Die qualifizierte elektronische Signatur (QES) stellt ein digitales Äquivalent zur regulären Unterschrift dar. Es existieren verschiedene Arten und Qualitätsstufen digitaler Unterschriften, wobei nur die QES rechtlich mit der herkömmlichen Unterschrift vergleichbar ist. Die QES hat den Zweck, die Urheberschaft einer Erklärung im digitalen Datenverkehr langfristig überprüfbar zu machen. Die Ausstellung der qualifizierten Zertifikate für elektronische Signaturen obliegt bestimmten Vertrauensdiensteanbieter:innen. Die zuständige Vertrauensbehörde ist die Bundesnetzagentur. Diese betraut die Vertrauensdiensteanbieter:innen mit der Aufgabe des Aufbaus und der Überwachung einer sicheren Informations-Infrastruktur.
Eine Erklärung der qualifizierten elektronischen Signatur erfordert zunächst eine Begriffsbestimmung digitaler oder elektronischer Signaturen im Allgemeinen. Es handelt sich um bestimmte Daten, die bei einem digitalen Dokument die Unterzeichnung dieses Dokuments bestätigen. Eine digitale Signatur kann verschiedene Sicherheitsstufen beziehungsweise Authentizitätsstufen aufweisen.
Qualifizierte Signaturen müssen über eine starke kryptographische Verschlüsselung verfügen. Bei asymmetrischer Kryptographie kommen ein privater und ein öffentlicher Schlüssel zum Einsatz. Unterzeichner:innen haben dabei alleinige Kontrolle über den privaten Schlüssel. Dieser ist mathematisch eindeutig mit einem öffentlichen Schlüssel verbunden. Über den öffentlichen Schlüssel können Kommunikationspartner:innen die Signatur bestätigen. Die Verbindung zwischen dem privaten sowie dem öffentlichen Schlüssel wird über ein Zertifikat gewährleistet. Die Ausstellung dessen obliegt einer Zertifizierungsstelle (Trust Service Provider, TSP).
Grundsätzlich sind zwei Stufen digitaler Signaturen zu unterscheiden: die fortgeschrittene elektronische Signatur und die qualifizierte elektronische Signatur. Erstere ist auch als Advanced Electronic Signature oder kurz AES bekannt. Hierbei stellt die QES die höchste Sicherheitsstufe dar. Sie verfügt zum einen über sämtliche Eigenschaften, die auch die AES auszeichnet, und darüber hinaus über zwei weitere Sicherheitskriterien.
Zum einen erfolgt die Erzeugung der QES auf sichere Weise über eine Signaturerstellungseinheit (SSEE). Diese ist vergleichbar mit einer Smartcard. Jedoch hat der Trust Service Provider die Möglichkeit, sie im Auftrag des Unterzeichners beziehungsweise der Unterzeichnerin aus der Ferne zu steuern. Auf diese Weise sind direkte Manipulationen von privaten beziehungsweise persönlichen Smartcards oder an Lesegeräten ausgeschlossen.
Eine weitere Sicherheitskomponente ist die Identitätsbestätigung. Es kommt erst dann zum Ausstellungsverfahren für digitale Zertifikate, wenn der Unterzeichner oder die Unterzeichnerin seine beziehungsweise ihre Identität bestätigt hat. Dies erfolgt entweder persönlich oder über vergleichbar sichere Methoden. Nur ein digitales Zertifikat mit diesem Grad an Identifikation und Authentizität trägt die Bezeichnung qualifiziertes Zertifikat.
Ein Dokument mit qualifizierter elektronischer Signatur hat rechtliche Verbindlichkeit in sämtlichen EU-Mitgliedsstaaten. Es steht juristisch auf einer Stufe mit einem Dokument, das mit einer händischen Unterschrift versehen ist. Die gegenwärtigen rechtlichen Rahmenbedingungen für die QES basieren auf der europäischen eIDAS-Verordnung. Diese wurde 2016 verabschiedet. Ihr Vorläufer für Deutschland war das Signaturgesetz (SigG) von 2001. Die eIDAS vereinheitlichte das bis dato unübersichtliche Signaturrecht der verschiedenen Mitgliedsstaaten.
Es existieren einige akkreditierte Zertifizierungsstellen, die qualifizierte elektronische Signaturen herausgeben. Die wichtigsten Anbieter:innen sind das TC Trustcenter, die D-TRUST der Bundesdruckerei Gruppe, die Signtrust der Deutschen Post und die Bundesnotarkammer. Die DATEV bietet mit e:secure ebenfalls qualifizierte Zertifikate an. Ebenso gibt es nicht akkreditierte Anbieter:innen, die ebenso qualifizierte elektronische Signaturen bereitstellen.
Zur Erzeugung einer qualifizierten elektronischen Signatur bedarf es bestimmter Voraussetzungen. Grundlage ist das qualifizierte Zertifikat. Damit direkt verknüpft ist das elektronische Schlüsselpaar, das auf einem geheimen und einem öffentlichen Schlüssel basiert. Die Signatur eines Dokuments bedarf mindestens eines persönlichen (privaten) Schlüssels. Dieser befindet sich beispielsweise auf einer qualifizierten Signaturerstellungseinheit. Eine solche stellt etwa die Signaturkarte dar. Ebenso können sich private Schlüssel auf einem Hardware Security Module (HSM) direkt beim Anbieter oder bei der Anbieterin befinden.