Vertrauensdiensteanbieter: Alles, was Sie wissen müssen

Trust Service Provider (TSP) & elektronische Signaturen

Wer garantiert eigentlich, dass eine elektronische Signatur echt ist? Wer ist zuständig für elektronische Siegel und Zeitstempel? Genau dafür gibt es sogenannte Trust Service Provider (deutsch: Vertrauensdiensteanbieter – kurz VDA). Sie sorgen dafür, dass digitale Prozesse rechts-, vertrauens- und fälschungssicher ablaufen.

Wofür braucht man einen VDA und welcher ist für elektronische Signaturen der richtige?

Das Wichtigste zusammengefasst

Ein Vertrauensdienst ist ein elektronischer Dienst, der für die Erstellung, Überprüfung und Validierung von elektronischen Signaturen, Siegeln, Zeitstempeln, Zertifikaten und für die Zustellung elektronischer Einschreiben zuständig ist.
Ein Vertrauensdiensteanbieter (VDA) stellt einen oder mehrere Vertrauensdienste bereit.
Ein Qualifizierter Vertrauensdiensteanbieter erhält den Status vom Bundesamt für Sicherheit in der Informationstechnik (BSI) oder von der Bundesnetzagentur. Er ist besonders vertrauenswürdig und stellt qualifizierte Vertrauensdienste bereit. Dies ist bspw. für die qualifizierte elektronische Signatur erforderlich.

Was ist ein Vertrauensdienst?

Ein Vertrauensdienst ist ein elektronischer Dienst, der für die Erstellung, Überprüfung und Validierung von elektronischen Signaturen, Siegeln, Zeitstempeln, Zertifikaten und für die Zustellung elektronischer Einschreiben zuständig ist.

Die Begriffe „Vertrauensdienst“ und „Vertrauensdiensteanbieter“ werden seit 2016 in der eIDAS-Verordnung definiert. Dies ist die Rechtsgrundlage für die EU und den europäischen Wirtschaftsraum.

Folgend ein paar Beispiele für Vertrauensdienste:

Elektronisches Unterschreiben von Dokumenten
Elektronische Siegel und Zeitstempel
Sichere Identifizierung und Authentifizierung für Websites
Elektronische Einschreiben

Vertrauensdiensteanbieter können natürliche oder juristische Personen sein, die Vertrauensdienste bereitstellen. Sie sorgen dafür, dass unsichere analoge Prozesse durch sichere und vertrauenswürdige Prozesse ersetzt werden.

Hinweis: Ein Vertrauensdiensteanbieter (VDA) wird im Englischen auch als Trust Service Provider (TSP) bezeichnet. Beide Begriffe haben die gleiche Bedeutung.

Was ist ein qualifizierter Vertrauensdienst?

Ein qualifizierter Vertrauensdienst ist ein besonderer Vertrauensdienst, der zusätzliche Anforderungen in der eIDAS-Verordnung erfüllt. Dieser liegt dann vor, wenn die zuvor beschriebenen elektronischen Daten in besonders vertrauenswürdiger („qualifizierter“) Form erstellt, überprüft oder validiert wurden.

Ein qualifizierter Vertrauensdiensteanbieter ist ein Vertrauensdiensteanbieter, der einen oder mehrere qualifizierte Vertrauensdienste erbringt und dem von der Bundesnetzagentur (BNetzA) oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI) der Status eines qualifizierten Anbieters verliehen wurde. Solche Anbieter sind besonders vertrauenswürdig und unterliegen einer Beaufsichtigung, müssen genehmigt werden und haben eine Reihe von Bedingungen im Hinblick auf Datensicherheit und Möglichkeit der Validierung von Daten zu erfüllen (Abschn. 3 Verordnung (EU) Nr. 910/2014).

Vertrauensdiensteanbieter und qualifizierte Vertrauensdiensteanbieter sind zuständig für die Erstellung, Überprüfung und Validierung von:

Vertrauensdiensteanbieter	Qualifizierter Vertrauensdiensteanbieter
(Einfache) elektronische Signaturen (EES) Fortgeschrittene elektronische Signatur (FES)	Qualifizierte elektronische Signatur (QES)
Elektronische Zeitstempel	Qualifizierte elektronische Zeitstempel
Elektronische Siegel Fortgeschrittene elektronische Siegel	Qualifizierte elektronische Siegel
Elektronische Zertifikate	Qualifizierte elektronische Zertifikate
Elektronisches Einschreiben	Qualifiziertes elektronisches Einschreiben

Alle Anbieter von qualifizierten Vertrauensdiensten finden sich auf der Website der Bundesnetzagentur.

Wofür wird ein qualifizierter Vertrauensdiensteanbieter benötigt?

In der eIDAS-Verordnung (rechtliche Grundlage für EU und EWR) sind verschiedene Signaturarten definiert, darunter die qualifizierte elektronische Signatur. Die Ausstellung des entsprechenden qualifizierten elektronischen Zertifikats erfolgt nach erfolgreicher Identifikation durch einen qualifizierten Vertrauensdiensteanbieter.

Bekannte qualifizierte Vertrauensdiensteanbieter im DACH-Raum

Qualifizierte VDA	Rechtsgrundlage	Identifikation
A-Trust	eIDAS (EU)	eID für Deutschland Video-Ident Auto-Ident
D-Trust	eIDAS (EU)	eID für Deutschland Video-Ident Vor-Ort-Ident
Swisscom	eIDAS (EU) ZertES (Schweiz)	Nach ZertES: Video-Ident Auto-Ident Nach eIDAS: eID (Deutschland) Auto-Ident Vor-Ort-Ident

Der Identifikationsprozess – welche Ident-Verfahren gibt es und wie unterscheiden sie sich?

Die gängigsten Ident-Verfahren sind eID (electronic identity), Video-Ident, Auto-Ident (Selfie-Ident), Giro-Ident und Vor-Ort-Ident (POS). Wie sie sich unterscheiden und was Sie dafür benötigen, erfahren Sie hier:

eID

Zur Identifizierung benötigen Sie einen gültigen deutschen Personalausweis mit aktivierter Online-Ausweisfunktion. Die eID-Identifizierung erfolgt über eine mobile App und erfordert ein Smartphone mit NFC-Funktion.

Video-Ident

Wenn Sie sich für das Video-Ident-Verfahren entscheiden, werden Sie mit einem Mitarbeiter eines Vertrauensdienstleisters oder eines Subunternehmens verbunden. Während des Identifizierungsvorgangs werden Sie aufgefordert, die Kamera einzuschalten und Ihr Ausweisdokument vorzuzeigen.

Auto-Ident (Selfie-Ident)

Die Identifizierung erfolgt ähnlich wie bei Video-Ident. Allerdings wird Ihr Ausweisdokument von KI und nicht von einem Mitarbeiter eines Vertrauensdienstleisters geprüft.

Giro-Ident

Für die Identifizierung werden Online-Banking-Zugangsdaten benötigt. Die angegebenen Daten werden mit den Informationen des Kontoinhabers abgeglichen.

Vor-Ort-Ident (POS)

Dieses Verfahren wird auch als Point of Sale (POS) bezeichnet. Hier erfolgt die Identifizierung persönlich vor Ort von speziell geschulten Personen. Zur Verifizierung benötigen Sie ein gültiges Ausweisdokument.

Mit welchen Trust Service Providern kooperiert inSign?

inSign – die rechtssichere elektronische Signaturlösung – unterstützt alle Signaturarten, unter anderem auch die qualifizierte elektronische Signatur. Hierfür kooperiert inSign mit verschiedenen Qualifizierten Trust Service Providern, darunter D-Trust, A-Trust, Swisscom, evrotrust, IDnow, LT ID und Verimi.

Hier ist ein Beispiel, wie eine qualifizierte elektronische Unterschrift (QES) mit D-Trust aussehen würde:

Um eine qualifizierte elektronische Signatur mit D-Trust leisten zu können, ist eine einmalige Identifizierung des Unterzeichners notwendig.
Die Identifizierung kann über eine Videositzung mit Ausweisdokument (etwa Personalausweis, Reisepass oder elektronischer Aufenthaltstitel) oder über die eID des deutschen Personalausweises erfolgen.
Die anschließende Signatur erfolgt nach Bestätigung einer TAN, die der Unterzeichner per SMS erhält.
Die qualifizierte elektronische Signatur wird im Dokument folgendermaßen abgebildet. Sie enthält neben dem Namen einen Zeitstempel mit Datum und Uhrzeit.

FAQ: Weitere häufige Fragen zum Thema Vertauensdiensteanbieter

Wann ist eine qualifizierte elektronische Signatur erforderlich?

Für einige Dokumente ist durch den Gesetzgeber die Schriftform vorgeschrieben. Diese Schriftstücke bedürfen einer qualifizierten elektronischen Signatur (QES). Das sind zum Beispiel befristete Arbeitsverträge oder auch Bürgschaften.

Muss ich mich bei einer qualifizierten elektronischen Signatur jedes Mal erneut beim TSP identifizieren?

Nein, die Identifizierung erfolgt einmalig und muss nur in bestimmten Fällen wiederholt werden:

Änderung von personenbezogenen Daten wie z. B. Nachname bei Heirat
Ablauf der Gültigkeitsdauer der Identifizierung (in der Regel 2 bis 3 Jahre)
Sicherheitsvorfälle oder Verdacht auf Missbrauch
Gesetzliche oder regulatorische Änderungen

Was benötige ich für die Identifizierung bei einem Trust Service Provider?

Das hängt von der Art und Weise ab, wie Sie sich identifizieren. In der Regel benötigen Sie für die Identifizierung einen amtlichen Lichtbildausweis wie Personalausweis oder Reisepass sowie Ihre Smartphone-Kamera.

Über den Autor

Christina Detling – Online Marketing Managerin

Christina ist seit über fünf Jahren bei inSign tätig und freut sich, wenn sie ihr Wissen rund um das Thema elektronische Unterschrift und Digitalisierung weitergeben kann.