Sichere Signaturerstellungseinheit (SSEE) im Vergaberecht 2026

Definition: Eine sichere Signaturerstellungseinheit (SSEE) ist ein speziell gesichertes Hardware- oder Software-Modul, das kryptografische Schlüssel für die Erstellung qualifizierter elektronischer Signaturen erzeugt und speichert, dabei sicherstellt, dass der private Schlüssel nicht ausgelesen oder unbefugt verwendet werden kann, und somit die Grundlage für rechtssichere elektronische Signaturen im Vergaberecht und darüber hinaus bildet.

Zuletzt aktualisiert: Jänner 2026 · Rechtsstand: eIDAS-Verordnung (EU) Nr. 910/2014 Anhang II, Signaturgesetz (SigG) Österreich, SigV

---

Technische Grundlagen

Die sichere Signaturerstellungseinheit (im EU-Recht als „qualifizierte elektronische Signaturerstellungseinheit" oder QSCD – Qualified Signature Creation Device – bezeichnet) ist das technische Herzstück jeder qualifizierten elektronischen Signatur. Sie stellt sicher, dass der private kryptografische Schlüssel, der zur Signaturerstellung verwendet wird, das Gerät niemals verlässt und nicht ausgelesen werden kann. Selbst wenn eine SSEE physisch gestohlen wird, bleibt der Schlüssel durch PIN-Schutz und Manipulationsschutz (Tamper Evidence/Resistance) gesichert.

Typische SSEE-Formen:

• Chipkarte (Smartcard): Die klassische Form; der Schlüssel ist auf einem Chip gespeichert, der in ein Kartenlesegerät eingesteckt wird.
• USB-Token: Kompakte USB-Sticks mit eingebettetem Sicherheitschip.
• Hardware Security Module (HSM): Netzwerkseitige Hardware für Server-Umgebungen und Massenverarbeitungen.

Anforderungen nach eIDAS

Anhang II der eIDAS-Verordnung legt die Mindestanforderungen an qualifizierte elektronische Signaturerstellungseinheiten fest. Wesentliche Anforderungen:

• Die Vertraulichkeit des privaten Signaturschlüssels muss sichergestellt sein.
• Der private Schlüssel darf nicht aus der SSEE ausgelesen werden können.
• Der Schlüssel darf nicht gefälscht werden können.
• Der Unterzeichner kann den Schlüssel zuverlässig vor unbefugter Nutzung schützen.
• Die SSEE darf die zu signierende Nachricht nicht verändern.

Bedeutung im elektronischen Vergaberecht

Im elektronischen Vergaberecht kommt der SSEE besondere Bedeutung zu, da qualifizierte elektronische Signaturen für bestimmte Vergabedokumente gesetzlich vorgeschrieben sein können. In Österreich etwa können Bieter bei der Angebotsabgabe via e-Procurement-Plattformen eine qualifizierte elektronische Signatur (mittels Bürgerkarte oder Handy-Signatur / ID Austria) verwenden, die auf einer SSEE basiert.

Zertifizierung

SSEE müssen von einer akkreditierten Prüfstelle nach einschlägigen Sicherheitsstandards (z.B. Common Criteria EAL 4+, FIPS 140-2 Level 3) zertifiziert und auf der nationalen Vertrauensliste oder der europäischen Trusted List aufgeführt sein. In Österreich führt das Bundesministerium für Digitalisierung die Trusted List; in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Grundlage der Vertrauenslistenverordnung.

Verwandte Begriffe

• Qualifizierte elektronische Signatur
• Qualifiziertes elektronisches Siegel
• Elektronische Signatur
• Elektronische Vergabe
• Signaturkarte

FAQ

Braucht jeder Bieter eine SSEE? Nur dann, wenn er qualifizierte elektronische Signaturen erstellen muss. Für viele elektronische Vergabeplattformen reicht eine fortgeschrittene elektronische Signatur, die keine SSEE erfordert.

Ist eine Software-SSEE (Software-Token) zulässig? Software-basierte SSEE können zertifiziert werden, bieten aber in der Regel ein niedrigeres Sicherheitsniveau als Hardware-SSEE. Für qualifizierte Signaturen im EU-Rechtssinne ist i.d.R. eine Hardware-SSEE erforderlich.

Wie lange sind SSEE-Zertifikate gültig? Die Gültigkeitsdauer variiert je nach Anbieter; üblich sind 2–5 Jahre. Danach muss das Zertifikat erneuert werden.

---

Zuletzt aktualisiert: Jänner 2026 Alle Angaben ohne Gewähr. Für rechtlich verbindliche Auskünfte wenden Sie sich an eine auf Vergaberecht spezialisierte Kanzlei.