SMS-Validierungsseite zur Beantwortung einer Ausschreibung

Wenn ein Unternehmen auf eine öffentliche oder private Ausschreibung antwortet, ist die Frage nach der rechtlichen Gültigkeit der eingereichten Unterlagen entscheidend. Ein elektronisch signiertes Dokument ohne starken Authentifizierungsmechanismus kann vor Gericht angefochten oder vom öffentlichen Auftraggeber abgelehnt werden. Genau hier kommt die Validierungsseite mit SMS-Code ins Spiel: Dieser Authentifizierungsschritt durch Einmalpasswort (OTP) stärkt den Nachweis der Zustimmung des Bieters, erfüllt die Anforderungen der eIDAS-Verordnung und garantiert die vollständige Nachverfolgung des Signaturablaufs. In diesem Artikel erläutern wir, warum und wie Sie dieses Verfahren in Ihren Ausschreibungs-Workflow integrieren, einschließlich technischer Voraussetzungen, schrittweiser Konfiguration und bewährter Praktiken.

Warum eine SMS-Validierung in Ihrer Ausschreibungsantwort integrieren

Die Beweiskraft im Zentrum öffentlicher Aufträge

Der französische Vergaberahmen sieht vor, dass elektronisch eingereichte Angebote die Anforderungen der Verordnung Nr. 2016-360 vom 25. März 2016 zu öffentlichen Aufträgen erfüllen müssen. Seit dem 1. Oktober 2018 erfordert jedes Verfahren mit einem geschätzten Wert von über 40.000 € HT eine obligatorische Digitalisierung über eine zugelassene Einreichungsplattform (Käuferprofil). In diesem Zusammenhang stellt die elektronische Signatur in Verbindung mit einem SMS-OTP-Mechanismus eine fortgeschrittene elektronische Signatur im Sinne der eIDAS-Verordnung dar, nämlich:

• eindeutig mit dem Unterzeichner verbunden;
• ermöglicht die Identifizierung des Unterzeichners;
• erstellt mit Daten, die der Unterzeichner ausschließlich unter seiner Kontrolle nutzen kann;
• mit den signierten Daten so verbunden, dass jede nachträgliche Änderung erkannt werden kann.

Ohne dieses Authentifizierungsniveau kann eine einfache Signatur (Klick oder Kontrollkästchen) rechtlich nicht ausreichend sein, um den Bieter zu binden, insbesondere wenn der Auftraggeber eine fortgeschrittene oder qualifizierte Signatur für bestimmte sensible Leistungen verlangt.

Risiken von Einspruch und Unregelmäßigkeit reduzieren

Eine Ausschreibungsantwort kann für unregelmäßig befunden werden, wenn der Auftraggeber der Ansicht ist, dass die Identität des Unterzeichners nicht ausreichend nachgewiesen ist. Das Hinzufügen einer SMS-Validierungsseite schafft einen zweiten Authentifizierungsfaktor (2FA), der in Kombination mit der vorher überprüften Identität einen starken Nachweis darstellt. Im Falle eines Rechtsstreits vor dem Verwaltungsgericht oder Vertragsgericht wird das zeitgestempelte Audit-Journal (Zeitstempel, maskierte Telefonnummer, IP-Adresse, Dokument-Hash) ein anerkannter Beweis darstellen.

Für weitere Informationen zu den Grundlagen erklärt der umfassende Leitfaden zur elektronischen Signatur die verschiedenen Signaturebenen und ihre rechtlichen Auswirkungen im französischen und europäischen Recht.

Die technischen Komponenten einer SMS-Validierungsseite

OTP-Architektur und SMS-Kanal

Eine SMS-Validierungsseite basiert auf drei voneinander abhängigen Komponenten:

1. OTP-Generator (One-Time Password): Ein TOTP-Algorithmus (Time-based OTP, RFC 6238) oder HOTP (HMAC-based OTP, RFC 4226) generiert einen 6-stelligen Code, der in der Regel 5 bis 10 Minuten gültig ist.
2. SMS-Gateway: Ein zertifizierter Anbieter (z.B. Twilio, OVHcloud SMS, Brevo) leitet den Code an die Telefonnummer des Bieters weiter, die während der Einladungs- oder Registrierungsphase erfasst wurde.
3. Sichere Eingabeschnittstelle: Die dem Bieter angezeigte Webseite muss die Anforderungen der WCAG 2.1 (Barrierefreiheit) erfüllen, das Ablaufdatum des Codes klar anzeigen und einen begrenzten Neusendmechanismus bieten (Anti-Missbrauch, maximal 3 Versuche).

Aus Sicherheitssicht muss die Telefonnummer vorher validiert werden (Überprüfung beim Onboarding) und verschlüsselt in der Datenbank gespeichert werden, gemäß den DSGVO-Anforderungen (Art. 32 zur Sicherheit der Verarbeitung).

Integration in den Signaturworkflow von Certyneo

In der Certyneo-Plattform erfolgt das Hinzufügen einer SMS-Validierungsseite direkt über die Konfigurationsschnittstelle eines Signaturablaufs. Hier sind die Schritte:

Schritt 1 — Dokument erstellen oder importieren Laden Sie Ihr technisches Dossier, Ihre Selbsterklärung oder ein anderes konstitutives Element des Angebots hoch. Der KI-Vertragsgenerator von Certyneo ermöglicht auch das Vorausfüllen bestimmter Standarddokumente.

Schritt 2 — Unterzeichner konfigurieren Geben Sie Name, Vorname, E-Mail-Adresse und Mobilfunknummer (E.164-Format, z.B. +33 6 XX XX XX XX) jeder Person ein, die zum Unterzeichnen des Angebots berechtigt ist. Dieses Feld ist erforderlich, um die SMS-Validierung zu aktivieren.

Schritt 3 — SMS-OTP-Authentifizierung aktivieren Aktivieren Sie im Menü „Ablaufsicherheit" die Option „Validierung per SMS-Code". Sie können folgende Parameter einstellen:

• Gültigkeitsdauer des Codes (empfohlen: 5 Minuten);
• maximale Anzahl von Versuchen (empfohlen: 3);
• benutzerdefinierte Nachricht, die an den Unterzeichner gesendet wird (Erwähnung der Ausschreibung, der Ausschreibungsreferenz).

Schritt 4 — Validierungsseite personalisieren Die Certyneo-Schnittstelle bietet einen „No-Code"-Seitenediteur, mit dem Sie das Logo Ihrer Organisation, den Titel der Ausschreibung und klare Anweisungen für den Bieter hinzufügen können. Diese Personalisierung stärkt das Vertrauen und reduziert die Abbrüche von Abläufen.

Schritt 5 — Ablauf im Sandbox-Modus testen Nutzen Sie vor dem tatsächlichen Versand den Testmodus von Certyneo, um den SMS-Empfang und die Code-Eingabe zu simulieren. Überprüfen Sie, ob das Audit-Journal erfasst: Zeitstempel, SHA-256-Hash des Dokuments, maskierte Telefonnummer und IP-Adresse des Benutzergeräts.

Bewährte Praktiken für eine optimale Konfiguration

Operative Einschränkungen des Bieters vorausahnen

Im Rahmen einer Ausschreibung kann der Bieter eine Einzelperson oder der gesetzliche Vertreter eines KMU, einer Arbeitsgemeinschaft (ARGE) oder eines großen Unternehmens sein. Es sind mehrere operative Einschränkungen zu berücksichtigen:

• Telefonnummer nicht erreichbar: Wenn der benannte Unterzeichner auf Reisen ist, kann der SMS nicht rechtzeitig ankommen. Planen Sie eine Delegationsoption mit Vorankündigung ein.
• Personalwechsel: In großen Organisationen kann sich der unterzeichnungsbefugte Geschäftsführer zwischen Versand der Einladung und Einreichungsfrist ändern. Das Feld „Telefonnummer" sollte vom Kontoadministrator bis 24 Stunden vor Ablauf der Frist änderbar sein.
• Barrierefreiheit: Einige Benutzer mit Behinderungen können Schwierigkeiten bei der Eingabe eines zeitlich begrenzten Codes haben. Bieten Sie eine Sprachalternative (automatisierter Anruf mit Code-Vorlesung) an, wenn Ihre Infrastruktur dies ermöglicht.

Archivierung und revisionssicherte Audit-Trails

Die SMS-Validierungsseite ist nur ein Glied in der Beweiskette. Damit das gesamte Dossier einsetzbar ist, muss die Archivierung der Norm ETSI EN 319 132 (XAdES) oder ETSI EN 319 122 (CAdES) entsprechen, je nach gewähltem Signaturformat. Certyneo erstellt automatisch einen Signaturbericht in PDF/A mit:

• Liste der Unterzeichner mit ihrem Authentifizierungsniveau;
• zertifizierte Zeitstempel (RFC 3161);
• vollständiges Audit-Trail aller SMS-Ereignisse (Versand, Empfangsbestätigung, korrekte oder fehlerhafte Eingabe).

Dieser Bericht muss während der gesamten Gültigkeitsdauer des Vertrags und möglicherweise über Streite hinaus aufbewahrt werden. Für öffentliche Aufträge sieht das Vergabegesetzbuch (Art. L. 2194-1 ff.) Aufbewahrungsfristen von bis zu 10 Jahren vor. Tarife und Optionen für die Langzeitarchivierung sind auf der Certyneo-Preisseite aufgeführt.

Integration mit Digitalisierungsplattformen (Käuferprofilen)

Wenn die Ausschreibungsantwort über eine Drittplattform läuft (AWS Marchés, e-Attestations, Achat Public, Klekoon, etc.), kann Certyneo vorab verwendet werden, um die konstitutiven Angebotsdokumente intern signieren und validieren zu lassen, bevor sie auf das Käuferprofil hochgeladen werden. Die signierte Datei (im XAdES- oder PAdES-Format) wird dann auf die Plattform hochgeladen, begleitet vom Certyneo-Signaturbericht als Authentifizierungsnachweis.

Wenn Ihr Unternehmen bereits eine konkurrierende Lösung nutzt, erklärt die Migrationseite zu Certyneo, wie Sie Ihre bestehenden Abläufe ohne Datenverlust oder Dienstunterbrechung übertragen können.

Sicherheit, DSGVO und Verwaltung von Telefondaten

Verarbeitung personenbezogener Daten der Telefonnummer

Die Mobilfunknummer ist eine personenbezogene Angabe im Sinne von Artikel 4 der DSGVO. Ihre Verwendung für eine OTP-Validierung erfordert:

• eine klar identifizierte Rechtsgrundlage: die Erfüllung eines Vertrags (Art. 6.1.b DSGVO) oder ein berechtigtes Interesse (Art. 6.1.f DSGVO), je nach Beziehung zwischen Ausschreibungsersteller und Bieter;
• eine vorherige Information des Bieters über die Nutzung seiner Nummer (Erwähnung in AGB oder in der Einladungs-E-Mail);
• eine begrenzte Aufbewahrungsdauer: Die Nummer sollte nicht über das Ende des Signaturablaufs hinaus aufbewahrt werden, außer bei gerechtfertigter Archivierung.

Rechts- und Datenschutzteams finden zusätzliche Ressourcen in unserem Glossar zur elektronischen Signatur, das Schlüsselbegriffe der DSGVO im Zusammenhang mit Signaturworkflows aufzählt.

Widerstandsfähigkeit gegen Angriffe und Betrugsprävention

Die SMS-Validierung ist anfällig für bestimmte Angriffsarten (SIM-Swap, SS7-Abfangung). Für Märkte mit hohem Risiko (Beträge > 500.000 € HT) empfiehlt Certyneo, das SMS-OTP mit folgendem zu kombinieren:

• eine vorgelagerte Identitätsprüfung (KYC-Dokumentation oder IDnow);
• einen qualifizierten Zeitstempel von einem akkreditierten Trust Service Provider (TSP) nach eIDAS;
• eine Echtzeit-Warnung bei Änderung der Telefonnummer in den 48 Stunden vor der Signatur.

Diese zusätzlichen Maßnahmen führen dazu, dass die Signatur auf die Ebene der qualifizierten eIDAS-Signatur angehoben wird, die höchste nach europäischer Verordnung anerkannte Ebene, und bieten maximale Garantie für sensible oder klassifizierte öffentliche Aufträge.

Geltender Rechtsrahmen für die SMS-Validierung bei Ausschreibungen

eIDAS-Verordnung Nr. 910/2014 und ihre Signaturebenen

Die Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates (eIDAS) bildet die regulatorische Grundlage der elektronischen Signatur in Europa. Sie unterscheidet drei Ebenen:

• Einfache elektronische Signatur (Art. 3.10): Unter elektronischer Form angebrachte oder zugeordnete Daten, die der Unterzeichner zur Unterzeichnung nutzt. Begrenzte rechtliche Gültigkeit für öffentliche Ausschreibungen.
• Fortgeschrittene elektronische Signatur (Art. 3.11): Erfüllt die Anforderungen von Art. 26 eIDAS, einschließlich der Eindeutigkeit des Bezugs zum Unterzeichner und der Erkennbarkeit von Änderungen. Die OTP-SMS-Validierung in Kombination mit vorheriger Identifikation ermöglicht diese Ebene.
• Qualifizierte elektronische Signatur (Art. 3.12): Mit einem qualifizierten Signaturerstellungsgerät unter Verwendung eines von einem akkreditierten TSP ausgestellten qualifizierten Zertifikats erstellt. Die einzige Ebene mit rechtlicher Wirkung gleichwertig zur handschriftlichen Signatur in allen Mitgliedstaaten (Art. 25.2 eIDAS).

Französisches Zivilgesetzbuch — Artikel 1366 und 1367

Artikel 1366 des französischen Zivilgesetzbuchs besagt, dass „die elektronische Schrift die gleiche Beweiskraft wie die Schrift auf Papier hat, unter der Voraussetzung, dass die Person, von der sie stammt, ordnungsgemäß identifiziert werden kann und sie unter solchen Bedingungen erstellt und aufbewahrt wird, die die Integrität gewährleisten". Artikel 1367 präzisiert, dass „die elektronische Signatur aus dem Einsatz eines zuverlässigen Verfahrens zur Identifizierung besteht, das ihren Bezug zu der Urkunde, an die sie gebunden ist, gewährleistet".

Das SMS-OTP trägt direkt zur Erfüllung der von Artikel 1367 geforderten zuverlässigen Identifizierungsbedingung bei, indem es einen Bezug zwischen der registrierten Telefonnummer und der unterzeichneten Urkunde schafft.

Vergabegesetzbuch

Die Artikel R. 2132-7 und folgende des Vergabegesetzbuchs setzen voraus, dass elektronisch eingereichte Angebote mit einer elektronischen Signatur mindestens auf fortgeschrittenem Niveau basierend auf einem qualifizierten Zertifikat unterzeichnet sind. Die SMS-Validierung ist Teil des Systems, das diese Ebene erreicht, unter der Voraussetzung, dass der gesamte Signaturablauf dokumentiert und archiviert ist.

DSGVO Nr. 2016/679 — Schutz von Telefondaten

Artikel 32 der DSGVO schreibt angemessene technische und organisatorische Maßnahmen vor, um die Sicherheit der verarbeiteten Daten zu gewährleisten, insbesondere Verschlüsselung und Pseudonymisierung. Die für das SMS-OTP verwendete Telefonnummer muss im Ruhezustand und bei der Übertragung verschlüsselt sein (TLS 1.3 mindestens). Artikel 5.1.e schreibt die Speicherbegrenzung vor: Die Nummer darf nur so lange aufbewahrt werden, wie dies für die Zweckerreichung erforderlich ist.

Anwendbare ETSI-Normen

• ETSI EN 319 132 (XAdES): Format für erweiterte XML-Signaturen, empfohlen für öffentliche Ausschreibungsunterlagen in XML-Format.
• ETSI EN 319 122 (CAdES): CMS-Format für erweiterte Signaturen, geeignet für Binärdateien (PDF, ZIP).
• ETSI EN 319 102-1: Verfahren zur Erstellung und Validierung elektronischer Signaturen, einschließlich qualifizierter Zeitstempel RFC 3161.

Die Nichtbeachtung dieser Normen setzt den Aussteller oder Bieter dem Risiko aus, dass die Offerte wegen Formunregelmäßigkeit abgelehnt wird, oder dass die Signatur im Falle eines Vertragstreits nicht einsetzbar ist.

Konkrete Anwendungsszenarien

Szenario 1 — Ein Ingenieurbüro antwortet auf ein Planungsleistungsverfahren

Ein auf Infrastruktur spezialisiertes Ingenieurbüro mit etwa 30 Ingenieuren und im Schnitt 15 bis 20 Ausschreibungsantworten pro Jahr muss mehrere konstitutive Angebotsdokumente unterzeichnen: Selbsterklärung, technisches Dossier, Bescheinigungen der steuerlichen und sozialen Regularität. Vor der Einführung einer SMS-Validierung basierte das Verfahren auf einem Austausch manuell signierter und gescannter PDFs per E-Mail, was durchschnittliche Verzögerungen von 48 bis 72 Stunden pro Dossier verursachte.

Mit der Konfiguration eines Certyneo-Ablaufs mit OTP-SMS-Validierung für jeden internen Unterzeichner (Technischer Direktor, Geschäftsführer) hat das Büro diese Verzögerung auf weniger als 2 Stunden reduziert. Der automatisch generierte Signaturbericht wird dem auf das Käuferprofil hochgeladenen Dossier beigefügt und erfüllt die Anforderungen für fortgeschrittene Signaturen. Sektorale Studien zur B2B-Digitalisierung schätzen die Reduzierung der administrativen Bearbeitungszeit beim Übergang zu elektronischen Signaturen mit starker Authentifizierung auf 60–70 %.

Szenario 2 — Eine Arbeitsgemeinschaft bei einem Bauauftragsverfahren

Im Rahmen eines öffentlichen Bauauftrags (Baggerarbeiten + Rohbau) bilden zwei Unternehmen eine Arbeitsgemeinschaft. Jeder Bevollmächtigte muss die Selbsterklärung im Namen seines Unternehmens unterzeichnen. Die beiden Unternehmen befinden sich in verschiedenen Städten, und die Frist für die Angebotsabgabe ist 12:00 Uhr.

Mit der Funktion zur parallelen Unterzeichnung von Certyneo erhalten beide Unterzeichner gleichzeitig einen Einladungslink per E-Mail. Jeder greift auf seine Validierungsseite zu, gibt seinen per SMS erhaltenen OTP-Code in weniger als einer Minute ein und bringt seine fortgeschrittene elektronische Signatur an. Der ARGE-Koordinator erhält sofort eine Benachrichtigung zur Fertigstellung und kann das finalisierte Dossier vor der Deadline hochladen. Dieses Szenario zeigt, wie die SMS-Validierung das Risiko von Verzögerungen aufgrund mehrheitlicher Standortkoordination beseitigt, ein Problem, das Studien zufolge etwa 30 % der verspäteten Abgaben bei Arbeitsgemeinschaften ausmacht.

Szenario 3 — Ein öffentliche Körperschaft als Ausschreibungsersteller

Eine öffentliche Körperschaft mittlerer Größe (zwischen 50.000 und 200.000 Einwohnern) kann die SMS-Validierung nicht nur als Bieter, sondern auch als Ausschreibungsersteller nutzen, um die interne Unterzeichnung der Ausschreibungsunterlagen (Allgemeine Technische Spezifikationen, Besondere Technische Bestimmungen, Gewährleistung) zu sichern. Vor der Veröffentlichung der Ausschreibung auf dem Käuferprofil müssen der Leiter der technischen Dienste und der mit Aufträgen betraute Kommunalpolitiker die konstitutiven Dokumente mitunterzeichnen.

Durch die Implementierung eines Certyneo-Ablaufs mit OTP-SMS-Validierung für jeden institutionellen Unterzeichner schafft die Körperschaft eine nachweisbare Spur der vorgelagerten administrativen Validierung. Diese Nachverfolgung ist besonders nützlich bei den von der Präfektur ausgeübten Legalismuskontrollen oder im Falle einer Kontrolle der regionalen Rechnungsprüfungskammer. Die Verringerung des mit einer nicht authentifizierten Signatur verbundenen Rechtsrisikos ist für öffentliche Auftraggeber ein wichtiges Compliance-Thema, im Hinblick auf die Anforderungen der Verordnung Nr. 2015-899, die im Vergabegesetzbuch kodifiziert ist.

Fazit

Die Integration einer SMS-Validierungsseite in Ihre Ausschreibungsantwort ist nicht nur eine technische Formalität: Sie ist eine rechtliche Garantie, ein dokumentierter Zustimmungsnachweis und ein Compliance-Werkzeug gemäß eIDAS-Verordnung und Vergabegesetzbuch. Durch die Authentifizierung jedes Unterzeichners mit einem zeitgestempelten SMS-OTP erreichen Sie das fortgeschrittene Niveau der elektronischen Signatur, das die meisten öffentlichen Auftraggeber verlangen, und reduzieren gleichzeitig drastisch interne Verzögerungen und Ablehnungsrisiken wegen Formunregelmäßigkeiten.

Certyneo ermöglicht es Ihnen, diesen Ablauf in wenigen Minuten ohne IT-Entwicklung zu konfigurieren, mit einem ETSI-konformen Audit-Journal, das gemäß gesetzlichen Anforderungen archiviert ist. Ob Sie Einzelbieter, Mitglied einer Arbeitsgemeinschaft oder öffentlicher Auftraggeber sind, die Lösung passt sich Ihrem Kontext an.

Bereit, Ihre nächsten Ausschreibungsantworten zu sichern? Erstellen Sie kostenlos Ihr Certyneo-Konto und konfigurieren Sie noch heute Ihren ersten Ablauf mit SMS-Validierung.