Compliance · Article 11.2

eIDAS: Was eine Clozo-Signatur in der EU rechtlich bindend macht

Die EU-Verordnung 910/2014 (eIDAS) definiert drei Signaturebenen und weist jeder ein klares rechtliches Gewicht zu. Clozo stellt eine Einfache Elektronische Signatur (EES) gemäß Art. 3(10) aus, gestützt auf einen robusten Prüfpfad. Für alltägliche gewerbliche Freelancer-Arbeit in der EU ist dies ausreichend und durchsetzbar; der Prüfpfad liefert das Beweisgewicht, das die Signatur im Streitfall verteidigungsfähig macht.

TL;DR — what to remember

eIDAS Reg. 910/2014 definiert drei Signaturebenen: EES (Art. 3(10)), FES (Art. 3(11) + Art. 26), QES (Art. 3(12) + Art. 28).
Clozo stellt eine EES gemäß Art. 3(10) aus – eingetippter Name, PIN-gesicherter E-Mail-Besitz, IP/UA/Zeitstempel, Einwilligungsdatensatz – gestützt auf eine 10-jährige SignatureAudit-Zeile.
Gemäß Art. 25(1) „darf einer Clozo-Signatur die Rechtswirkung ... nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt". Gleichwertigkeit mit einer handschriftlichen Unterschrift gemäß Art. 25(2) gilt nur für QES.
Für alltägliche gewerbliche Freelancer-Arbeit akzeptieren Gerichte in DE/FR/ES/NL/PL/IT routinemäßig EES + Prüfpfad als ausreichenden Nachweis der Annahme nach nationalem Vertragsrecht.
Der Prüfpfad wird 10 Jahre aufbewahrt und kann nicht innerhalb des Aufbewahrungsfensters gelöscht werden (DSGVO Art. 17(3)(b) Ausnahme für gesetzlich vorgeschriebene Aufbewahrung).

Wenn Ihr Kunde auf Unterzeichnen klickt, erfasst Clozo einen eingetippten Namen, einen PIN-gesicherten E-Mail-Besitznachweis, die IP und den User-Agent sowie einen serverseitigen Zeitstempel und schreibt diese in eine SignatureAudit-Zeile neben dem gerenderten Dienstleistungsvertrag. Das Ergebnis ist eine Einfache Elektronische Signatur gemäß Artikel 3(10) der Verordnung (EU) Nr. 910/2014 (eIDAS) – keine Fortgeschrittene Elektronische Signatur gemäß Art. 3(11) und keine Qualifizierte Elektronische Signatur gemäß Art. 3(12). Was sie verteidigungsfähig macht, ist der Prüfpfad, nicht die Signaturklassifizierung. Artikel 25(1) gibt jeder elektronischen Signatur einen Rechtswirkungs-Mindestboden: Ihr kann die Rechtswirkung oder Zulässigkeit als Beweismittel nicht allein deshalb abgesprochen werden, weil sie elektronisch ist. Von dort aus bestimmt die Qualität des Prüfpfads, wie überzeugend der Beweis in einem spezifischen Streit ist. Dieser Artikel beschreibt die drei eIDAS-Ebenen, warum Clozo bewusst EES (nicht FES) in v1 ausliefert, und was das für alltägliche Freelance-Verträge bedeutet.

Why this works this way

Die drei eIDAS-Signaturebenen (alle aus Verordnung (EU) Nr. 910/2014):

Ebene	Artikel	Was erforderlich ist	Rechtliche Wirkung
Einfache Elektronische Signatur (EES)	Art. 3(10)	„Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit diesen verbunden sind und die der Unterzeichner zum Unterzeichnen verwendet" – eingetippter Name, angekreuztes Kästchen, PIN-Eingabe, Klick-zum-Unterzeichnen	Art. 25(1): „darf eine elektronische Signatur nicht allein deshalb die Rechtswirkung abgesprochen werden und ist sie nicht allein deshalb als Beweismittel in Gerichtsverfahren unzulässig, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt." Das Beweisgewicht kommt aus dem umgebenden Prüfpfad.
Fortgeschrittene Elektronische Signatur (FES)	Art. 3(11), Art. 26	Vier kumulative Bedingungen: (a) eindeutig dem Unterzeichner zugeordnet, (b) fähig, den Unterzeichner zu identifizieren, (c) unter seiner alleinigen Kontrolle erstellt, (d) so mit den damit unterzeichneten Daten verbunden, dass jede nachträgliche Änderung erkennbar ist	Gleicher Art.-25(1)-Nicht-Diskriminierungs-Boden. FES allein schaltet Art. 25(2) nicht frei – das ist QES-Gebiet. Der praktische FES-Vorteil ist die Integritätserkennung (d), die ein kryptographisches Siegel voraussetzt, das die Signatur an das Dokument bindet.
Qualifizierte Elektronische Signatur (QES)	Art. 3(12), Art. 28	FES + qualifiziertes Zertifikat von einem EU-Vertrauensdienstanbieter + qualifizierte Signaturerstellungseinheit (Hardware-Token, Smartcard auf der EU-Vertrauensliste)	Art. 25(2): „Eine qualifizierte elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift." Art. 25(3): Eine QES auf der Grundlage eines qualifizierten Zertifikats, das in einem Mitgliedstaat ausgestellt wurde, wird in allen anderen Mitgliedstaaten als QES anerkannt.

Warum Clozo EES und nicht FES ausstellt. [A-007] in unserer DECISIONS.md ist eindeutig: „e-Signatur: eIDAS EES (Einfache Elektronische Signatur) – Klick-zum-Unterzeichnen + E-Mail-Bestätigung. IP + Zeitstempel + E-Mail-Kette 10 Jahre aufbewahren." Der laufende Code stimmt damit überein: Das SignatureAudit-Modell in apps/proposals/models.py erfasst signed_at, ip_address, user_agent, signer_name, signer_email, consent und raw_event (vollständige Anforderungsheader als JSONB) – berechnet und speichert aber keinen SHA-256-Hash des gerenderten PDFs, und der Signaturpfad bindet kein kryptographisches Siegel an den Dokumenteninhalt in einer Weise, die Art. 26(d) erfüllt. RFC 3161 Trusted Timestamping ist auf der [D-111]-Roadmap (Phase 4), ist aber kein Teil des v1-Signaturpfads. Das v1-Produkt als Fortgeschrittene Elektronische Signatur zu bezeichnen, wäre ungenau und würde Freelancer einer Zitatanfechtung aussetzen, wenn sie die Signatur jemals verteidigen müssten.

*Was Clozo tatsächlich atomar bei der Unterzeichnung erfasst.*

1. Identitätsangabe – der eingetippte Unterzeichnername sowie die E-Mail-Adresse, die das Angebot empfangen hat, müssen mit dem Kundendatensatz übereinstimmen (signer_name, signer_email in SignatureAudit). 2. Besitznachweis – ein 4-stelliger Zugangscode (PIN) wurde korrekt eingegeben, bevor die Unterzeichnungsoberfläche entsperrt wurde, was den Zugang zum E-Mail-Postfach belegt, in das er geliefert wurde. Gemäß dem laufenden Code (HIGH-BE-002-Härtung, Audit 2026-04-28): am öffentlichen Angebotsendpunkt sperren 5 falsche PIN-Versuche innerhalb eines gleitenden 1-Stunden-Fensters den Angebots-Slug für 24 Stunden (Pro-Slug-Sperrung, getrennt vom Pro-IP-Ratenlimit von 10 Anfragen/Minute am selben Endpunkt). Erfolgreiche PIN-Eingabe setzt den Fehlerzähler zurück. Das Änderungs-PIN-Gate verwendet dasselbe 5-Fehler-→-24h-Sperrmuster auf seinem eigenen Slug-Schlüssel. 3. Technischer Kontext – ip_address (GenericIPAddressField), user_agent-String und die vollständigen Anforderungsheader in raw_event (JSONB), alle in einer Datenbanktransaktion mit signed_at geschrieben. 4. Einwilligungsdatensatz – das consent-Feld erfasst die affirmative Bestätigung des Unterzeichners, dass er befugt ist, die genannte Partei zu binden.

Beachten Sie, was in dieser Liste nicht enthalten ist: kein pdf_hash-Feld, kein hashlib.sha256-Aufruf im Signaturcode-Pfad, keine qualifizierte-Vertrauensdienstanbieter-Integration, kein Smart-Card- oder Hardware-Token-Ablauf. Dies sind die Elemente, die FES (Art. 26(d) Fälschungssicherheit) und QES (Art. 28 qualifiziertes Zertifikat) von EES unterscheiden würden, und Clozo liefert sie absichtlich nicht in v1. Das Dienstleistungsvertrag-PDF wird unveränderlich in Cloudflare R2 (EU-Region) mit einem legal_hold-Flag gerendert, was Integrität auf Speicherebene bietet (die Datei kann innerhalb des Aufbewahrungsfensters nicht überschrieben oder gelöscht werden) – das ist aber nicht dasselbe wie eine kryptographische Signatur-zu-Dokument-Bindung gemäß Art. 26(d).

Was das in der Praxis bedeutet. Gemäß Art. 25(1) hat eine Clozo EES denselben Rechtswirkungs-Nicht-Diskriminierungs-Boden wie jede elektronische Signatur: Ein Gericht kann sie nicht allein deshalb ablehnen, weil sie elektronisch ist. Ob ein Gericht sie als ausreichenden Nachweis der vertraglichen Annahme für einen spezifischen Streit behandeln wird, hängt vom zugrunde liegenden Prüfpfad und vom nationalen Zivilrecht ab. Für alltägliche gewerbliche Freelancer-Arbeit in DE / FR / ES / NL / PL / IT behandeln Gerichte routinemäßig eine EES, gestützt auf einen robusten Prüfpfad (eingetippter Name, E-Mail-Besitz-PIN, IP, User-Agent, Zeitstempel, Einwilligungsdatensatz, 10 Jahre aufbewahrt), als ausreichenden Nachweis, dass ein Vertrag angenommen wurde. Die strikte Gleichwertigkeit gemäß eIDAS Art. 25(2) ("hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift") gilt nur für QES, nicht für EES oder FES allein.

Troubleshooting

Keep reading

Proposals & Invoices

The three documents: Proposal, Service Agreement, and the signed PDF

A signed Clozo proposal produces three legal artefacts: the Proposal PDF (the offer), the Service Agreement (the binding contract), and a stored audit trail. Each plays a different legal role under EU contract law and eIDAS Reg. 910/2014.

Proposals & Invoices

The e-signature flow — what happens when your client clicks Sign

A single click triggers a four-part evidence capture, generates the Service Agreement, fires confirmation emails, and queues the deposit invoice — all in one atomic transaction under 200ms.

Lifecycle

Status: Signed — legally binding, audit trail captured

The client clicked Sign. Clozo collects an eIDAS-compliant evidence stack, generates the signed Service Agreement PDF, fires confirmation emails to both parties, and queues the deposit invoice. The proposal is now a contract.

Compliance

10-year retention: GoBD §147 AO and its EU equivalents

Tax-relevant documents — invoices, receipts, signed agreements, payment records — must be available to a tax-office inspector for ten years. Clozo enforces this server-side across every EU jurisdiction.