sichere Hardware, die den privaten Schlüssel aufbewahrt und die Signatur erzeugt. Zulässig sind:
- Smart Cards mit HSM-Chip (z.B. D-Trust Card, Bundesdruckerei)
- HSMs (Hardware Security Modules) in Rechenzentren
- Cloud-HSMs bei Trust-Service-Providern (für Fernsignaturen nach Art. 29a eIDAS)
Eine reine Software-Lösung — ein Schlüssel in einer .p12-Datei — erfüllt die QSCD-Anforderung nicht. Solche Signaturen sind „nur” fortgeschritten (FES), wenn auch mit qualifiziertem Zertifikat.
Fernsignatur — QES aus der Cloud
Seit eIDAS in der 2024er Fassung sind Fernsignaturen (Remote Qualified Electronic Signatures, kurz rQES) eine vollwertige Alternative. Der private Schlüssel liegt beim QTSP in einem Cloud-HSM, die Freigabe erfolgt durch den Unterzeichnenden per 2FA. Das Nutzungsmodell erinnert an klassische OAuth-Flows, die Rechtswirkung ist identisch zur lokalen QES mit Smart Card.
QES und PAdES
Technisch wird eine QES für ein PDF typischerweise als PAdES-B-LT oder PAdES-B-LTA eingebettet — das Format kodiert nicht die Qualifikationsstufe, sondern verpackt die PKCS#7-Signatur samt Zertifikatskette. Die Qualifikation ergibt sich aus:
- dem Zertifikat (qualifiziert laut EU-TL?)
- dem Erzeugungsweg (QSCD genutzt?)
Validierer wie EU DSS oder die Dokmatiq-Verifikations-API prüfen beides und liefern im Verifikationsergebnis ausdrücklich den Qualifikations-Status.
Mit der Dokmatiq-API eine QES-Validierung prüfen
curl -X POST https://api.dokmatiq.com/v1/pdf/sign/verify \
-H "Authorization: Bearer $DOKMATIQ_KEY" \
--data-binary "@signiert.pdf"
Antwort enthält u.a.:
{
"valid": true,
"profile": "PAdES-B-LTA",
"signatureLevel": "QES",
"trustAnchor": "EU-Trusted-List:DE:D-Trust GmbH",
"signingTime": "2026-04-18T10:22:31Z",
"qualifiedCertificate": true,
"qualifiedSSCD": true
}
Häufige Missverständnisse
- „Wir signieren mit einem qualifizierten Zertifikat, also ist es eine QES” — nein, ohne QSCD bleibt es FES
- „Eine QES ist nur für Behörden relevant” — nein, überall wo §§ 126, 127 BGB die Schriftform verlangen, ist die QES Alternative (§ 126a BGB)
- „Cloud-Signaturen sind schwächer” — nicht, wenn sie als rQES nach eIDAS erbracht werden
- „Zeitstempel ist optional” — für Langzeit-Gültigkeit einer QES ist der qualifizierte Zeitstempel praktisch Pflicht, sonst verliert sie mit Zertifikatsablauf ihre Prüfbarkeit
Bereit, es direkt per API zu nutzen?
Kostenlos starten. Keine Kreditkarte. 100 Dokumente pro Monat inklusive.