← Zurück zum Blog

eIDAS qualifizierte Zeitstempel für digitale Beweise: der vollständige Leitfaden für Anwälte 2026

Wenn Ihre Beweise einem Kreuzverhör standhalten müssen, lautet die Frage nicht, ob Sie einen Zeitstempel haben. Die Frage ist, ob der Zeitstempel eine strukturierte rechtliche Anfechtung übersteht. Dieser Leitfaden erklärt qualifizierte Zeitstempel nach Artikel 41 der eIDAS-Verordnung: wie sie funktionieren, warum sie wichtig sind, welche Anbieter sie ausstellen und wie Gerichte in 27 EU-Mitgliedstaaten sie behandeln.

eIDAS Artikel 41 Gerichtsbeweis 30 Min. Lesezeit

Warum es diesen Leitfaden gibt

Wenn digitale Beweise in einen Gerichtssaal gelangen, tragen sie eine leise, aber entscheidende Frage mit sich: Wann geschah dies? Nicht die Zeit auf dem Screenshot. Nicht das Datum in den Dateimetadaten. Der belastbare, mathematisch beweisbare, rechtlich anerkannte Zeitpunkt, zu dem dieser Inhalt in genau dieser Form existierte.

Für die meisten Anwälte bedeutete diese Frage früher, einen Notar aufzusuchen, mehrere Hundert Euro zu zahlen und zwei Wochen zu warten. Für eine wachsende Zahl von Fällen skaliert dieser Ansatz nicht mehr — zu viele strittige Beiträge, zu viele bearbeitete Artikel, zu viele Richtlinienseiten, die sich klammheimlich ändern. Also wandten sich Anwälte digitalen Werkzeugen zu. Und digitale Werkzeuge brachten ihr eigenes Problem mit sich: Wie beweist man, dass ein digitaler Zeitstempel nicht nachträglich hinzugefügt wurde?

Die Europäische Union löste dieses Problem 2014. Die Verordnung (EU) Nr. 910/2014, allgemein als eIDAS bekannt, schuf einen verbindlichen Rechtsrahmen für das, was sie qualifizierte Zeitstempel nennt — kryptografische Zeitstempel, ausgestellt von akkreditierten Anbietern, die in allen 27 Mitgliedstaaten eine Richtigkeitsvermutung tragen. Bis 2026 sind qualifizierte Zeitstempel zum Standard für gerichtlich verwertbare digitale Beweise in Kontinentaleuropa geworden und zu einem wachsenden Bezugspunkt in Fällen, die EU-Grenzen überschreiten.

Dieser Leitfaden erklärt alles, was praktizierende Anwälte, Compliance-Verantwortliche und forensische Sachverständige im Jahr 2026 über qualifizierte Zeitstempel wissen müssen. Er behandelt die rechtliche Grundlage in Artikel 41, den technischen Mechanismus hinter RFC 3161, die qualifizierten Vertrauensdiensteanbieter, die diese Zeitstempel ausstellen, die EU-Vertrauensliste, die sie akkreditiert, die praktischen Arbeitsabläufe für ihre Verwendung im Rechtsstreit und die künftige Richtung von eIDAS 2.0.

Er ist lang. Er ist detailliert. Es ist der Artikel, den wir uns gewünscht hätten, als wir versuchten, all dies von Grund auf zu verstehen. Wenn Sie mit digitalen Beweisen zu tun haben, speichern Sie diese Seite. Sie werden zu ihr zurückkehren.

Was ein Zeitstempel forensisch betrachtet tatsächlich ist

Bevor wir speziell über qualifizierte Zeitstempel sprechen, ist es hilfreich, präzise zu sein, was ein Zeitstempel im Kontext digitaler Beweise überhaupt ist. Das Wort bedeutet in verschiedenen Zusammenhängen Unterschiedliches, und diese zu vermengen ist die häufigste Quelle von Verwirrung vor Gericht.

Im alltäglichen Computergebrauch ist ein Zeitstempel nur ein Datum, das an eine Datei oder ein Ereignis geheftet wird. Die Uhr Ihres Laptops zeigt 14:32 Uhr am 15. März, und die Datei zeigt diese Zeit. Dieser Zeitstempel kann von jedem mit Systemzugriff in Sekunden geändert werden. Er trägt keine Beweiskraft über das hinaus, was der Verfasser zu behaupten wählte.

In der digitalen Forensik wird ein Zeitstempel erst dann aussagekräftig, wenn er drei Bedingungen erfüllt. Er muss von einem Dritten ausgestellt werden, der keinen Anreiz hat, über die Zeit zu lügen. Er muss kryptografisch an den konkreten Inhalt gebunden sein, den er beschreibt, sodass der Zeitstempel später nicht abgelöst und an anderen Inhalt angehängt werden kann. Und er muss von jedem überprüfbar sein, der Zugriff auf die Public-Key-Infrastruktur der ausstellenden Stelle hat, sodass die Gültigkeit des Zeitstempels nicht auf dem Vertrauen in die vorlegende Partei beruht.

Ein Zeitstempel, der diese drei Bedingungen erfüllt, wird als vertrauenswürdiger Zeitstempel bezeichnet. Die technische Spezifikation für vertrauenswürdige Zeitstempel ist RFC 3161, veröffentlicht von der Internet Engineering Task Force im Jahr 2001. RFC 3161-Zeitstempel werden von Zeitstempelstellen (Time Stamping Authorities, abgekürzt TSAs) ausgestellt — Servern, die einen Hash von Inhalten entgegennehmen und ein signiertes Token zurückgeben, das diesen Hash plus die aktuelle Zeit enthält und mit dem privaten Schlüssel der TSA signiert ist.

Ein qualifizierter Zeitstempel nach eIDAS ist eine bestimmte Art vertrauenswürdigen Zeitstempels. Es ist ein RFC 3161-Zeitstempel, der zusätzliche regulatorische Anforderungen erfüllt — die ausstellende TSA muss von einem qualifizierten Vertrauensdiensteanbieter (QTSP) betrieben werden, der QTSP muss auf der von den Behörden der Mitgliedstaaten geführten europäischen Vertrauensliste geführt sein, und die technische Umsetzung muss detaillierten, von ETSI veröffentlichten Standards entsprechen. Das Ergebnis ist ein Zeitstempel, der eine Rechtskraft trägt, die ein generisches RFC 3161-Token weit übersteigt.

Die eIDAS-Verordnung: rechtliche Grundlage

Die eIDAS-Verordnung, förmlich Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt, ist die rechtliche Grundlage für alles, was in diesem Leitfaden behandelt wird. Sie trat am 1. Juli 2016 in Kraft und ist seit diesem Datum in allen Mitgliedstaaten unmittelbar anwendbar.

Die Verordnung leistet mehrere Dinge zugleich. Sie begründet die rechtliche Anerkennung elektronischer Signaturen auf EU-Ebene. Sie schafft einen Rahmen für grenzüberschreitende elektronische Identifizierung. Sie definiert Vertrauensdienste, einschließlich Zeitstempelung, elektronischer Siegel, elektronischer Einschreibezustellung und Website-Authentifizierung. Und sie schafft die regulatorische Kategorie der qualifizierten Vertrauensdiensteanbieter, die einer verstärkten Aufsicht unterliegen und deren Dienste stärkere Rechtswirkungen entfalten als nicht-qualifizierte Entsprechungen.

Für digitale Beweise sind drei Artikel der eIDAS-Verordnung am wichtigsten: Artikel 41, der die Rechtswirkung elektronischer Zeitstempel definiert; Artikel 42, der die technischen und betrieblichen Anforderungen an qualifizierte Zeitstempel definiert; und Artikel 22, der den Vertrauenslisten-Mechanismus schafft, der es jedem ermöglicht zu überprüfen, ob ein bestimmter Vertrauensdiensteanbieter qualifiziert ist.

Es ist erwähnenswert, dass eIDAS eine Verordnung ist, keine Richtlinie. Das ist eine entscheidende Unterscheidung im EU-Recht. Eine Richtlinie setzt Ziele, die die Mitgliedstaaten durch nationale Gesetzgebung umsetzen müssen, wobei erhebliche Abweichungen möglich sind. Eine Verordnung entfaltet unmittelbare Wirkung in allen Mitgliedstaaten ohne nationale Umsetzung, und der Wortlaut der Verordnung ist der verbindliche Text. Wenn ein Gericht in irgendeinem Mitgliedstaat einen qualifizierten Zeitstempel bewertet, wendet es denselben Rechtstext an — es gibt keine lokale Variante des Artikels 41.

Artikel 41: Rechtswirkung elektronischer Zeitstempel

Artikel 41 der eIDAS-Verordnung ist die mit Abstand wichtigste Bestimmung zum Verständnis der Rechtskraft qualifizierter Zeitstempel. Er ist kurz — nur drei Absätze — aber jeder Absatz leistet wichtige Arbeit. Der vollständige Wortlaut ist es wert, sorgfältig gelesen zu werden.

Absatz 1 legt die Untergrenze fest. Er besagt, dass einem elektronischen Zeitstempel die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden dürfen, weil er in elektronischer Form vorliegt oder weil er die Anforderungen an qualifizierte elektronische Zeitstempel nicht erfüllt. In einfacher Sprache: Gerichte dürfen einen Zeitstempel nicht allein deshalb ablehnen, weil er elektronisch ist, selbst wenn er kein qualifizierter Zeitstempel ist. Das ist die Grundregel gegen eine formbasierte Ablehnung.

Absatz 2 begründet das Privileg qualifizierter Zeitstempel. Er besagt, dass für einen qualifizierten elektronischen Zeitstempel die Vermutung der Richtigkeit des von ihm angegebenen Datums und der Uhrzeit sowie der Integrität der Daten, mit denen Datum und Uhrzeit verbunden sind, gilt. Das ist der zentrale rechtliche Vorteil. Die Vermutung verlagert die Beweislast. In einem Gerichtsverfahren muss die Partei, die den Zeitstempel anficht, dessen Unrichtigkeit beweisen, statt dass die vorlegende Partei dessen Richtigkeit beweisen muss.

Absatz 3 begründet die grenzüberschreitende Anerkennung. Er besagt, dass ein in einem Mitgliedstaat ausgestellter qualifizierter elektronischer Zeitstempel in allen Mitgliedstaaten als qualifizierter elektronischer Zeitstempel anerkannt wird. Das bedeutet, dass ein von einem slowakischen QTSP ausgestellter Zeitstempel vor einem französischen Gericht dieselbe Vermutung trägt wie vor einem slowakischen Gericht. Es ist keine gesonderte Akkreditierung für jede Rechtsordnung erforderlich.

Die praktische Wirkung von Artikel 41 ist tiefgreifend. Wenn Sie einem Gericht einen Screenshot ganz ohne Zeitstempel vorlegen, tragen Sie die volle Last, zu beweisen, wann er aufgenommen wurde. Legen Sie ihn mit einem einfachen Zeitstempel Ihres Computers vor, haben Sie einen etwas stärkeren Beweis, tragen aber weiterhin den Großteil der Last. Legen Sie ihn mit einem qualifizierten Zeitstempel eines in der EU gelisteten QTSP vor, kehrt sich die Last um. Die Gegenseite muss nun beweisen, dass der Zeitstempel unrichtig ist — eine erheblich schwierigere Aufgabe, die typischerweise forensische Fachkenntnis und konkrete Belege für eine Kompromittierung der TSA erfordert.

Diese Vermutung ist der praktische Grund, warum qualifizierte Zeitstempel existieren. Sie sind nicht bloß eine technische Kuriosität. Sie sind ein rechtlicher Hebel, der die Dynamik von Rechtsstreitigkeiten rund um digitale Beweise verändert.

Artikel 42: Anforderungen an qualifizierte Zeitstempel

Artikel 42 legt fest, was einen Zeitstempel für die privilegierte Behandlung nach Artikel 41 qualifiziert. Er listet vier kumulative Anforderungen auf. Jede Anforderung muss erfüllt sein, damit der Zeitstempel qualifiziert ist.

Erstens muss der Zeitstempel Datum und Uhrzeit so mit den Daten verbinden, dass die Möglichkeit einer unbemerkten Veränderung der Daten nach vernünftigem Ermessen ausgeschlossen ist. In der Praxis bedeutet dies, dass der Zeitstempel einen kryptografischen Hash der zeitgestempelten Daten enthalten muss und die Verbindung zwischen Hash und Zeit ihrerseits kryptografisch signiert sein muss. RFC 3161 erfüllt diese Anforderung bei korrekter Umsetzung.

Zweitens muss der Zeitstempel auf einer präzisen Zeitquelle beruhen, die mit der koordinierten Weltzeit (UTC) verbunden ist. Damit ist die Verwendung einer Serveruhr ausgeschlossen, die abweicht oder nicht synchronisiert wurde. Qualifizierte TSPs verwenden typischerweise NTP-Synchronisation mit Atomuhr-Referenzen, und viele nutzen mehrere unabhängige Zeitquellen zur Redundanz. Die geforderte Genauigkeit wird in der Regel in Millisekunden gemessen.

Drittens muss der Zeitstempel mit einer fortgeschrittenen elektronischen Signatur oder einem fortgeschrittenen elektronischen Siegel des qualifizierten Vertrauensdiensteanbieters oder durch ein gleichwertiges Verfahren signiert sein. Die Signaturanforderung ist wichtig. Sie bedeutet, dass der Zeitstempel an den konkreten QTSP gebunden ist und die Identität des QTSP kryptografisch im Zeitstempel selbst eingebettet ist. Gerichte können daher überprüfen, welche Stelle den Zeitstempel ausgestellt hat, ohne einer externen Behauptung vertrauen zu müssen.

Viertens muss der QTSP auf der Vertrauensliste eines Mitgliedstaats geführt sein. Das ist die Akkreditierungsanforderung. Ein Zeitstempel eines nicht gelisteten Anbieters — selbst wenn er technisch einwandfrei ist — ist kein qualifizierter Zeitstempel. Wir behandeln den Vertrauenslisten-Mechanismus später in diesem Leitfaden ausführlich.

Zusammen schaffen diese vier Anforderungen einen Zeitstempel, der technisch robust, nachvollziehbar von einer akkreditierten Stelle ausgestellt und rechtlich privilegiert ist. Jede Anforderung schließt einen bestimmten Angriffsvektor, der andernfalls eine Anfechtung des Zeitstempels ermöglichen würde.

Qualifizierte vs. einfache Zeitstempel: was sich in der Praxis ändert

Die Unterscheidung zwischen qualifizierten und einfachen Zeitstempeln wird bisweilen als technisches Detail dargestellt. Das ist sie nicht. Der praktische Unterschied im Rechtsstreit ist erheblich, und Anwälte, die beide als austauschbar behandeln, setzen ihre Mandanten vermeidbaren Risiken aus.

Ein einfacher Zeitstempel — nach Artikel 41 Abs. 1 auch als regulärer elektronischer Zeitstempel bezeichnet — ist jeder Zeitstempel, der ein gewisses Grundmaß an Vertrauen erfüllt, aber die kumulativen Anforderungen des Artikels 42 nicht erfüllt. Beispiele sind: ein Zeitstempel einer TSA, die nicht auf einer Vertrauensliste steht; ein Zeitstempel eines QTSP, der für einen Dienst ausgestellt wurde, der nicht sein qualifizierter Dienst ist; ein OpenTimestamps-Nachweis, der in Bitcoin verankert ist; ein Zeitstempel eines generischen kostenlosen Dienstes. Diese Zeitstempel haben Beweiswert, aber die Beweislast liegt bei der vorlegenden Partei.

Ein qualifizierter Zeitstempel nach Artikel 41 Abs. 2 trägt die gesetzliche Richtigkeitsvermutung. Die Beweislast verlagert sich auf die anfechtende Partei. Im Zivilprozess in Kontinentaleuropa ist dies oft ergebnisentscheidend. Die Partei, die den qualifizierten Zeitstempel vorlegt, kann sich auf die Vermutung stützen. Die anfechtende Partei muss in forensische Sachverständige und strukturierte technische Argumente investieren, um sie zu widerlegen.

Es gibt auch einen praktischen Unterschied darin, wie jede Art von Zeitstempel überprüft wird. Ein einfacher Zeitstempel erfordert typischerweise, dass der Prüfer den öffentlichen Schlüssel manuell beschafft, die Zertifikatskette manuell prüft und die Signatur manuell verifiziert. Ein qualifizierter Zeitstempel kann automatisch anhand der EU-Vertrauensliste mit frei verfügbaren Open-Source-Werkzeugen überprüft werden. Der Verifizierungsprozess ist standardisiert und in ETSI TS 119 612 dokumentiert.

Schließlich gibt es einen Wahrnehmungsunterschied. Richter und gegnerische Anwälte, die regelmäßig mit digitalen Beweisen zu tun haben, verstehen den qualifizierten Zeitstempel als eine bekannte regulatorische Kategorie mit vorhersehbaren Rechtswirkungen. Einen individuellen proprietären Zeitstempel eines Anbieters, von dem sie nie gehört haben, verstehen sie möglicherweise nicht. Der qualifizierte Zeitstempel bringt eine eingebaute institutionelle Glaubwürdigkeit mit sich.

RFC 3161: das technische Rückgrat

Jeder qualifizierte Zeitstempel nach eIDAS ist technisch ein RFC 3161-Zeitstempel mit zusätzlicher regulatorischer Akkreditierung. Das Verständnis von RFC 3161 ist daher für jeden unerlässlich, der auf technischer Ebene mit digitalen Beweisen arbeitet. Das Protokoll ist im IETF-Dokument RFC 3161 mit dem Titel Internet X.509 Public Key Infrastructure Time-Stamp Protocol definiert, veröffentlicht im August 2001 und durch RFC 5816 im Jahr 2010 geändert.

Das Protokoll ist unkompliziert. Die Partei, die einen Zeitstempel anfordert, berechnet einen kryptografischen Hash der Daten, die sie zeitstempeln möchte. Der Hash wird an die Zeitstempelstelle gesendet, zusammen mit Metadaten wie dem angeforderten Hash-Algorithmus und einer Nonce zum Schutz vor Wiederholungsangriffen. Die TSA gibt eine TimeStampResp-Nachricht zurück, die ein signiertes TimeStampToken enthält. Das Token enthält den ursprünglichen Hash, die aktuelle UTC-Zeit, die Richtlinie, unter der der Zeitstempel ausgestellt wurde, die Kennung der TSA und eine kryptografische Signatur, die all dies zusammenbindet.

Der Prüfer kann den Zeitstempel später überprüfen, indem er den Hash der Originaldaten neu berechnet und mit dem Hash im TimeStampToken vergleicht. Stimmen sie überein und ist die Signatur der TSA gültig, beweist der Zeitstempel, dass die Daten zum im Token angegebenen Zeitpunkt in genau dieser Form existierten. Stimmen sie nicht überein, wurden die Daten verändert, und der Zeitstempel gilt nicht mehr für sie.

Die Signatur der TSA wird anhand einer Zertifikatskette überprüft, die letztlich zu einem vertrauenswürdigen Wurzelzertifikat führt. Bei qualifizierten Zeitstempeln muss diese Wurzel das Zertifikat des auf der EU-Vertrauensliste geführten QTSP sein. Die Zertifikatskette umfasst Zwischenzertifikate, die das Signaturzertifikat der TSA zur vertrauenswürdigen Wurzel zurückverknüpfen. Alle Zertifikate sind X.509-Zertifikate, die den üblichen PKI-Konventionen folgen.

RFC 3161-Zeitstempel haben mehrere praktische Vorteile. Sie sind kompakt — typischerweise wenige Kilobyte, unabhängig von der Größe der zeitgestempelten Daten. Sie sind unabhängig von den Originaldaten — die TSA sieht nie den tatsächlichen Inhalt, nur dessen Hash. Sie sind offline überprüfbar — sobald Sie den Zeitstempel, die Originaldaten und die Zertifikatskette haben, ist keine weitere Kommunikation mit der TSA nötig.

Diese Eigenschaften machen RFC 3161 zur Grundlage nahezu jedes ernstzunehmenden Systems zur Sicherung digitaler Beweise — von der PDF-Signierung in Adobe Acrobat über qualifizierte elektronische Signaturen nach eIDAS bis hin zu forensischen Erfassungswerkzeugen im Rechtsstreit.

Qualifizierte Vertrauensdiensteanbieter in der EU

Ein qualifizierter Vertrauensdiensteanbieter (QTSP) ist eine nach der eIDAS-Verordnung akkreditierte Organisation, die einen oder mehrere qualifizierte Vertrauensdienste erbringt. Zu Beginn des Jahres 2026 gibt es rund 240 QTSPs in der EU und im EWR, die eine Reihe qualifizierter Dienste anbieten, darunter elektronische Signaturen, elektronische Siegel, qualifizierte Zeitstempel, qualifizierte elektronische Einschreibezustellung und qualifizierte Website-Authentifizierung.

Ein QTSP zu werden, erfordert einen strukturierten Akkreditierungsprozess. Der Anbieter muss detaillierte technische Anforderungen erfüllen, die in ETSI-Standards festgelegt sind, einschließlich der Wahl kryptografischer Algorithmen, Schlüsselverwaltungsverfahren, Genauigkeit der Zeitquelle, Audit-Protokollierung, Notfallplanung und Informationssicherheitsmanagement. Der Anbieter muss ein Audit durch eine Konformitätsbewertungsstelle durchlaufen, die einen Konformitätsbewertungsbericht erstellt. Der Bericht und ein Antrag werden bei der Aufsichtsstelle des Mitgliedstaats eingereicht, die typischerweise eine nationale Behörde für Cybersicherheit oder Telekommunikationsregulierung ist. Die Aufsichtsstelle bewertet den Antrag und entscheidet, ob der qualifizierte Status gewährt wird.

Einmal gewährt, muss der qualifizierte Status durch fortlaufende Audits in Abständen von höchstens 24 Monaten aufrechterhalten werden. Der QTSP muss außerdem jeden Sicherheitsvorfall oder jede Dienstunterbrechung innerhalb von 24 Stunden melden, sowohl der Aufsichtsstelle als auch allen betroffenen Kunden. Diese Pflichten schaffen einen fortlaufenden Rechenschaftsmechanismus, der qualifizierte Anbieter von generischen kommerziellen Vertrauensdiensten unterscheidet.

Die geografische Verteilung der QTSPs ist ungleichmäßig. Italien weist die höchste Konzentration auf, mit über 30 aktiven QTSPs. Spanien, Deutschland, Frankreich und die Niederlande haben jeweils zwischen 15 und 25. Kleinere Mitgliedstaaten haben oft nur ein oder zwei — aber wichtig ist: Selbst ein einziger QTSP in einem kleinen Staat stellt Zeitstempel aus, die nach Artikel 41 Abs. 3 in allen 27 Mitgliedstaaten anerkannt werden.

Für praktische Zwecke müssen Anwälte keinen QTSP aus ihrer eigenen Rechtsordnung verwenden. Ein französischer Anwalt kann einen slowakischen QTSP, einen italienischen QTSP oder einen niederländischen QTSP nutzen, und der resultierende qualifizierte Zeitstempel wird vor französischen Gerichten mit derselben Rechtswirkung anerkannt wie ein Zeitstempel eines französischen QTSP. Diese grenzüberschreitende Gleichwertigkeit ist eines der nützlichsten praktischen Merkmale des eIDAS-Rahmens.

Manche QTSPs sind für Anwendungsfälle der Beweissicherung zugänglicher als andere. Viele wurden ursprünglich gegründet, um Anwendungsfälle elektronischer Signaturen für Banken, Behörden und Großunternehmen zu bedienen, und ihre kommerziellen Angebote spiegeln dies wider — hohe Mindestmengen, komplexe Verträge, technische Integrationsanforderungen, die für IT-Abteilungen statt für Anwaltskanzleien konzipiert sind. Eine kleinere Teilmenge von QTSPs bietet zugängliche APIs und nutzungsbasierte Preise, die für Beweissicherungs-Arbeitsabläufe geeignet sind.

Die EU-Vertrauensliste erklärt

Die EU-Vertrauensliste, mitunter als LOTL — List of Trusted Lists — abgekürzt, ist das zentrale Register, das dem qualifizierten Status seine Bedeutung verleiht. Ohne die Vertrauensliste gäbe es keine objektive Möglichkeit zu bestimmen, welche Anbieter qualifiziert sind. Mit ihr kann jeder den Status eines QTSP programmatisch, in Sekunden und allein anhand öffentlicher Informationen überprüfen.

Die Vertrauensliste ist als Hierarchie aufgebaut. An der Spitze steht die LOTL selbst, veröffentlicht von der Europäischen Kommission. Die LOTL enthält Verweise auf die nationale Vertrauensliste jedes Mitgliedstaats. Jede nationale Vertrauensliste wird von der Aufsichtsstelle des jeweiligen Mitgliedstaats veröffentlicht und enthält die tatsächlichen Einträge für die in diesem Staat akkreditierten QTSPs. Jeder Eintrag umfasst die Identität des QTSP, die von ihm erbrachten qualifizierten Dienste, die zur Ausstellung dieser Dienste verwendeten Zertifikate, das Datum der Gewährung des qualifizierten Status und alle historischen Änderungen des Eintrags.

Die Vertrauenslisten werden als XML-Dateien veröffentlicht. Die LOTL ist ein XML-Dokument mit einer bestimmten Struktur, die in ETSI TS 119 612 definiert ist. Nationale Vertrauenslisten folgen derselben Struktur. Beide werden von der veröffentlichenden Behörde mit einer Zertifikatskette signiert, die unabhängig überprüft werden kann. Das XML-Format ist maschinenlesbar, was bedeutet, dass automatisierte Werkzeuge die LOTL abrufen, parsen, den Verweisen zu den nationalen Listen folgen, diese parsen und die vollständige Menge qualifizierter TSPs und ihrer Zertifikate extrahieren können.

Für Zwecke digitaler Beweise hat die Vertrauensliste zwei praktische Verwendungen. Erstens: Bei der Ausstellung eines qualifizierten Zeitstempels muss das Signaturzertifikat des QTSP auf ein Zertifikat zurückführen, das auf der einschlägigen nationalen Vertrauensliste geführt ist. Ohne diese Kette kann der Zeitstempel nicht qualifiziert sein. Zweitens: Bei der Überprüfung eines qualifizierten Zeitstempels Jahre später benötigt der Prüfer Zugriff auf die Vertrauensliste in dem Zustand, in dem sie zum Zeitpunkt der Ausstellung bestand, um zu bestätigen, dass der QTSP in jenem Moment qualifiziert war.

Diese zweite Verwendung wirft eine wichtige praktische Frage auf. Die Vertrauensliste ändert sich im Laufe der Zeit. QTSPs werden hinzugefügt und entfernt. Zertifikate werden erneuert und widerrufen. Ein Zeitstempel, der von einem QTSP ausgestellt wurde, der 2024 qualifiziert war, aber 2026 den qualifizierten Status verlor, ist weiterhin ein qualifizierter Zeitstempel — aber nur, wenn der Prüfer den Zustand der Vertrauensliste von 2024 rekonstruieren kann.

Bewährte Praxis ist es daher, eine Momentaufnahme der einschlägigen Vertrauensliste im Moment der Ausstellung eines qualifizierten Zeitstempels zu erfassen und diese Momentaufnahme neben dem Zeitstempel selbst aufzubewahren. Manche Beweissicherungssysteme tun dies automatisch, indem sie das LOTL-XML und die einschlägige nationale Vertrauensliste direkt in das Beweispaket einbetten. Das macht den Zeitstempel Jahre in die Zukunft selbstüberprüfbar, unabhängig von Änderungen an der aktiven Vertrauensliste.

Vergleich der wichtigsten QTSPs für die Beweissicherung

Die Auswahl eines QTSP für die Beweissicherung umfasst mehrere praktische Erwägungen jenseits des bloßen Qualifikationsstatus. Die API-Zugänglichkeit des Anbieters, die Unterstützung kryptografischer Algorithmen, die geografische Zuverlässigkeit, die Preisgestaltung, die Supportqualität und die Langlebigkeit — all das ist von Bedeutung. Wir umreißen nachfolgend die wichtigsten QTSPs, die häufig in Beweissicherungs-Arbeitsabläufen verwendet werden. Dies ist keine vollständige Liste, und die Auswahl hängt letztlich von den konkreten Bedürfnissen ab.

Disig mit Sitz in der Slowakei ist einer der am längsten etablierten QTSPs in Mitteleuropa. Er stellt seit der Umsetzung von eIDAS 2016 qualifizierte Zeitstempel aus, und sein Vorgängerdienst war bereits seit den frühen 2000er-Jahren nach früherem slowakischem Recht in Betrieb. Die TSA von Disig wird in Beweissicherungs-Arbeitsabläufen für mitteleuropäische Gerichte breit genutzt. Die Preisgestaltung tendiert zu Unternehmensverträgen. Der Dienst hatte gelegentliche Ausfälle, die zeitkritische Erfassungs-Arbeitsabläufe stören können. Disig steht auf der slowakischen nationalen Vertrauensliste.

SK ID Solutions mit Sitz in Estland betreibt einen der modernsten qualifizierten TSPs der EU. Der Anbieter wurde ursprünglich zur Unterstützung der estnischen nationalen E-Government-Infrastruktur gegründet und hat sich auf kommerzielle Dienste in der gesamten EU ausgeweitet. Die TSA-Infrastruktur ist auf hohe Verfügbarkeit mit mehreren geografischen Redundanzzonen, Atomuhr-Zeitquellen und einer veröffentlichten Verfügbarkeitsbilanz ausgelegt. SK ID Solutions stellt qualifizierte Zeitstempel aus, die die vollständige TSA-Zertifikatskette plus Verweise auf die estnische nationale Vertrauensliste enthalten. Der Anbieter steht auf der estnischen nationalen Vertrauensliste und wird in Beweissicherungssystemen einschließlich GetProofAnchor breit genutzt.

Aruba PEC mit Sitz in Italien ist gemessen am Volumen der größte QTSP der EU und bedient in erster Linie den italienischen Markt für qualifizierte elektronische Signaturen und das zugehörige System der Posta Elettronica Certificata. Er stellt auch qualifizierte Zeitstempel aus. Der Dienst ist vorrangig für italienische Anwendungsfälle konzipiert und gut in italienische Behördensysteme integriert.

InfoCert, ebenfalls italienisch, ist ein weiterer bedeutender QTSP mit umfangreichem Betrieb elektronischer Signaturen und qualifizierter Zeitstempeldienste. Wie Aruba PEC ist sein Hauptmarkt Italien, doch seine qualifizierten Zeitstempel werden in der gesamten EU anerkannt.

FNMT-RCM, die spanische staatliche Münz- und Briefmarkenfabrik, betreibt einen QTSP, der qualifizierte Zeitstempel ausstellt. Der Dienst wird in Spanien breit genutzt und ist in spanische Behördendienste integriert.

ASCERTIA, vor dem Brexit im Vereinigten Königreich ansässig und nun über Tochtergesellschaften in EU-Mitgliedstaaten tätig, bietet qualifizierte Zeitstempel als Teil eines breiteren Portfolios von Vertrauensdiensten an.

GlobalSign, obwohl vorrangig für allgemeine PKI-Dienste bekannt, betreibt qualifizierte TSP-Dienste über seine EU-Tochtergesellschaften und hat sowohl belgische als auch deutsche Vertrauenslisten-Einträge.

Bei der Auswahl eines QTSP speziell für die Beweissicherung sind die wichtigsten Faktoren: API-Zugänglichkeit für automatisierte Erfassungs-Arbeitsabläufe; die Bandbreite der unterstützten Hash-Algorithmen (SHA-256 ist das aktuelle Minimum, SHA-384 und SHA-512 werden zunehmend üblich); die Struktur der Zeitstempelantwort (manche QTSPs geben das vollständige TSA-Zertifikat im Zeitstempel-Token zurück, andere erfordern einen gesonderten Abruf); und die Verfügbarkeitsbilanz. Die Preise variieren stark und werden oft verhandelt; nutzungsbasierte Preise pro Stempel sind für die Beweissicherung zugänglicher als monatliche Unternehmensverträge.

Gerichtliche Verwertbarkeit in 27 EU-Mitgliedstaaten

Artikel 41 Abs. 3 begründet die grenzüberschreitende Anerkennung qualifizierter Zeitstempel als verbindliche Verpflichtung für alle EU-Mitgliedstaaten. Grundsätzlich muss ein in einem beliebigen Mitgliedstaat ausgestellter qualifizierter Zeitstempel in jedem anderen Mitgliedstaat als qualifiziert anerkannt werden. In der Praxis ist das Bild nuancierter, weil das nationale Verfahrensrecht weiterhin regelt, wie Beweise vor Gericht vorgelegt und gewürdigt werden.

Was zwischen den Mitgliedstaaten nicht variiert: der rechtliche Status des qualifizierten Zeitstempels selbst. Jeder Mitgliedstaat muss einen qualifizierten Zeitstempel so behandeln, dass er die Richtigkeitsvermutung nach Artikel 41 Abs. 2 trägt. Kein Mitgliedstaat darf einen qualifizierten Zeitstempel allein deshalb ablehnen, weil er in einem anderen Mitgliedstaat ausgestellt wurde. Der Zeitstempel ist rechtlich betrachtet einem im Inland ausgestellten qualifizierten Zeitstempel gleichwertig.

Was variiert: die Verfahrensregeln für die Vorlage digitaler Beweise; das Gewicht, das dem zugrunde liegenden erfassten Inhalt beigemessen wird; die Maßstäbe für die Beweiskette; die Zulässigkeit des Erfassungsvorgangs selbst; und die Rolle forensischer Sachverständiger. Dies sind Angelegenheiten des nationalen Verfahrensrechts, und sie unterscheiden sich erheblich.

In Deutschland betont das Zivilverfahren nach der ZPO die freie Beweiswürdigung durch den Richter. Ein qualifizierter Zeitstempel hilft, die Integrität und den Zeitpunkt digitaler Beweise zu belegen, doch der zugrunde liegende Erfassungsvorgang und die Relevanz des Inhalts bleiben der freien Würdigung unterworfen. Deutsche Gerichte stehen qualifizierten Zeitstempeln im Allgemeinen aufgeschlossen gegenüber und behandeln sie als starken Beleg für den Zeitpunkt.

In Frankreich begründen der Code de procédure civile und der Code civil einen strukturierten Ansatz für urkundliche Beweise. Artikel 1366 des Code civil sieht vor, dass ein elektronisches Schriftstück dieselbe Beweiskraft wie ein Papierschriftstück hat, wenn sein Urheber ordnungsgemäß identifiziert werden kann und wenn es unter Bedingungen erstellt und aufbewahrt wurde, die geeignet sind, seine Integrität zu gewährleisten. Ein qualifizierter Zeitstempel ist einer der wichtigsten Mechanismen zur Erfüllung dieser Bedingungen, und französische Gerichte haben qualifizierte Zeitstempel routinemäßig als Beleg für den Zeitpunkt anerkannt.

In Italien sind qualifizierte Zeitstempel aufgrund der Pionierarbeit Italiens im Recht der elektronischen Signaturen, die bis in die späten 1990er-Jahre zurückreicht, tief in die rechtliche Infrastruktur eingebettet. Italienische Gerichte verfügen über umfangreiche Erfahrung mit qualifizierten Zeitstempeln, und die Rechtsgemeinschaft ist mit ihren Wirkungen nach Artikel 41 weithin vertraut.

In Tschechien werden qualifizierte Zeitstempel nach dem Gesetz Nr. 297/2016 Slg. über Vertrauensdienste für elektronische Transaktionen anerkannt, das eIDAS in tschechisches Recht umsetzt. Tschechische Gerichte behandeln qualifizierte Zeitstempel als Träger der Vermutung nach Artikel 41, und im Rechtsstreit tätige forensische Sachverständige sind typischerweise mit den Verifizierungsverfahren vertraut.

In Spanien setzt das Gesetz 6/2020 eIDAS auf nationaler Ebene um, und qualifizierte Zeitstempel werden routinemäßig in wirtschaftsrechtlichen Streitigkeiten verwendet, insbesondere in Angelegenheiten des E-Commerce, der Online-Verleumdung und in Streitigkeiten über geistiges Eigentum.

In kleineren Mitgliedstaaten variiert die praktische Erfahrung der Gerichte mit qualifizierten Zeitstempeln. Estland, Litauen und Lettland sind mit ihren ausgeprägten E-Government-Traditionen im Allgemeinen mit qualifizierten Zeitstempeln vertraut. Manche anderen kleineren Staaten verfügen über weniger Rechtsprechung und erfordern möglicherweise mehr Erläuterungsarbeit durch den vorlegenden Rechtsbeistand.

Durchgängig ist die praktische Lehre einheitlich: Ein qualifizierter Zeitstempel verlagert die Beweislast zu Ihren Gunsten, beseitigt aber nicht die Notwendigkeit, die zugrunde liegenden Beweise professionell vorzulegen. Der qualifizierte Zeitstempel beantwortet die Frage des Zeitpunkts. Der Rechtsbeistand muss die Fragen der Authentizität, Relevanz und Beweiskette weiterhin mit den üblichen Mitteln des Beweisrechts der jeweiligen Rechtsordnung angehen.

Ein praktischer Arbeitsablauf für Anwälte

Die Übertragung der eIDAS-Theorie in einen praktischen Beweissicherungs-Arbeitsablauf erfordert Entscheidungen über Werkzeuge, Prozesse und Dokumentation. Wir umreißen einen Arbeitsablauf, der für Anwälte in Kontinentaleuropa funktioniert hat, mit Hinweisen dazu, wo Entscheidungen an konkrete Fallarten angepasst werden können.

Schritt eins: Ermitteln Sie den digitalen Inhalt, der zum Beweis werden könnte. Das klingt offensichtlich, ist aber oft der Punkt, an dem der Arbeitsablauf scheitert. Anwälte sollten jeden für einen aktuellen oder zu erwartenden Streit relevanten Online-Inhalt als potenziell flüchtig behandeln. Dazu gehören Social-Media-Beiträge, Online-Artikel, E-Commerce-Angebote, Seiten mit Nutzungsbedingungen, Kundenbewertungen, Forenbeiträge, Blog-Kommentare, archivierte Versionen von Websites und zunehmend auch KI-generierte Inhalte. Flüchtigkeit bedeutet, dass sich der Inhalt ohne Vorankündigung ändern oder verschwinden kann.

Schritt zwei: Erfassen Sie den Inhalt mit einem Werkzeug, das ein für die qualifizierte Zeitstempelung geeignetes Beweispaket erzeugt. Das Werkzeug sollte die vollständige URL, die gerenderte Seite einschließlich Bilder und dynamischer Inhalte, den zugrunde liegenden HTML-Quelltext, sämtliche Metadaten zur Anfrage und einen kryptografischen Hash der erfassten Daten erfassen. Reine Browser-Screenshot-Werkzeuge sind für ernsthafte Rechtsstreitigkeiten unzureichend. Serverseitige Erfassungswerkzeuge, die unabhängig vom lokalen Browser des Anwalts arbeiten, bieten eine stärkere beweisrechtliche Beweiskette.

Schritt drei: Versehen Sie die erfassten Daten mit einem qualifizierten Zeitstempel eines QTSP auf der EU-Vertrauensliste. Der Zeitstempel sollte an den kryptografischen Hash des gesamten erfassten Pakets gebunden werden, nicht nur an eine einzelne Datei darin. Das stellt sicher, dass jede Änderung an einer beliebigen Datei im Paket den Zeitstempel ungültig macht. Der QTSP sollte anhand von Zugänglichkeit, Preisgestaltung und Zuverlässigkeit ausgewählt werden, und die Zeitstempelanfrage sollte SHA-256 oder einen stärkeren Hash-Algorithmus verwenden.

Schritt vier: Packen Sie die erfassten Daten, den qualifizierten Zeitstempel, die TSA-Zertifikatskette und eine Momentaufnahme der einschlägigen EU-Vertrauensliste in eine einzige Beweisdatei. Das Paket sollte in sich geschlossen sein, das heißt, jeder mit dem Paket und üblichen Open-Source-Verifizierungswerkzeugen sollte die Integrität und den qualifizierten Status des Zeitstempels überprüfen können, ohne den ursprünglichen Anbieter zu kontaktieren oder die aktive Vertrauensliste abzurufen. Das macht die Beweise robust gegenüber künftigen Änderungen der Vertrauensliste oder der Verfügbarkeit des QTSP.

Schritt fünf: Speichern Sie das Beweispaket sicher und dokumentieren Sie die Beweiskette. Das Paket sollte so gespeichert werden, dass eine versehentliche Änderung verhindert wird, mit mehreren Kopien an geografisch getrennten Orten. Die Dokumentation der Beweiskette sollte festhalten, wer das Paket erstellt hat, wann es erstellt wurde, welches Werkzeug verwendet wurde und jeden späteren Zugriff oder jede Übertragung. Diese Dokumentation ist verfahrenstechnischer statt kryptografischer Natur, aber sie ist in vielen Rechtsordnungen für die Zulässigkeit der Beweise von Bedeutung.

Schritt sechs: Wenn die Beweise vor Gericht benötigt werden, erstellen Sie einen Verifizierungsbericht, der das Gericht Schritt für Schritt durch den Verifizierungsprozess führt. Der Bericht sollte den qualifizierten Zeitstempel erläutern, den QTSP identifizieren, den Status des QTSP auf der EU-Vertrauensliste zum Zeitpunkt der Ausstellung bestätigen, nachweisen, dass der kryptografische Hash des Beweispakets mit dem vom QTSP signierten Hash übereinstimmt, und schlussfolgern, dass das Paket seit der Ausstellung des Zeitstempels nicht verändert wurde. Die meisten Gerichte akzeptieren einen solchen Bericht als Sachverständigenbeweis, mitunter mit Unterstützung eines forensischen Sachverständigen.

Häufige Fehler, die Anwälte machen

Anwälte, die neu mit qualifizierten Zeitstempeln arbeiten, neigen zu mehreren wiederkehrenden Fehlern. Diese Muster zu erkennen hilft, Probleme zu vermeiden, deren Behebung kostspielig sein kann, sobald Beweise angefochten wurden.

Der erste Fehler besteht darin, jeden kryptografischen Zeitstempel mit einem qualifizierten Zeitstempel gleichzusetzen. Ein Zeitstempel eines kostenlosen Dienstes, selbst wenn er technisch auf RFC 3161 beruht, ist mit ziemlicher Sicherheit kein qualifizierter Zeitstempel. Die Vermutung des Artikels 41 Abs. 2 gilt nicht. Die Beweise werden zugelassen, aber ohne den rechtlichen Vorteil, den der qualifizierte Status bietet. Überprüfen Sie stets, dass die TSA von einem QTSP auf der EU-Vertrauensliste betrieben wird.

Der zweite Fehler besteht darin, den Zeitstempel auf die falschen Daten anzuwenden. Ein qualifizierter Zeitstempel bindet sich an einen bestimmten Hash. Deckt der Hash nur den Screenshot, aber nicht den HTML-Quelltext ab, so ist der HTML-Quelltext nicht durch den Zeitstempel geschützt, und Änderungen daran können nicht erkannt werden. Bewährte Praxis ist es, einen einzigen Hash über eine deterministische Repräsentation des gesamten Beweispakets zu berechnen — typischerweise eine Manifestdatei, die alle Dateien und ihre einzelnen Hashes auflistet — und diesen einen Hash zu zeitstempeln.

Der dritte Fehler besteht darin, die Zertifikatskette des QTSP nicht aufzubewahren. Der qualifizierte Zeitstempel kann nur überprüft werden, wenn der Prüfer Zugriff auf die Zertifikate hat, die das Signaturzertifikat der TSA mit einem Wurzelzertifikat auf der Vertrauensliste verknüpfen. Wird nur die Signatur der TSA ohne die vollständige Kette aufbewahrt, schlägt die Verifizierung fehl. Bewährte Praxis ist es, die vollständige Kette unmittelbar nach der Zeitstempelung zu extrahieren und aufzubewahren.

Der vierte Fehler besteht darin, die einschlägige Momentaufnahme der Vertrauensliste nicht aufzubewahren. Die Vertrauensliste ändert sich im Laufe der Zeit. Verliert der QTSP den qualifizierten Status, bevor der Fall vor Gericht gelangt, wird die aktive Vertrauensliste den einschlägigen Eintrag nicht enthalten. Der Prüfer benötigt den historischen Zustand der Vertrauensliste aus dem Moment der Ausstellung. Bewährte Praxis ist es, das vollständige LOTL-XML und das einschlägige nationale Vertrauenslisten-XML im Moment der Ausstellung des qualifizierten Zeitstempels zu erfassen und aufzubewahren.

Der fünfte Fehler besteht darin, den Zeitstempel als Ersatz für die zugrunde liegende Erfassungsqualität zu behandeln. Ein qualifizierter Zeitstempel beweist, dass Daten zu einem bestimmten Zeitpunkt existierten. Er beweist nicht, dass die Daten korrekt wiedergeben, was die Website tatsächlich auslieferte. Verwendete der Erfassungsvorgang eine Browser-Erweiterung, die eine Änderung des Seiten-DOM über Entwicklerwerkzeuge vor der Erfassung erlaubte, deckt der qualifizierte Zeitstempel den manipulierten Inhalt ab, nicht das Original. Erfassungsqualität und Zeitstempelqualität sind unabhängige Dimensionen, und beide müssen adressiert werden, damit die Beweise belastbar sind.

Der sechste und teuerste Fehler ist Verzögerung. Online-Inhalte sind flüchtig. Bis ein Anwalt erkennt, dass ein Inhalt von Bedeutung ist, kann er bereits bearbeitet, gelöscht oder hinter einer Anmeldeschranke verborgen sein. Die Vermutung des Artikels 41 Abs. 2 kann Inhalte, die nicht mehr existieren, nicht wiederbeleben. Bewährte Praxis für prozessgeneigte Angelegenheiten ist es, Inhalte zu erfassen, sobald der Streit zu erwarten ist, nicht erst, wenn er förmlich eingeleitet wird.

Qualifizierte Zeitstempel mit Blockchain-Verankerung kombinieren

Eine zunehmend verbreitete Praxis in der Beweissicherung ist die Kombination eines qualifizierten Zeitstempels mit einer Blockchain-Verankerung, typischerweise unter Verwendung von OpenTimestamps, um einen Hash in der Bitcoin-Blockchain zu verankern. Die beiden Mechanismen sind komplementär statt redundant, und ihre Kombination erzeugt Beweise mit stärkeren Eigenschaften als jeder allein.

Ein qualifizierter Zeitstempel bietet die rechtliche Anerkennung nach eIDAS-Artikel 41. Er ist unkompliziert zu überprüfen, von Gerichten gut verstanden und trägt die Richtigkeitsvermutung. Seine Beschränkung besteht darin, dass er vom fortgesetzten Betrieb und der Integrität des QTSP abhängt. Würde der Signaturschlüssel des QTSP jemals kompromittiert, würden alle unter diesem Schlüssel ausgestellten Zeitstempel fragwürdig. Die Abmilderung ist das strukturierte Aufsichts- und Audit-Regime, das auf QTSPs angewendet wird, aber das Restrisiko besteht.

Eine Blockchain-Verankerung — konkret ein OpenTimestamps-Nachweis, der in einem bestätigten Bitcoin-Block verankert ist — bietet eine andere Art von Garantie. Der Nachweis belegt, dass ein Hash zu oder vor dem Zeitpunkt existierte, zu dem der Bitcoin-Block bestätigt wurde. Die Integrität dieser Garantie hängt vom Bitcoin-Netzwerk ab, nicht von einem bestimmten Anbieter. Solange der Proof-of-Work-Konsens von Bitcoin weiterhin funktioniert, bleibt die Verankerung gültig. Bitcoin ist nun seit fünfzehn Jahren unter vielen widrigen Bedingungen ununterbrochen in Betrieb, was der Verankerung erhebliche praktische Robustheit verleiht.

Die Kombination aus qualifiziertem Zeitstempel und Blockchain-Verankerung erzeugt Beweise, die mehreren verschiedenen Angriffsvektoren widerstehen. Ein Angreifer, der versucht, einen qualifizierten Zeitstempel zu fälschen, müsste den QTSP kompromittieren. Ein Angreifer, der versucht, eine Blockchain-Verankerung zu fälschen, müsste einen 51-Prozent-Angriff auf Bitcoin durchführen oder eine partielle Kollision in SHA-256 erzeugen. Ein Angreifer, der versucht, beide gleichzeitig zu fälschen, müsste beides tun, wofür es in keinem dokumentierten Vorfall einen Präzedenzfall gibt.

Die Kombination adressiert auch eine Sorge um die langfristige Dauerhaftigkeit. QTSPs kommen und gehen. eIDAS selbst könnte irgendwann abgelöst werden. Der Vertrauenslisten-Mechanismus könnte sich ändern. Bitcoin hat seine eigenen künftigen Risiken, doch die OpenTimestamps-Nachweise sind einfache kryptografische Daten, die überprüfbar bleiben, solange der SHA-256-Algorithmus als sicher gilt — was derzeit für Jahrzehnte erwartet wird.

Aus beweisrechtlicher Sicht ist der qualifizierte Zeitstempel der primäre rechtliche Anker, der die Vermutung nach Artikel 41 Abs. 2 erzeugt. Die Blockchain-Verankerung ist eine ergänzende Absicherung gegen künftige Anfechtungen der QTSP-Infrastruktur. Anwälte, die Beweise vorlegen, sollten sich vorrangig auf den qualifizierten Zeitstempel stützen, aber die Blockchain-Verankerung für den Fall einer Anfechtung aufbewahren.

Ausblick: eIDAS 2.0 und die EUDI-Wallet

Die ursprüngliche eIDAS-Verordnung wurde durch die Verordnung (EU) 2024/1183 geändert, oft als eIDAS 2.0 bezeichnet, die am 20. Mai 2024 in Kraft trat. Die Änderung führt bedeutende Neuerungen ein, die die Praxis digitaler Beweise in den kommenden Jahren beeinflussen werden, obwohl die Kernbestimmungen des Artikels 41 zu qualifizierten Zeitstempeln im Wesentlichen unverändert bleiben.

Die sichtbarste Neuerung ist die Einführung der europäischen Brieftasche für die digitale Identität, der EUDI-Wallet. Bis Ende 2026 muss jeder EU-Mitgliedstaat seinen Bürgern mindestens eine EUDI-Wallet anbieten. Die Wallet ermöglicht es Bürgern, sich digital zu identifizieren, Nachweise wie Führerscheine oder akademische Qualifikationen zu speichern und vorzulegen und Dokumente mit qualifizierten elektronischen Signaturen zu signieren. Aus Beweissicht ermöglicht die Wallet einzelnen Nutzern, qualifizierte elektronische Signaturen auf selbst erstellte Beweispakete anzuwenden, ohne einen unternehmerischen QTSP durchlaufen zu müssen.

eIDAS 2.0 führt außerdem neue Kategorien qualifizierter Vertrauensdienste ein. Qualifizierte elektronische Register werden als neuer Diensttyp mit eigenen regulatorischen Anforderungen definiert. Diese Dienstkategorie könnte irgendwann die blockchainbasierte Zeitstempelung im EU-Recht formalisieren, obwohl die technischen Anforderungen Anfang 2026 noch von ETSI entwickelt werden.

Die qualifizierte Attestierung von Attributen ist ein weiterer neuer Dienst. Er erlaubt akkreditierten Anbietern, überprüfbare Aussagen über Tatsachen auszustellen — etwa, dass eine Person über 18 ist oder dass ein Unternehmen eine bestimmte Lizenz hält. Obwohl kein Zeitstempeldienst im engeren Sinne, können qualifizierte Attestierungen in Beweis-Arbeitsabläufen mit der Zeitstempelung interagieren, wenn die Identität oder Qualifikation der zeitstempelnden Partei kryptografisch überprüfbar sein muss.

Für Anwälte, die 2026 und darüber hinaus praktizieren, ist die praktische Folge, dass die Landschaft qualifizierter Zeitstempel reicher und flexibler wird, die zentrale Rechtswirkung aber in Artikel 41 der ursprünglichen Verordnung verankert bleibt. Qualifizierte Zeitstempel bestehender QTSPs genießen weiterhin dieselbe Richtigkeitsvermutung. Neue Optionen entstehen, verdrängen jedoch den etablierten Mechanismus nicht.

Es ist vernünftig zu erwarten, dass Beweissicherungssysteme bis 2028 routinemäßig mehrere Vertrauensmechanismen kombinieren werden: einen qualifizierten Zeitstempel für die rechtliche Anerkennung, eine Blockchain-Verankerung für die langfristige Dauerhaftigkeit und möglicherweise ein qualifiziertes elektronisches Siegel einer EUDI-Wallet für die Identitätsbindung. Das architektonische Fundament wird gerade jetzt gelegt.

Häufig gestellte Fragen

Ist ein qualifizierter Zeitstempel dasselbe wie eine notariell beglaubigte digitale Signatur?
Nein. Eine notariell beglaubigte digitale Signatur ist die Bestätigung eines Notars, dass eine bestimmte Person ein bestimmtes Dokument zu einem bestimmten Zeitpunkt signiert hat. Ein qualifizierter Zeitstempel bescheinigt die Identität keiner Person — er bescheinigt nur, dass Daten zu einem bestimmten Zeitpunkt existierten. Die beiden Mechanismen können kombiniert werden, aber sie beantworten unterschiedliche Fragen.
Kann ich einen qualifizierten Zeitstempel selbst ausstellen, ohne einen QTSP?
Nein. Artikel 42 Abs. 1 lit. d von eIDAS verlangt, dass der Zeitstempel vom qualifizierten Vertrauensdiensteanbieter signiert wird. Eine Einzelperson oder eine nicht-qualifizierte Organisation kann keinen qualifizierten Zeitstempel ausstellen. Sie kann kryptografische Zeitstempel ausstellen, die technisch ähnlich sind, doch diese Zeitstempel tragen nicht die gesetzliche Vermutung des Artikels 41 Abs. 2.
Wie lange bleibt ein qualifizierter Zeitstempel gültig?
Der qualifizierte Zeitstempel selbst läuft nicht ab. Die kryptografische Garantie besteht fort, solange die zugrunde liegenden kryptografischen Algorithmen sicher bleiben. Das Zertifikat des QTSP kann irgendwann ablaufen, doch der unter diesem Zertifikat ausgestellte Zeitstempel bleibt für die von ihm angegebene Zeit gültig. Eine langfristige Validierung kann zusätzliche Mechanismen erfordern, etwa die Langzeitarchivierung der Zertifikatskette und die Verwendung stärkerer Hash-Algorithmen.
Was geschieht, wenn der QTSP nach der Ausstellung meines Zeitstempels den qualifizierten Status verliert?
Zeitstempel, die ausgestellt wurden, während der QTSP den qualifizierten Status innehatte, bleiben qualifizierte Zeitstempel. Die Rechtswirkung nach Artikel 41 Abs. 2 verschwindet nicht rückwirkend. Die Überprüfung des Zeitstempels Jahre später kann jedoch Zugriff auf den historischen Vertrauenslisten-Eintrag erfordern, der bestätigt, dass der QTSP zum Zeitpunkt der Ausstellung qualifiziert war. Deshalb wird die Aufbewahrung einer Momentaufnahme der Vertrauensliste empfohlen.
Werden qualifizierte Zeitstempel außerhalb der EU anerkannt?
Die Anerkennung außerhalb der EU hängt vom lokalen Recht und von bilateralen Abkommen ab. Die Länder der Europäischen Freihandelsassoziation (Island, Liechtenstein, Norwegen, Schweiz) erkennen qualifizierte Zeitstempel im Allgemeinen nach ihrer eigenen Umsetzungsgesetzgebung an. Andere Rechtsordnungen akzeptieren qualifizierte Zeitstempel möglicherweise als starken Beweis nach ihren allgemeinen Zulässigkeitsregeln, doch sie genießen außerhalb der EU und des EWR nicht die automatische Vermutung des Artikels 41 Abs. 2.
Was kostet ein qualifizierter Zeitstempel?
Die Preise variieren stark je nach QTSP. Nutzungsbasierte Preise pro Stempel liegen typischerweise zwischen wenigen Cent und wenigen Euro pro Zeitstempel. Unternehmensverträge mit großen monatlichen Volumina haben niedrigere Kosten pro Stempel. Für manche Anbieter existieren jährliche oder unbefristete Lizenzmodelle. Für Anwendungsfälle der Beweissicherung sind nutzungsbasierte Preise im Allgemeinen am zugänglichsten.
Kann ich einen QTSP aus einem anderen Land verwenden?
Ja. Artikel 41 Abs. 3 verlangt die Anerkennung qualifizierter Zeitstempel aus jedem EU-Mitgliedstaat in allen Mitgliedstaaten. Ein französischer Anwalt kann einen slowakischen QTSP verwenden, und der resultierende Zeitstempel wird vor französischen Gerichten als qualifizierter Zeitstempel anerkannt.
Was, wenn mein Beweissicherungswerkzeug einen nicht-qualifizierten Zeitstempel verwendet?
Die Beweise sind nach Artikel 41 Abs. 1 weiterhin zulässig, aber die Richtigkeitsvermutung gilt nicht. Der Anwalt, der die Beweise vorlegt, trägt die Last, im Falle einer Anfechtung die Richtigkeit des Zeitstempels zu beweisen. Für Rechtsstreitigkeiten mit hohem Einsatz ist dies ein spürbarer Nachteil gegenüber einem qualifizierten Zeitstempel.
Wie überprüfe ich einen qualifizierten Zeitstempel selbst?
OpenSSL bietet mit dem ts-Unterbefehl eingebaute Befehle zur RFC 3161-Verifizierung. Die Verifizierung erfordert das Zeitstempel-Token, den Hash der Originaldaten, das Zertifikat der TSA und die Zertifikatskette zurück bis zu einer vertrauenswürdigen Wurzel. Die Open-Source-Bibliothek DSS aus der eIDAS-Umsetzung der Europäischen Kommission bietet eine höherstufige Verifizierung einschließlich der Prüfung der Vertrauensliste.

Fazit

Qualifizierte Zeitstempel nach Artikel 41 der eIDAS-Verordnung sind im Jahr 2026 der wichtigste rechtliche Mechanismus zur Sicherung digitaler Beweise in Kontinentaleuropa. Sie verlagern die Beweislast im Rechtsstreit, werden in allen 27 EU-Mitgliedstaaten ohne gesonderte Akkreditierung anerkannt und beruhen auf einem strukturierten Regulierungsrahmen mit fortlaufender Rechenschaftspflicht der ausstellenden Anbieter.

Für Anwälte, die Fälle mit digitalen Beweisen bearbeiten, lautet die praktische Frage nicht mehr, ob qualifizierte Zeitstempel zu verwenden sind. Die Frage ist, wie man sie in einen Arbeitsablauf integriert, der robuste, gerichtsfeste Beweispakete erzeugt. Die Mechanik ist nicht schwierig, aber sie belohnt Aufmerksamkeit für Details. Die vollständige TSA-Zertifikatskette muss aufbewahrt werden. Die einschlägige Momentaufnahme der Vertrauensliste muss erfasst werden. Der Erfassungsvorgang selbst muss gegen Anfechtungen belastbar sein, die unabhängig vom Zeitstempel wirken.

Die Kombination qualifizierter Zeitstempel mit strukturierten Erfassungsvorgängen und ergänzenden Mechanismen wie der Blockchain-Verankerung erzeugt Beweise mit mehreren unabhängigen Verifizierungsebenen. Das ist die Richtung, in die sich das Feld bewegt, und es ist der Maßstab, an dem künftige Beweise gemessen werden.

Anwälte, die qualifizierte Zeitstempel 2026 als routinemäßigen Bestandteil ihrer Praxis digitaler Beweise behandeln, werden sich auf festerem Boden befinden als jene, die sich auf Screenshots oder einfache Zeitstempel verlassen. Der rechtliche Vorteil ist real. Die technische Umsetzung ist ausgereift. Der Regulierungsrahmen ist stabil. Die verbleibende Arbeit ist operativer Natur: die qualifizierte Zeitstempelung zu einem Standardschritt im Arbeitsablauf zu machen, nicht zu einer Ausnahme, die nur durch große Fälle ausgelöst wird.

Wenn Sie mit digitalen Beweisen zu tun haben und derzeit keine qualifizierten Zeitstempel verwenden, ist jetzt der Zeitpunkt zu beginnen. Der nächste Fall, der vom Zeitpunkt eines Online-Beitrags, eines bearbeiteten Artikels, eines gelöschten Social-Media-Kommentars oder einer klammheimlich geänderten Richtlinienseite abhängt, wird leichter zu gewinnen sein, wenn die Beweise vom Moment der Erfassung an die Vermutung nach Artikel 41 Abs. 2 tragen.

Bereit, qualifizierte Zeitstempel in Ihren Beweis-Arbeitsablauf zu integrieren?

GetProofAnchor stellt auf jeder Beweis-ZIP qualifizierte Zeitstempel von SK ID Solutions aus, einem estnischen QTSP auf der EU-Vertrauensliste. Jede Erfassung enthält zudem die vollständige TSA-Zertifikatskette, eine Momentaufnahme der EU-Vertrauensliste und eine OpenTimestamps-Bitcoin-Verankerung. Die resultierende Beweis-ZIP ist portabel, offline überprüfbar und trägt die Vermutung nach Artikel 41 Abs. 2.

Dieser Artikel ist informativ und keine Rechtsberatung. Die gerichtliche Verwertbarkeit hängt von der Rechtsordnung, den fallspezifischen Verfahrensregeln und dem umfassenderen Sachverhalt ab. Konsultieren Sie qualifizierten Rechtsbeistand, bevor Sie sich auf eine bestimmte Beweissicherungsstrategie verlassen.