✓ PAdES-B-B · Adobe-Reader-prüfbar · Hosting Deutschland

Digitale Unterschrift online erstellen - kryptografisch sicher, in 5 Minuten

Eine digitale Unterschrift ist mehr als ein Foto Ihres Namens - sie ist ein kryptografisches Siegel, das jede nachträgliche Manipulation am Dokument sichtbar macht. Hier sehen Sie, wie die Technik dahinter funktioniert, was PAdES bedeutet und warum die Unterschrift Ihres Empfängers vor Gericht halten würde.

Jetzt signieren - ohne KontoLieber die rechtliche Seite verstehen

Digital, elektronisch, handschriftlich - was bedeutet was?

Die Begriffe werden im Alltag oft durcheinander geworfen. Hier die saubere Abgrenzung, damit Sie wissen, worüber Sie reden:

Digitale Signatur (Technik)

Ein kryptografisches Verfahren. Asymmetrische Verschlüsselung mit Public-/Private-Key-Paar erzeugt einen Hash über das Dokument, der mit dem privaten Schlüssel signiert wird. Jeder kann mit dem öffentlichen Schlüssel prüfen: stimmt der Hash überein? → Dokument ist unverändert. Stimmt er nicht? → Dokument wurde nach Signatur manipuliert.

Elektronische Signatur (Recht)

Ein Rechtsbegriff aus der EU-Verordnung eIDAS (910/2014). Drei Stufen: SES (einfach), AES (fortgeschritten), QES (qualifiziert). Jede dieser Stufen kann mit digitaler Signatur technisch umgesetzt werden - muss aber nicht (eine SES kann auch ein eingescannter Schnörkel sein).

Handschriftliche Signatur auf Tablet

Ohne Audit-Trail und ohne kryptografisches Siegel nur SES-äquivalent mit deutlich schwächerem Beweiswert. Sobald jemand das Bild kopiert und woanders einfügt, ist die Signatur entwertet.

Bei VertragLotse bekommen Sie SES als Rechtsstufe + die volle digitale Signatur-Technik dahinter (PAdES-Siegel auf jedem PDF) - also das Beste aus beiden Welten in einer Anwendung.

Wie die Technik funktioniert

Vom Upload bis zum versiegelten PDF in vier Schritten - alle Operationen finden auf unseren Servern in Deutschland statt, nichts geht an Drittanbieter:

  1. 1

    Vertrag hochladen

    PDF, Word oder gescanntes Original mit einem Klick hochladen. das Dokument bleibt verschlüsselt in Deutschland gespeichert.

  2. 2

    Empfänger eintragen

    Name + E-Mail jedes Unterzeichners. Bis zu 10 Empfänger pro Anfrage, optional in fester Reihenfolge.

  3. 3

    Unterschriftsfelder platzieren

    Klick auf die PDF-Seite, Stift-/Text-/Datum-Feld setzen - fertig. Pro Empfänger eigene Farbe für Übersicht.

  4. 4

    Versenden + automatisch siegeln

    Empfänger bekommen einen sicheren Link per E-Mail, signieren im Browser. Nach Abschluss wird das PDF mit Server-Siegel (PAdES) versehen - manipulationssicher prüfbar.

Was passiert beim „Versiegeln" technisch?

  1. Das PDF wird in ein PAdES-Skeleton vorbereitet (Placeholder für CMS-Signaturwert), via @signpdf/placeholder-pdf-lib.
  2. Über den vorbereiteten Inhalt wird ein SHA-256-Hash berechnet.
  3. Der Hash wird mit dem privaten Schlüssel des Server-Siegel-Zertifikats (PKCS#12) signiert - das erzeugt eine CAdES-Signatur nach RFC 5652.
  4. Die CAdES-Signatur wird in den vorbereiteten Placeholder des PDFs eingefügt. Das Ergebnis ist ein PAdES-konformes PDF, das Adobe Reader und jeder andere eIDAS-konforme Viewer prüfen kann.

Was ist PAdES?

PAdES steht für „PDF Advanced Electronic Signatures" und ist der europäische Standard für rechtssichere PDF-Signaturen unter der eIDAS-Verordnung. Definiert in ETSI EN 319 142. PAdES kennt mehrere Profile:

ProfilBedeutetVertragLotse
PAdES-B-BBasic - Signatur ohne externen Zeitstempel✓ Default
PAdES-B-T+ qualifizierter Zeitstempel (TSA)○ Admin-konfigurierbar
PAdES-B-LT+ Langzeit-Validierungs-Daten (LTV)Phase 2 (mit QES)
PAdES-B-LTA+ Archive-Zeitstempel, alle 5 Jahre erneuerbarPhase 2 (mit QES)

PAdES-B-B ist für SES vollkommen ausreichend - es erfüllt die eIDAS-Anforderungen an die einfache elektronische Signatur und macht jede Manipulation am Dokument sichtbar. Wenn Sie einen qualifizierten Zeitstempel wünschen (z.B. für langzeitarchivierte B2B-Verträge), kann der Admin im /settings/signatures-Bereich eine TSA-URL konfigurieren.

Signatur in Adobe Reader prüfen - Schritt für Schritt

Jedes bei VertragLotse versiegelte PDF lässt sich in jedem eIDAS-konformen Viewer verifizieren - Adobe Acrobat Reader ist der Standard. So gehen Sie vor:

  1. Öffnen Sie das signierte PDF in Adobe Acrobat Reader (kostenfreier Download: get.adobe.com/reader).
  2. Direkt nach dem Öffnen sehen Sie oben einen Hinweis-Balken: „Mindestens eine Signatur erfordert eine Validierung". Klicken Sie auf „Signaturpanel".
  3. In der linken Seitenleiste sehen Sie pro Signatur den Aussteller (VertragLotse Seal), den Signatur-Zeitpunkt und den Status.
  4. Bei intaktem Dokument: grünes Häkchen + „Das Dokument wurde seit dieser Signatur nicht verändert".
  5. Bei manipuliertem Dokument: rotes X + „Das Dokument wurde nach der Signatur verändert" - das ist der Manipulations-Schutz in Aktion.

Alternativ können Sie die Audit-Validierung auf unserer Seite nutzen - der Token steht im Audit-Trail-PDF, und unter /audit/[token] sehen Sie das gesamte Ereignis-Log ohne Login.

Audit-Trail - der Beweiswert dahinter

Eine digitale Signatur ohne Audit-Trail ist wie ein notariell beglaubigtes Dokument ohne Notariats-Protokoll - technisch gültig, aber vor Gericht schwächer als nötig. Wir protokollieren pro Signatur-Anfrage jedes Ereignis:

  • Erstellung der Anfrage (Absender-User-ID, Zeitstempel UTC, IP-Hash)
  • Versand der E-Mail-Einladung an jeden Signer (Empfänger, Zeitstempel, IP-Hash)
  • Aufruf des Sign-Links (User-Agent-Fingerprint, IP-Hash, Zeitstempel - sieht so aus, ob Empfänger den Link überhaupt geöffnet hat)
  • MFA-Bestätigung (Code an E-Mail zugestellt, Code eingegeben, verifiziert)
  • Unterschrift oder Ablehnung (mit Grund-Text, IP-Hash, Zeitstempel)
  • Erinnerungen (automatisch 7, 3 und 1 Tag vor Fristablauf - jeweils dokumentiert)
  • Versiegelung (Server-Siegel-Zeitpunkt, Hash des originalen + gesiegelten PDFs)

Das Audit-PDF wird zusammen mit dem signierten Vertrag versiegelt und in Ihrem Vertragsarchiv abgelegt. PII (Namen, E-Mails) sind im PDF im Klartext - sie müssen für den Gerichts-Beweiswert sichtbar sein. In den Server-Logs ist davon nichts - dort werden nur IDs und IP-Hashes geschrieben.

Jetzt einen Vertrag signieren lassen

Hochladen, Empfänger eintragen, Felder platzieren - fertig. 14 Tage Frist, automatische Erinnerungen, manipulationssicher gesiegelt.

Jetzt signierenPreise ansehen

Welche Stufe für welchen Vertrag?

Die digitale Unterschrift bei VertragLotse ist technisch eine SES nach eIDAS. Für die meisten Verträge reicht das aus - Mietverträge unter 1 Jahr, NDAs, Auftragsbestätigungen, KFZ-Kaufverträge im Privatbereich. Für Verträge mit gesetzlicher Schriftform-Pflicht brauchen Sie QES (Phase 2):

StufeBeweiswertIdentifikationSchriftformPreisStatus
Einfach (SES)
SES
Anscheinsbeweis vor Gericht - durchsuchbar, Audit-TrailE-Mail-Code (MFA), optional SMSNein - aber gültig für alle Verträge ohne Schriftform-Pflicht1 Coin pro Unterzeichner✓ Verfügbar
Fortgeschritten (AES)
AES
Hoher Beweiswert - eindeutige Zuordnung des UnterzeichnersVideoIdent / Foto-Ident / Bank-LoginNein, aber für B2B-Standard üblich2 Coins pro Unterzeichner (geplant)Phase 2 geplant
Qualifiziert (QES)
QES
Voller Schriftform-Ersatz (§ 126a BGB)Personalausweis-eID, VideoIdent durch QTSP (z.B. D-Trust)Ja - ersetzt die eigenhändige Unterschrift3 Coins pro Unterzeichner (geplant)Phase 2 geplant

Detail-Vergleich: /ses-vs-aes-vs-qes. Welche Rechtsstufe Sie konkret brauchen, sehen Sie auch in der KI-Analyse Ihres Vertrags ( /check).

Was kostet eine digitale Unterschrift?

Pay-per-use, kein Abo, ab 1,80 € pro Signatur. Empfänger zahlen nie etwas, sie brauchen auch kein Konto.

Preise im Überblick

Preise gelten pro Empfänger mit der Rolle „Unterzeichner". Freigeber, CC und Betrachter sind kostenlos.

StufeCoins / Unterzeichner≈ EURHinweis
SES - Einfach11,801 Unterzeichner • E-Mail-MFA + PAdES-Siegel
AES - FortgeschrittenPhase 223,60Pro Unterzeichner • Identitätsprüfung per VideoIdent - Phase 2
QES - QualifiziertPhase 235,40Pro Unterzeichner • Schriftform-Ersatz über QTSP - Phase 2
Exakte Coin-Packs und Mengen-Rabatte: Pricing-Übersicht

Häufige Fragen zur digitalen Unterschrift

Was ist der Unterschied zwischen einer digitalen und einer elektronischen Unterschrift?
Im Sprachgebrauch werden die Begriffe oft synonym verwendet. Streng genommen ist „elektronische Signatur" ein Rechtsbegriff aus der eIDAS-Verordnung (drei Stufen SES/AES/QES), während „digitale Signatur" das technische Verfahren bezeichnet - asymmetrische Kryptografie mit Public-/ Private-Key-Paar. Jede QES und AES ist auch eine digitale Signatur; eine SES kann eine sein, muss aber nicht.
Wie wird die digitale Unterschrift in das PDF eingebettet?
Bei VertragLotse läuft das in drei Schritten: (1) Der Empfänger zeichnet, tippt oder lädt seine Unterschrift hoch - das Bild wird via pdf-lib an die im Field-Placer definierten Koordinaten ins PDF gerendert. (2) Anschließend versiegelt der Server das gesamte Dokument mit einem PAdES-B-B-Siegel (PKCS#7 / CAdES-Format) - kryptografischer Hash über den vollständigen Inhalt, signiert mit einem X.509-Zertifikat. (3) Das versiegelte PDF wird verschlüsselt im Vertragsarchiv abgelegt und beiden Parteien per Download zugänglich gemacht.
Kann ich die Unterschrift in Adobe Reader prüfen?
Ja. Öffnen Sie das gesiegelte PDF in Adobe Acrobat Reader. Dort sehen Sie oben im Dokument-Panel den Hinweis „Mindestens eine Signatur erfordert eine Validierung". Klicken Sie auf das Signatur-Symbol in der linken Seitenleiste, und Reader zeigt Ihnen: Aussteller des Zertifikats, Signatur-Zeitpunkt, Status der Inhalts-Integrität. Verändert jemand das PDF nach der Signatur, ändert sich der Hash, und Reader meldet „Dokument wurde nach Signatur verändert".
Was ist PAdES und warum nutzt ihr genau dieses Format?
PAdES = PDF Advanced Electronic Signatures, definiert in ETSI EN 319 142. Es ist der EU-Standard für rechtssichere PDF-Signaturen unter der eIDAS-Verordnung. PAdES bettet die Signatur direkt in die PDF-Struktur ein (statt als Side-Channel-Datei) und ist daher Adobe-Reader-kompatibel, langzeitarchivierbar und gerichtsfest. Wir nutzen das Level „B-B" (Basic, ohne externen Zeitstempel) als Default; optional kann der Admin einen qualifizierten Zeitstempeldienst (TSA) konfigurieren, womit das Siegel auf „B-T" upgegradet wird.
Welches Zertifikat steckt hinter der Signatur?
In Phase 1 nutzen wir ein Server-Siegel-Zertifikat (Organisations-Zertifikat) - gleiches Verfahren wie bei DocuSign Standard oder Skribble SES. Das Zertifikat bestätigt, dass der Sign-Vorgang über die VertragLotse-Plattform lief, nicht die Identität der einzelnen Signer. Die Identität der Signer wird im Audit-Trail dokumentiert (E-Mail-Bestätigung, IP-Hash, MFA-Code, Geräte-Fingerprint). Für Phase 2 mit AES/QES nutzen wir Signer-spezifische Zertifikate eines qualifizierten Vertrauensdiensteanbieters.
Reicht eine eingescannte Unterschrift nicht aus?
Rechtlich gilt eine eingescannte Unterschrift auf einem PDF zwar als einfache elektronische Signatur (SES) - aber sie ist trivial fälschbar (Copy-Paste in ein anderes Dokument), und es gibt keinen Audit-Trail. Vor Gericht ist der Beweiswert deutlich schwächer als bei einer kryptografisch versiegelten Signatur, weil keine Manipulations-Erkennung existiert. Unsere SES erzeugt zwar auch nur eine SES - aber mit PAdES-Siegel und vollständigem Audit-Trail, was den Beweiswert deutlich anhebt.
Was passiert mit meiner gespeicherten Unterschrift?
Wenn Sie unter „Profil → Meine Unterschriften" eine Unterschrift speichern, wird das PNG-Bild in der Datenbank mit AES-256-GCM verschlüsselt (Prefix `enc:v1:`). Nur Ihr Konto kann sie wieder entschlüsseln, sie wird nie im Klartext geloggt oder gecached. Beim Account-Löschen wird sie hart entfernt. Sie können sie jederzeit unter „Profil" überschreiben oder löschen.
Was ist der Audit-Trail genau?
Pro Signatur-Anfrage erstellen wir ein eigenes Audit-Trail-PDF mit allen forensisch relevanten Ereignissen: Wer wurde wann eingeladen (mit IP-Hash und User-Agent-Fingerprint), wer hat den Sign-Link geöffnet, wer hat MFA bestätigt, wer hat unterschrieben oder abgelehnt, wer hat Erinnerungen erhalten. Alle Zeitstempel sind UTC, alle PII (Namen, E-Mails) werden nur im PDF im Klartext gezeigt, nicht in den Logs. Das Audit-PDF wird zusammen mit dem signierten Vertrag versiegelt und im Archiv abgelegt.
Funktioniert das auch ohne Internet beim Empfänger?
Der Sign-Vorgang selbst läuft im Browser und braucht eine aktive Verbindung - der Empfänger lädt das PDF von unserem Server, zeichnet seine Unterschrift, und das versiegelte Ergebnis wird zurückgeschickt. Offline-Signatur ist Phase-2-Roadmap (mobile Signpad mit Sync-Queue). Tipp: Auch in Zügen oder Hotels mit schwachem WLAN reichen ein paar Sekunden Verbindung - der Sign-Vorgang selbst transferiert nur wenige KB.
Wie kann ich die Echtheit eines Vertrags später nachweisen?
Drei Wege: (1) PDF in Adobe Reader öffnen - Reader prüft den Hash automatisch und zeigt grünes Häkchen bei Integrität. (2) Audit-Validierung unter /audit/[token] auf unserer Seite - ohne Login, der Token steht im Audit-PDF. (3) Hash-Vergleich: Im signierten PDF ist der ursprüngliche SHA-256 hinterlegt; vergleichen Sie ihn mit dem Hash der heruntergeladenen Datei (`shasum -a 256 vertrag.pdf` auf der Kommandozeile).

Probieren Sie es selbst aus

Registrierung in 30 Sekunden. Erste Signatur sofort. Empfänger ohne Konto.

Jetzt loslegenPreise ansehen

Verwandte Themen