Obligationen von Anbietern elektronischer Signaturen in Frankreich

Einführung

In Frankreich verzeichnet der Markt für elektronische Signaturen stabiles Wachstum: Eine Studie der IDC von 2024 zeigt, dass jährlich mehr als 4,2 Milliarden elektronische Dokumente in der Europäischen Union unterzeichnet werden, mit einer jährlichen Steigerungsrate von 22 %. Hinter dieser massiven Einführung verbirgt sich eine anspruchsvolle rechtliche Realität: Die Vertrauensdiensteanbieter (VDA), die Lösungen für elektronische Signaturen anbieten, unterliegen einem umfangreichen Regelwerk, das auf der eIDAS-Verordnung, der RGPD und den technischen ETSI-Normen basiert. Das Verständnis dieser rechtlichen Verpflichtungen eines Anbieters elektronischer Signaturen in Frankreich ist für jede Organisation unerlässlich, die eine konforme und sichere Lösung auswählen möchte. Dieser Artikel entschlüsselt alle geltenden Anforderungen, von den Qualifizierungsbedingungen bis zur Verwaltung personenbezogener Daten, einschließlich vertraglicher Verantwortungen.

---

Der eIDAS-Rahmen: Der Grundstein der Verpflichtungen des Anbieters

Die Europäische Verordnung Nr. 910/2014, sogenannte eIDAS (Electronic Identification, Authentication and Trust Services), bildet die fundamentale Grundlage für die Regulierung von Vertrauensdienstanbietern in Europa. Sie ist seit dem 1. Juli 2016 unmittelbar in allen Mitgliedstaaten anwendbar und unterscheidet drei Stufen der elektronischen Signatur – einfach, fortgeschritten und qualifiziert – und legt je nach angebotener Stufe unterschiedliche Verpflichtungen fest.

Qualifizierung und Überwachung durch die ANSSI

In Frankreich ist die Nationale Agentur für Informationssicherheitssysteme (ANSSI – Agence nationale de la sécurité des systèmes d'information) die Aufsichtsbehörde im Sinne von Artikel 17 der eIDAS-Verordnung. Jeder Anbieter, der auf der nationalen Vertrauensliste (Trusted Service List – TSL) erscheinen möchte, muss sich einem streng regulierten Qualifizierungsprozess unterziehen:

• Konformitätsprüfung durch eine akkreditierte Konformitätsbewertungsstelle (CAB – Conformity Assessment Body), die vom COFRAC akkreditiert ist.

• Einhaltung der ETSI-Normen EN 319 401 (Allgemeine Anforderungen an Vertrauensdiensteanbieter) und ETSI EN 319 411 für Zertifizierungsstellen.

• Regelmäßige Erneuerung der Qualifizierung mit Audits mindestens alle 24 Monate.

Qualifizierte Anbieter profitieren von einer Konformitätsvermutung und können elektronische qualifizierte Signaturen (SEQ) anbieten, die höchste Stufe, die in allen EU-Mitgliedstaaten einer handschriftlichen Signatur gleichgestellt ist.

Technische und betriebliche Verpflichtungen der eIDAS-Verordnung

Neben der Qualifizierung legt eIDAS den Anbietern ein Spektrum ständiger Verpflichtungen auf:

• Verfügbarkeit des Dienstes: Der Anbieter muss die Betriebskontinuität seiner Vertrauensdienste gewährleisten. Artikel 19 der eIDAS-Verordnung verlangt die Implementierung von Sicherheitsmaßnahmen, die den Risiken entsprechen und proportional zu den Anforderungen sind.

• Mitteilung von Sicherheitsvorfällen: Jeder Sicherheitsvorfall, der sich auf die Bereitstellung des Dienstes oder auf Benutzerdaten auswirkt, muss der ANSSI innerhalb von 24 Stunden nach seiner Erkennung mitgeteilt werden.

• Veröffentlichung einer Zertifizierungspolitik: Der qualifizierte Anbieter muss seine Zertifizierungspolitik (CP) und seine Erklärung zur Zertifizierungspraxis (DPC) veröffentlichen und aktualisieren halten – Dokumente, die für Benutzer verbindlich sind.

• Qualifizierte elektronische Zeitstempel: Falls der Dienst Zeitstempelung einschließt, muss dieser die ETSI-Norm EN 319 421 erfüllen.

---

RGPD und Verarbeitung personenbezogener Daten: Eine übergreifende Verpflichtung

Elektronische Signaturen erfordern notwendigerweise die Verarbeitung personenbezogener Daten – Identität des Unterzeichners, E-Mail-Adresse, in bestimmten Fällen biometrische Daten, Audit-Logs. Der Anbieter unterliegt daher den Bestimmungen der Datenschutz-Grundverordnung (RGPD, Nr. 2016/679), die am 25. Mai 2018 in Kraft trat.

Rechtliche Qualifikation des Anbieters: Verantwortlicher oder Auftragsverarbeiter?

Die Qualifikation der Rolle des Anbieters gegenüber seinen Kunden ist bestimmend:

• Auftragsverarbeiter (Art. 28 RGPD): In den meisten Fällen verarbeitet der Anbieter die Daten im Auftrag seines Kunden (das Unternehmen). Ein Auftragsverarbeitungsvertrag gemäß Artikel 28 ist obligatorisch und muss insbesondere folgende Punkte präzisieren: Art und Zweck der Verarbeitung, Sicherheitsmaßnahmen, Verpflichtungen bei Datenverletzungen sowie Bedingungen für die Rückgabe oder Löschung von Daten.

• Gemeinsamer Verantwortlicher: In bestimmten Fällen (z. B. mutualisierter Identitätsprüfungsdienst) kann der Anbieter Co-Verantwortlicher der Verarbeitung sein, mit den daraus resultierenden gestärkten Verpflichtungen (Art. 26 RGPD).

Konkrete Verpflichtungen bezüglich personenbezogener Daten

• Datensparsamkeit (Art. 5 RGPD): Nur Daten, die für die Authentifizierung und Signatur unbedingt erforderlich sind, dürfen gesammelt werden.

• Aufbewahrungsdauer: Nachweise von Signaturen (Audit-Logs, Zertifikate) müssen so lange aufbewahrt werden, wie sie Beweiskraft haben, üblicherweise in Abstimmung mit der geltenden Verjährungsfrist (10 Jahre für kaufmännische Urkunden, 30 Jahre für bestimmte Zivilurkunden), danach gelöscht.

• Übermittlung außerhalb der EU: Falls Daten außerhalb des Europäischen Wirtschaftsraums gehostet oder verarbeitet werden, muss der Anbieter ein angemessenes Schutzniveau garantieren (Standardvertragsklauseln, Angemessenheitsbeschlüsse). Das Hosting von Daten in Frankreich oder Europa ist ein großes Unterscheidungsmerkmal.

• Register der Verarbeitungstätigkeiten: Der Anbieter muss ein Register der im Auftrag seiner Kunden durchgeführten Verarbeitungen führen (Art. 30 RGPD).

Im Fall einer Datenverletzung muss die Mitteilung an die CNIL innerhalb von 72 Stunden erfolgen (Art. 33 RGPD), parallel zur Mitteilung an die ANSSI unter eIDAS.

---

Verpflichtungen im Bereich der Sicherheit von Informationssystemen

Cybersicherheit steht im Mittelpunkt der Verpflichtungen eines Vertrauensdienstanbieters. Die geltenden Texte wurden in den letzten Jahren erheblich verschärft.

NIS 2: Eine neue Stufe der Anforderungen

Die NIS-2-Richtlinie (EU 2022/2555), die durch das französische Gesetz Nr. 2024-449 vom 21. Mai 2024 in Kraft tritt, erweitert erheblich den Bereich der Entitäten, die unter Cybersicherheitsverpflichtungen fallen. Die qualifizierten Vertrauensdiensteanbieter im Sinne von eIDAS werden nun systematisch als wesentliche Entitäten eingestuft, die den strengsten Verpflichtungen unterliegen:

• Umsetzung einer dokumentierten Cybersicherheit-Risikomanagement-Politik.

• Verpflichtung zur Meldung erheblicher Vorfälle an die ANSSI (verkürzte Fristen: Frühwarnung innerhalb von 24 Stunden, vollständige Mitteilung innerhalb von 72 Stunden).

• Sicherheitsanforderungen der Lieferkette (Kontrolle von Subunternehmern und Lieferanten).

• Sanktionen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Entitäten.

ETSI-Normen und ergänzende Zertifizierungen

Qualifizierte Anbieter stützen sich auf mehrere grundlegende ETSI-Normen:

• ETSI EN 319 132: XAdES-Profil für erweiterte XML-Signaturen.

• ETSI EN 319 122: CAdES-Profil für kryptographische erweiterte Signaturen.

• ETSI EN 319 102: Verfahren zur Erstellung und Validierung elektronischer Signaturen.

Die ISO/IEC 27001-Zertifizierung (Informationssicherheits-Managementsystem) wird ebenfalls empfohlen oder sogar in bestimmten öffentlichen Ausschreibungen verlangt. Einige Anbieter ergänzen ihren Ansatz durch eine SecNumCloud-Qualifizierung der ANSSI für Cloud-gehostete Komponenten.

---

Vertragliche Verantwortung und Verpflichtungen gegenüber Endnutzern

Über regulative Verpflichtungen hinaus trägt der Anbieter vertragliche und manchmal außervertragliche Verantwortung gegenüber den Parteien, die seinen Dienst nutzen.

Servicezusicherungen und Verfügbarkeitsstufen

SLAs (Service Level Agreements) bilden den Kernrahmen des Vertrags. Ein seriöser Anbieter verpflichtet sich typischerweise auf:

• Eine jährliche Verfügbarkeitsquote von mindestens 99,9 % (d. h. weniger als 8,7 Stunden Ausfallzeit pro Jahr).

• Garantierte Verarbeitungszeiten für die Erstellung qualifizierter Zertifikate.

• Operative Zertifikatwiderrufverfahren in weniger als 24 Stunden im Fall einer Kompromittierung.

Transparenz und Benutzerinformation

Artikel 13 der eIDAS-Verordnung verpflichtet qualifizierte Vertrauensdiensteanbieter, Benutzer über die Merkmale und Grenzen ihres Dienstes zu informieren. Diese Verpflichtung führt zu:

• Der Veröffentlichung klarer Allgemeiner Geschäftsbedingungen, die die angebotenen Signaturstufen und deren Rechtswert präzisieren.

• Information über die implementierten Identitätsprüfungsverfahren (persönliche Überprüfung, Fernprüfung per Video, automatisierte Prüfung).

• Bereitstellung von Validierungswerkzeugen für Signaturen, mit denen jeder Dritte die Gültigkeit einer produzierten Signatur kontrollieren kann.

Um mehr über die Auswahl einer geeigneten Lösung für Ihr Unternehmen zu erfahren, lesen Sie unseren Leitfaden, der diese Konformitätskriterien detailliert bewertet.

Die Verantwortungskette bei einem Rechtsstreit

Falls die Beweiskraft einer Signatur angestritten wird, kann die Verantwortung zwischen mehreren Akteuren aufgeteilt werden: der Anbieter (Zertifikatsqualität, Prozessintegrität), der Unterzeichner (Nutzung seiner Authentifizierungsmittel) und das Kundenunternehmen (Konfiguration des Signatur-Workflows). Der qualifizierte Anbieter profitiert von einer Vermutung der technischen Konformität, bleibt aber für Ausfälle seiner eigenen Systeme verantwortlich.

Für Unternehmen, die ihre Dokumentenverwaltung optimieren möchten, detailliert unser Leitfaden die Best Practices für die Implementierung.

Anwendbarer Rechtsrahmen für Anbieter elektronischer Signaturen

Die Verpflichtungen der Anbieter elektronischer Signaturen in Frankreich sind in einem kohärenten regulatorischen Gefüge verankert, das unmittelbar anwendbares europäisches Recht und nationales Recht miteinander verbindet.

Verordnung eIDAS Nr. 910/2014 (EU) – Dieses Grundlagendokument definiert die drei Signaturstufen (einfach, fortgeschritten, qualifiziert), die Qualifizierungsbedingungen für Vertrauensdiensteanbieter und die mit jeder Stufe verbundenen Rechtswirkungen. Sein Artikel 25 statuiert die Kardinalregel: „Eine elektronisch qualifizierte Signatur hat eine Rechtswirkung, die der einer handschriftlichen Signatur gleichwertig ist". Die Überarbeitung eIDAS 2.0 durch die Verordnung Nr. 2024/1183 verstärkt die Anforderungen in Bezug auf das europäische digitale Identitätspapier (EUDIW) und erweitert die Verpflichtungen der Anbieter.

Code civil, Artikel 1366 und 1367 – Artikel 1366 räumt dem elektronischen Dokument die gleiche Beweiskraft wie dem Dokument auf Papierfassung ein, unter der Voraussetzung der Zuverlässigkeit der Identifikation des Urhebers und der Dokumentintegrität. Artikel 1367 definiert die elektronische Signatur als die „Verwendung eines zuverlässigen Verfahrens der Identifikation, das die Verbindung mit dem Dokument, auf das sie sich bezieht, garantiert". Diese Bestimmungen, die aus der Verordnung Nr. 2016-131 vom 10. Februar 2016 stammen, begründen die Beweiskraft der von konformen Anbietern erzeugten Signaturen.

Dekret Nr. 2017-1416 vom 28. September 2017 – Anwendungstext zu Artikel 1367 des Code civil präzisiert die Bedingungen, unter denen die Zuverlässigkeit eines elektronischen Signaturverfahrens vermutet wird: Verwendung einer gemäß eIDAS qualifizierten elektronischen Signatur. Es stellt eine widerlegbare Zuverlässigkeitsvermutung zugunsten qualifizierter Anbieter auf.

RGPD Nr. 2016/679 (EU) – Anwendbar auf jede Verarbeitung personenbezogener Daten im Rahmen der Erbringung von Diensten elektronischer Signaturen. Die Artikel 28 (Auftragsverarbeitung), 32 (Sicherheit der Verarbeitung), 33-34 (Meldung von Verletzungen) und 82-83 (Verantwortung und Sanktionen) sind unmittelbar anwendbar. Verwaltungsgeldbußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes erreichen.

NIS-2-Richtlinie (EU) 2022/2555 – Gesetz Nr. 2024-449 vom 21. Mai 2024 – Setzt die Anforderungen an gestärkte Cybersicherheit für Betreiber wesentlicher Dienste und wichtige Entitäten in französisches Recht um. Qualifizierte Vertrauensdiensteanbieter werden kraft Gesetzes als wesentliche Entitäten eingestuft und setzen ihre Manager persönlichen Sanktionen aus, falls bewiesene Verstöße vorhanden sind.

Referenz-ETSI-Normen – ETSI EN 319 401 (allgemeine VDA-Anforderungen), ETSI EN 319 411-1 und 411-2 (Zertifizierungspolitik), ETSI EN 319 421 (Zeitstempel), ETSI EN 319 102-1 (Validierungsverfahren), ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES). Diese technischen Normen haben eine quasi-normative Bedeutung, sobald sie in den Durchführungsbeschlüssen der Europäischen Kommission, die im Amtsblatt der EU veröffentlicht werden, referenziert werden.

Lesen Sie unseren Leitfaden für eine tiefgreifende Analyse dieser Texte und ihrer praktischen Auswirkungen.

Anwendungsszenarien: Verpflichtungen der Anbieter in der Praxis

Szenario 1 – Eine spezialisierte Anwaltskanzlei mit etwa 30 Mitarbeitern

Eine auf Unternehmensrecht spezialisierte Anwaltskanzlei mit rund 30 Juristen strebt danach, die Unterzeichnung ihrer Dokumente zu digitalisieren (Mandate, Gebührenvereinbarungen, Anteileabtretungsverträge). Ihre Haupteinschränkung: Die Beweiskraft der Signaturen muss im Fall von Rechtsstreitigkeiten unumstößlich sein.

Die Kanzlei verlangt von ihrem Anbieter:

• Die Bereitstellung qualifizierter elektronischer Signaturen (SEQ) für die sensitivsten Dokumente mit eIDAS-Identitätsprüfung auf hohem Niveau.

• Ein vollständiges Nachweisdossier (Audit-Log mit Zeitstempel, qualifiziertes Zertifikat, Dokumenten-Hashwert), aufbewahrt für 30 Jahre gemäß den für Eigenhändige Schriftstücke geltenden Verjährungsfristen.

• Ein detaillierter RGPD-Auftragsverarbeitungsvertrag, da die verarbeiteten Daten Informationen über Unternehmenskunden und Privatpersonen enthalten.

Beobachtete Ergebnisse in vergleichbaren Strukturen: Reduktion der Signaturzeiten für Clientenmandате um 70 bis 80 % (von 5 bis 7 Arbeitstagen auf weniger als 24 Stunden) und nahezu vollständige Beseitigung von Nachverfolgungen wegen fehlender Signaturen. Für Anwaltskanzleien beantwortet unsere spezielle Lösung genau diese Anforderungen.

Szenario 2 – Ein mittelständisches Industrieunternehmen mit etwa 300 Lieferantenverträgen pro Jahr

Ein mittelständiges Produktionsunternehmen mit einer Einkaufsabteilung von 8 Personen unterzeichnet jährlich etwa 300 Lieferantenverträge (Allgemeine Einkaufsbedingungen, Zusatzverträge, Geheimhaltungsvereinbarungen). Es nutzt bisher handschriftliche Unterschriften mit Digitalisierung, was durchschnittliche Verzögerungen von 12 Tagen und regelmäßige Nachverfolgungsprobleme mit sich bringt.

Es wählt einen qualifizierten eIDAS-Anbieter, der für seine alltäglichen Geschäftsverträge fortgeschrittene Signaturen mit qualifiziertem Zertifikat anbietet. Die wichtigsten überprüften Verpflichtungen bei der Auswahl:

• ISO 27001-Zertifizierung der Anbieterinfrastruktur.

• Ausschließliches Hosting von Daten auf in Frankreich gelegenen Servern (RGPD-Konformität, Schutz vor außergerichtlichen Anordnungen).

• API-Integration mit dem ERP zum Automatisieren von Signatur-Workflows.

• SLA, das eine Verfügbarkeit von 99,95 % garantiert und eine 10-jährige Aufbewahrung der Signaturzeugnisse gewährleistet.

Nach der Implementierung beobachten vergleichbare Unternehmen durchschnittlich eine Reduktion der Vertragsabschlusszeiten um 65 % und jährliche Einsparungen zwischen 15 000 und 25 000 Euro (Druck, physisches Archivierung, Verwaltungszeit). Nutzen Sie unsere Lösung zur Schätzung Ihrer eigenen Gewinne.

Szenario 3 – Ein Krankenhausverbund mit etwa 1 500 Mitarbeitern

Eine Krankenhauskooperationsgruppe, die die Unterzeichnung von Arbeitsverträgen, Zusatzverträgen und Patienteneinwilligungsformularen digitalisieren möchte, muss branchenpezifische regulatorische Anforderungen erfüllen.

Die überprüften Verpflichtungen des Anbieters:

• Hosting von Gesundheitsdaten auf HDS-Infrastruktur (zertifizierter Anbieter von Gesundheitsdaten), obligatorische Zertifizierung für personenbezogene Gesundheitsdaten.

• Konformität mit den digitalen Identitätsnormen der ANS (Agentur für digitales Gesundheitswesen) für Gesundheitsfachkräfte.

• Fähigkeit, unterschiedliche Signaturstufen zu verwalten: einfache Signatur für interne administrative Formulare, fortgeschrittene Signatur für Arbeitsverträge, qualifizierte Signatur für bestimmte regulierte Handlungen.

• Manipulationssichere und exportierbare Audit-Logs für die Beantwortung von ARS-Kontrollen.

Vergleichbar große Einrichtungen melden erhebliche HR-Verarbeitungsgewinne: Reduktion der Zeit für die Verwaltung von Einstellungen/Ausscheidungen um 50 bis 60 %. Unsere spezielle Seite detailliert die regulatorischen Besonderheiten dieses Sektors.

Fazit

Die rechtlichen Verpflichtungen für Anbieter elektronischer Signaturen in Frankreich bilden ein kohärentes, aber anspruchsvolles Gesamtwerk: eIDAS-Qualifizierung unter Aufsicht der ANSSI, strikte RGPD-Konformität, technische ETSI-Normen, verstärkte Cybersicherheit durch NIS 2 und klar definierte vertragliche Verantwortung. Für die nutzenden Unternehmen stellen diese Anforderungen wesentliche Auswahlkriterien dar: Ein nicht qualifizierter oder nicht konformer Anbieter setzt seine Kunden realen rechtlichen Risiken aus, sowohl in Bezug auf die Beweiskraft der Signaturen als auch auf den Schutz personenbezogener Daten.

Certyneo ist ein eIDAS-, RGPD- und NIS-2-konformer Anbieter elektronischer Signaturen mit Datenspeicherung in Frankreich. Um zu entdecken, wie unsere Lösung diese Verpflichtungen konkret erfüllt und gleichzeitig Ihre Signaturprozesse vereinfacht, starten Sie heute.