Zum Hauptinhalt springen
Certyneo

Verpflichtungen des Anbieters elektronischer Signaturen in Frankreich

eIDAS-Qualifizierung, DSGVO-Konformität, ANSSI-Anforderungen: Anbieter elektronischer Signaturen müssen sich einem anspruchsvollen Rechtsrahmen stellen. Erfahren Sie alle Verpflichtungen, die Sie beachten müssen.

Rédaction Certyneo13 Min. Lesezeit

Aktualisiert am

Rédaction Certyneo

Redakteur — Certyneo · Über Certyneo

white printer paper close-up photography

Einführung

Eine Lösung für elektronische Signaturen in Frankreich bereitzustellen ist keine Improvisation. Hinter jeder qualifizierten oder fortgeschrittenen Signatur verbergen sich Dutzende von rechtlichen Verpflichtungen, die dem Vertrauensdiensteanbieter (PSCo) obliegen. Die eIDAS-Verordnung, DSGVO, Allgemeiner Sicherheitsstandard, ETSI-Normen... der Regelungsrahmen ist gleichzeitig umfassend und entwickelt sich weiter. Für nutzende Unternehmen ist das Verständnis dieser rechtlichen Verpflichtungen des Anbieters elektronischer Signaturen in Frankreich eIDAS DSGVO unverzichtbar, um einen konformen Partner auszuwählen und rechtliche Risiken zu vermeiden. Dieser Artikel erläutert abschnitt für abschnitt alle anforderungen für psco, die auf französischem gebiet tätig sind.

---

Der Status des qualifizierten Vertrauensdiensteanbieters

Was ist ein PSCo gemäß eIDAS?

Die Verordnung eIDAS Nr. 910/2014 unterscheidet zwei kategorien von anbietern: nicht qualifizierte vertrauensdiensteanbieter und qualifizierte anbieter (pscq). Die ersten können dienste der einfachen oder fortgeschrittenen elektronischen signatur ohne obligatorische drittprüfung anbieten. Die zweiten — allein berechtigt, qualifizierte signaturen gemäß artikel 3(15) eidas auszustellen — müssen erheblich strengere anforderungen erfüllen.

In Frankreich ist die Agence nationale de la sécurité des systèmes d'information (ANSSI) die aufsichtsbehörde (« Supervisory Body ») gemäß artikel 17 eidas. Sie veröffentlicht und verwaltet die französische vertrauensliste (TSL — Trust Service List), die auf ihrer offiziellen website verfügbar ist und qualifizierte anbieter und ihre dienste auflistet.

Das Qualifizierungsverfahren: Audit und Konformität

Um den qualifizierten status zu erlangen, muss ein PSCo obligatorisch:

  • Seine dienste durch eine akkreditierte konformitätsbewertungsstelle auditieren lassen (CAB — Conformity Assessment Body) des COFRAC nach der norm EN ISO/IEC 17065.
  • Den audit-bericht der ANSSI einreichen, die über die gewährung des qualifizierten status entscheidet. Dieser status wird mindestens alle 24 monate neubewerte (artikel 20 §1 eidas).
  • Die ANSSI benachrichtigen von jeder wesentlichen änderung seiner dienste innerhalb von 3 monaten vor der geplanten änderung (artikel 21 eidas).

Die nichtbeachtung dieser schritte setzt den anbieter dem risiko einer streichung aus der TSL und dem verlust der rechtlichen vermutungen aus, die mit qualifizierten signaturen verbunden sind. Für kundenunternehmen bedeutet die nutzung eines psco, der nicht in der tsl aufgelistet ist, dass keine rechtliche vermutung der zuverlässigkeit besteht.

> Weitere informationen zu den verschiedenen signaturebenen und ihren rechtlichen auswirkungen finden Sie in unserem vollständigen leitfaden zur verordnung eIDAS 2.0.

---

Technische und sicherheitsverpflichtungen für PSCo

Einhaltung der ETSI-Normen

Qualifizierte anbieter müssen sich an eine reihe europäischer normen des European Telecommunications Standards Institute (ETSI) halten. Die wichtigsten sind:

  • ETSI EN 319 401: Allgemeine sicherheitsanforderungen für alle PSCo.
  • ETSI EN 319 411-1 und 411-2: Richtlinien und praktiken von zertifizierungsstellen, die qualifizierte signaturzertifikate ausstellen.
  • ETSI EN 319 132: Formate für fortgeschrittene elektronische signaturen (XAdES für XML, PAdES für PDF, CAdES für CMS).
  • ETSI EN 319 122: Format CAdES für qualifizierte signaturen.
  • ETSI TS 119 431: Anforderungen für dienste zur fernerstellung von signaturen (QSCD fern).

Diese normen sind nicht optional: die verordnung eIDAS (Anlage II, III und IV) verweist explizit darauf, um die mindestvorgaben für qualifizierte zertifikate und signaturerstellungsgeräte festzulegen.

Verwaltung von qualifizierten signaturerstellungsgeräten (QSCD)

Eine der säulen der qualifizierten signatur ist die verwendung eines qualifizierten signaturerstellungsgeräts (QSCD — Qualified Signature Creation Device), das der anlage II von eidas entspricht. Der anbieter muss gewährleisten, dass:

  • Der private schlüssel des unterzeichners nur im QSCD erzeugt, gespeichert oder kopiert werden kann.
  • Die schlüsselerzeugung ausschließlich in einer zertifizierten umgebung stattfindet (Common Criteria Zertifizierung EAL 4+ oder gleichwertig).
  • Die authentifizierung des unterzeichners vor jeder signaturhandlung auf mindestens zwei authentifizierungsfaktoren basiert.

Im kontext von fernsignaturen — zunehmend verbreitet in SaaS-Umgebungen — gelten diese anforderungen für den HSM-server (Hardware Security Module), der die schlüssel hostet. Die ANSSI hat spezifische schutzprofile veröffentlicht (PP-0075, PP-0076), die die zu erreichenden sicherheitskriterien definieren.

Richtlinie zur geschäftskontinuität und meldung von vorfällen

Artikel 19 eIDAS verpflichtet jeden vertrauensdiensteanbieter (qualifiziert oder nicht):

  • Die aufsichtsbehörde (ANSSI) und gegebenenfalls die datenschutzbehörde (CNIL) innerhalb von 24 stunden nach entdeckung einer sicherheitsverletzung zu benachrichtigen, die sich auf die zuverlässigkeit des dienstes auswirken kann.
  • Ein dokumentiertes und regelmäßig getestetes geschäftskontinuitätsplan zu führen.
  • Eine sicherheitsrichtlinie für informationen zu haben, die insbesondere risikomanagement, vorfallbehandlung und sicherungspolitik abdeckt.

Diese anforderungen überlappen sich teilweise mit denen der richtlinie NIS2 (2022/2555/EU), umgesetzt in französisches recht durch das gesetz n° 2023-703 vom 1. august 2023, das PSCo von erheblicher größe unter wichtige oder wesentliche einrichtungen mit verstärkten cybersicherheitsverpflichtungen klassifiziert.

> Erfahren Sie, wie elektronische signaturen für anwaltskanzleien diese einschränkungen in ihre dokumenten-workflows integrieren müssen.

---

DSGVO-spezifische Verpflichtungen für PSCo

Der PSCo, Verantwortlicher oder Auftragsverarbeiter?

Die DSGVO-Qualifizierung des anbieters hängt von der art des erbrachten dienstes ab:

  • Wenn der PSCo qualifizierte zertifikate unmittelbar im namen des unterzeichners ausstellt und die zwecke der verarbeitung personenbezogener daten (identität, biometrische authentifizierungsdaten) bestimmt, handelt er als verantwortlicher gemäß artikel 4(7) DSGVO.
  • Wenn er seine API in die plattform eines B2B-kunden integriert und personenbezogene daten nur auf anweisung dieses kunden verarbeitet, nimmt er die eigenschaft als auftragsverarbeiter (artikel 4(8) DSGVO) an und muss obligatorisch eine DPA (Data Processing Agreement) gemäß artikel 28 DSGVO schließen.

In der praxis erfüllen die meisten PSCo SaaS beide funktionen: verantwortliche für die verwaltung ihrer eigenen zertifizierungsinfrastruktur, auftragsverarbeiter für die verarbeitung von dokumenten und metadaten der unterzeichner.

Spezifische Verpflichtungen bezüglich biometrischer daten und identitätsdaten

Die identifizierung und authentifizierung des unterzeichners — obligatorischer schritt zur ausstellung eines qualifizierten zertifikats — beinhaltet oft die verarbeitung sensibler daten: ausweisskopie-scan, selfie-video, biometrische daten zur gesichtserkennung. Diese daten stellen personenbezogene daten dar, die der DSGVO unterliegen, oder sogar biometrische daten, die unter artikel 9 DSGVO (besondere kategorien) fallen.

Die verpflichtungen des PSCo umfassen:

  • Rechtsgrundlage: explizite zustimmung (artikel 9§2a) oder in bestimmten fällen rechtliche verpflichtung (artikel 9§2b) zur verarbeitung biometrischer daten.
  • Begrenzte aufbewahrungsdauer: nach CNIL-richtlinien sollten identifizierungsdaten nur so lange aufbewahrt werden, wie notwendig, normalerweise aligned mit gültigkeitsdauer des zertifikats + gesetzliche beweisverpflichtungsdauer (häufig 10 jahre für privatrechtliche urkunden, artikel 2224 französisches zivilgesetzbuch).
  • Auswirkungsfolgenabschätzung (AIPD) obligatorisch (artikel 35 DSGVO) sobald die verarbeitung ein hohes risiko darstellen kann — dies ist systematisch der fall bei biometrie.
  • Verzeichnis der verarbeitungsvorgänge (artikel 30 DSGVO) aktuell gehalten und dokumentierend jede verarbeitungskategorie.

Internationale datentransfers

Viele PSCo hosten all oder einen teil ihrer infrastruktur außerhalb des europäischen wirtschaftsraums (EWR). In diesem fall gelten die angemessenen garantien, die kapitel V DSGVO fordert: adäquatheitsbeschluss, standardvertragsklauseln (SCCs) der europäischen kommission oder verbindliche unternehmensregeln (BCR). Das urteil Schrems II (EuGH, C-311/18, 16. juli 2020) hat erinnert, dass transfers in die USA eine vorherige länderrisikoanalyse erfordern.

> Um die auswirkungen dieser regeln auf ihre organisation zu verstehen, lesen Sie unseren leitfaden zu elektronischen signaturen im unternehmen.

---

Transparenz- und informationsverpflichtungen gegenüber benutzern

Zertifizierungsrichtlinie (PC) und Zertifizierungspraxis-Erklärung (DPC)

Jeder PSCo, der zertifikate ausstellt, muss eine Zertifizierungsrichtlinie (PC) und eine Erklärung der Zertifizierungspraxis (DPC) gemäß der norm ETSI EN 319 411 veröffentlichen. Diese frei zugänglichen dokumente beschreiben:

  • Die verfahren für identifizierung und registrierung von unterzeichnern.
  • Die eingesetzten physischen und logischen sicherheitsmaßnahmen.
  • Die bedingungen für zertifikatwiderruf und zugehörige fristen.
  • Die haftung und haftungsbeschränkungen des PSCo.

Das fehlen oder unvollständigkeit dieser dokumente stellt eine nichteinhaltung dar, die bei der requalifizierungsprüfung durch die akkreditierte stelle bemerkt werden kann.

Vorkontraktuelle und vertragliche kundeninformation

Über rein technische verpflichtungen hinaus fordert artikel 13 DSGVO den PSCo auf, jeder person, deren daten erfasst werden, klare und zugängliche informationen zu geben über:

  • Die identität des verantwortlichen und die kontaktdaten des datenschutzbeauftragten (obligatorisch für PSCo, die sensible daten in großem maßstab verarbeiten, artikel 37 DSGVO).
  • Die zwecke und rechtsgrundlagen jeder verarbeitung.
  • Die rechte der personen (zugang, berichtigung, löschung, portabilität, widerspruch).
  • Eventuelle datenempfänger (auftragsverarbeiter, behörden).

Diese informationen müssen in der datenschutzrichtlinie des dienstes, in den AGB und gegebenenfalls in der DPA enthalten sein, die mit beruflichen kunden geschlossen wird.

Qualifizierter zeitstempel und audit-trail

Um den beweiskraft von signaturen langfristig zu garantieren, verbinden seriöse PSCo systematisch einen qualifizierten elektronischen zeitstempel (artikel 42 eIDAS) mit jedem unterzeichneten akt. Dieser zeitstempel stellt einen rechtlich vermuteten beweis für die existenz der daten zu dem angegebenen datum dar. Die erhaltung des audit-trails (identifizierungs-logs, dokumenten-fingerprint, signaturdaten) ist eine faktische verpflichtung, um jede spätere gerichtliche verifikation zu ermöglichen.

> Vergleichen Sie marktlösungen nach diesen kriterien in unserem vergleich elektronischer signaturen.

---

eIDAS 2.0: Neue Verpflichtungen bis 2026-2027

Die Verordnung eIDAS 2.0 (EU) 2024/1183

Veröffentlicht im Amtsblatt der EU am 30. april 2024, verstärkt die verordnung (EU) 2024/1183 „eIDAS 2.0" erheblich die verpflichtungen der PSCo rund um drei achsen:

  • Die Europäische digitale Identitätsbörse (EUDI Wallet): Die Mitgliedstaaten müssen bis zum 2. November 2026 eine zertifizierte digitale identitätsbörse bereitstellen. PSCo müssen ihren dienst mit dieser börse integrieren, um qualifizierte signaturen über die eIDAS 2.0-identität anzubieten.
  • Die verwaltung von attributbestätigungen: eIDAS 2.0 führt qualifizierte attributbestätigungen (QEAAs) ein, ausgestellt von qualifizierten attributbestätigungs-anbietern. Neue audit- und qualifizierungsverfahren werden angewendet.
  • Die verstärkung der supervision: die nationalen aufsichtsbehörden (ANSSI für frankreich) erhalten erweiterte befugnisse, insbesondere die fähigkeit, unangemeldete audits durchzuführen und verbindliche korrektivmaßnahmen in verkürzten fristen zu verhängen.

Praktische Auswirkungen für aktuelle Anbieter

PSCo, die bereits unter eIDAS 1.0 qualifiziert sind, müssen eine schrittweise konformitätsumsetzung vor den von der europäischen kommission festgelegten stichtagen durchführen (veröffentlicht oder in bearbeitung). Die hauptanpassungen betreffen:

  • Die umgestaltung der identifizierungsinfrastruktur zur unterstützung der eUDI Wallet als authentifizierungsmittel.
  • Die aktualisierung von PC/DPC, um neue zertifikats- und attestierungstypen zu integrieren.
  • Die verstärkung der sicherheitsanforderungen von fernen QSCDs, mit neuen kommenden schutzprofilen.

Für kundenunternehmen bedeutet dies, heute zu überprüfen, dass ihr anbieter eine dokumentierte und verifizierbare eIDAS 2.0-konformitäts-roadmap hat.

Anwendbarer Rechtsrahmen für Verpflichtungen der Anbieter elektronischer Signaturen

Der normative beziehungskomplex für anbieter elektronischer signaturen, die in frankreich tätig sind, wird auf mehreren komplementären hierarchieebenen artikuliert.

Französisches Zivilgesetzbuch — Artikel 1366 und 1367

Artikel 1366 des Zivilgesetzbuchs erkennt elektronische schriften als beweismittel an, das der papierform gleichwertig ist, unter der bedingung, dass „die person, von der sie stammt, eindeutig identifiziert werden kann und sie unter bedingungen erstellt und aufbewahrt wird, die die integrität garantieren". Artikel 1367 präzisiert, dass die elektronische signatur „in der verwendung eines zuverlässigen identifizierungsverfahrens besteht, das ihre verbindung mit dem akt, auf den sie sich bezieht, garantiert". Die vermutung der zuverlässigkeit kommt qualifizierten signaturen gemäß eidas zugute, was die beweislast zugunsten des unterzeichners umkehrt.

Verordnung eIDAS Nr. 910/2014/EU

Diese verordnung, unmittelbar in allen mitgliedstaaten anwendbar, stellt den rechtlichen rahmen für vertrauensdienste auf. Artikel 26 definiert die bedingungen für fortgeschrittene elektronische signaturen; artikel 28 die anforderungen an qualifizierte zertifikate; anlage I erläutert den obligatorischen inhalt dieser zertifikate. Qualifizierte PSCo genießen eine vermutung der konformität mit den technischen und rechtlichen anforderungen der verordnung (artikel 19§2), was einen großen vorteil im fall von streitigkeiten darstellt.

Verordnung eIDAS 2.0 — (EU) 2024/1183

Diese am 30. april 2024 veröffentlichte änderungsverordnung führt neue kategorien von vertrauensdiensten ein (qualifizierte attributbestätigungen, qualifizierte archivierungsdienste) und verstärkt die aufsichtsverpflichtungen. Sie hebt und ersetzt teilweise die verordnung 910/2014, mit progressiver anwendbarkeit gemäß den durchführungsakten der europäischen kommission.

DSGVO — Verordnung (EU) 2016/679

Die DSGVO gilt für jeden personenbezogenen datenverarbeitungsprozess im rahmen eines elektronischen signatursdienstes. Die artikel 5 (grundsätze der rechtmäßigkeit), 6 (rechtsgrundlage), 9 (sensible daten), 13-14 (information), 28 (unterauftragsverarbeitung), 32 (sicherheit), 33-34 (meldung von verletzungen), 35 (AIPD) und 37 (DSB) stellen die am häufigsten anwendbaren bestimmungen dar. Die CNIL ist die zuständige kontrollbehörde in frankreich und kann bußgelder bis zu 20 millionen euro oder 4% des weltweiten jahresumsatzes verhängen (artikel 83§5 DSGVO).

Richtlinie NIS2 — (EU) 2022/2555

Durch das gesetz n° 2023-703 vom 1. august 2023 in französisches recht umgesetzt, klassifiziert NIS2 signifikante PSCo unter wichtige oder wesentliche einrichtungen mit verpflichtungen zur cyberrisiken-verwaltung und vorfallmeldung an die ANSSI innerhalb von 24 stunden (frühmeldung) und dann 72 stunden (vollständige mitteilung).

ETSI-Normen

Die gesamtheit der normen EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 und TS 119 431 stellt die obligatorische technische referenz für die qualifizierungsprüfung dar. ihre nichteinhaltung führt zur unmöglichkeit, den qualifizierten status zu erlangen oder zu behalten.

Rechtliche risiken bei nichteinhaltung

Ein nicht-konformer anbieter setzt sich dem folgenden aus: streichung aus der französischen TSL, engagierung seiner vertrags- und außervertragshaftung, CNIL-verwaltungssanktionen, NIS2-bußgelder, die 10 millionen euro oder 2% des weltweiten umsatzes für wichtige einrichtungen und 20 millionen oder 4% des umsatzes für wesentliche einrichtungen erreichen können, sowie gerichtlichen gegenmaßnahmen von kunden, die durch nicht rechtskräftig gültige signaturen geschädigt wurden.

Anwendungsszenarien: Wie Unternehmen die Konformität ihres PSCo überprüfen

Szenario 1 — Ein Industriekonzern verwaltet 3.000 lieferantenverträge pro jahr

Ein mittelständischer industriebetrieb (ETI), tätig in der herstellung mechanischer ausrüstungen, dématérialiert sämtliche lieferantenverträge über eine SaaS-plattform für elektronische signaturen. Bei einer internen audit, das nach einer regulatorischen änderung ausgelöst wird, stellt die rechtsabteilung fest, dass der ausgewählte anbieter — ursprünglich auf basis des preisarguments gewählt — weder auf der französischen TSL noch auf einer anderen europäischen TSL aufgelistet ist. Die ausgestellten signaturen sind vom typ „einfach" ohne robustes identifikationsmechanismus des unterzeichners.

Angesichts des rechtlichen risikos — die rechtskafte aller signierten verträge könnte im falle eines rechtsstreits angefochten werden — startet das unternehmen eine migration zu einem von ANSSI qualifizierten PSCo. Die neue lösung integriert eine fortgeschrittene signatur mit qualifiziertem zertifikat, einen qualifizierten zeitstempel und einen exportierbaren audit-trail. Das migrationsprojekt, das in weniger als 8 wochen durchgeführt wird, ermöglicht es, neue akte rückwirkend zu sichern und eine konformen dokumentenpolitik zu etablieren. Die rechtsabteilungen schätzen, dass das kontentionsrisiko bezüglich der authentizität alter unterzeichnungen marginal bleibt, da sie ohne einspruch durchgeführt wurden, aber jede neue signatur ist jetzt abgedeckt.

Beobachtete gewinne: reduzierung potentieller contentionen um 60%, verbunden mit einsparungen von 3,5 tagen durchschnitt signaturzeitraum bei komplexen verträgen durch automatisierung des validierungs-workflows.

Szenario 2 — Eine anwaltskanzlei mit 25 mitarbeitern spezialisiert auf unternehmensrecht

Eine anwaltskanzlei, die die unterzeichnung von mandaten, konsultationen und verfahrensakten digitalisieren möchte, evaluiert mehrere anbieter. ihre analysegitter integriert die folgenden kriterien: anwesenheit in der TSL, veröffentlichung eines zugänglichen PC/DPC, vorhandensein einer DSGVO-konformen DPA, verfügbarkeit eines erreichbaren DSB und zertifizierung der fernen QSCDs.

Von fünf evaluierten anbietern erfüllen nur zwei alle kriterien. Die kanzlei wählt letztendlich einen PSCo, der nativ eine qualifizierte signatur via QSCD fern anbietet, was die vermutung der zuverlässigkeit des artikels 1367 des französischen zivilgesetzbuches garantiert. Die einführung dauert 3 wochen, schulung inklusive. Ergebnis: 75% der mandate werden jetzt in weniger als 24 stunden unterzeichnet gegenüber bisher 5-7 tage (postversand), und die kanzlei kann ihren kunden das sicherheitsniveau der lösung nachweisen — ein unterscheidendendes verkaufsargument in seinen kommerziellen angeboten.

Szenario 3 — Ein krankenhausverbund mit etwa 1.200 betten

Ein öffentlicher krankenhausverbund möchte arbeitsverträge, praktikumskonventionen und vereinbarungen mit partnerkliniken dématérialieren. Die sensibilität der verarbeiteten daten (gesundheitsdaten der pflegepersonale, HR-daten) erfordert erhöhte aufmerksamkeit auf die DSGVO-verpflichtungen des PSCo.

Die DSI und der DSB der einrichtung fordern: datenspeicherung in frankreich bei einem für HDS zertifizierten datenspeicheranbieter (Hébergeur de Données de Santé, zertifizierung vorgesehen durch artikel L.1111-8 des französischen gesetzes über öffentliche gesundheit), kein transfer außerhalb des EWR, dokumentierte AIPD für die identifizierungsverarbeitung von unterzeichnern, und DPA unterzeichnet vor der inbetriebnahme.

Nach auswahl eines diese kriterien erfüllenden PSCo umfasst der einsatz vorrangig HR-verträge (etwa 800 akte pro jahr). Die durchschnittliche unterzeichnungsdauer der befristeten verträge sinkt von 9 tagen auf weniger als 48 stunden, was HR-teams bedeutende kapazität freisetzt. Die einrichtung verfügt darüber hinaus über vollständige rückverfolgbarkeit aller erhobenen zustimmungen, jährlich von ihrem DSB auditiert.

Fazit

Die auf vertrauensdiensteanbieter elektronischer signaturen in frankreich lastende rechtliche pflichten bilden ein anspruchsvolles normatives corpus: eIDAS-qualifizierung, DSGVO-konformität, einhaltung von ETSI-normen, NIS2-verpflichtungen und unmittelbare anpassung an eIDAS 2.0. Für nutzende unternehmen ist es nicht wahlweise — es ist eine bedingung sine qua non für die beweiskraft unterzeichneter akte und den schutz personenbezogener daten der unterzeichner, die konformität seines PSCo sicherzustellen.

Certyneo ist ein elektronisches signaturen-angebot, das konzipiert ist, alle diese anforderungen zu erfüllen: eIDAS-konformität, DSGVO by design, souveräner speicherort und dokumentierte eIDAS 2.0-roadmap. Sind sie bereit, ihre signaturen in vollständiger konformität zu sichern? Fordern Sie eine demonstration an oder erstellen Sie ihr konto bei Certyneo und genießen Sie persönliche unterstützung vom ersten tag an.

Testen Sie Certyneo kostenlos

Versenden Sie Ihren ersten Signatur-Umschlag in weniger als 5 Minuten. 5 kostenlose Umschläge pro Monat, ohne Kreditkarte.

Tiefer in das Thema eintauchen

Unsere umfassenden Leitfäden zum Beherrschen der elektronischen Signatur.