/
QES Einstellungen für Plan-Admins

QES Einstellungen für Plan-Admins

 

💡 Auf einen Blick

Als Plan-Admin steuern Sie die Nutzung der Qualifizierten Elektronischen Signatur (QES), dem höchsten Signaturstandard für den gesamten Plan. Die QES ist der handschriftlichen Unterschrift rechtlich gleichgestellt. Elektronische Signaturen werden in Europa durch zwei zentrale Verordnungen gewährleistet: die eIDAS-Verordnung, die einen einheitlichen Rechtsrahmen für elektronische Signaturen in der gesamten Europäischen Union schafft, und das ZertES-Gesetz, welches die entsprechenden Regelungen für die Schweiz festlegt. Dieses Modul erklärt Ihnen die Grundlagen, wie Sie die verfügbaren QES-Optionen zentral über das Rollenmanagement konfigurieren und was Ihre Plan-Mitglieder beim Identifikationsprozess erwartet. 

sproof sign bietet zwei Wege zur QES:

  • Die sproof QES: Die tief integrierte Lösung, die exklusive Funktionen wie die qualifizierte Stapelsignatur ermöglicht. Die sproof QES ist sproof-Kund:innen vorbehalten. 

  • Der eID-Hub: Eine Schnittstelle, die es allen User:innen von sproof sign erlaubt (auch Externen, die zur Signatur eingeladen werden), ihre bereits vorhandene elektronische Identität von diversen europäischen eID-Anbietern (z.B. ID-Austria, Deutscher Personalausweis etc.) zu nutzen.

    -> Details hierzu finden Sie im Modul “eID Schnittstelle (eID Hub)”.

 

 

📖 Grundlagen für Plan-Admins

Was ist die sproof QES? 

Die „sproof QES“ ist die tief integrierte, qualifizierte Signatur in „sproof sign“, für welche sich Plan-Mitglieder direkt über sproof sign identifizieren können. Jeder Plan in sproof sign verfügt optional über ein Kontingent sogenannter „sproof QES”. Um die sproof QES nutzen zu können, benötigen die einzelnen Plan-Mitglieder einen Benutzerzugang und ein User+ Upgrade, welches das notwendige Identifikationsverfahren für die sproof QES beinhaltet. 

Sobald die besagten Plan-Mitglieder das Identifikationsverfahren durchlaufen haben, kann mit der sproof QES signiert werden. 

Für die „sproof QES“ kollaboriert die sproof GmbH mit der Swisscom Trust Services AG. 

Der Vorteil für Ihr Team liegt in der nahtlosen Einbindung der QES in die Plattform, die exklusive Funktionen wie die qualifizierte Stapelsignatur ermöglicht. Damit können Ihre Plan-Mitglieder eine Vielzahl von Dokumenten mit nur einer einzigen Bestätigung rechtsgültig unterzeichnen und arbeiten so deutlich effizienter. 

-> Eine ausführliche Erklärung der Stapelsignatur finden Sie im Modul “Stapelsignatur”.

Wichtiger Hinweis für Bestandskund:innen
Die neue Swisscom API (Swisscom MAB) bietet erweiterte QES-Identifikations- und Autorisierungsmethoden, die seit Oktober 2025 in sproof sign verfügbar sind. Diese neuen Verfahren werden in diesem Modul beschrieben.

Das bisherige Video-Ident-Verfahren über Mobile ID kann noch bis Ende 2025 genutzt werden und wird anschließend von Swisscom eingestellt.
Informationen zum bestehenden (auslaufenden) QES-Setup finden Sie nach wie vor im Modul “QES Identifikation”.

📑 Schritt für Schritt Anleitung

Zentrale Steuerung der QES-Konfigurationen im Rollenmanagement

Als Plan-Admin steuern Sie zentral im Rechte- und Rollenmanagement, welche QES-Konfiguration für Ihre Plan-Mitglieder pro Rolle zur Verfügung steht.

Nur Plan-Mitglieder mit User+ Upgrade können mit einer sproof QES signieren. 

So ändern Sie die QES-Konfiguration für eine ausgewählte Rolle: 

  1. Navigieren Sie in sproof sign zu “Lizenz & Team” und anschließend in den Tab “Rollenmanagement”. 

  2. Klicken Sie auf den Button “Rolle erstellen” oder bearbeiten Sie eine von Ihnen bereits erstellte Rolle, unter dem 3-Punkte-Icon. 

  3. Innerhalb der Funktion „Dokumente unterschreiben und genehmigen“ legen Sie die spezifischen Konfigurationen für die QES fest, die für diese Rolle gelten sollen.

  4. Weisen Sie eine so konfigurierte Rolle einem Plan-Mitglied zu, werden diesem beim Signieren nur die von Ihnen erlaubten Optionen angezeigt. 

Eine sproof QES- Konfiguration legt dabei fest:

  1. In welchem Rechtsraum (Jurisdiktion) die QES gültig sind.

  2. Von welchem Signaturanbieter (QTSP) die Signaturen ausgestellt werden.

  3. Wie die Plan-Mitglieder die QES-Signaturen bestätigen (Autorisieren).

  4. Mit welchem Verfahren die Plan-Mitglieder das für die QES notwendige digitale Zertifikat erhalten (Identifikation).

Derzeit ist ausschließlich die Identifikation über Webident möglich, weshalb in den Einstellungen keine Auswahlmöglichkeiten zur Verfügung stehen.

Frame 237893.png

-> Eine detaillierte Anleitung zur Erstellung und Zuweisung von Rollen finden Sie im Modul “Rechte- und Rollenmanagement”.

Die sproof QES-Konfigurationen im Detail

Es gibt in sproof sign aktuell vier mögliche Konfigurationen für die sproof QES. Eine Konfiguration legt dabei fest, wie sich Plan-Mitglieder identifizieren, qualifizierte Signaturen freigeben (autorisieren), in welchem Rechtsraum (Jurisdiktion) die Signatur gültig ist und welcher QTSP die Signaturen ausstellt.

sproof QES-Konfiguration

sproof QES Anbieter (1)

Identifikationsverfahren (2)

Autorisierungs- methode (3)

Jurisdiktion (4)

A

swisscom

Webident

Mobile ID

eIDAS

B

swisscom

Webident

Mobile ID

ZertES

C

swisscom

Webident

Passkey

eIDAS

D

swisscom

Webident

Passkey

ZertES

Video-Tutorials: Die Einrichtung der sproof QES ist jurisdiktionsunabhängig. Für die beiden möglichen Identifikationsverfahren finden Sie und Ihre PlanMitglieder hier jeweils eine Schritt-für-Schritt-Videoanleitung.

https://vimeo.com/1129203987/10832882ce?share=copy&fl=sv&fe=ci

 

https://vimeo.com/1129223332/5284fbda72

sproof QES Anbieter (1)

Für die Ausstellung Ihres qualifizierten Zertifikats arbeitet sproof sign mit dem zertifizierten Vertrauensdienstanbieter Swisscom zusammen. 

QES-Identifikationsverfahren (2)

Hierfür verwendet sproof sign das webbasierte AutoIdent-Verfahren von Fidentity, einem Partner der Swisscom Trust Services AG. Dieses Verfahren ermöglicht eine schnelle, sichere und vollständig digitale Überprüfung der Identität aller Plan-Mitglieder. Nachfolgend finden Sie eine Schritt-für-Schritt-Anleitung, die für Sie als Plan-Admin und alle Plan-Mitglieder gleichermaßen gilt:

  1. Vorbereitungen: Es wird ein ein gültiges Ausweisdokument (Reisepass oder Personalausweis mit oder ohne NFC Funktion) benötigt, ein Smartphone mit Kamera und eine stabile Internetverbindung.

  2. Prozess Starten: Es gibt drei Startpunkte für die QES Identifikation: 

    1. Einstellungen > QES Setup

    2. Im Dashboard: Grau hinterlegter Anzeigetext: “Erstellen Sie jetzt Ihre persönliche qualifizierte Signatur: Identifikation starten”.

    3. Beim ersten Signaturvorgang wird man bei der Auwahl des Signaturanbieters aufgefordert die QES einzurichten.

  3. Auto-Ident-Prozess: Der Identifizierungsprozess beginnt mit einer kurzen Videoaufnahme des eigenen Gesichts, gefolgt vom Scannen des Ausweisdokuments. Die Technologie vergleicht das aufgezeichnete Gesicht automatisch mit dem Foto auf dem Ausweis.

Wenn das Ausweisdokument über den NFC-Chip erfolgreich ausgelesen werden kann, wird der gesamte Vorgang innerhalb einer Sitzung abgeschlossen. Sollte das Auslesen nicht möglich sein, erfolgt im Anschluss eine manuelle Überprüfung der Ausweisdaten durch eine:n Ident-Agent:in.

Bitte beachten Sie: Die manuelle Überprüfung ist nur während der Geschäftszeiten möglich – von Montag bis Freitag zwischen 08:00 und 18:00 Uhr sowie samstags von 08:00 bis 12:00 Uhr.

Das bisherige "Mobile ID VideoIdent"-Verfahren wird abgelöst. Bereits bestehende Zertifikate behalten ihre Gültigkeit. Für alle neuen Identifikationen wird das AutoIdent-Verfahren genutzt.

Autorisierungsmethode (3)

Jede qualifizierte Signatur erfordert per eIDAS Verordnung eine zusätzliche Freigabe, bevor die Signatur ausgelöst wird (Authentifikation mit zweitem Faktor). Diese Autorisierung stellt sicher, dass ausschließlich der:die Signierende:r den Vorgang genehmigen kan (Authentizität). Um das qualifizierte Signieren zu ermöglichen, wird im Zuge des Identifikationsverfahren auch die Autorisierungsmethode eingerichtet. sproof sign unterstützt hierfür zwei moderne und sichere Verfahren:

  • Mobile ID App: Im Zuge des Identifikationsprozesses wird man angeleitet, die Mobile ID App auf dem Smartphone zu installieren. Nach dem Herunterladen registriert man die App mit der eigenen Telefonnummer und verknüpft sie mit der persönlichen Identität. Dieser einmalige Einrichtungsprozess macht das Smartphone zum persönlichen digitalen Schlüssel. Für zukünftige Autorisierungen erhält man dann eine Push-Benachrichtigung, die in der App bestätigt wird.

  • Passkeys: Anstatt einer separaten App kann man auch Passkeys als Autorisierungsmethode einrichten. Ein Passkey ist ein digitaler Schlüssel, der sicher auf dem eigenen Gerät (z. B. Laptop oder Smartphone) gespeichert wird. Während des Einrichtungsprozesses erstellt man einen Passkey für sproof sign und autorisiert dessen Speicherung mittels der geräteeigenen Sicherheitsfunktion (z. B. Gesichtserkennung, Fingerabdruck oder Geräte-PIN). Zukünftige Freigaben erfolgen dann nahtlos über dieselbe Methode.

Jurisdiktion (4)

Je nach verwendetem Zertifikat wird mit sproof sign eine Qualifizierte Elektronische Signatur (QES) erstellt, die entweder den Vorgaben der eIDAS-Verordnung (EU) oder des ZertES-Gesetzes (Schweiz) entspricht.

Einstellungen der QES-Konfigurationen durch den Customer Service

Sollte Ihr Unternehmen das Rechte- und Rollenmanagement nicht nutzen, können die verfügbaren QES-Einstellungen auch global für den gesamten Plan direkt durch den sproof Customer Service festgelegt werden. Diese globalen Vorgaben haben immer Vorrang und überschreiben alle individuellen Auswahlmöglichkeiten.

Wichtiger Hinweis für Plan-Inhaber:innen: Ein:e Plan-Inhaber:in kann seine eigene Rolle nicht ändern oder anpassen. Sollten für Sie als Inhaber:in andere Berechtigungen nötig sein, wenden Sie sich bitte an den sproof Customer Service.

Zusätzliche QES-Einstellungen im Rollenmanagement 

 

Vorauswahl des Signaturanbieters

Sie können festlegen, welcher Signaturanbieter bei jedem Signaturvorgang für alle Plan-Mitglieder vorausgewählt ist. Dabei kann es sich um den Standard-sproof-QES-Anbieter (siehe oben) oder einen Anbieter aus dem eID Hub (siehe unten) handeln. 

  1. Navigieren Sie zu den Einstellungen > "Lizenz & Team"

  2. Erstellen Sie eine neue Rolle, oder bearbeiten Sie eine bereits bestehende

  3. Aktivieren Sie unter den Funktionen die Option "Dokumente unterschreiben und genehmigen". 

  4. Legen Sie im Dropdown-Menü "Vorauswahl des Signaturanbieters" einen Anbieter fest

Wenn Sie einen Anbieter aus dem eID-Hub (z. B. ID Austria) auswählen, wird für die Stapelsignatur trotzdem automatisch auf die sproof QES zurückgegriffen.

Sie können zudem das darunterliegende Setting aktivieren bzw. deaktivieren, um zu entscheiden, ob Plan-Mitglieder mit der entsprechenden Rolle den vorausgewählten Anbieter ändern können. 

Bildschirmfoto 2025-10-16 um 16.48.08.png

Einstellung: “Es darf nur mit QES signiert werden”

In derselben Ansicht wie bei der zuvor beschriebenen Einstellung können Sie die Signaturarten festlegen, die den Plan-Mitgliedern in jedem Signaturvorgang zur Verfügung stehen. So können Sie beispielsweise festlegen, dass in der zugehörigen Rolle ausschließlich QES-Signaturen möglich sind.  

Bildschirmfoto 2025-10-16 um 16.48.22.png

sproof-QES Alternative: Der sproof eID Hub

Zusätzlich zur standardmäßigen sproo-QES gibt es in sproof sign den eID-Hub. Der eID-Hub ist eine Schnittstelle, die es ermöglicht, für die QES aus einer Vielzahl an qualifizierten Vertrauensdiensteanbietern (QTSPs) aus ganz Europa zu wählen. Diese Möglichkeit vereinfacht das rechtsgültige Signieren und Einholen von Signaturen von Verträgen über Ländergrenzen hinweg.

  1. Dokument zum Signieren hochladen oder öffnen
    Das zu signierende Dokument wird wie gewohnt in sproof sign geöffnet.

  2. Anbieter im eID Hub wählen
    Im Reiter "Selbst unterschreiben" wird das Menü bei "Art der Signatur" aufgeklappt. Unter dem Abschnitt "Weitere Möglichkeiten (QES)" erscheint der von Ihnen als Admin definierte eID Hub-Anbieter. 

Bildschirmfoto 2025-10-14 um 14.25.43.png

  1. Signatur beim externen Anbieter autorisieren
    Nach der Auswahl erfolgt eine Weiterleitung zum Anmeldefenster des jeweiligen Anbieters. Dort wird die Signatur mit der dem/der Nutzer:in bekannten Methode (z.B. durch Bestätigung in der Mobile ID App) abgeschlossen. Die qualifizierte Signatur wird anschließend auf dem Dokument in sproof sign angebracht.

 

Troubleshooting

 

Sollte es während der Identifikation zur integrierten sproof QES zu Schwierigkeiten kommen melden Sie sich gerne hier: support@sproof.com

Sie haben die MobileID App neu installiert oder ein neues Smartphone?

Haben Sie die MobileID App neu installiert oder ein neues Smartphone? Wenn Sie bereits einmal erfolgreich ein Ident-Verfahren durchlaufen haben, können Sie Ihre MobileID wiederherstellen, um mit sproof sign qualifiziert zu signieren.

Wiederherstellung mit Backup-Code:

  1. Besuchen Sie mobileid.ch und geben Sie Ihre Telefonnummer ein, um Ihre Identifikation mit dem Backup-Code wiederherzustellen.

  2. Sie können nun ohne weiteres VideoIdent-Verfahren wieder qualifiziert signieren.

Ohne Backup-Code:

  1. Deinstallieren Sie die MobileID App (falls noch nicht geschehen).

  2. Installieren Sie die App erneut und notieren Sie den neuen Backup-Code.

  3. Führen Sie in den Einstellungen unter QES-Setup eine neue Identifikation durch.

 

FAQ

 

Was ist die Qualifizierte Elektronische Signatur (QES)? Die Qualifizierte Elektronische Signatur (QES) ist der höchste Signaturstandard. Sie ist der handschriftlichen Unterschrift rechtlich gleichgestellt und erfüllt die strengen Anforderungen der europäischen eIDAS-Verordnung sowie des Schweizer ZertES-Gesetzes.

Was ist die "sproof QES" und wer ist der Anbieter? Die "sproof QES" ist die tief integrierte, qualifizierte Signatur in sproof sign, für die sich Plan-Mitglieder direkt über die Plattform identifizieren können. Für diesen Dienst kollaboriert sproof mit der Swisscom Trust Services AG.

Wie steuere ich als Plan-Admin die QES-Nutzung im Plan? Als Plan-Admin steuern Sie zentral im Rechte- und Rollenmanagement, welche QES-Konfigurationen für Ihre Plan-Mitglieder (pro Rolle) zur Verfügung stehen. Sie finden dies unter "Lizenz & Team" -> "Rollenmanagement".

Was legt eine "sproof QES-Konfiguration" genau fest? Eine QES-Konfiguration definiert vier Kernaspekte für die Signatur:

  1. Signaturanbieter (QTSP): Wer das Zertifikat ausstellt (z.B. Swisscom).

  2. Jurisdiktion: In welchem Rechtsraum die QES gültig ist (eIDAS für EU oder ZertES für Schweiz).

  3. Identifikationsverfahren: Wie das Mitglied seine Identität nachweist (aktuell Webident).

  4. Autorisierungsmethode: Wie das Mitglied eine Signatur freigibt (Mobile ID App oder Passkey).

Was müssen Plan-Mitglieder tun, um die sproof QES nutzen zu können? Plan-Mitglieder benötigen einen Benutzerzugang sowie ein User+ Upgrade. Anschließend müssen sie einmalig das digitale Identifikationsverfahren (Auto-Ident) durchlaufen.

Welches Identifikationsverfahren wird für die sproof QES genutzt? sproof sign verwendet das webbasierte AutoIdent-Verfahren. Dies ist ein digitaler Prozess, bei dem eine kurze Videoaufnahme des Gesichts automatisch mit einem Scan des Ausweisdokuments verglichen wird.

Was ist der Unterschied zwischen "Mobile ID" und "Passkey"? Beides sind Autorisierungsmethoden (2. Faktor), um eine QES freizugeben:

  • Mobile ID App: Eine separate App auf dem Smartphone. Die Signatur wird via Push-Benachrichtigung in der App bestätigt.

  • Passkeys: Ein digitaler Schlüssel, der sicher auf dem Gerät (z.B. Laptop oder Smartphone) gespeichert ist. Die Freigabe erfolgt nahtlos über die geräteeigene Sicherheitsfunktion (z.B. Fingerabdruck, Gesichtserkennung oder Geräte-PIN).

Kann ich festlegen, dass Mitglieder nur mit QES signieren dürfen? Ja. Im Rollenmanagement können Sie unter "Allowed signature types" festlegen, dass einer Rolle ausschließlich die QES zur Verfügung steht.

Was ist der sproof eID Hub? Der eID Hub ist eine Schnittstelle und dient als Alternative zur sproof QES. Er ermöglicht es (auch externen) Nutzer:innen, ihre bereits bestehende elektronische Identität von verschiedenen qualifizierten Vertrauensdienstanbietern aus ganz Europa (z.B. ID Austria) zu nutzen.

Was passiert, wenn mein Unternehmen das Rollenmanagement nicht nutzt? Sollte Ihr Unternehmen das Rechte- und Rollenmanagement nicht nutzen, können die verfügbaren QES-Einstellungen auch global für den gesamten Plan direkt durch den sproof Customer Service festgelegt werden. sales@sproof.com

Kann ich als Plan-Inhaber:in meine eigene Rolle ändern? Nein, ein:e Plan-Inhaber:in kann die eigene Rolle nicht selbst ändern oder anpassen. Sollten für Sie andere Berechtigungen nötig sein, wenden Sie sich bitte an den sproof Customer Service.