Elektronische Signaturen in Polen – Effizienz und Sicherheit

Vom Papierchaos zur e-Signatur

Die digitale Transformation polnischer Verwaltung und Wirtschaft verlangt heute den routinemäßigen Einsatz elektronischer Signaturen auf höchstem Vertrauensniveau. Beachten Sie bitte, dass die Führung eines Unternehmens in Polen von Anfang an eine aktive Auseinandersetzung mit den Besonderheiten der polnischen Verwaltungspraxis erfordert, die in hohem Maße digitalisiert ist. Die konsequente Nutzung von e-Signaturen, ein vollständig digitalisiertes Registergerichtverfahren, elektronische Rechnungen (KSeF), e-Steuererklärungen (JPK) und e-Jahresabschlüsse (XAdES-Format) erfordert sowohl technische Bereitschaft als auch mentale Flexibilität. Diese Transformation stellt für viele deutsche Manager, deren Berufsalltag auf analogen und papierbasierten Verfahren beruht, eine nicht zu unterschätzende Umstellung dar. Wir begleiten Sie selbstverständlich bei diesen Herausforderungen Schritt für Schritt und mit dem notwendigen Maß an Empathie und technischer Anleitung.

Arten elektronischer Signaturen nach eIDAS und polnischem Recht

Elektronische Signaturen werden nach der europäischen eIDAS-Verordnung und den entsprechenden polnischen Vorschriften in drei Kategorien eingeteilt:

Einfache elektronische Signatur (EES) – Jede elektronische Markierung oder Bestätigung (z.B. eingescannte Unterschrift, eingetippter Name in einer E-Mail). Sie ist technisch die einfachste Form und enthält in der Regel nur grundlegende Daten (Name, E-Mail). Rechtswirkung: Eine einfache Signatur begründet nicht automatisch die volle Beweiskraft – sie kann jedoch vertraglich anerkannt werden, wenn die Parteien dies vereinbaren. Gerichte dürfen elektronische Dokumente mit EES nicht allein deshalb zurückweisen, weil sie nicht qualifiziert sind.

Fortgeschrittene elektronische Signatur (FES) – Eine fortgeschrittene Signatur muss eindeutig dem Unterzeichner zugeordnet sein und dessen Identität ermöglichen. Sie wird mit Mitteln erstellt, die nur der Unterzeichner unter seiner alleinigen Kontrolle verwenden kann (z.B. mittels eines Zertifikats und eines geheimen Schlüssels). In der Praxis enthält ein FES-Zertifikat oft zusätzliche Identifizierungsdaten (z.B. Geburtsdatum, Ausweis- oder PESEL-Nummer). Rechtswirkung: FES bietet ein hohes Vertrauensniveau, hat aber nicht per se die volle Gleichstellung mit der handschriftlichen Unterschrift. In Polen wird das „Profil Zaufany“ (vertrauenswürdiges Profil auf ePUAP) als eine Form der fortgeschrittenen Signatur angesehen. Diese kostenlose Signatur wird von Behörden für Online-Dienste akzeptiert, ist jedoch auf Verwaltungsvorgänge beschränkt und erfordert eine polnische PESEL-Nummer.

Qualifizierte elektronische Signatur (QES) – Dies ist eine fortgeschrittene Signatur, die zusätzlich auf einem von einem qualifizierten Vertrauensdiensteanbieter ausgestellten qualifizierten Zertifikat beruht und mit einem qualifizierten Signaturerstellungsgerät erstellt wird. Eine QES erfüllt die strengsten Anforderungen gemäß eIDAS. Rechtswirkung: Die qualifizierte Signatur ist EU-weit der handschriftlichen Unterschrift rechtlich gleichgestellt. Im polnischen Recht ist eine qualifizierte eSignatur (QES) der Schriftform zur Vermeidung der Nichtigkeit gleichgestellt. Dies bedeutet, dass ein mit QES unterzeichnetes Dokument dieselbe Rechtswirkung wie eine eigenhändige Unterschrift entfaltet und die gesetzliche Schriftform wahrt, sofern das Gesetz diese Form zur Vermeidung der Nichtigkeit eines Vertrages vorschreibt. Die einschlägige Regelung findet sich in Art. 78¹ § 2 des polnischen Zivilgesetzbuchs (Kodeks cywilny). Dokumente, die mit QES unterzeichnet sind, gelten somit als rechtsverbindlich wie Original-Dokumente auf Papier. In Polen wird die QES von Behörden, Gerichten und Privatunternehmen uneingeschränkt anerkannt. Nicht-qualifizierte Signaturen werden zwar ebenfalls gesetzlich anerkannt, genießen aber nicht die automatische Vermutungswirkung wie die QES.

Zusammenfassung:

Eine QES bietet das höchste Vertrauensniveau und ist in vielen Fällen vorgeschrieben, während FES (z.B. das polnische ePUAP-Profil) für bestimmte inländische Verfahren genügt. Einfache Signaturen haben im Geschäftsverkehr nur dann Gültigkeit, wenn die Parteien sie akzeptieren oder gesetzlich keine strengere Form vorgeschrieben ist. Beispielsweise genügen für einfache Verträge des täglichen Geschäftslebens meist einfache oder fortgeschrittene Signaturen (Textform), wogegen für bestimmte amtliche Erklärungen, arbeitsrechtliche Dokumente oder Registeranmeldungen ausdrücklich eine QES verlangt wird.

Anwendung qualifizierter e-Signaturen in polnischen Verfahren und Registern

Polen hat im Zuge der Digitalisierung der Verwaltung zahlreiche Bereiche eingeführt, in denen elektronische Signaturen – insbesondere die QES – Voraussetzung für wirksame Einreichungen sind. Wichtigste Einsatzbereiche sind:

Elektronisches Handelsregister eKRS (Krajowy Rejestr Sądowy): Seit Oktober 2018 müssen Jahresabschlüsse von Kapitalgesellschaften elektronisch im eKRS-Portal eingereicht werden. Dabei sind alle Geschäftsleiter verpflichtet, den Jahresabschluss elektronisch zu unterzeichnen – entweder mit einer qualifizierten Signatur oder mit einem ePUAP-Vertrauensprofil. Die Dokumente (Jahresabschluss, Geschäftsbericht, Gesellschafterbeschluss über die Bilanz) müssen im vorgeschriebenen elektronischen Format (XML-Struktur) vorliegen und mit einer XAdES-Signature im XML-Format signiert werden. Ab März 2020 wurde die Digitalisierung erweitert: Sämtliche Registeranmeldungen an das KRS (z.B. Änderungen, Neuanmeldungen) müssen elektronisch erfolgen und elektronisch signiert eingereicht werden. Alternativ zur QES ist nur die ePUAP-Signatur zulässig. Das System erlaubt Einreichungen jedoch nur durch vertretungsberechtigte Personen, deren polnische PESEL-Nummer im KRS-Handelsregister hinterlegt ist. Mit anderen Worten: Mindestens ein vertretungberechtigtes Vorstandsmitglied (Geschäftsführer) mit PESEL muss über eine qualifizierte Signatur oder ein ePUAP-Profil verfügen, um die Unterlagen im eKRS einreichen zu können. Es ist darauf hinzuweisen, dass in einem solchen Fall ein Jahresabschluss durch ein vertretungsberechtigtes Vorstandsmitglied, das im KRS mit PESEL-Nummer eingetragen ist, kostenfrei beim Registergericht eingereicht werden kann, sofern die Einreichung unter Verwendung einer qualifizierten elektronischen Signatur (QES) oder eines polnischen Profil Zaufany erfolgt. Ausländische Geschäftsführer ohne eine implementierte PESEL können einen Jahresabschluss alternativ durch die Einschaltung eines Anwalts einreichen. In der Praxis wird daher häufig empfohlen, für Auslandsgeschäftsführer eine polnische QES (mit oder ggf. ohne PESEL) zu beschaffen, um die KRS.

Zentralregister der wirtschaftlichen Eigentümer (CRBR): Seit Oktober 2019 müssen polnische Kapitalgesellschaften Angaben zu ihren wirtschaftlich Berechtigten elektronisch an das CRBR übermitteln. Die Meldung erfolgt ausschließlich online durch ein Mitglied der Geschäftsführung oder einen eingetragenen Prokuristen und muss mit QES oder dem ePUAP-Vertrauensprofil unterzeichnet werden. Eine Vertretung durch externe Bevollmächtigte ist gesetzlich ausgeschlossen. In der Praxis bedeutet dies: Jeder Direktor oder Prokurist einer polnischen Gesellschaft benötigt spätestens zur CRBR-Meldung entweder eine polnische qualifizierte Signatur oder ein ePUAP-Profil. Da das ePUAP-Profil wiederum einen PESEL erfordert, ist für Ausländer in dieser Funktion faktisch die QES der gangbarere Weg. Die CRBR-Plattform (zugänglich über podatki.gov.pl/crbr) verifiziert bei der Einreichung die Identität des Unterzeichners anhand der Signatur – entweder durch Abgleich der PESEL oder (bei ausländischen QES-Zertifikaten) anhand anderer persönlicher Daten wie Geburtsdatum, die im Zertifikat enthalten sein müssen. Ohne gültige elektronische Signatur lässt sich die Meldung nicht abschicken; fehlende oder verspätete Meldungen können mit hohen Bußgeldern (bis zu 1 Mio. PLN) geahndet werden.

E-Government-Plattform ePUAP: Über die Plattform Elektroniczna Platforma Usług Administracji Publicznej können zahlreiche Verwaltungsverfahren online abgewickelt werden (z.B. Anträge, Meldungen, behördliche Korrespondenz). Für die elektronische Unterzeichnung von Schreiben an Behörden werden zwei Signaturformen akzeptiert: das „Profil Zaufany“ (Trusted Profile) oder eine QES. Das Profil Zaufany ist eine fortgeschrittene Signatur, die kostenlos für Bürger mit PESEL bereitgestellt wird und von polnischen Behörden wie eine handschriftliche Unterschrift anerkannt ist. Typische Portale wie biznes.gov.pl, podatki.gov.pl, praca.gov.pl, e-ZUS (Sozialversicherung) oder Emp@tia (Sozialleistungen) erlauben die Signatur mittels Profil Zaufany. Einschränkungen: Bestimmte Formulare – insbesondere Steuererklärungen und -informationen – dürfen nicht mit dem Profil Zaufany signiert werden. Ebenso können Ausländer ohne PESEL kein Profil Zaufany einrichten. In solchen Fällen ist die qualifizierte Signatur die einzige praktikable Lösung, um Dokumente über ePUAP rechtswirksam einzureichen. Beispielsweise kann ein ausländischer Unternehmer mit QES sämtliche ePUAP-Dienste nutzen, etwa elektronische Anträge stellen, Einsprüche einlegen oder offizielle Schreiben an Behörden versenden. Ein reales Anwendungsbeispiel ist das neue System der e-Korrespondenz (behördliches elektronisches Postfach), dessen Registrierung erfordert, den Antrag entweder mit Profil Zaufany oder QES zu unterschreiben – ohne PESEL also nur mit QES möglich. Insgesamt stellt die QES sicher, dass ein Nicht-PESEL-Inhaber „auf Augenhöhe“ elektronisch mit polnischen Behörden kommunizieren kann.

PUE ZUS (Platforma Usług Elektronicznych ZUS): Das ZUS-Portal dient der Online-Abwicklung von Sozialversicherungsangelegenheiten (Anmeldung von Mitarbeitern, Beitragsnachweise, Krankengeldanträge etc.). Unternehmen sind mittlerweile verpflichtet, ein Profil auf PUE ZUS zu führen. Die Registrierung und Anmeldung kann über verschiedene Identitätsmethoden erfolgen, u.a. über qualifizierte eSignatur oder das ePUAP-Profil. Viele Formulare im ZUS-Kontext (z.B. monatliche Beitragsmeldungen) können elektronisch eingereicht werden, wenn sie qualifiziert elektronisch signiert sind. Praktisch bietet ZUS auch die Möglichkeit, Dokumente direkt im PUE-Portal mit einem angeschlossenen Zertifikat zu signieren oder signierte Dateien hochzuladen. Die QES ermöglicht außerdem die Nutzung der separat angebotenen ZUS-Software (Płatnik), indem Auswertungen und Anträge vor dem Upload qualifiziert signiert werden. PUE ZUS akzeptiert hier alle EU-qualifizierten Signaturen, so dass rechtlich auch ein deutsches Zertifikat genügen müsste – in der Praxis empfiehlt sich aber ein in Polen etabliertes Zertifikat (siehe Abschnitt PESEL und Kompatibilität).

Elektronische Steuererklärungen und JPK: Im polnischen Steuersystem müssen viele Meldungen elektronisch erfolgen. Einkommensteuer- oder Umsatzsteuervoranmeldungen können zwar teils mit simplen Authentifizierungsdaten eingereicht werden, doch für umfangreichere Steuerdokumente schreibt das Finanzministerium i.d.R. eine qualifizierte Signatur oder das ePUAP-Profil vor. Insbesondere der Jednolity Plik Kontrolny (JPK) – die digitale steuerliche Monats-/Quartalsmeldung (z.B. JPK_VAT) – sowie Jahressteuererklärungen von Unternehmen werden im offiziellen Portal e-Deklaracje eingereicht, das eine elektronische Unterschrift erfordert. Das Ministerium für Finanzen hat klargestellt, dass auch Ausländer ohne PESEL diese Erklärungen mit einer QES signieren können. Die QES wird außerdem benötigt, um sich im neuen e-Faktura-System (KSeF) zu authentifizieren, das elektronische Rechnungen verwaltet. In der Praxis setzen viele Unternehmen auf eine qualifizierte Signatur für alle steuerlichen Meldungen, da diese universell gültig ist. Wo möglich, nutzen polnische Steuerpflichtige auch das ePUAP-Profil (z.B. im Bereich der Einkommenssteuer für Privatpersonen) – dieses scheidet für ausländische Entsandte wiederum ohne PESEL aus. Für deutsche Unternehmen mit polnischer Steuernummer (NIP) ist es ratsam, mindestens eine Person mit einer QES auszustatten, um die elektronische Korrespondenz mit dem Fiskus (Steuerbescheide, Vollmachtsregistrierung etc.) sicher abzuwickeln.

Weitere Anwendungsfelder: Über die genannten Portale hinaus hat die qualifizierte Signatur in Polen zahlreiche weitere Einsatzbereiche erlangt. Öffentliche Vergabeverfahren laufen vollständig elektronisch, Angebote müssen mit QES signiert sein. Gerichtsverfahren (insbesondere im elektronischen Mahnverfahren – EPU) erlauben elektronische Klageschriften mit QES. Notare, Anwälte und Steuerberater nutzen QES für elektronische Urkunden und Anmeldungen in Fachsystemen. Im Bauwesen werden Projektpläne und Bauanträge über e-Budownictwo.pl eingereicht – ebenfalls nur gültig mit vertrauenswürdigem Profil oder QES. Selbst im Gesundheitswesen (z.B. elektronische Arbeitsunfähigkeitsbescheinigungen, e-Rezepte) und beim Grundbuch kommen qualifizierte Signaturen bzw. Siegel zum Einsatz. Kurz gesagt: Die QES hat sich in Polen in allen Bereichen etabliert, in denen Schriftform oder eigenhändige Unterschrift gesetzlich gefordert war. Für deutsche Unternehmen mit Polenbezug ist daher zu prüfen, in welchen Prozessen zwingend eine QES erforderlich ist, um rechtskonform zu handeln.

Technische und rechtliche Voraussetzungen (Formate, Zulässigkeit)

Polnische EDV-Systeme für Behördenkontakte setzen bestimmte technische Standards für elektronische Signaturen voraus. Zentral ist die Kompatibilität mit der eIDAS-Verordnung: Alle qualifizierten Signaturen eines EU-Vertrauensdiensteanbieters sind theoretisch rechtlich anerkannt und sollten nicht wegen ihrer Form zurückgewiesen werden. Allerdings gibt es in der Praxis technische Vorgaben, die erfüllt sein müssen:

Unterstützte Signaturformate: Je nach Art des Dokuments verlangen die Portale bestimmte Signaturstandards. Häufig zum Einsatz kommt XAdES (XML Advanced Electronic Signature) – insbesondere für strukturierte Daten in XML-Form (z.B. Jahresabschlüsse im eKRS müssen als XML mit XAdES-Signaturdatei eingereicht werden). Für PDF-Dokumente wird oft PAdES (PDF Advanced Electronic Signature) unterstützt, sodass die qualifizierte Signatur direkt ins PDF eingebettet wird (z.B. bei elektronisch signierten Verträgen oder Rechnungen). Das polnische Justizministerium stellt Validierungssoftware bereit, die PAdES und XAdES gemäß eIDAS prüft. Darüber hinaus existiert CAdES (Cryptographic Message Syntax) als Format für separat signierte Dateien (mit Endung .p7s/.asice); dieses Format wird z.B. genutzt, um Binärdateien zu signieren oder mehrere Dokumente zu einem Container zusammenzufassen. Wichtig: Unternehmen sollten sicherstellen, dass ihre Signaturlösung das jeweils erforderliche Format erzeugen kann – etwa XAdES-T für KRS-Dokumente (inkl. Zeitstempel), PAdES für signierte PDFs oder ASiC-E Container für Mehrfachdateien. Die meisten polnischen Signatursoftwares (Certum, Szafir, Sigillum etc.) unterstützen alle gängigen eIDAS-Formate.

Zulässige Zertifikate: Gesetzlich zulässig sind qualifizierte Zertifikate aus jedem EU-Mitgliedstaat. Gemäß Art. 25 Abs.3 eIDAS muss eine in einem EU-Staat ausgestellte QES überall als QES anerkannt werden. Polen führt eine Vertrauensliste der qualifizierten Anbieter (Verzeichnis beim Nationalen Zertifizierungszentrum, NCCert). Inländische Systeme prüfen die Vertrauenskette der Signatur gegen diese Listen. Ein qualifiziertes Zertifikat, das dort verzeichnet ist – gleichgültig ob aus Polen, Deutschland oder einem anderen EU-Land – gilt formal als rechtssicher. Praktische Hürden: Viele polnische Portale sind primär auf lokale Anforderungen ausgelegt. Zum Beispiel konnte die kostenfreie eKRS-Jahresabschlusseinreichung lange nur von Personen mit PESEL-gebundener Signatur genutzt werden. Ausländische Zertifikate ohne PESEL konnten technisch zwar zur Signatur verwendet werden, doch das System lässt deren Besitzer nicht als berechtigte Einreicher zu. Es bleibt jedoch die Empfehlung, möglichst polnische Zertifikatsstandards zu erfüllen (siehe PESEL-Thematik unten), um vollumfänglich und ohne Komplikationen an allen elektronischen Verfahren teilzunehmen.

Hardware und Software: Für die Nutzung qualifizierter Signaturen benötigen Anwender entweder lokale Signaturgeräte (Signaturkarten, USB-Token + Lesegerät) oder Cloud-Lösungen (Remote Signature Dienste). Die polnischen Anbieter liefern in der Regel eigene Software (z.B. Certum’s Signer, KIR Szafir Tool, Sigillum Sign) zum Erstellen und Prüfen elektronischer Signaturen. Diese Software ist oftmals nur für Windows optimiert; Mac/Linux-Unterstützung variiert. Bei Cloud-Lösungen erfolgt die Signatur über Webservices oder mobile Apps, die vom Anbieter bereitgestellt werden, inkl. Zwei-Faktor-Authentifizierung (z.B. Einmalcode per SMS/OTP-App). Technisch muss die Signatur zum Dokument passen: Ein XML-Datensatz (z.B. eine ZUS-Meldung) wird außerhalb eines Portals typischerweise mit einer .XAdES-Datei signiert, während ein PDF ein eingebettetes Signaturfeld erhält. Tipp: Bei wichtigen Einreichungen (KRS, Ausschreibungen, Behördenschreiben) sollte vorab getestet werden, ob die erstellte Signatur vom Empfängersystem als gültig erkannt wird – z.B. stellt das polnische IT-Ministerium ein Online-Validierungstool bereit, um Signaturen vor Versand zu prüfen.

Zeitstempel: Viele qualifizierte Signaturen in Polen werden mit einem qualifizierten Zeitstempel versehen (sog. QES T). Ein Zeitstempel eines qualifizierten Anbieters dokumentiert den genauen Zeitpunkt der Signatur und erhöht die Beweiskraft (insb. über Zertifikatsablauf hinaus). Für Registeranmeldungen ist ein Zeitstempel zwar nicht immer vorgeschrieben, aber empfehlenswert. Polnische Vertrauensdiensteanbieter liefern meist ein Kontingent an Zeitstempeln mit dem Zertifikat mit.

Insgesamt gilt: Rechtlich muss jede in der EU qualifizierte elektronische Signatur akzeptiert werden. Technisch sollten Unternehmen jedoch die spezifischen Vorgaben der jeweiligen Plattform berücksichtigen (Format, Identifikatoren, Schnittstellen, Implementation einer PESEL-Nr. in das e-Signatur-Zertifikat), um reibungslose Abläufe zu gewährleisten. Im Zweifelsfall empfiehlt es sich, auf die in Polen gängigen Lösungen zurückzugreifen, da diese auf Kompatibilität mit den nationalen Portalen getestet sind.

Grenzen internationaler Signatur-Lösungen in Polen (DocuSign, Adobe Sign & Co.)

International bekannte e-Signaturdienste wie DocuSign oder Adobe Sign werden von Unternehmen gerne für die digitale Unterzeichnung von Verträgen eingesetzt. Allerdings stoßen solche Lösungen in Polen häufig an Grenzen. Die wichtigsten Gründe:

Kein PESEL-Feld im Zertifikat: Polnische Behördenportale identifizieren Benutzer meist über die PESEL-Nummer. Qualifizierte Zertifikate polnischer Anbieter enthalten daher i.d.R. die PESEL des Unterzeichners. Ausländische Zertifikate – z.B. von D-TRUST/Bundesdruckerei oder Swisscom – weisen diese polnische Personenkennziffer naturgemäß nicht auf. Folge: Selbst wenn die Signatur technisch gültig ist, kann das System die Person nicht automatisch zuordnen. Ein Beispiel war die eKRS-Bilanzplattform, die nur PESEL-gebundene Signaturen im kostenlosen Upload akzeptierte. Ausländische Geschäftsführer ohne PESEL mussten auf den umständlicheren Antragsweg ausweichen. Auch im ZUS- oder Emp@tia-System werden Personen ohne PESEL oft nicht erkannt. Ein globales Signaturzertifikat (etwa von DocuSign) kann zwar Namen und ggf. Geburtsdatum enthalten, aber wenn die PESEL als Schlüssel fehlt, bleibt die Anmeldung oder Einreichung regelmäßig stecken. Daher sind international erworbene QES für polnische Meldepflichten nur begrenzt brauchbar, solange diese Systeme nicht auch andere Identifikatoren voll unterstützen.

Nicht in polnischen Registern eingetragen: Polnische Stellen prüfen teils gegen nationale Register oder Listen. Ein ausländischer Vertrauensdiensteanbieter mag auf der EU Trust List stehen, jedoch fehlt er eventuell in manchen lokalen Validierungsprogrammen. Ein praktisches Problem ist auch die fehlende Verknüpfung zwischen Zertifikat und Registerdaten: In polnischen Handelsregistern sind Vorstandsmitglieder mit Namen und PESEL hinterlegt. Eine ausländische Signatur mit nur Name/Geburtsdatum erfordert manuellen Abgleich – eine Fehlerquelle und oft nicht implementiert. CRBR z.B. verlangt explizit PESEL oder Geburtsdatum im Formular. Liegt das nicht im Zertifikat vor, muss es manuell eingegeben werden, was die automatische Signaturprüfung erschwert. Insgesamt fehlen ausländischen Lösungen die „Verankerung“ im polnischen Identifikationssystem.

Eingeschränkte technische Unterstützung: Die polnische E-Government-Infrastruktur wurde mit Blick auf lokale Lösungen entwickelt. Offizielle Anleitungen und Support (Hotlines der Ministerien) kennen primär die Handhabung polnischer Signaturkarten und Software (EuroCert, Certum, Szafir, Sigillum…). Ein Nutzer mit z.B. Adobe Sign QES stünde vor Fragen wie: Wie importiere ich mein Zertifikat in das ePUAP? Wie signiere ich eine XML-Bilanz mit Adobe? – Hierzu gibt es kaum Hilfestellung. Umgekehrt bieten internationale Dienste wie DocuSign in Polen nur begrenzten Support für spezifische Amtsformate (z.B. JPK-XML oder .XAdES). Viele global ausgerichtete Services konzentrieren sich auf PDF- oder DOCX-Workflows und unterstützen möglicherweise keine XAdES-Profile oder polnische Spezialformate out-of-the-box. Ohne aufwendige Konfiguration riskiert man also technische Kompatibilitätsprobleme. Selbst wenn eine Signatur erzeugt wird, muss sie oft erst mit lokalen Tools konvertiert oder überprüft werden – ein ineffizienter Umweg.

Akzeptanzprobleme bei Behörden: Auch wenn eIDAS die gegenseitige Anerkennung vorschreibt, zeigt die Praxis Vorbehalte. Ein polnisches Amtsgericht oder ein Beamter ist vertraut mit polnischen Zertifikaten – etwa sieht er beim Öffnen einer Signatur den vertrauten Hinweis „Certum QES valid“. Erscheint hingegen ein unbekannter Zertifikatsaussteller (z.B. GlobalSign oder LuxTrust), kann dies Misstrauen oder Unkenntnis auslösen. Fälle sind bekannt, in denen Dokumente zusätzlich im polnischen Format angefordert wurden, obwohl sie mit einer EU-QES signiert waren. Zwar ist dies rechtlich angreifbar, aber es verzögert Vorgänge. Auch automatische Validierungsdienste der Verwaltung könnten Fremdzertifikate nicht korrekt klassifizieren, was zu ungültigen Meldungen führen kann. Die Benutzererfahrung spielt ebenfalls eine Rolle: Ein polnischer Sachbearbeiter kann eine ViaDoc (PDF) mit lokalem Szafir-Tool unmittelbar prüfen. Ein extern signiertes DocuSign-Dokument erfordert womöglich das Herunterladen eines Verification Add-ons – Barrieren, die die praktische Akzeptanz mindern.

DocuSign und ähnliche Dienste bieten meist einfache elektronische Signaturen an, sofern nicht explizit ein fortgeschrittenes/qualifiziertes Zertifikat integriert wird.

Fazit:

International etablierte e-Signaturen sind für geschäftliche Verträge zwischen Firmen durchaus nutzbar und rechtlich anerkannt. In streng geregelten polnischen Portalen stoßen sie aber oft auf strukturelle Inkompatibilitäten. Insbesondere das Fehlen der PESEL-Identifikation in ausländischen Zertifikaten macht die automatisierte Abwicklung schwer. Deutsche Unternehmen sollten daher erwägen, für polnische Amtsgeschäfte gezielt eine in Polen anerkannte Lösung einzusetzen, um Zeitverlust und technische Hürden zu vermeiden.

Bedeutung der PESEL-Nummer in Zertifikaten und Umgang mit Ausländern ohne PESEL

Die PESEL-Nummer (Powszechny Elektroniczny System Ewidencji Ludności) ist die polnische Personenidentifikationsnummer und spielt im elektronischen Rechtsverkehr eine zentrale Rolle. In qualifizierten Zertifikaten polnischer Anbieter wird die PESEL bei natürlichen Personen standardmäßig als Attribut aufgenommen. Dies hat wesentliche Folgen:

Automatische Identifizierung: Wenn ein Benutzer sich mit seiner qualifizierten Signatur bei einem Portal anmeldet oder ein Dokument einreicht, kann das System über die im Zertifikat enthaltene PESEL sofort die Identität verifizieren und Berechtigungen prüfen. Beispiel eKRS: Die Plattform gleicht die PESEL aus der Signatur mit den im Handelsregister hinterlegten Geschäftsführerdaten ab. Stimmt sie überein, darf die Person für die Gesellschaft einreichen. Dieses vollautomatische Matching beschleunigt Prozesse erheblich. Ohne PESEL im Zertifikat fällt diese Automation weg – das System erkennt zwar den Namen, kann ihn aber nicht eindeutig zuordnen (Namen sind nicht einzigartig). In der Übergangsphase 2018 war das eKRS-System für Nutzer ohne PESEL deshalb überhaupt nicht zugänglich, da die Validierung scheiterte.

Rechtskonforme Signatur mehrerer Personen: Viele polnische Dokumente erfordern, dass alle vertretungsberechtigten Personen signieren (z.B. jeder Geschäsftführer einer GmbH den Jahresabschluss). In der Praxis trifft man eine besondere Konstellation, wenn ein Dokument von mehreren Personen mit unterschiedlichen elektronischen Signaturtypen von unterschiedlichen Vertrauensdiensteanbieter unterzeichnet werden muss. Zwar ist die Kombination verschiedener e-Signaturarten – wie etwa die qualifizierte elektronische Signatur (QES) und die über das polnische ePUAP-System abgegebene Signatur – grundsätzlich technisch möglich, jedoch empfiehlt es sich, innerhalb eines Dokuments möglichst einen einheitlichen Signaturtyp zu verwenden, insbesondere wenn alle Unterzeichner dieselbe Firma vertreten. Gerade bei Joint Actions (JA) kann die parallele Nutzung von ePUAP und QES zu praktischen Herausforderungen führen. Die Erfahrung zeigt, dass bei der Kombination von ePUAP (häufig genutzt von polnischen Managern) und QES (typisch für ausländische Vorstände, etwa aus Deutschland) die ePUAP-Signatur in der Regel als letzte im Dokument angebracht werden sollte, um technische Komplikationen zu vermeiden. Ein einheitlicher Ansatz fördert die Effizienz im elektronischen Signaturprozess – und minimiert potenzielle Stolpersteine.

PESEL und ZUS/Steuern: In Systemen wie ZUS PUE oder den Steuerportalen ist PESEL ebenfalls der Schlüssel. Ein ausländischer Unternehmer ohne polnische Meldeadresse bekommt oft eine Ersatz-ID (z.B. NIP für natürliche Personen), die jedoch nicht in Zertifikaten vorkommt. Hier ist es üblich, einen polnischen Vertreter einzuschalten oder – falls möglich – doch eine PESEL zu erwirken. Beispielsweise erhalten Ausländer mit polnischer NIP seit 2021 oft im Hintergrund eine sogenannte Zapowiedź PESEL (eine temporäre Nummer) zugewiesen, um elektronische Dienste nutzen zu können. Ohne ins Detail zu gehen: Die Behörden bevorzugen Abläufe über PESEL, weil ihre IT darauf ausgelegt ist.

Ausländische Manager ohne PESEL: Wenn ein deutscher Geschäftsführer keine PESEL besitzt, gibt es folgende Lösungswege:
- Qualifizierte Signatur ohne PESEL: Polnische Anbieter können das Zertifikat stattdessen mit einer anderen eindeutigen Kennung ausstellen – z.B. Passnummer oder Geburtsdatum. Das Zertifikat ist dann gültig.
- Einsetzung eines Bevollmächtigten mit PESEL: In manchen Fällen kann ein bevollmächtigter polnischer Anwalt oder Mitarbeiter mit eigener QES die Formalität übernehmen. Bei CRBR-Transparenzregister ist hingegen ausgeschlossen, einen Bevollmächtigten einzusetzen. Dort muss ein Organvertreter selbst signieren.
- PESEL-Beantragung: Empfohlen als Dauerlösung – etwa über einen anwaltlichen Service oder bei Aufenthaltsregistrierung in Polen. Mit PESEL kann der Ausländer dann das kostenlose ePUAP-Profil erhalten und einfacher signieren. Unternehmen sollten klären, ob ihre ausländischen Manager aufgrund ihrer Funktion einen Anspruch auf Zuteilung einer PESEL haben (§ 20 poln. Melderecht sieht eine Vergabe für Personen vor, die in amtlichen Registern geführt werden).

Zusammengefasst:

Die PESEL-Nummer ist in Polen das Bindeglied zwischen digitaler Signatur und Identität. Ein QES-Zertifikat mit PESEL gewährleistet reibungslose Anerkennung in allen Systemen. Ohne PESEL muss sorgfältig geplant werden, wie man dennoch die rechtlichen Pflichten erfüllt – meist läuft es auf eine qualifizierte Signatur als Ersatz hinaus, mit gewissen Mehraufwänden. Deutsche Unternehmen sollten für ihre Vertreter frühzeitig entweder eine PESEL oder zumindest eine polnische QES ohne PESEL organisieren, um handlungsfähig zu sein. In vielen Fällen zahlt es sich aus, einen lokalen Partner (Anwalt, Steuerberater) einzubinden, der mit den Prozessen vertraut ist und – falls nötig – als Bevollmächtigter einspringen kann.

Wir weisen ausdrücklich darauf hin, dass die Meldung an das Zentralregister der wirtschaftlichen Eigentümer (CRBR) ausschließlich persönlich durch einen vertretungsberechtigten Geschäftsführer Ihrer polnischen Gesellschaft erfolgen muss und die gesetzliche Frist hierfür 14 Tage ab der Eintragung ins KRS beträgt. Wird die qualifizierte elektronische Signatur (QES) nicht rechtzeitig vor der Eintragung beschafft, besteht das erhebliche Risiko, dass die Meldung nicht fristgerecht erfolgen kann!

Vertrauenswürdige qualifizierte Vertrauensdiensteanbieter in Polen – Marktüberblick

Der polnische Markt für qualifizierte elektronische Signaturen wird von fünf Hauptanbietern dominiert (alle im Vertrauenanbieter-Verzeichnis gelistet). Im Folgenden ein Überblick mit Kurzprofil, Signaturangeboten und Besonderheiten:

Asseco Data Systems S.A. – „Certum“: Asseco (übernommen aus Unizeto Technologies) ist einer der ältesten polnischen Zertifizierungsdienste. Unter der Marke Certum wurden bereits über 1 Million Zertifikate ausgestellt. Angeboten werden Signaturkarten (Smartcards mit USB-Lesegerät) und Cloud-Signaturen. Die Cloud-Lösung heißt SimplySign – eine mobile App und Webplattform, mit der qualifizierte Signaturen remote erstellt werden können. Certum/Asseco bietet das volle Portfolio qualifizierter Vertrauensdienste (Signaturen, Siegel, Zeitstempel, Validierung). Besonderheiten: SimplySign war 2017 die erste mobile QES-Lösung in Polen und ist auch auf Englisch verfügbar. Für Ausländer gibt es ein Identifizierungsverfahren via Video-Call (über Partner wie Notary oder Identyfikacja.online) – ansonsten vor Ort in Certum-Registrierungsstellen. Website: certum.pl (deutsche/englische Versionen verfügbar). Certum zeichnet sich durch guten internationalen Support aus und ist auch bei deutschen Unternehmen beliebt, da Software und Dokumentation teilweise in deutscher Sprache vorliegen. Was die angebotene Lösung betrifft, so handelt es sich um eine deutlich komplexere und technisch anspruchsvollere Variante einer Signatur. Auch der Kundenservice ist zentral organisiert, was angesichts der Größe des Unternehmens verständlich ist. Ein individuell zugeschnittener Ansatz ist daher realistischerweise nicht zu erwarten.

Krajowa Izba Rozliczeniowa S.A. – KIR „Szafir“: KIR (die polnische Landesabrechnungskammer, vergleichbar mit der deutschen Bundesdruckerei in ihrer Funktion) betreibt den Dienst Szafir. Dieser umfasst qualifizierte Signaturkarten und seit 2019 auch die Remote-Signatur mSzafir. mSzafir ermöglicht vollständig online den Erwerb einer QES per Bankidentifikation (unterstützt u.a. PKO BP, Pekao, mBank) – Einmal-Zertifikate für einzelne Signaturen sind ebenfalls erhältlich. Daneben gibt es langfristige Cloud-Zertifikate (1 oder 2 Jahre) mit Signaturkontingenten. Besonderheiten: KIR war Vorreiter beim Konzept der Einmal-QES und bietet als Einziger an, ein Zertifikat für eine einzelne Signatur on-demand zu kaufen. Die Identifizierung erfolgt bequem via mojeID (Bank-Login) oder traditionell in KIR-Filialen. Technisch interessant: mSzafir erlaubt die Einrichtung einer „virtuellen Karte“ (Software-PKCS#11), um Cloud-Zertifikate wie eine lokale Karte in Standardsoftware zu nutzen. KIR ist besonders in der Finanzbranche verbreitet (die großen Banken sind Anteilseigner) und gewährleistet höchste Sicherheit (HSM in Bankqualität). Webseite: elektronicznypodpis.pl (Infos zu Szafir) und mszafir.pl. Leider lässt der Kundenservice dieses Anbieters in vielerlei Hinsicht zu wünschen übrig, insbesondere im Hinblick auf ausländische Kundinnen und Kunden. Es handelt sich hierbei um ein staatliches Unternehmen, dessen Dienstleistungen nicht auf internationale Nutzer zugeschnitten sind. Eine grenzüberschreitende Aktivierung einer solchen Signatur ist derzeit nicht möglich.

Polska Wytwórnia Papierów Wartościowych (PWPW) – „Sigillum“: Die staatliche Wertpapierdruckerei PWPW (Hersteller von Personalausweisen, Reisepässen, Banknoten) betreibt das Zentrum Sigillum für Vertrauensdienste. Sigillum bietet qualifizierte Karten und ebenfalls eine Lösung für den neuen elektronischen Personalausweis (eDO App in Verbindung mit der eID-Karte). Eine Signatur auf dem Personalausweis kann als QES erworben werden (Zertifikat auf dem Chip des eID). Für Nicht-Polen ist dieser Weg allerdings nicht verfügbar, da der eID nur Bürgern offensteht. Besonderheiten: Sigillum hebt hervor, der „Hersteller des E-Personalausweises“ zu sein. Ihre eDO-App zum Auslesen der eID hat über 1 Million Downloads. Ansonsten setzt PWPW auf klassische Smartcards. Leider bietet Sigillum keine Online-Identifizierung – man muss persönlich in Registrierungsstellen (oft bei Behörden angesiedelt) vorsprechen. Sprachlich ist Sigillum stark polnisch orientiert; ausländische Nutzer sollten sich auf polnischsprachige Formulare einstellen. Aufgrund der Nähe zur Regierung werden Sigillum-Zertifikate in allen Ämtern anstandslos akzeptiert. Webseite: sigillum.pl. Da dieser Anbieter überwiegend für staatliche Institutionen tätig ist, werden kleinere Kunden – insbesondere aus dem Ausland – erfahrungsgemäß nicht mit derselben Priorität betreut.

Enigma Systemy Ochrony Informacji Sp. z o.o. – „CenCert“: Enigma ist ein polnisches IT-Sicherheitsunternehmen, das mit CenCert einen eigenen qualifizierten Dienst anbietet. CenCert stellt Signaturkarten und seit kurzem ebenfalls eine Cloud-Lösung („rSign“) bereit. Besonderheiten: CenCert ist einer der kleineren Anbieter, punktet aber mit Flexibilität bei den Laufzeiten – sie bieten sogar 4- oder 5-Jahres-Zertifikate auf Karte an (ungewöhnlich im Markt). Die rSign-Cloud wird per Smartphone-App genutzt, hat aber noch geringe Verbreitung (ca. 1000 Downloads). Enigma/CenCert nutzt teils Hardware von Drittherstellern (z.B. Karten von Thales, Software „PEM-HEART“ von TechnoKom). Ausländer können bei CenCert eine QES über notariell beglaubigte Anträge erhalten; ein dediziertes Video-Ident-Verfahren ist nicht bekannt. Die Webseite cencert.pl richtet sich vorwiegend an polnische Nutzer (kein vollübersetzter Inhalt). Wir möchten darauf hinweisen, dass die Wahl des Namens „ENIGMA“ durch das betreffende Unternehmen auf eine bewusste Bezugnahme auf die von den deutschen Nationalsozialisten entwickelte Chiffriermaschine schließen lässt. Es ist nicht zu übersehen, dass diese Namensgebung eine gewisse Faszination für technische Errungenschaften deutscher Provenienz widerspiegelt – auch wenn diese seinerzeit zu Zwecken eingesetzt wurden, die für Polen und viele andere europäische Staaten mit schwerwiegenden Folgen verbunden waren. Vor diesem Hintergrund erachten wir es als bemerkenswert, dass sich polnische Marktteilnehmer bisweilen in besonderer Weise von Symbolen technologischer Innovationen beeindrucken lassen, ohne dabei den historischen Kontext in ausreichendem Maße zu reflektieren. Aus unserer Sicht erscheint eine derartige Referenz – gerade mit Blick auf die Geschichte beider Länder – als politisch und kulturell wenig sensibel. Daher sehen wir davon ab, eine Empfehlung für diesen Anbieter auszusprechen.

EuroCert Sp. z o.o. – „EuroCert“: EuroCert ist ein privater Anbieter, der seit 2015 aktiv ist und sich einen Namen insbesondere bei internationalen Kunden gemacht hat. Das Unternehmen ist Mitglied unserer Kammer und bietet einen hervorragenden Service, teilweise auch im Deutschen an. Als einziger Vertrauensdiensteanbieter stellt das Unternehmen Programme zur Erstellung elektronischer Signaturen mit einer Benutzeroberfläche in deutscher Sprache zur Verfügung. Darüber hinaus ist der Anbieter strategischer Partner unserer Kammer. EuroCert bietet drei Varianten von QES an: (a) EC Signer Cloud-Zertifikate (Fernsignatur mit Web und App), (b) Smartcard-Zertifikate und (c) Zertifikate auf dem polnischen Personalausweis (e-dowód). Besonderheiten: EuroCert wirbt mit kundenfreundlichen Identifizierungen, inklusive 100% Online-Videoidentifikation über Partner (z.B. IDnow) – ideal für Ausländer, die nicht nach Polen reisen wollen, um ein Zertifikat zu bekommen. Alternativ bieten sie einen VIP-Service, bei dem ein Mitarbeiter zum Kunden kommt. EuroCerts Software SecureDoc läuft auch auf macOS. Im Cloud-Bereich setzt EuroCert auf virtuelle Karten und eine API, wodurch Integration in eigene Systeme möglich ist. Die Webseite eurocert.pl ist vollständig auf Polnisch und Englisch verfügbar; es gibt aber Inhalte in Deutsch für unsere Mitglieder. EuroCert positioniert sich als besonders ausländerfreundlich: Für deutsche Firmen, die eine unkomplizierte Remote-Lösung suchen, ist EuroCert daher oft erste Wahl. Selbstverständlich können wir bei der Bestellung der qualifizierten elektronischen Signaturen, einschließlich der korrekten Implementierung der PESEL-Nummer, für Sie bei diesem Anbieter vermitteln. Die Aktivierung der Signatur können wir zudem mit dem Notartermin zur Gründung Ihrer Gesellschaft koordinieren.

Hinweis:

Neben den genannten gibt es neue Akteure wie Autenti oder Poczta Polska, die qualifizierte E-Zustelldienste anbieten. Diese richten sich aber primär auf den elektronischen Postzustelldienst (E-Doręczenia) und weniger auf allgemeine Signaturen. Die fünf oben beschriebenen Anbieter decken den Großteil des Marktes für QES in Polen ab.

Deutsche qualifizierte Signaturanbieter und ihre Akzeptanz in Polen

Für einfache Vorgänge wie die Unterzeichnung des Antrags für das polnische Register der wirtschaftlich Berechtigten könn te auch der Erwerb einer qualifizierten elektronischen Signatur in Deutschland in Betracht gezogen werden. Auch in Deutschland gibt es mehrere qualifizierte Vertrauensdiensteanbieter (QTSP). Zu den bekanntesten zählen D-TRUST GmbH (ein Unternehmen der Bundesdruckerei-Gruppe) und die Bundesdruckerei selbst, welche über die Plattform „sign-me“ Fernsignaturen anbietet. Ebenfalls relevant ist z.B. Telekom Security (T-Systems) oder die Bundesnotarkammer (beA-Karte) für spezifische Berufsgruppen. Obwohl in Deutschland ausgestellte eSignaturen nicht über die volle Funktionalität für die Nutzung in polnischen EDV-Systemen der Verwaltung verfügen, sollten sie auch für die Unterzeichnung eines Jahresabschlusses ausreichend sein. Die vollständige Liste der Anbieter finden Sie unter:

[-->] Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen

Für deutsche Unternehmen stellt sich die Frage, inwieweit solche eZertifikate in Polen genutzt werden können und welche Einschränkungen es gibt:

Rechtsstatus: Eine deutsche QES (z.B. ein Zertifikat von D-TRUST auf dem Personalausweis oder ein sign-me Zertifikat) genießt formal die gleiche rechtliche Anerkennung in Polen wie eine polnische QES. Ein mit D-TRUST QES signierter Vertrag ist in Polen ebenso wirksam wie ein in Berlin unterschriebener Papiervertrag. Polnische Gerichte müssen solche Signaturen akzeptieren; ein Verweigerungsgrund besteht nicht. Es ist daher nicht nötig, doppelt (deutsch und polnisch) zu signieren – eine QES reicht EU-weit.

Praktische Nutzung in Portalen: Die Schwierigkeiten beginnen, wie oben geschildert, bei der automatisierten Verarbeitung. So akzeptierer die polnischn öffentlichen EDV-Systeme im Grundsatz nur PESEL-Signaturen – ein D-TRUST-Zertifikat (insbesondere wenn darauf z.B. die deutsche Personalausweisnummer vermerkt sind) wird vom System nicht als berechtigter Einreicher erkannt. Die meisten polnischen E-Gov-Dienste sind (noch) nicht darauf ausgelegt, fremde Zertifikate nahtlos einzubinden.

Format- und Softwarekompatibilität: Deutsche Lösungen wie D-TRUST Sign-me oder die AusweisID basieren auf denselben internationalen Standards (PAdES, XAdES). Ein mit Sign-me signiertes PDF ist in Polen technisch überprüfbar – Adobe Acrobat zeigt es als gültig an, und auch polnische Prüfsoftware (z.B. proCertum Smart) erkennt die Zertifikatskette als qualifiziert (sofern die Root im Trust Store ist). Problematisch wird es bei speziellen Anforderungen: Beispielsweise verlangt das polnische Finanzamt für bestimmte Steuerformate eine XAdES-Datei. Ein deutscher Anwender mit AusweisApp2 könnte zwar ein PDF signieren, aber kaum eine XAdES über die deutsche Software erzeugen. Hierzu fehlen meist die Tools, da nationale Lösungen auf heimische Anwendungsfälle zugeschnitten sind. Deutsche Anbieter haben oft keine Anleitungen für polnische Use-Cases, was die Nutzung erschwert.

Akzeptanz durch polnische Partner: Auf geschäftlicher Ebene (B2B) können deutsche QES durchaus eingesetzt werden. Ein polnischer Vertragspartner muss eine deutsche qualifizierte Signatur anerkennen. Trotzdem zeigt die Erfahrung, dass viele polnische Unternehmen mit ausländischen Signaturen wenig vertraut sind. Ein polnischer Notar etwa könnte zögern, ein Dokument im elektronischen Format zu beglaubigen, wenn ihm der Zertifikatsaussteller unbekannt ist. Hier kann Aufklärung und, wenn nötig, ein Qualifizierter elektronischer Zeitstempel helfen, der die Signatur zusätzlich beurkundet. In öffentlichen Verfahren ist das Risiko geringer, da dort eher strikt nach Gesetz vorgegangen wird – aber auch dort zählt die Usability: Ein D-TRUST Zertifikat kann z.B. im eTendering (plattform ezamowienia.gov.pl) verwendet werden, weil diese EU-weit Konformität sicherstellen müssen. Dennoch haben z.B. viele polnische Vergabestellen in Ausschreibungsbedingungen die Empfehlung formuliert, polnische Signaturen zu nutzen, um „Verifikationsprobleme“ zu vermeiden.

Empfehlung:

Deutsche qualifizierte Signaturen (z.B. die Signaturkarte der Bundesdruckerei oder die Sign-me-Cloudsignatur) sind juristisch valide in Polen, stoßen aber insbesondere bei Amtsprozessen auf technische Grenzen. Für einzelne Fälle – etwa die Unterzeichnung eines polnischen PDF-Vertrags – kann ein deutsches Zertifikat ausreichend sein. Für wiederkehrende Pflichten (KRS, ZUS, Steuern) sollte jedoch ernsthaft erwogen werden, eine polnische QES zu beschaffen. Die Kosten und der Aufwand dafür sind überschaubar, und man erhält damit eine in allen polnischen Stellen reibungslos funktionierende Signatur.

QES auf USB-Karte vs. Cloud-Signaturen (Remote) – ein Vergleich

Traditionell wurden qualifizierte Zertifikate auf physischen Smartcards oder USB-Token gespeichert. Seit eIDAS erlauben die Regelungen jedoch auch Remote Signatures, d.h. qualifizierte Signaturen, bei denen der Signaturschlüssel sicher auf einem Hardware-Sicherheitsmodul beim Anbieter liegt und der Unterzeichner über das Internet eine Signatur auslöst. Beide Varianten sind in Polen verfügbar und haben Vor- und Nachteile:

Qualifizierte Signatur auf Karte/Token: Hier trägt der Nutzer sein Zertifikat in Form einer Chipkarte (im Scheckkartenformat oder als USB-Stick) bei sich. Zum Signieren wird die Karte in ein Lesegerät gesteckt und mit einer lokalen Software plus PIN-Eingabe die Signatur erzeugt.

Vorteile: Die Kontrolle über den Signaturschlüssel liegt vollständig beim Nutzer. Ohne physischen Besitz der Karte und Kenntnis der PIN kann keine Signatur erfolgen. Manche empfinden dies als höhere Sicherheit („mein Schlüssel bleibt bei mir“). Zudem benötigt die Kartenlösung außer einem Computer und Lesegerät keine Internetverbindung – relevant, wenn offline signiert werden soll. Gerade für interne Dokumentenworkflows oder Archivierungszwecke sind Karten bewährt. Polnische Portale unterstützen Kartensignaturen gut; es gibt meist Browser-Plugins oder Anwendungen (z.B. Szafir Host, proCertum) für die Integration. Rechtlich gelten Karten heute als Qualifizierte Signaturerstellungseinheiten (QSCD), sofern die Karte entsprechend zertifiziert ist – das trifft auf alle von polnischen Anbietern gelieferten Karten zu.
Nachteile: Die Handhabung ist vergleichsweise umständlich. Man braucht stets die Karte + ein Lesegerät und ggf. Treibersoftware. Insbesondere unterwegs oder auf einem Smartphone/Tablet ist dies unpraktisch. Außerdem treten gelegentlich technische Probleme auf (Kompatibilität mit Betriebssystemen, Treiberaktualisierungen, defekte Karten nach ein paar Jahren). Unternehmen müssen Karten für jeden Mitarbeiter verwalten – inkl. Sperrung bei Verlust. Trotz dieser kleinen Hürden bleibt die Karte ein verlässliches Arbeitsmittel – viele polnische Führungskräfte haben ihren USB-Stick mit Zertifikat immer griffbereit.

Qualifizierte Cloud-Signatur (Remote-Signatur): Hierbei liegt das Zertifikat in einem Hochsicherheits-HSM beim Vertrauensdiensteanbieter. Der Nutzer authentisiert sich über ein Online-Verfahren (z.B. Login + SMS-TAN oder Mobil-App) und kann dann ein Dokument elektronisch signieren lassen. Beispiele: SimplySign, mSzafir, EuroCert ECSigner.

Vorteile: Flexibilität und Ortsunabhängigkeit - Der Unterzeichner kann von jedem Gerät (PC, Smartphone, Tablet) aus signieren, ohne spezielle Hardware. Gerade für vielreisende Manager ist das ein Segen – man kann z.B. vom Flughafen aus schnell eine Freigabe mit dem Handy signieren. Keine Kartenleser oder Treiberinstallation nötig. Viele Remote-Lösungen bieten Webportale oder Apps mit intuitiver Oberfläche. Einige Cloud-QES lassen sich vollständig online erwerben (Video-Ident) und sind binnen Minuten einsatzbereit. Für Unternehmen ist es einfacher, mehreren Mitarbeitern Cloud-Zugänge zu geben, als Karten physisch zu verteilen. Außerdem erlauben remote-Lösungen oft API-Integration – d.h. Signatur kann in digitale Geschäftsprozesse eingebettet werden (z.B. Massenvertragsversand mit automatischer Signatur). Trotz „Schlüssel beim Provider“ ist das Sicherheitsniveau hoch. Die HSM beim Anbieter sind nach eIDAS zertifiziert, und die Signaturauslösung erfordert starke Authentifizierung (2-Faktor). Der Anbieter protokolliert die Vorgänge und schützt die Schlüssel gegen unautorisierten Zugriff. Man kann argumentieren, dass das Risiko menschlichen Fehlers (z.B. PIN-Notiz am Bildschirm) geringer ist, da Nutzer nur temporäre Codes nutzen. Einige Anbieter (KIR, EuroCert) erlauben sogar eine Bank-ID zur Signaturauslösung, was den Prozess noch sicherer gestaltet.
Nachteile: Abhängigkeit von Internet und Verfügbarkeit - Ohne Online-Zugriff kann nicht signiert werden. Bei Systemausfällen des Anbieters oder schlechtem Mobilfunk hat man evtl. Probleme. Kontrollgefühl: Manche Nutzer fühlen sich unsicher, wenn der Schlüssel nicht physisch vorliegt. Obwohl Missbrauch sehr unwahrscheinlich ist (der Anbieter kann nicht ohne den Nutzer signieren, da z.B. ein OTP Code benötigt wird), bleibt ein Restrisiko durch Insider oder Cyberangriffe – dem wird jedoch durch Audits und Technik begegnet. Kompatibilität mit alten Systemen: Ältere Desktop-Software oder Firmensysteme erwarten oft einen angeschlossenen Zertifikatsspeicher (Smartcard). Cloud-Signaturen müssen dann über Workarounds angebunden werden (virtuelle Smartcard-Treiber, siehe mSzafir CryptoCloud oder CenCert PEM-HEART). Die initiale Einrichtung kann etwas Know-how erfordern. Einige Cloudsignaturen werden im Abo oder pro Signatur abgerechnet (z.B. mSzafir Einmalzertifikate). Bei sehr intensivem Gebrauch kann das teurer sein als eine pauschale Karte mit unbegrenzten Signaturen. Allerdings bieten viele auch Flatrates an, sodass der Unterschied schwindet.

Einsatz in polnischen Verfahren:

Beide Varianten werden von den Behörden akzeptiert, solange das Ergebnis eine gültige QES ist. Es spielt also für die Einreichung keine Rolle, wie die Signatur entstand. In der Anfangszeit (2018/19) hatten manche Registersoftware Probleme mit Cloud-Zertifikaten, doch inzwischen sind Cloud-QES gängig – z.B. die Gerichtsplattform EZD erkennt mSzafir- oder SimplySign-Signaturen problemlos als qualifiziert an. Wichtig ist eher der Signaturalgorithmus und die Formatrichtlinie (die Cloud-Anbieter halten sich an XAdES/PAdES Standards wie die Kartenanbieter). Unternehmen sollten die Entscheidung daher nach organisatorischen Gesichtspunkten treffen: Brauchen meine Geschäftsführer Mobilität und Schnelligkeit, dann tendiert man zu Cloud-Lösungen. Habe ich eingespielte Prozesse mit Signaturstation am Schreibtisch, sind Karten weiterhin solide. Oft werden auch beide Wege kombiniert: Ein Vorstand hat eine Karte im Büro und zusätzlich eine Cloud-Signatur fürs Handy – sozusagen als Backup und für unterwegs.

Sicherheitsaspekt: Beide Varianten gelten als gleich sicher, sofern QSCD zertifiziert. Bei Karten ist das QSCD die Karte selbst, bei Remote die Server-HSM plus Verfahrenskontrolle als "qualifiziertes Signaturerstellungsmodul" gemäß eIDAS. Die Entscheidung ist somit eher eine Frage der Praktikabilität als der Sicherheit.

Empfehlungen für deutsche Unternehmen mit Polen-Bezug

Abschließend einige konkrete Empfehlungen, wie deutschsprachige Unternehmen und insbesondere deren Geschäftsführungen die Herausforderung elektronischer Signaturen in Polen meistern können:

Frühzeitig Bedarf ermitteln: Prüfen Sie, für welche Vorgänge in Polen Sie elektronische Signaturen benötigen. Typische Szenarien: Handelsregister-Anmeldungen (z.B. Änderung Geschäftsführer, Jahresabschlüsse), CRBR-Meldungen, Vollmachtsregistrierung beim Finanzamt, elektronische Rechnungsstellung (KSeF), Arbeitsverträge mit polnischen Mitarbeitern, Teilnahme an polnischen Ausschreibungen etc. Sobald klar ist, dass solche Fälle auftreten, planen Sie die Beschaffung entsprechender Signaturen ein – idealerweise bevor Fristen drängen.

PESEL-Nummer beantragen, falls möglich: Wenn ein Mitglied der Geschäftsführung regelmäßig in Polen agiert, ist es äußerst hilfreich, eine polnische PESEL zu haben. Dies vereinfacht vieles (z.B. könnte dann ein kostenloses ePUAP-Profil genutzt werden). Ausländische Vorstände können über die zuständigen Meldebehörden oder durch Bevollmächtigung eines Anwalts eine PESEL erhalten. Sollte das nicht kurzfristig klappen, ist es umso wichtiger, auf die QES zu setzen. Unsere Kammer hat ein spezielles Verfahren entwickelt, bei dem anlässlich des Notartermins zunächst eine vorläufige, arbeitsfähige "technische" QES ausgestellt wird. Nach Ausstellung des Verwaltungsbescheids über die Zuteilung der PESEL-Nummer durch den Präsidenten der Stadt Warschau wird diese Nummer in ein neues qualifiziertes e-Zertifikat implementiert. Die e-Zertifikate werden anschließend online in Ihrer elektronischen Signatur ausgetauscht, sodass ein erneutes persönliches Erscheinen in Polen nicht erforderlich ist.

Qualifizierte Signatur beschaffen (lokaler Anbieter): Für alle entscheidungsbefugten Personen, die Dokumente für die polnische Gesellschaft unterzeichnen müssen, empfiehlt sich die Anschaffung einer polnischen QES. Wählen Sie einen Anbieter, der Ihren Bedürfnissen entspricht – z.B. EuroCert für schnelle Abwicklung. Achten Sie darauf, dass im e-Zertifikat die Person identisch zu den Registerangaben erfasst wird (korrekte Schreibweise von Vor- und Nachname, möglichst mit zweitem Vornamen falls im KRS genannt). Wenn kein PESEL vorhanden ist, stellen Sie sicher, dass zumindest das Geburtsdatum oder eine Ausweisnummer im Zertifikat hinterlegt wird – dies kann bei manuellen Prüfungen helfen.

Karten- vs. Cloud-Lösung nach Einsatz entscheiden: In der Praxis zeigt sich, dass traditionelle qualifizierte eSignaturen auf einem USB-Stick technisch weniger störanfällig sind, insbesondere wenn Dokumente von Deutschland aus unterzeichnet werden und dabei Unternehmensfirewalls oder die direkte Anmeldung in polnischen öffentlichen EDV-Systemen genutzt werden. Ein Nachteil der Kartensignatur besteht jedoch darin, dass bei Verlust der Karte die Signatur unwiederbringlich verloren ist und ein neues Zertifikat ausgestellt werden muss. Schwierigkeiten mit Cloudsignaturen beobachten wir insbesondere dann, wenn Manager das System in verschiedenen Zeitzonen oder von wechselnden Standorten aus nutzen – in solchen Fällen treten häufiger Authentifizierungsprobleme oder Störungen bei der Erreichbarkeit der Cloud-Dienste auf, was zu Verzögerungen im Ablauf führen kann.

Mit deutschen Signaturen vorsichtig umgehen: Wenn Ihr Management bereits eine deutsche qualifizierte Signatur hat (z.B. auf dem Personalausweis oder eine von D-TRUST), können Sie diese für rein zivilrechtliche Verträge mit polnischen Partnern einsetzen – das wird anerkannt und vermeidet Doppelarbeit. Für Behördensachen in Polen ist hingegen Vorsicht geboten. Nutzen Sie deutsche QES nur, wenn Sie sicher sind, dass das polnische System sie akzeptiert. Im Zweifel lieber gleich die polnische QES verwenden, um Verzögerungen zu vermeiden.

Verantwortlichkeiten intern klären: Legen Sie fest, wer in Ihrem Unternehmen polnische Portale bedient. Beispiel: Soll der deutsche Geschäftsführer selbst via ePUAP Einreichungen vornehmen? Oftmals ist es besser, einen lokalen Mitarbeiter zu benennen, der über eine eigene QES verfügt und Anmeldungen im Tagesgeschäft erledigt. Dieser kann dann die Pflichtdokumente anhand einer Vollmacht im Namen der Firma signieren. Beachten Sie aber, wo Eigenunterschrift des Geschäftsführers vorgeschrieben ist (Jahresabschluss!).

Schulung und Tests: Stellen Sie sicher, dass alle Nutzer mit ihren Signatur-Werkzeugen vertraut sind. Gerade für Vorstände: eine kurze Einweisung, wie man z.B. ein Dokument XAdES-signiert, ist Gold wert, bevor der Ernstfall kommt. Testen Sie die Signatur in einer unverfänglichen Situation – z.B. laden Sie ein signiertes PDF in das polnische Test-Validierungsportal hoch oder probieren Sie eine Probeeinreichung (manche Portale bieten Demo-Modi). So gewinnen die Beteiligten Sicherheit im Umgang.

Updates und Gültigkeit überwachen: Qualifizierte Zertifikate haben begrenzte Laufzeiten (1-3 Jahre üblich). Führen Sie in Ihrer Compliance-Liste die Ablaufdaten auf und kümmern Sie sich rechtzeitig um Verlängerungen. Nichts ist ärgerlicher, als am Tag X eine Einreichung zu planen und festzustellen, dass die Signatur gestern abgelaufen ist. Viele Anbieter erinnern per E-Mail, dennoch sollte intern jemand den Überblick behalten (typischerweise Legal oder IT-Abteilung). Während der Gültigkeitsdauer eines qualifizierten elektronischen Zertifikats kann die Signatur problemlos online verlängert werden. Wird die Verlängerung jedoch versäumt und das Zertifikat verliert seine Gültigkeit, muss der elektronische Signaturprozess vollständig neu durchlaufen und ein neues Zertifikat ausgestellt werden.

Lokale Hilfe nutzen: Im Zweifelsfall ziehen Sie unsere Kammer hinzu. Wir kennen die Tücken und können z.B. die Beantragung einer PESEL oder die Beschaffung einer Signaturkarte für Sie übernehmen. Diese Investition lohnt sich, wenn dadurch Fehler und Fristversäumnisse vermieden werden.

QES setzt neue Maßstäbe in Polen

Deutschsprachige Unternehmen sollten die elektronische Signatur als festen Bestandteil ihrer Polen-Strategie betrachten. Eine praktikable Lösung besteht typischerweise darin, dass die Geschäftsführung oder die verantwortlichen Personen mindestens eine polnische qualifizierte Signatur besitzen. Diese sollte möglichst PESEL-basiert sein – falls nicht, sind die Alternativen wie oben beschrieben zu organisieren. Mit einer solchen Ausstattung können Sie nahezu alle Geschäfts- und Behördenvorgänge in Polen digital und rechtskonform abwickeln. Im Zweifel gilt der Grundsatz: lieber „auf Nummer sicher“ gehen und die geringfügigen Mehrkosten in Kauf nehmen, als später aufgrund formaler Signaturprobleme rechtliche Nachteile zu haben. Polen fördert die Digitalisierung stark – wer hier vorbereitet ist, kann gegenüber weniger digital affinen Wettbewerbern sogar einen Vorteil genießen. In diesem Sinne: Sorgen Sie für die passenden elektronischen Unterschriften, dann steht einer erfolgreichen Geschäftstätigkeit in Polen nichts mehr im Wege!

Das elektronische Signieren von Dokumenten hat sich inzwischen als Standard in vielen Geschäftsprozessen etabliert. Mit der qualifizierten elektronischen Signatur (QES) erhalten digital signierte Dokumente denselben rechtlichen Status wie handschriftlich unterzeichnete Dokumente. Dies erleichtert die sofortige Weiterleitung von Verträgen, Berichten und Verwaltungsdokumenten auf elektronischem Weg, ohne sie ausdrucken oder physisch versenden zu müssen. Der Einsatz der qualifizierten elektronischen Signatur bringt zahlreiche Vorteile mit sich:

Zeitersparnis: Dokumente können sofort und ohne physischen Versand signiert und verschickt werden.
Bequeme Nutzung: Elektronische Signaturen ermöglichen es, Verträge ortsunabhängig zu unterzeichnen.
Sicherheit: Kryptografische Technologien garantieren die Integrität und Authentizität der signierten Dokumente.
Rechtsverbindlichkeit: Eine qualifizierte eSignatur ist in der gesamten EU rechtsverbindlich und erspart den handschriftlichen Prozess.

eSignaturen sind aus der modernen Welt nicht mehr wegzudenken. Durch die eIDAS-Verordnung sind sie innerhalb der gesamten Europäischen Union anerkannt, was den grenzüberschreitenden Geschäftsverkehr vereinfacht.

Beratung zur Implementierung einer QES PL

Mit unserer Unterstützung können Sie die passende Signaturlösung finden und reibungslos in Ihr Unternehmen integrieren. Unser AHK TECH-Team unterstützt deutsche Unternehmen bei der Auswahl und Implementierung der passenden Lösungen für die elektronische Signatur. Wir beraten Sie umfassend zu den verschiedenen technischen Möglichkeiten, ob Cloud-basierte Signaturen oder on-premise-Lösungen, und helfen bei der Integration in Ihre bestehenden Systeme. Unsere Experten stehen Ihnen zur Seite, um den gesamten Prozess kundenorientiert, sicher und effizient zu gestalten.

AHK TECH - Blogpost

Elektronische Signaturen in Polen (QES)