Was ist ein Vertrauensdiensteanbieter?
Docusign-Experte, Jack Surujon, erklärt alles, was Sie über Vertrauensdiensteanbieter wissen sollten.
- Wer entscheidet, ob ein Unternehmen als Vertrauensdiensteanbieter ausgezeichnet wird?
- Unterscheiden sich die Anforderungen von einem Vertrauendiensteanbieter zwischen den Ländern?
- Erfüllt Docusign alle Anforderungen als Vertrauendiensteanbieter in Deutschland?
- Enge Zusammenarbeit mit deutschen Vertrauendiensteanbietern wie D-Trust
- Die technischen Standards der eIDAS Verordnung
Inhaltsverzeichnis
- Wer entscheidet, ob ein Unternehmen als Vertrauensdiensteanbieter ausgezeichnet wird?
- Unterscheiden sich die Anforderungen von einem Vertrauendiensteanbieter zwischen den Ländern?
- Erfüllt Docusign alle Anforderungen als Vertrauendiensteanbieter in Deutschland?
- Enge Zusammenarbeit mit deutschen Vertrauendiensteanbietern wie D-Trust
- Die technischen Standards der eIDAS Verordnung
Autor: Jack Surujon, Senior Solutions Consultant, Docusign
Weltweit gibt es internationale Standards, die Anforderungen an elektronische Signaturen und die Methoden zur Authentifizierung eines Unterzeichners oder einer Unterzeichnerin festlegen. In Europa ist dies die Verordnung Electronic Identification, Authentication and Trust Services, kurz eIDAS.
Die eIDAS-Verordnung enthält verbindliche, europaweit geltende Regelungen zur elektronische Identifizierung und elektronische Vertrauensdienste. Mit der Verordnung werden einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste geschaffen.
Als EU-Verordnung gilt dieses unmittelbar geltende Recht in allen 27 EU-Mitgliedstaaten sowie im Europäischen Wirtschaftsraum.
Die eIDAS-Verordnung sieht Vertrauensdienste in folgenden Bereichen vor:
Erstellung, Überprüfung und Validierung von elektronischen Signaturen, elektronischen Siegeln oder elektronischen Zeitstempeln
Bewahrung von Dienste betreffenden elektronischen Signaturen, Siegeln oder Zertifikaten
Validierungs- und Bewahrungsdienste
Elektronische Zustelldienste
In der Europäischen Union definiert die eIDAS-Verordnung den technischen Standard für die elektronische Signatur auf drei Ebenen: einfache elektronische Signatur, fortgeschrittene elektronische Signatur (AES) und qualifizierte elektronische Signatur (QES). Unter eIDAS beansprucht sowohl die AES als auch die QES eine Legitimationsüberprüfung, wobei die QES die strengsten Anforderungen erfüllt.
Fortgeschrittene elektronische Signatur (FES): Erfordert ein hohes Maß an Sicherheit, Identitätsprüfung und Authentifizierung, um eine Verbindung zum Unterzeichner herzustellen. Sie erhält außerdem eine zertifikatbasierte digitale ID (X.509 PKI), die von einem Vertrauensdiensteanbieter ausgestellt wurde.
Qualifizierte elektronische Signatur (QES): Eine QES ist eine noch sichere Version der elektronischen Signatur, die ein qualifiziertes digitales Zertifikat enthält. Sie gleicht rechtlich gesehen einer handschriftlichen Signatur. Als ein qualifizierter Vertrauensdienstleister auf der EU-Vertrauensliste bietet Docusign mehrere Optionen an Methoden zur Legitimationsüberprüfung für die QES.
In der Regel stellen Vertrauensdiensteanbieter oder staatliche Organisationen Signaturzertifikate auf fortgeschrittener und qualifizierter Stufe aus. Vertrauensdiensteanbieter (auf Englisch Trust Service Provider - TSP), die für die Erbringung dieser Leistungen zertifiziert sind, sind in der EU Trust List aufgeführt.
Wer entscheidet, ob ein Unternehmen als Vertrauensdiensteanbieter ausgezeichnet wird?
Kann ein Vertrauensdiensteanbieter nachweisen, dass seine Dienste konform sind mit den in der eIDAS-Verordnug festgelegten Anforderungen, kann er von der zuständigen nationalen Aufsichtsstelle den Qualifikationsstatus verliehen bekommen. In Deutschland agiert die Bundesnetzagentur als zuständige Aufsichtsstelle vor der Aufnahme des qualifizierten Vertrauensdienstes. Vertrauensdiensteanbieter im Sinne der eIDAS können sich und den erbrachten Dienst bei der Bundesnetzagentur auf Antrag qualifizieren lassen.
Im Rahmen einer detaillierten Konformitätsprüfung wird von unabhängigen Experten festgestellt, ob der qualifizierte Vertrauensdiensteanbieter die rechtlichen Vorgaben für IT-Sicherheit und Datenschutz erfüllt. Diese Prüfung wird in regelmäßigen Abständen wiederholt. Nach positiver Prüfung wird der Status eines qualifizierten Vertrauensdienstanbieters verliehen und der qualifizierte Vertrauensdienst in die deutsche Vertrauensliste (Trusted List) eingetragen. Die EU-Kommission stellt eine stets aktuelle Ansicht der Vertrauenslisten aller EU-Mitgliedsstaaten bereit. Dort können alle qualifizierten Vertrauensdiensteanbieter der jeweiligen EU-Mitgliedsstaaten eingesehen werden.
Unterscheiden sich die Anforderungen von einem Vertrauendiensteanbieter zwischen den Ländern?
Seit Juli 2016 gilt in Europa die eIDAS-Verordnung, welche eine europaweit einheitliche Grundlage für vertrauenswürdige und dauerhaft nachweisbare elektronische Geschäftsprozesse in Europa bietet. Die eIDAS-Verordnung ist ein geltendes Recht in allen 27 EU-Mitgliedstaaten. Die Schweiz ist zwar nicht Teil der EU, hat jedoch ein eigenes Bundesgesetz über die elektronische Signatur und Zertifizierungen, ZertES, welches mit eIDAS kompatibel ist.
Während eIDAS und andere Vorschriften auf der ganzen Welt die Definition für elektronische, fortgeschrittene und qualifizierte Signaturen klar formulieren, schreiben sie nicht vor, wann jeder Signaturtyp verwendet werden soll.Das bedeutet, dass jedes EU-Land selbst per Gesetz regeln muss, wann bestimmte Transaktionen nicht elektronisch signiert werden dürfen oder eine höhere Form der E-Signatur (z. B. fortgeschrittene oder qualifizierte Signatur) erfordern. Aus diesem Grund hat Docusign einen Leitfaden zur Legalität von elektronischen Signaturen erstellt, um allgemeine Anwendungsfälle für mehr als 60 Länder hervorzuheben.
In Deutschland zum Beispiel sieht das Gesetz vor, dass die qualifizierte Signatur für folgende Zwecke zwingend erforderlich ist:
Vertrieb von Verbraucherkrediten
Arbeitsverträge für Zeitarbeitskräfte
Als qualifizierter Vertrauendiensteanbieter in Europa ist Docusign berechtigt, fortgeschrittene und qualifizierte Signaturen in der gesamten Europäischen Union auszustellen.
In der Schweiz, ist als europäischer Anbieter, der eine qualifizierte elektronische Signatur (ZertES Signaturgesetz) zur Verfügung stellt, Swisscom Trust Services ein erfahrener und innovativer Vertrauensdiensteanbieter, wenn es um Lösungen im Bereich elektronische Signaturen, Identifikation, und Kunden-Onboarding geht.
Für Docusign-Kunden hat Swisscom einen Trust Service Connector entwickelt, der einfach als Erweiterung im Docusign-System aktiviert werden kann. Damit erhalten Kundinnen und Kunden direkten Zugang zu den Vertrauensdiensten von Swisscom. Kunden können damit das für Workflows benötigte schweizerische (ZertEs) oder europäische (eIDAS) qualifizierte oder fortgeschrittene Personenzertifikat auswählen und mit deren mobilen ID oder App signieren. Kunden können im Smart Registration Service (SRS) für die Registrierung von Unterzeichnern aus einer Reihe verschiedener Identifizierungsmethoden wählen.
In Österreich, wurde neulich A-Trust in Docusign eSignature integriert, um eine schnellere, bessere Möglichkeit zu bieten, Geschäfte zu tätigen, die vollständig digital, zuverlässig und sicher ist und die höchsten EU-weiten Standards für elektronische Signaturen für in Österreich erfüllt:
Unterschreiben Sie mit A-Trust direkt aus Docusign eSignature
Lassen Sie Unterzeichnerinnen und Unterzeichner einfach mit ihrer Handy-Signatur-App oder über OTP unterschreiben
Erfüllen Sie die Anforderungen für eine qualifizierte elektronische Signatur (QES) in Österreich und EU-weit.
Erfüllt Docusign alle Anforderungen als Vertrauendiensteanbieter in Deutschland?
Als qualifizierter Vertrauendienstanbieter in Europa ist Docusign berechtigt, fortgeschrittene und qualifizierte Signaturen in der gesamten Europäischen Union auszustellen. Außerhalb Europas akzeptiert die Docusign-Plattform Zertifikate von führenden Vertrauensdiensteanbietern auf der ganzen Welt durch API-Integrationen mit unseren Trust Service Provider-Partnern, anderen Integrationen von Drittanbietern und direkt von Unterzeichnerinnen und Unterzeichnern.
Die Standards-Based Signatures-Technologie von Docusign basiert zudem auf den in eIDAS empfohlenen technischen Standards für elektronische Signaturen, darunter digitale Technologiestandards (X.509 PKI, PAdES, XAdES und CAdES sowie andere Standards nach ETSI, CEN und ANSI).
Enge Zusammenarbeit mit deutschen Vertrauendiensteanbietern wie D-Trust
Als qualifizierter Vertrauendiensteanbieter auf der EU-Vertrauensliste bietet Docusign mehrere Optionen für die QES mit zahlreichen Methoden zur Legitimationsüberprüfung. Docusign akzeptiert alle qualifizierten Zertifikate, die von Vertrauendiensteanbieters auf der EU-Vertrauensliste ausgestellt wurden und die Ihr Unterzeichner bereits besitzt. Alternativ lässt sich Docusign in mehrere qualifizierte Vertrauendiensteanbieter Ihrer Wahl integrieren.
Docusign stellt über sein Partnerprogramm für Vertrauendiensteanbieter eine Vielzahl an Identitätsmanagementdiensten aus eigener und dritter Hand zur Verfügung.
Die Partnerschaft zwischen Docusign und D-TRUST bietet Nutzerinnen und Nutzern ein volldigitales Erlebnis ohne Medienbrüche. Denn über den Sign-Me Service von D-TRUST können Verträge mit elektronischen Signaturen abgeschlossen werden. Dies kann in einem geschlossenen System erfolgen, ohne dass Unternehmen mehr als eine Plattform nutzen müssen. Dies liegt an der eIDAS-Verordnung, die Fernsignaturen zulässt, die den Grundstein für diese Partnerschaft legen.
Docusign arbeitet mit D-TRUST und mehreren anderen Vertrauensdiensteanbietern zusammen, um rechtsverbindliche digitale Transaktionen innerhalb des eIDAS-Bereichs und überall auf der Welt, über ein eigenes Trustcenter, zu erleichtern.
Diese Partnerschaft mit D-TRUST ermöglicht Nutzerinnen und Nutzern die digitale Identifizierung über die Online-Ausweisfunktion eines deutschen Personalausweises, Giro und Video-Identifikation. Darüber hinaus können Nutzer eine größere Gruppe von Personen an einem Ort digital identifizieren.
Die technischen Standards der eIDAS Verordnung
Da eIDAS den Vertrauensdiensteanbietern die Nutzung von Cloud-Technologien ermöglicht, können Kunden elektronische Signaturen unterwegs per Smartphone oder Tablet erstellen und überprüfen.
Die eIDAS-Verordnung ist technologieneutral. In der Praxis verlangen die meisten, wenn nicht alle EU-Staaten von Vertrauensdiensteanbietern, dass sie die von der Europäischen Kommission empfohlenen technischen Standard erfüllen, bevor sie auf die Trust-Liste der EU gesetzt werden.
Diese technischen Standards bilden das Fundament für die Regulierung und Zertifizierung von EU-Vertrauensdiensteanbietern und umfassen unter anderem folgende Standards:
Spezifikationen für die verschiedenen in der Verordnung definierten Arten elektronischer Signaturen, einschließlich fortgeschrittener und qualifizierter elektronischer Signaturen
Spezifikationen für die Zertifizierung und Verwaltung von Vertrauensdienste-Anbietern sowie der Trust-Listen der EU
Technische Spezifikationen für elektronische Identitäten und deren Bestätigung