Überspringen und weiter zum Hauptinhalt
Blog
Startseite/
Einblicke für Führungskräfte

Was ist ein Vertrauensdiensteanbieter?

Zusammenfassung11 Min. Lesezeit

Docusign-Experte, Jack Surujon, erklärt alles, was Sie über Vertrauensdiensteanbieter wissen sollten.

Inhaltsverzeichnis

Autor: Jack Surujon, Senior Solutions Consultant, Docusign

Weltweit gibt es internationale Standards, die Anforderungen an elektronische Signaturen und die Methoden zur Authentifizierung eines Unterzeichners oder einer Unterzeichnerin festlegen. In Europa ist dies die Verordnung Electronic Identification, Authentication and Trust Services, kurz eIDAS.

Die eIDAS-Verordnung enthält verbindliche, europaweit geltende Regelungen zur elektronische Identifizierung und elektronische Vertrauensdienste. Mit der Verordnung werden einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste geschaffen.

Als EU-Verordnung gilt dieses unmittelbar geltende Recht in allen 27 EU-Mitgliedstaaten sowie im Europäischen Wirtschaftsraum.

Die eIDAS-Verordnung sieht Vertrauensdienste in folgenden Bereichen vor:

  • Erstellung, Überprüfung und Validierung von elektronischen Signaturen, elektronischen Siegeln oder elektronischen Zeitstempeln

  • Bewahrung von Dienste betreffenden elektronischen Signaturen, Siegeln oder Zertifikaten

  • Validierungs- und Bewahrungsdienste

  • Elektronische Zustelldienste

In der Europäischen Union definiert die eIDAS-Verordnung den technischen Standard für die elektronische Signatur auf drei Ebenen: einfache elektronische Signatur, fortgeschrittene elektronische Signatur (AES) und qualifizierte elektronische Signatur (QES). Unter eIDAS beansprucht sowohl die AES als auch die QES eine Legitimationsüberprüfung, wobei die QES die strengsten Anforderungen erfüllt.

  • Fortgeschrittene elektronische Signatur (FES): Erfordert ein hohes Maß an Sicherheit, Identitätsprüfung und Authentifizierung, um eine Verbindung zum Unterzeichner herzustellen. Sie erhält außerdem eine zertifikatbasierte digitale ID (X.509 PKI), die von einem Vertrauensdiensteanbieter ausgestellt wurde.

  • Qualifizierte elektronische Signatur (QES): Eine QES ist eine noch sichere Version der elektronischen Signatur, die ein qualifiziertes digitales Zertifikat enthält. Sie gleicht rechtlich gesehen einer handschriftlichen Signatur. Als ein qualifizierter Vertrauensdienstleister auf der EU-Vertrauensliste bietet Docusign mehrere Optionen an Methoden zur Legitimationsüberprüfung für die QES. 

In der Regel stellen Vertrauensdiensteanbieter oder staatliche Organisationen Signaturzertifikate auf fortgeschrittener und qualifizierter Stufe aus. Vertrauensdiensteanbieter (auf Englisch Trust Service Provider - TSP), die für die Erbringung dieser Leistungen zertifiziert sind, sind in der EU Trust List aufgeführt.

Was ist die qualifizierte elektronische Signatur der Bundesnetzagentur?

Die Bundesnetzagentur nimmt in Deutschland eine zentrale Rolle bei der Überwachung von qualifizierten elektronischen Signaturen ein. Als nationale Aufsichtsstelle prüft und bestätigt sie die Einhaltung der eIDAS-Anforderungen bei Vertrauensdiensteanbietern.

Mit der Docusign QES-Lösung erstellen Sie rechtskonforme Signaturen, die von der Bundesnetzagentur anerkannt werden. Durch die Integration des D-Trust Signaturdienstes gewährleisten wir höchste Sicherheitsstandards nach deutschen Vorgaben.

Die von der Bundesnetzagentur geführte Vertrauensliste macht transparent, welche Anbieter qualifizierte Signaturdienste bereitstellen dürfen. Diese Liste stellt sicher, dass Ihre elektronisch signierten Dokumente die gleiche Rechtswirkung wie handschriftlich unterschriebene Dokumente entfalten.

Wer entscheidet, ob ein Unternehmen als Vertrauensdiensteanbieter ausgezeichnet wird?

Kann ein Vertrauensdiensteanbieter nachweisen, dass seine Dienste konform sind mit den in der eIDAS-Verordnug festgelegten Anforderungen, kann er von der zuständigen nationalen Aufsichtsstelle den Qualifikationsstatus verliehen bekommen. In Deutschland agiert die Bundesnetzagentur als zuständige Aufsichtsstelle vor der Aufnahme des qualifizierten Vertrauensdienstes. Vertrauensdiensteanbieter im Sinne der eIDAS können sich und den erbrachten Dienst bei der Bundesnetzagentur auf Antrag qualifizieren lassen.

Im Rahmen einer detaillierten Konformitätsprüfung wird von unabhängigen Experten festgestellt, ob der qualifizierte Vertrauensdiensteanbieter die rechtlichen Vorgaben für IT-Sicherheit und Datenschutz erfüllt. Diese Prüfung wird in regelmäßigen Abständen wiederholt. Nach positiver Prüfung wird der Status eines qualifizierten Vertrauensdienstanbieters verliehen und der qualifizierte Vertrauensdienst in die deutsche Vertrauensliste (Trusted List) eingetragen. Die EU-Kommission stellt eine stets aktuelle Ansicht der Vertrauenslisten aller EU-Mitgliedsstaaten bereit. Dort können alle qualifizierten Vertrauensdiensteanbieter der jeweiligen EU-Mitgliedsstaaten eingesehen werden. 

Unterscheiden sich die Anforderungen von einem Vertrauendiensteanbieter zwischen den Ländern? 

Seit Juli 2016 gilt in Europa die eIDAS-Verordnung, welche eine europaweit einheitliche Grundlage für vertrauenswürdige und dauerhaft nachweisbare elektronische Geschäftsprozesse in Europa bietet. Die eIDAS-Verordnung ist ein geltendes Recht in allen 27 EU-Mitgliedstaaten. Die Schweiz ist zwar nicht Teil der EU, hat jedoch ein eigenes Bundesgesetz über die elektronische Signatur und Zertifizierungen, ZertES, welches mit eIDAS kompatibel ist.

Alles, was Sie über die digitale, elektronische Signatur in der Schweiz wissen müssenMehr erfahren

Während eIDAS und andere Vorschriften auf der ganzen Welt die Definition für elektronische, fortgeschrittene und qualifizierte Signaturen klar formulieren, schreiben sie nicht vor, wann jeder Signaturtyp verwendet werden soll.Das bedeutet, dass jedes EU-Land selbst per Gesetz regeln muss, wann bestimmte Transaktionen nicht elektronisch signiert werden dürfen oder eine höhere Form der E-Signatur (z. B. fortgeschrittene oder qualifizierte Signatur) erfordern. Aus diesem Grund hat Docusign einen Leitfaden zur Legalität von elektronischen Signaturen erstellt, um allgemeine Anwendungsfälle für mehr als 60 Länder hervorzuheben.

In Deutschland zum Beispiel sieht das Gesetz vor, dass die qualifizierte Signatur für folgende Zwecke zwingend erforderlich ist:

  • Vertrieb von Verbraucherkrediten

  • Arbeitsverträge für Zeitarbeitskräfte

Als qualifizierter Vertrauendiensteanbieter in Europa ist Docusign berechtigt, fortgeschrittene und qualifizierte Signaturen in der gesamten Europäischen Union auszustellen.

In der Schweiz, ist als europäischer Anbieter, der eine qualifizierte elektronische Signatur (ZertES Signaturgesetz) zur Verfügung stellt, Swisscom Trust Services ein erfahrener und innovativer Vertrauensdiensteanbieter, wenn es um Lösungen im Bereich elektronische Signaturen, Identifikation, und Kunden-Onboarding geht.

Für Docusign-Kunden hat Swisscom einen Trust Service Connector entwickelt, der einfach als Erweiterung im Docusign-System aktiviert werden kann. Damit erhalten Kundinnen und Kunden direkten Zugang zu den Vertrauensdiensten von Swisscom. Kunden können damit das für Workflows benötigte schweizerische (ZertEs) oder europäische (eIDAS) qualifizierte oder fortgeschrittene Personenzertifikat auswählen und mit deren mobilen ID oder App signieren. Kunden können im Smart Registration Service (SRS) für die Registrierung von Unterzeichnern aus einer Reihe verschiedener Identifizierungsmethoden wählen.

In Österreich, wurde neulich A-Trust in Docusign eSignature integriert, um eine schnellere, bessere Möglichkeit zu bieten, Geschäfte zu tätigen, die vollständig digital, zuverlässig und sicher ist und die höchsten EU-weiten Standards für elektronische Signaturen für in Österreich erfüllt:

  • Unterschreiben Sie mit A-Trust direkt aus Docusign eSignature

  • Lassen Sie Unterzeichnerinnen und Unterzeichner einfach mit ihrer Handy-Signatur-App oder über OTP unterschreiben

  • Erfüllen Sie die Anforderungen für eine qualifizierte elektronische Signatur (QES) in Österreich und EU-weit.

Erfüllt Docusign als Anbierter für qualifizierte elektronische Signaturen alle Anforderungen als Vertrauendiensteanbieter in Deutschland?

Als qualifizierter Vertrauendienstanbieter in Europa ist Docusign berechtigt, fortgeschrittene und qualifizierte Signaturen in der gesamten Europäischen Union auszustellen. Außerhalb Europas akzeptiert die Docusign-Plattform Zertifikate von führenden Vertrauensdiensteanbietern auf der ganzen Welt durch API-Integrationen mit unseren Trust Service Provider-Partnern, anderen Integrationen von Drittanbietern und direkt von Unterzeichnerinnen und Unterzeichnern.

Die Standards-Based Signatures-Technologie von Docusign basiert zudem auf den in eIDAS empfohlenen technischen Standards für elektronische Signaturen, darunter digitale Technologiestandards (X.509 PKI, PAdES, XAdES und CAdES sowie andere Standards nach ETSI, CEN und ANSI).

Enge Zusammenarbeit mit deutschen Vertrauendiensteanbietern wie D-Trust 

Als qualifizierter Vertrauendiensteanbieter  auf der EU-Vertrauensliste bietet Docusign mehrere Optionen für die QES mit zahlreichen Methoden zur Legitimationsüberprüfung. Docusign akzeptiert alle qualifizierten Zertifikate, die von Vertrauendiensteanbieters  auf der EU-Vertrauensliste ausgestellt wurden und die Ihr Unterzeichner bereits besitzt. Alternativ lässt sich Docusign in mehrere qualifizierte Vertrauendiensteanbieter Ihrer Wahl integrieren.

Docusign stellt über sein Partnerprogramm für Vertrauendiensteanbieter eine Vielzahl an Identitätsmanagementdiensten aus eigener und dritter Hand zur Verfügung.

Die Partnerschaft zwischen Docusign und D-TRUST bietet Nutzerinnen und Nutzern ein volldigitales Erlebnis ohne Medienbrüche. Denn über den Sign-Me Service von D-TRUST können Verträge mit elektronischen Signaturen abgeschlossen werden. Dies kann in einem geschlossenen System erfolgen, ohne dass Unternehmen mehr als eine Plattform nutzen müssen. Dies liegt an der eIDAS-Verordnung, die Fernsignaturen zulässt, die den Grundstein für diese Partnerschaft legen.

Docusign arbeitet mit D-TRUST und mehreren anderen Vertrauensdiensteanbietern zusammen, um rechtsverbindliche digitale Transaktionen innerhalb des eIDAS-Bereichs und überall auf der Welt, über ein eigenes Trustcenter, zu erleichtern. 

Diese Partnerschaft mit D-TRUST ermöglicht Nutzerinnen und Nutzern die digitale Identifizierung über die Online-Ausweisfunktion eines deutschen Personalausweises, Giro und Video-Identifikation. Darüber hinaus können Nutzer eine größere Gruppe von Personen an einem Ort digital identifizieren.

D-Trust und DocusignPartnerbericht lesen

Die technischen Standards der eIDAS Verordnung 

Da eIDAS den Vertrauensdiensteanbietern die Nutzung von Cloud-Technologien ermöglicht, können Kunden elektronische Signaturen unterwegs per Smartphone oder Tablet erstellen und überprüfen. 

Die eIDAS-Verordnung ist technologieneutral. In der Praxis verlangen die meisten, wenn nicht alle EU-Staaten von Vertrauensdiensteanbietern, dass sie die von der Europäischen Kommission empfohlenen technischen Standard erfüllen, bevor sie auf die Trust-Liste der EU gesetzt werden.

Diese technischen Standards bilden das Fundament für die Regulierung und Zertifizierung von EU-Vertrauensdiensteanbietern und umfassen unter anderem folgende Standards:

  • Spezifikationen für die verschiedenen in der Verordnung definierten Arten elektronischer Signaturen, einschließlich fortgeschrittener und qualifizierter elektronischer Signaturen

  • Spezifikationen für die Zertifizierung und Verwaltung von Vertrauensdienste-Anbietern sowie der Trust-Listen der EU

  • Technische Spezifikationen für elektronische Identitäten und deren Bestätigung

Wie funktioniert eIDAS?

Die eIDAS-Verordnung schafft einen sicheren digitalen Rahmen für juristische und natürliche Personen in der EU. Mit der Einführung von qualifizierten Vertrauensdiensteanbietern gewährleistet sie höchste Standards für die Sicherheit in der Informationstechnik.

Der Prozess beginnt mit der Identifizierung des Unterzeichners durch einen zugelassenen Vertrauensdiensteanbieter. Nach erfolgreicher Prüfung wird ein qualifiziertes Zertifikat ausgestellt, das die digitale Identität bestätigt.

Bei der elektronischen Signatur prüft das System automatisch die Gültigkeit des Zertifikats und die Identität des Unterzeichners. Zusätzliche Sicherheitsmerkmale wie Zeitstempel und Integritätsprüfungen garantieren die Rechtssicherheit der digitalen Transaktion.

Erfahren Sie, wie die Agreement Cloud Ihrem Unternehmen helfen kann.Experten kontaktieren

Ähnliche Beiträge

  • Einblicke für Führungskräfte

    Gmail Signatur ändern: die besten Tipps!

    Author Tobias S.
    Tobias S.
    inserir assinaturas eletrônicas no Word
  • Einblicke für Führungskräfte

    Was macht ein Contract Manager

    Author Tobias S.
    Tobias S.
    You may notice when on Docusign’s website that a green padlock sits in front of the URL at the top of your browser. This is a visual cue that our website is secure thanks to SSL certificates, and it’s one that savvy consumers look for when doing business online. SSL certificates play an important role at Docusign, and they should be a part of your data privacy efforts too. Find out more about what they are, what they do, and how you can obtain them, with our SSL FAQs, below. What is an SSL Certificate? SSL stands for Secure Sockets Layer, and SSL certificates are also known as digital certificates. An SSL certificate creates a secure link between a website and a visitor's browser. It ensures that all data passed between the two remains private and secure. There are three types of SSL certificate: Extended Validation (EV SSL), Organisation Validated (OV SSL) and Domain Validated (DV SSL). There are also what is known as wildcard certificates, used to extend SSL encryption to subdomains. Why do companies need an SSL Certificate? SSL certificates establish trust between you and your customer. To obtain an SSL Certificate, the purchasing company's identity must be authenticated. With this safeguard in place, customers know that your business is not only legitimate but that it's safe to do business with you online. If you want to accept credit card information on your website, for example, then you will need to comply with Payment Card Industry (PCI) standards. One of the PCI requirements is using an SSL certificate. SSL certificates also help to prevent you and your customers from suffering a phishing attack. Phishing emails aim to impersonate your website for criminal gain. As the sender cannot receive their own SSL certificate, it makes it far more difficult for them to impersonate your website and easier for them to be caught out. As a result of SSL encryption, hackers and identity thieves are prevented from stealing private and sensitive information such as addresses, social media logins and credit card numbers. Only the intended recipient will be able to understand the information being sent. What should I look for in an SSL certificate provider? The cost of a solution can often be a deciding factor when choosing any tech solution, but when the security of your data it at risk, you shouldn’t necessarily go with the cheapest option. With that in mind, these are the top factors to consider over price alone: Compatibility: The provider should have a high trust pedigree in as many commonly used operating systems, web browsers, apps and devices as possible. Scalability: The provider should also be able to handle volumes that grow with your company, as you may end up needing thousands of certificates per second to be issued. Flexibility: The leading providers offer flexible purchasing terms. Pay-as-you-go, for example, allows you to order certificates when you see fit, regardless of amount. Bulk balance models also allow you to load money into your account. Platform: Your solution needs to be easy to use, support a variety of workflows and has a dynamic portal. Support: It's important to evaluate the services and support offerings available to help you succeed. Is an account manager on-hand, online support offered, communities to ask questions, and educational resources enabling you to self-serve? Where can I find Docusign's certificates? Docusign's digital certificates provide higher levels of identity authentication and document transaction security. Digital certificates cryptography uses Public Key Infrastructure (PKI) technology to issue certificates based on X.509 standards to represent the digital identity of a signer. The latest SSL certificate is always available for download from the Docusign Trust Site. Do I need to update my Docusign SSL certificate? If you do not have a custom SSL integration then no action is needed. Docusign’s SSL (secure sockets layer) certificate used for our DEMO, NA1, NA2, NA3 and EU environments occasionally expires (every 2 years). When the SSL certificate is set to expire a new SSL certificate will be used. That means If you have custom API, Connect, or any other system integration that depends on Docusign’s SSL certificate then contact your IT department's network administrator to update the certificate to ensure seamless functionality.
Einblicke für Führungskräfte

Gmail Signatur ändern: die besten Tipps!

Author Tobias S.
Tobias S.
inserir assinaturas eletrônicas no Word
Einblicke für Führungskräfte

Was macht ein Contract Manager

Author Tobias S.
Tobias S.
You may notice when on Docusign’s website that a green padlock sits in front of the URL at the top of your browser. This is a visual cue that our website is secure thanks to SSL certificates, and it’s one that savvy consumers look for when doing business online. SSL certificates play an important role at Docusign, and they should be a part of your data privacy efforts too. Find out more about what they are, what they do, and how you can obtain them, with our SSL FAQs, below. What is an SSL Certificate? SSL stands for Secure Sockets Layer, and SSL certificates are also known as digital certificates. An SSL certificate creates a secure link between a website and a visitor's browser. It ensures that all data passed between the two remains private and secure. There are three types of SSL certificate: Extended Validation (EV SSL), Organisation Validated (OV SSL) and Domain Validated (DV SSL). There are also what is known as wildcard certificates, used to extend SSL encryption to subdomains. Why do companies need an SSL Certificate? SSL certificates establish trust between you and your customer. To obtain an SSL Certificate, the purchasing company's identity must be authenticated. With this safeguard in place, customers know that your business is not only legitimate but that it's safe to do business with you online. If you want to accept credit card information on your website, for example, then you will need to comply with Payment Card Industry (PCI) standards. One of the PCI requirements is using an SSL certificate. SSL certificates also help to prevent you and your customers from suffering a phishing attack. Phishing emails aim to impersonate your website for criminal gain. As the sender cannot receive their own SSL certificate, it makes it far more difficult for them to impersonate your website and easier for them to be caught out. As a result of SSL encryption, hackers and identity thieves are prevented from stealing private and sensitive information such as addresses, social media logins and credit card numbers. Only the intended recipient will be able to understand the information being sent. What should I look for in an SSL certificate provider? The cost of a solution can often be a deciding factor when choosing any tech solution, but when the security of your data it at risk, you shouldn’t necessarily go with the cheapest option. With that in mind, these are the top factors to consider over price alone: Compatibility: The provider should have a high trust pedigree in as many commonly used operating systems, web browsers, apps and devices as possible. Scalability: The provider should also be able to handle volumes that grow with your company, as you may end up needing thousands of certificates per second to be issued. Flexibility: The leading providers offer flexible purchasing terms. Pay-as-you-go, for example, allows you to order certificates when you see fit, regardless of amount. Bulk balance models also allow you to load money into your account. Platform: Your solution needs to be easy to use, support a variety of workflows and has a dynamic portal. Support: It's important to evaluate the services and support offerings available to help you succeed. Is an account manager on-hand, online support offered, communities to ask questions, and educational resources enabling you to self-serve? Where can I find Docusign's certificates? Docusign's digital certificates provide higher levels of identity authentication and document transaction security. Digital certificates cryptography uses Public Key Infrastructure (PKI) technology to issue certificates based on X.509 standards to represent the digital identity of a signer. The latest SSL certificate is always available for download from the Docusign Trust Site. Do I need to update my Docusign SSL certificate? If you do not have a custom SSL integration then no action is needed. Docusign’s SSL (secure sockets layer) certificate used for our DEMO, NA1, NA2, NA3 and EU environments occasionally expires (every 2 years). When the SSL certificate is set to expire a new SSL certificate will be used. That means If you have custom API, Connect, or any other system integration that depends on Docusign’s SSL certificate then contact your IT department's network administrator to update the certificate to ensure seamless functionality.

Entdecken Sie die Neuheiten von Docusign IAM oder starten Sie kostenlos mit eSignature

Entdecken Sie Docusign IAMTesten Sie eSignature kostenlos
Person smiling while presenting