Zum Hauptinhalt springen
Certyneo

Elektronische Signatur Cloud oder On-Premise: Welche Wahl im Jahr 2026?

Cloud SaaS oder On-Premise-Bereitstellung: Die Wahl des Hosting-Modells Ihrer elektronischen Signaturdatenlösung bestimmt Sicherheit, Kosten und eIDAS-Compliance. Entdecken Sie unsere Expertenanalyse.

Équipe éditoriale Certyneo11 Min. Lesezeit

Équipe éditoriale Certyneo

Redakteur — Certyneo · Über Certyneo

a computer generated image of a computer

Einleitung

Die Wahl zwischen einer Cloud-basierten elektronischen Signatur und einem On-Premise-Hosting ist 2026 eine der wichtigsten strategischen Entscheidungen für einen CIO oder eine Rechtsabteilung. Während SaaS kleine und mittlere Unternehmen durch seine einfache Implementierung verführt hat, stellen sich große Unternehmen und Organisationen mit branchenspezifischen Regulierungszwängen immer noch die Frage nach der Relevanz eines internalisierten Hostings. Dieser umfassende Vergleich analysiert beide Modelle entlang von fünf Schlüsselachsen: Datensouveränität, technische Sicherheit, eIDAS-Compliance, Gesamtkosteneigentum und Geschäftsagilität. Am Ende dieses Artikels haben Sie einen operativen Entscheidungsrahmen, um die für Ihre Situation geeignete Architektur auszuwählen.

Die beiden Hosting-Modelle verstehen

Elektronische Signatur in der Cloud (SaaS)

In einem Cloud-Modell betreibt der Softwareanbieter die gesamte Infrastruktur: Server, Updates, Verfügbarkeit, Datensicherung und Datensicherheit. Das kundengebundene Unternehmen greift über eine API oder eine Weboberfläche auf die Lösung zu, ohne lokale Installationen. Die europäischen Marktakteure – einschließlich Certyneo – verlassen sich in der Regel auf ISO-27001-zertifizierte Datenzentren in der Europäischen Union (Frankreich, Deutschland, Niederlande) und garantieren DSGVO-Konformität ohne zusätzliche Anstrengungen auf der Kundenseite.

Die Vorteile sind wohlbekannt: Bereitstellung in wenigen Stunden, unmittelbare Skalierbarkeit, automatische Updates mit regulatorischen Weiterentwicklungen (eIDAS 2.0, DSP3, NIS2) und nutzungsbasiertes Wirtschaftsmodell (OPEX). Laut dem Markess-by-Exaegis-Bericht 2025 bevorzugen 78 % der französischen Unternehmen mit weniger als 500 Mitarbeitern nun SaaS für ihre Digitalisierungswerkzeuge.

On-Premise-Bereitstellung

On-Premise besteht darin, die elektronische Signaturbasis direkt auf den Unternehmensservern oder in einem privaten Datenzentrum zu installieren, das das Unternehmen kontrolliert. Dieses Modell bietet vollständige Kontrolle über Daten, Abläufe und Sicherheitsrichtlinien. Es wird historisch von Banken, Versicherungen, Krankenhäusern oder öffentlichen Verwaltungen angenommen, die sensible Daten verarbeiten, die speziellen Referenzrahmen unterliegen (HDS, SecNumCloud, PGSSI-S).

Der Nachteil ist eine erhebliche operative Belastung: Das IT-Team muss Updates, qualifizierte Signaturzertifikate, HSM (Hardware Security Modules), Hochverfügbarkeit und regulatorische Überwachung verwalten. Die Anschaffungskosten (CAPEX) sind hoch, mit Lizenzen, die für eine Unternehmensinstallation 80.000 € übersteigen können, zuzüglich jährlicher Infrastrukturkosten.

Datensouveränität und behördliche Compliance

DSGVO und Datenlokalisierung

Die eIDAS-Verordnung und ihre Auswirkungen auf Ihre qualifizierten Signaturen erfordern, dass Anbieter von Vertrauensdiensten (PSCo) überprüft und in die Trusted Lists der einzelnen Länder aufgenommen werden. Egal ob Sie Cloud oder On-Premise wählen, Ihre Lösung muss zwingend auf einen qualifizierten PSCo gestützt werden. Die echte DSGVO-Frage betrifft Transfers außerhalb der EU: Eine Cloud, die bei einem amerikanischen Hyperscaler (AWS, Azure, GCP) ohne gültige Standarddatenschutzklauseln (SCC) gehostet wird, setzt das Unternehmen Strafen bis zu 4 % des weltweiten Umsatzes aus.

Europäische Cloud-Lösungen wie Certyneo erfüllen diese Anforderung nativ, mit Servern, die ausschließlich in Frankreich lokalisiert sind, und einer DPA (Data Processing Agreement) gemäß Artikel 28 der DSGVO von Anfang an bereitgestellt.

SecNumCloud und regulierte Sektoren

Für Betreiber kritischer Infrastrukturen (OIV) und Organisationen, die der Cloud-Doktrin des DINUM unterliegen, wird die SecNumCloud-Qualifizierung der ANSSI schrittweise zur Verpflichtung. 2026 haben nur wenige französische Cloud-Akteure diese Qualifizierung erhalten (OVHcloud, Outscale). Betroffene Organisationen müssen daher entweder eine SecNumCloud-qualifizierte Cloud wählen oder ein On-Premise pflegen, das dem ANSSI-Referenzrahmen RGS v2 entspricht.

Beachten Sie, dass NIS2, durch das französische Gesetz vom 26. Januar 2025 umgesetzt, die Cybersicherheitsverpflichtungen auf über 15.000 wesentliche und wichtige Einrichtungen ausweitet und neuen regulatorischen Druck auf die Architekturwahl schafft.

Gesamtkosteneigentum: Vergleichende Analyse

Die TCO-Analyse (Total Cost of Ownership) über 5 Jahre zeigt systematisch einen Cloud-Vorteil für Volumina unter 50.000 Signaturen pro Jahr. Darüber hinaus kann On-Premise wettbewerbsfähig werden, wenn die Infrastruktur bereits vorhanden ist. Der Certyneo-ROI-Rechner ermöglicht es Ihnen, diesen Umkehrpunkt genau nach Ihrem Volumen und Sektor zu schätzen.

Eine typische On-Premise-Bereitstellung für ein Unternehmen mit 1.000 Mitarbeitern kostet:

  • Anfangslizenz: 60.000 bis 120.000 €
  • HSM-Infrastruktur und dedizierte Server: 30.000 bis 50.000 €
  • Jährliche Wartung (20 % der Lizenz): 12.000 bis 24.000 €/Jahr
  • Interne IT-Ressourcen: 0,5 bis 1 dedizierter FTE

Dagegen kostet ein Cloud SaaS mit gleicher Kapazität normalerweise 18.000 bis 40.000 €/Jahr alles inbegriffen, mit null CAPEX.

Technische Sicherheit: Vorteile und Grenzen jedes Modells

Sicherheit in der Cloud-Umgebung

Entgegen einem hartnäckigen Vorurteil bietet die Cloud eines spezialisierten Anbieters oft ein höheres Sicherheitsniveau als eine typische On-Premise-Infrastruktur eines Unternehmens. Die Gründe sind strukturell: Anbieter investieren massiv in dedizierte Teams (24/7-SOC, vierteljährliche Penetrationstests, ISO-27001- und SOC-2-Type-II-Zertifizierungen), was außerhalb der Reichweite der meisten internen DSI liegt.

Best Practices umfassen AES-256-Verschlüsselung im Ruhezustand und TLS 1.3 bei der Übertragung, obligatorische Multi-Faktor-Authentifizierung, unveränderliche Protokollierung von Signaturereignissen und georedundante Sicherungen. Der Rechtswert der elektronischen Signatur beruht genau auf dieser unumstößlichen Nachvollziehbarkeit.

Spezifische On-Premise-Risiken

On-Premise birgt oft unterschätzte spezifische Risiken:

  • Versionsdrift: Ohne ein dediziertes Team werden kryptographische Updates (Zertifikatwiderruf, Migration auf SHA-3) verzögert, was das Unternehmen Signaturen aussetzt, die technisch ungültig sind.
  • HSM-Verwaltung: Ein falsch konfiguriertes oder nicht aktualisiertes Hardware Security Module hebt die Garantien der Nichtverweigerbarkeit auf.
  • Business-Continuity-Plan: Die Verfügbarkeit (SLA) eines internen On-Premise überschreitet selten 99,5 %, während ein strukturiertes Cloud-SaaS 99,95 % bietet.

Für Organisationen, die Souveränität mit operativer Delegation verbinden möchten, stellt das private Cloud-Modell (dedizierte Private Cloud in einem zertifizierten HDS- oder SecNumCloud-Datenzentrum) einen relevanten Mittelweg dar.

Integration, Agilität und Skalierbarkeit

API und Interoperabilität

Beide Modelle stellen jetzt dokumentierte REST-APIs zur Verfügung. Dennoch ist die Aktualisierungsgeschwindigkeit strukturell unterschiedlich: Ein Cloud-Anbieter stellt neue Funktionen (biometrische Signatur, KI zur Dokumentbetrugserkennng, Unterstützung für eIDAS-2.0-Wallet) in wenigen Wochen bereit, während On-Premise einen internen Qualifizierungszyklus von 3 bis 6 Monaten pro Major Version impliziert.

Um die elektronische Signatur in ein ERP (SAP, Oracle), eine Personalverwaltung oder ein Dokumentenmanagementsystem (OpenText, Alfresco) zu integrieren, bietet die Cloud vorgefertigte und vom Anbieter verwaltete Konnektoren. Der umfassende Vergleich von Elektronische-Signatur-Lösungen detailliert die Integrationsfähigkeiten der wichtigsten Marktakteure.

Skalierbarkeit und Volumetrie

In der Cloud ist die Skalierbarkeit nahezu augenblicklich: Eine Kampagne mit 10.000 gleichzeitigen Signaturen (Aktionärsversammlung, massive HR-Bereitstellung) wird ohne vorherige Konfiguration bewältigt. On-Premise erfordert eine Überkapazität der Infrastruktur, um Spitzen zu antizipieren, was zu Immobilisierungskosten führt.

Schnell wachsende Organisationen oder solche mit saisonalen Zyklen (Immobilien, Versicherungen) profitieren besonders von der Cloud-Elastizität. Die elektronische Signatur im Immobiliensektor beispielsweise erlebt Volumenschwankungen, die mit Marktzyklen verbunden sind und ein permanent überkapazitiertes On-Premise unpraktisch machen würden.

Entscheidungskriterien: Welches Modell für welches Profil?

Unternehmen und KMU ohne spezifische branchenspezifische Einschränkungen

Für ein KMU mit 10 bis 500 Mitarbeitern ohne besondere branchenspezifische Regulierungsverpflichtung ist Cloud-SaaS zweifellos die beste Wahl: schnelle Bereitstellung, kontrollierter Kostenaufwand, eIDAS- und DSGVO-Konformität garantiert durch den Anbieter. Die Integration in bestehende HR-Tools wird durch native Konnektoren vereinfacht – wie die Verwendung von elektronischer Signatur für HR-Teams zeigt, die Lohnzettel, Verträge und freiwillige Beendigungen ohne dedizierte Infrastruktur abdeckt.

Große Unternehmen und regulierte Sektoren

Unternehmen, die Gesundheitsdaten (obligatorisches HDS), kritische Finanzdaten oder klassifizierte Informationen behandeln, sollten On-Premise oder qualifizierte Private Cloud ernsthaft bewerten. Die Frage ist nicht technisch, sondern regulatorisch: Lässt das geltende Referenzrahmen eine Public Cloud zu oder nicht?

Eine Hybrid-Architektur – Cloud für gewöhnliche Signaturen, On-Premise für die sensibilsten qualifizierten Dokumente – wurde seit 2024 von mehreren großen französischen Gruppen angenommen. Dieses Modell erfordert strikte Orchestrierung und solide API-Verbindungen.

Öffentliche Organisationen und Verwaltungen

Seit der DINUM-Rundschreiben 2023-1 werden Staatsverwaltungen ermutigt, SecNumCloud-zertifizierte Cloud-Angebote zu bevorzugen. On-Premise bleibt für sensible Informationssysteme (SIS) zulässig, muss aber RGS v2 und PGSSI-S für Gesundheitsdaten beachten. Die elektronische Signatur für Anwaltskanzleien veranschaulicht, wie Einrichtungen mit starken Nachverfolgungsanforderungen ein Gleichgewicht zwischen diesen beiden Modellen finden.

Rechtlicher Rahmen für das Hosting Ihrer elektronischen Signaturdatenlösung

Die Wahl zwischen Cloud und On-Premise ist rechtlich nicht neutral. Mehrere normative Regelungen regeln direkt die technische Architektur Ihrer Signaturdatenlösungen.

Zivilgesetzbuch, Artikel 1366 und 1367: Diese Bestimmungen definieren die elektronische Signatur als ein zuverlässiges Identifizierungsverfahren, das ihre Verbindung zur Urkunde, auf die sie sich bezieht, garantiert. Die Zuverlässigkeit des Verfahrens wird vermutlich angenommen, bis das Gegenteil bewiesen wird, wenn eine qualifizierte elektronische Signatur verwendet wird. Diese Vermutung gilt unabhängig vom Hosting-Modus, sofern der Anbieter von Vertrauensdiensten (PSCo) qualifiziert ist.

eIDAS-Verordnung Nr. 910/2014 und eIDAS 2.0 (Verordnung EU 2024/1183): Die eIDAS-Verordnung unterscheidet drei Signatur-Ebenen (einfach, fortgeschritten, qualifiziert). Die qualifizierte Signatur erfordert zwingend die Beteiligung eines PSCo, der in der Trusted List des Landes (ANSSI Trusted List für Frankreich) eingetragen ist. Ob Ihre Lösung Cloud oder On-Premise ist, sie muss sich mit einem qualifizierten PSCo verbinden, um qualifizierte Signaturen auszugeben. eIDAS 2.0, gültig seit Mai 2024, führt das europäische Digital-Identity-Wallet (EUDIW) ein und verschärft die Anforderungen an die Verwaltung qualifizierter Zertifikate.

DSGVO-Verordnung Nr. 2016/679: Artikel 28 verlangt den Abschluss einer DPA (Datenschutzvereinbarung) mit jedem Cloud-Anbieter, der Ihre Daten in Ihrem Namen verarbeitet. Artikel 44 verbietet Datenübertragungen außerhalb der EU ohne angemessene Garantien (Standard-Vertragsklauseln oder verbindliche Unternehmensregeln). In einem internen On-Premise fällt diese Verpflichtung weg, aber das Unternehmen wird zur Verarbeitungsverantwortung und muss seine technischen und organisatorischen Maßnahmen (TOM) gemäß Artikel 32 dokumentieren.

NIS2-Richtlinie (Richtlinie EU 2022/2555), umgesetzt in Frankreich durch das Gesetz vom 26. Januar 2025: Wesentliche und wichtige Einrichtungen (Energie-, Gesundheits-, Finanz-, Wasser-, Digital-, Verkehrs- und Verwaltungssektoren) müssen angemessene Cybersicherheitsmaßnahmen einschließlich Risikomanagement bezüglich der digitalen Lieferkette umsetzen. Ein Cloud-Anbieter für elektronische Signaturen stellt einen kritischen Drittanbieter gemäß NIS2 dar: obligatorische Due Diligence, spezifische Vertragsklauseln und Audit-Recht.

ETSI-Normen EN 319 132 und EN 319 122: Diese Normen definieren Format der erweiterten elektronischen Signatur (XAdES, PAdES, CAdES), die in europäischen öffentlichen Ausschreibungen und B2B-Austausch akzeptiert werden. Die Einhaltung dieser Formate muss unabhängig von der gewählten Architektur überprüft werden.

Allgemeines Sicherheitsreferenzrahmen (RGS v2) und HDS: Für Verwaltungen und Gesundheitsdatenanbieter gelten der RGS v2 der ANSSI bzw. die HDS-Zertifizierung (Anbieter von Gesundheitsdaten, Verordnung vom 11. Juni 2018) respectively. Eine nicht HDS-zertifizierte Cloud ist rechtlich disqualifiziert, um Gesundheitsdaten personenbezogener Natur zu hosten, auch vorübergehend bei der Unterzeichnung einer Patienteneinwilligung.

Rechtliche Risiken zur Vorbeugung: Eine von einem nicht konformen System ausgegebene Signatur kann vor Gericht angefochten werden, insbesondere wenn die Integrität des Dokuments oder die Identität des Unterzeichners nicht unumstößlich nachgewiesen werden kann. Die Beweislast liegt bei demjenigen, der sich auf die Signatur beruft. Eine Compliance-Audit vor der Bereitstellung, Cloud oder On-Premise, wird dringend empfohlen.

Anwendungsszenarien: Cloud oder On-Premise je nach Geschäftskontext

Szenario 1 – Ein industrielles Mittelerunternehmen, das 15.000 Verträge pro Jahr verwaltet

Ein mittelständisches Industrieunternehmen (etwa 1.200 Mitarbeiter, 3 Produktionsstandorte in Frankreich) muss alle seine Verträge mit Lieferanten, Kunden und Subunternehmern digitalisieren. Im Durchschnitt werden 15.000 Signaturen pro Jahr bearbeitet, mit Spitzenwerten im Januar (Erneuerung von Rahmenverträgen) und September (Beschaffungskampagnen). Seine Industriedaten sind sensibel, aber nicht klassifiziert.

Nach einer TCO-Analyse über 5 Jahre kommt die Finanzleitung zu dem Ergebnis, dass ein europäischer, ISO-27001-zertifizierter Cloud-SaaS 40 % kostengünstiger ist als eine entsprechende On-Premise-Bereitstellung (Skalierungseffekt des Anbieters vs. 0,7 dedizierter IT-FTE intern). Die IT wählt eine Cloud-Lösung, die in Frankreich gehostet ist, mit 99,95 % SLA und dokumentierter REST-API, direkt in das ERP integriert. Saisonale Spitzen werden ohne Zusatzkosten absorbiert. Festgestelltes Ergebnis nach 12 Monaten: 65 % Reduktion der durchschnittlichen Vertragsunterzeichnungsdauer (von 8,3 auf 2,9 Tage) und geschätzte jährliche Einsparung von 120.000 € bei Papier- und Nachverfolgungskosten.

Szenario 2 – Ein Krankenhausverbund mit 1.200 Betten, der der HDS-Zertifizierung unterliegt

Ein öffentlicher Krankenhausverbund möchte Patienteneinwilligungen, Verträge mit freiberuflichen Praktikern und öffentliche Ausschreibungen digitalisieren. Die verarbeiteten Daten umfassen Informationen zur Gesundheit personenbezogener Art, die der HDS-Zertifizierung (Anbieter von Gesundheitsdaten) und PGSSI-S unterliegen.

Das reine On-Premise wird aufgrund der HSM-Wartungskomplexität und mangelnder kryptographischer Kompetenzen intern abgelehnt. Der Verbund entscheidet sich für eine Private Cloud, die bei einem HDS-zertifizierten und SecNumCloud-qualifizierten Anbieter gehostet wird. Die Signaturdatenlösung wird in dieser dedizierten Cloud bereitgestellt, mit strikter Netzwerk-Isolierung und Audit-Logs, die zum internen SIEM exportiert werden. Die Kosten sind 25 % höher als eine Standard-Mehrmandanten-Cloud, aber 35 % niedriger als ein vollständiges On-Premise. Operativer Vorteil: Die 800 monatlichen Einwilligungen werden in weniger als 24 Stunden verarbeitet, anstatt 5 Tage im Papierformat, mit vollständiger Nachverfolgung gemäß HAS-Anforderungen.

Szenario 3 – Eine Anwaltskanzlei mit 25 Mitarbeitern, die Signaturen in ihren täglichen Arbeitsablauf integriert

Eine auf Handelsrecht spezialisierte Pariser Anwaltskanzlei behandelt täglich Abtretungsurkunden, Einigungsprotokolle und Vollmachten, die eine erweiterte oder qualifizierte elektronische Signatur erfordern. Die Vertraulichkeit von Kundendaten ist eine absolute Priorität, aber die Kanzlei verfügt über keine eigene IT-Infrastruktur.

On-Premise ist aufgrund von Ressourcenengpässen von vornherein ausgeschlossen. Die Kanzlei wählt einen europäischen Cloud-SaaS mit End-to-End-Verschlüsselung, Verschlüsselungsschlüsseln, die vom Kunden kontrolliert werden (BYOK – Bring Your Own Key), und vertraglicher Garantie, dass der Anbieter nicht auf die Daten zugreift. Diese "Zero-Knowledge"-Architektur erfüllt sowohl die Standesregeln der Anwaltskammer als auch DSGVO-Verpflichtungen. Die Integration mit der Falladministrationssoftware (über API) reduziert die Vorbereitungszeit für ein unterzeichnungsfähiges Dokument von 45 Minuten auf durchschnittlich 8 Minuten, ein Produktivitätsgewinn von 82 % für diese Aufgabe.

Schlussfolgerung

Cloud oder On-Premise: Es gibt keine universelle Antwort, sondern einen strukturierten Entscheidungsrahmen. Für die große Mehrheit der französischen Unternehmen – KMU, Mittelbetriebe ohne kritische Branchenzwänge – bietet europäischer Cloud-SaaS, der eIDAS- und DSGVO-konform ist, das beste Verhältnis zwischen Sicherheit, Compliance und Gesamtkosteneigentum. On-Premise oder qualifizierte Private Cloud bleibt für regulierte Sektoren (Gesundheit, Verteidigung, OIV) relevant, wo zwingende Referenzrahmen (HDS, SecNumCloud, RGS v2) vollständige Infrastrukturkontrolle erfordern.

2026 ist die echte Frage nicht mehr "Cloud oder On-Premise", sondern "Welche Kontrollebene für welche Daten, mit welchem qualifizierten PSCo?" Certyneo antwortet auf diese Anforderungen mit einer Cloud-Architektur, die ausschließlich in Frankreich gehostet, ISO-27001-zertifiziert, eIDAS-2.0- und DSGVO-konform ist. Entdecken Sie unsere Angebote und Tarife auf Certyneo oder kontaktieren Sie unser Team für ein kostenloses Audit Ihres Bedarfs für elektronische Signaturen.

Testen Sie Certyneo kostenlos

Versenden Sie Ihren ersten Signatur-Umschlag in weniger als 5 Minuten. 5 kostenlose Umschläge pro Monat, ohne Kreditkarte.

Tiefer in das Thema eintauchen

Unsere umfassenden Leitfäden zum Beherrschen der elektronischen Signatur.

Certyneo-Gemeinschaft

Eine Frage zur elektronischen Signatur?

Treten Sie der Certyneo-Gemeinschaft bei: Stellen Sie Fragen, teilen Sie Antworten und tauschen Sie sich mit Tausenden von Benutzern und unserem Team aus.