Digitale PDF-Unterschrift: Rechtsgültig oder nicht?

Was eIDAS regelt

Die EU-Verordnung Nr. 910/2014 (eIDAS = electronic Identification, Authentication and Trust Services) gilt seit Juli 2016 europaweit. Sie definiert drei Signatur-Stufen und regelt deren rechtliche Anerkennung. Die deutsche Umsetzung erfolgt im Vertrauensdienstegesetz (VDG) und Vertrauensdiensteverordnung (VDV).

Kern-Aussage: Eine elektronische Signatur darf nicht allein wegen ihrer elektronischen Form abgelehnt werden (Art. 25 Abs. 1 eIDAS). Welche rechtliche Wirkung sie hat, hängt von der Stufe ab.

Stufe 1: Einfache elektronische Signatur (EES)

Definition (Art. 3 Nr. 10): "Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet."

Praktische Beispiele:

• Eine getippte Schluss-Formel "Mit freundlichen Grüßen, Max Mustermann" am Ende einer E-Mail
• Ein eingefügtes Bild der eigenen Unterschrift in eine PDF
• Ein Klick auf "Ich akzeptiere die AGB"
• Das Zeichnen einer Unterschrift mit Maus oder Finger in einem PDF-Tool wie PDF unterschreiben

Rechtlich: für die meisten Geschäftsverträge ausreichend, sofern sie nicht der Schriftform unterliegen. Beweiskraft im Streitfall: niedrig bis mittel, kann angegriffen werden ("die Unterschrift wurde aus einem anderen Dokument kopiert").

Stufe 2: Fortgeschrittene elektronische Signatur (FES)

Definition (Art. 3 Nr. 11 + Art. 26): muss vier Anforderungen erfüllen:

1. Eindeutig dem Unterzeichner zugeordnet
2. Identifizierung des Unterzeichners ermöglicht
3. Mit Daten erstellt, die der Unterzeichner unter alleiniger Kontrolle nutzen kann
4. So mit den unterzeichneten Daten verknüpft, dass eine nachträgliche Veränderung erkennbar ist

Praktisch heißt das: kryptographische Signatur mit Public-Key-Infrastruktur, oft via S/MIME-Zertifikat oder PGP. Auch DocuSign und Adobe Sign liefern auf Wunsch FES-Signaturen.

Rechtlich: Indizwirkung im Streitfall ist deutlich höher als EES. Für die meisten höherwertigen Geschäftsverträge sehr empfehlenswert. Erfüllt aber NICHT die Schriftform.

Stufe 3: Qualifizierte elektronische Signatur (QES)

Die Königsdisziplin. Eine FES, zusätzlich:

• Erstellt mit einer qualifizierten elektronischen Signaturerstellungseinheit (QSCD)
• Beruht auf einem qualifizierten Zertifikat eines akkreditierten Vertrauensdienste-Anbieters
• Identifizierung des Unterzeichners erfolgte vorab durch Vor-Ort-Identifizierung oder zertifiziertes Video-Ident-Verfahren

QES = handschriftliche Unterschrift (Art. 25 Abs. 2 eIDAS, § 126a BGB). Erfüllt damit die Schriftform-Anforderungen für: Mietvertrag-Kündigung (Mieter-Seite), Bürgschaft, Aufhebungsvertrag, Verbraucherdarlehensvertrag, Schuldanerkenntnis.

Beispiele für akkreditierte deutsche Anbieter: D-Trust (Bundesdruckerei), sign-me, Swisscom Trust Services, T-Systems. Die offizielle Liste pflegt die Bundesnetzagentur.

Welche Stufe wofür?

Praxis: Workflow für QES

Erste QES braucht eine einmalige Identifizierung. Drei gängige Wege:

1. Video-Ident: 5-10 Min Video-Call mit Anbieter, Personalausweis vorzeigen, Sicherheits-Merkmale prüfen lassen.
2. eID-Funktion des Personalausweises: NFC-Handy + AusweisApp2, einmalig PIN setzen.
3. Vor-Ort-Identifizierung: bei Bundesdruckerei, Sparkasse, Postident-Filiale.

Nach erfolgreicher Identifizierung bekommst du ein qualifiziertes Zertifikat (oft auf Smartcard, USB-Token oder Cloud-basiert mit App). Für jede Signatur authentifizierst du dich (App-PIN, Touch-ID, Hardware-Token), das System signiert das PDF kryptographisch.

Beweiskraft im Streitfall

ZPO § 371a: "Auf private elektronische Dokumente, die mit einer qualifizierten elektronischen Signatur versehen sind, finden die Vorschriften über die Beweiskraft privater Urkunden entsprechende Anwendung. Der Anschein der Echtheit einer in elektronischer Form vorliegenden Erklärung, der sich aufgrund der Prüfung nach dem Signaturgesetz ergibt, kann nur durch Tatsachen erschüttert werden, die ernstliche Zweifel daran begründen."

Übersetzt: Wer eine QES auf einem Vertrag hat, ist im Streitfall in der gleichen Position wie mit einem handschriftlich unterschriebenen Papier-Original. Wer "nur" eine EES hat, muss zusätzliche Beweise für die Echtheit liefern.

FES liegt dazwischen. Im Zivilprozess oft akzeptiert, kann aber vom Gegner mit dem Argument "Identifizierung war nicht qualifiziert" angegriffen werden.

Was viele falsch machen

• Eingefügtes Unterschriften-Bild als Beweis-Ersatz nutzen. Im Streitfall behauptet der Gegner: "die Unterschrift wurde aus einem anderen Dokument kopiert". Schwer zu widerlegen ohne Forensik.
• Mietvertrag-Kündigung per E-Mail mit PDF-Anhang senden. Schriftform-pflichtig, einfache Signatur reicht NICHT, Kündigung ist unwirksam, Mietverhältnis läuft weiter.
• QES-Anbieter aus dem Drittland nutzen. DocuSign US-Variante ist NICHT QES nach eIDAS, das ist nur eine FES. Für Schriftform-Pflichten in DE/EU muss der Anbieter EU-akkreditiert sein.
• Bei internationalen Verträgen die deutsche QES voraussetzen. USA, UK, Asien haben eigene Signatur-Gesetze. Was in Deutschland als QES gilt, hat dort möglicherweise nur den Status einer EES.

Praktische Empfehlung

Für KMUs mit gelegentlichem Bedarf: ein QES-Account bei einem deutschen Anbieter (sign-me ist günstig, D-Trust ist Bundesdruckerei-Standard). Pro Signatur 0,50 bis 5 Euro, einmalige Identifizierung 5-15 Euro.

Für 90 Prozent der Geschäftsverträge reicht eine EES via PDF unterschreiben auf pdf-zentrale.de: Unterschrift zeichnen oder als Bild einfügen, fertig. Bei rechtlich höherwertigen oder schriftform-pflichtigen Dokumenten zur QES greifen.

Klare Regel: Wer sich nicht sicher ist welche Stufe nötig ist, fragt einen Anwalt. Die Mehrkosten für eine QES bei einem Standard-Vertrag sind verschmerzbar — die Folgen einer unwirksamen Schriftform-Kündigung können in die Tausende gehen.