Elektronischer Zeitstempel: Was er ist, wie er funktioniert und warum man ihn per API in digitale Prozesse integrieren sollte

Zeitstempel sind das Instrument, mit dem einem elektronischen Dokument ein eindeutiges Datum und eine Uhrzeit zugeordnet werden können, die von einer dritten Partei garantiert und rechtlich gegenüber Dritten durchsetzbar sind.

Sehr oft hängt die Gültigkeit einer Datei nämlich nicht nur davon ab, wer sie unterzeichnet hat, sondern auch vom unwiderlegbaren Nachweis des Zeitpunkts, zu dem die Handlung erfolgt ist, sowie von der Garantie, dass das Dokument nach diesem Zeitpunkt nicht verändert wurde.

Der elektronische Zeitstempel verleiht dem Dokument volle rechtliche Gültigkeit, schützt seine Integrität im Laufe der Zeit und macht es zu einem sicheren und unanfechtbaren digitalen Asset.

Zeitstempel: Was er ist und wofür er verwendet wird

Ein elektronischer Zeitstempel ist eine Zeichenfolge, die einem bestimmten Dokument eindeutig ein Datum und eine Uhrzeit zuordnet.

Im Rahmen der eIDAS 2.0-Verordnung wird die elektronische Zeitvalidierung wie folgt definiert:

„Daten in elektronischer Form, die andere elektronische Daten mit einem bestimmten Zeitpunkt und Datum verknüpfen und damit nachweisen, dass diese Daten zu diesem Zeitpunkt existierten.“

Wie der Poststempel bei einem Einschreiben weist ein Zeitstempel nach, dass ein Dokument zu einem bestimmten Zeitpunkt existierte. Die Zeitstempelung bietet jedoch ein deutlich höheres Sicherheitsniveau als ein einfacher Stempel, da sie nicht nur den Zeitpunkt mit wesentlich höherer Präzision bestätigt, sondern auch die Integrität der Datei gewährleistet, also sicherstellt, dass sie nach der Zeitvalidierung nicht verändert wurde.

Was ist der Unterschied zwischen Zeitstempel und Zeitreferenz?

Im Allgemeinen ist eine Zeitreferenz eine generische Verknüpfung zwischen einem Dokument und einem bestimmten Datum und einer Uhrzeit. In der Praxis bezieht sich der Begriff Zeitreferenz bei digitalen Dokumenten jedoch meist auf die Zeitstempelung, die das wichtigste Instrument ist, um eine Datei eindeutig und unveränderbar einem bestimmten Zeitpunkt zuzuordnen.

Der wesentliche Unterschied zwischen einer allgemeinen Zeitreferenz, die vom Nutzer verwaltet wird, und der Zeitvalidierung eines elektronischen Dokuments liegt in der rechtlichen Durchsetzbarkeit gegenüber Dritten. Laut eIDAS „fixiert“ ein qualifizierter Zeitstempel die Integrität des Dokuments, indem er es mit einem bestimmten Datum und einer bestimmten Uhrzeit verknüpft, deren Zuverlässigkeit dadurch gewährleistet wird, dass der Zeitstempel von einem qualifizierten Vertrauensdiensteanbieter (Time Stamping Authority) ausgestellt wird, der bei der AgID akkreditiert ist.

Was bedeutet qualifizierte Zeitstempelung?

Die Anforderungen an die qualifizierte elektronische Zeitvalidierung sind in Artikel 42 der eIDAS-Verordnung festgelegt. Neben der Gewährleistung der Unveränderbarkeit des Dokuments muss sie auf einer genauen Zeitquelle basieren, die mit der koordinierten Weltzeit verbunden ist. Noch wichtiger ist, dass sie „unter Verwendung einer fortgeschrittenen elektronischen Signatur erstellt oder mit einem fortgeschrittenen elektronischen Siegel eines qualifizierten Vertrauensdiensteanbieters versehen“ sein muss.

Der volle rechtliche Wert der Zeitstempelung wird daher durch die Anwesenheit einer akkreditierten dritten Zertifizierungsstelle garantiert, die als digitaler Notar fungiert und ihre Authentizität und Integrität auf europäischer Ebene sicherstellt.

Mit eIDAS 2.0 muss die Zeitstempelung noch höhere Sicherheitsanforderungen erfüllen, die mit der NIS-2-Richtlinie übereinstimmen. Außerdem ist sie zu einem nativen Bestandteil der European Digital Identity Wallet (EUDI) geworden: Alle EU-Mitgliedstaaten sind verpflichtet, einen qualifizierten Zeitstempel anzuerkennen, der von einem Anbieter aus einem anderen Mitgliedstaat ausgestellt wurde.

Wie funktioniert der Zeitstempelprozess?

Wenn entschieden wird, eine elektronische Rechnung, ein Umsatzsteuerregister oder ein digitales Kunstwerk mit einem Zeitstempel zu versehen, berechnet die Signatursoftware (oder die Anwendung, die Zeitstempel-APIs verwendet) den Hash des Dokuments und weist ihm eine eindeutige Zeichenfolge zu, die es identifiziert.

Dieser Hash — und nicht das gesamte Dokument, das vertraulich bleibt — wird anschließend an den Server des qualifizierten Vertrauensdiensteanbieters gesendet, in einem Vorgang, der als Time Stamping Authority (TSA)-Anfrage bezeichnet wird.

Der Server des Anbieters empfängt den Hash und versieht ihn mit zwei grundlegenden Elementen: einem sicheren Datum und einer Uhrzeit aus zertifizierten, UTC-synchronisierten Quellen sowie einem elektronischen Siegel, das als digitale Signatur des Pakets aus Hash und Zeitstempel dient. Anschließend gibt die TSA den eigentlichen Zeitstempel zurück, der direkt in die Datei (z. B. ein PDF) eingebettet oder als separate Datei (in der Regel mit der Endung .tsr) zusammen mit dem digitalen Dokument gespeichert werden kann.

Warum Zeitstempelung per API integrieren

Viele Unternehmen erwerben Zeitstempelpakete, um ihre Dokumente zu validieren: In diesem Fall erfolgt die Zeitstempelung in der Regel manuell, über Desktop-Software oder Anwendungen. Bei sehr großen Dokumentenmengen stößt dieser Ansatz jedoch schnell an seine Grenzen.

In solchen Fällen ist die einzig wirklich effiziente Lösung die Integration über APIs, die Folgendes gewährleistet:

• Automatisierung: Durch die Integration der Zeitstempel-APIs direkt in das eigene Managementsystem, CRM oder ERP kann der Prozess automatisiert werden, sodass Rechnungen, Verträge und Systemlogs unmittelbar bei ihrer Erstellung ohne menschliches Eingreifen mit einem Zeitstempel versehen werden;
• Skalierbarkeit: Durch den Wegfall des menschlichen Faktors und die Möglichkeit, Hunderte gleichzeitiger Anfragen zu senden, werden Engpässe in den Workflows beseitigt;
• Compliance: Durch die Integration der APIs eines qualifizierten Anbieters wird die Einhaltung gesetzlicher Vorgaben zu einer nativen Funktion der Software;
• Nachverfolgbarkeit und Monitoring: Im Gegensatz zur manuellen Zeitstempelung ermöglichen API-Aufrufe eine Echtzeitüberwachung des Verbrauchs sowie detaillierte Protokolle für jede einzelne Operation.

Der Übergang von einer manuellen Verwaltung zu einer API-basierten Infrastruktur ermöglicht es somit, eine Compliance-Anforderung in einen strategischen operativen Vorteil zu verwandeln, der sicher ist und sich nahtlos in bestehende Workflows integriert.