Vertrauensdienste bereitstellen: Integration oder eigene Zertifizierung?

Können Vertrauensdienste nur mit einer eigenen Zertifizierung angeboten werden?

In der zunehmend digitalen Welt müssen Unternehmen ihre Prozesse modernisieren und gleichzeitig rechtliche sowie regulatorische Anforderungen einhalten. Elektronische Signaturen spielen dabei eine zentrale Rolle, da sie Dokumente sicher und rechtsverbindlich digitalisieren. Die Bereitstellung solcher Signaturen ist jedoch komplex und erfordert eine Zertifizierung als Trust Service Provider (TSP), um die Rechtsgültigkeit sicherzustellen. In der Schweiz basiert diese Zertifizierung auf dem Bundesgesetz über die elektronische Signatur (ZertES), das die Anforderungen an Anbieter von Vertrauensdiensten definiert – insbesondere für die Ausstellung qualifizierter elektronischer Signaturen (QES). Die Zertifizierung erfolgt durch den Swiss Accreditation Service (SAS) oder eine von ihm akkreditierte Stelle. Selbstverständlich gibt es auch entsprechende Vorschriften in Europa, welche in der eIDAs-Verordnung geregelt sind.

Viele Unternehmen, deren Fokus nicht auf Vertrauensdiensten liegt, stehen vor der Herausforderung, solche Dienste anzubieten, ohne ihr Kerngeschäft zu beeinträchtigen. So besteht das Hauptgeschäft einer Bank beispielsweise darin, Finanzdienstleistungen wie die Annahme von Einlagen, die Vergabe von Krediten oder die Abwicklung von Zahlungen anzubieten. Möchte eine Bank jedoch online Kredite bereitstellen und Verträge digital signieren lassen, müsste sie sich selbst als TSP zertifizieren lassen – ein aufwändiger und oft unattraktiver Prozess.

So funktionierts auch ohne Zertifizierung:

Unternehmen können Vertrauensdienste nutzen, indem sie über eine Schnittstelle (API) direkt an die Sicherheitsinfrastruktur eines zertifizierten Trust Service Providers (TSP) angebunden werden. Dadurch bleibt der gesamte Prozess für den Endkunden nahtlos: So kann beispielsweise ein Kreditvertrag direkt im System der Bank digital signiert werden, ohne dass der Kunde zu einer externen Plattform – etwa der des TSP – weitergeleitet werden muss.

Im Hintergrund übernimmt die API die Verarbeitung der Signatur über die zertifizierte Infrastruktur des TSP. Dies ermöglicht es Unternehmen, rechtsgültige elektronische Signaturen anzubieten, ohne selbst die aufwändige Zertifizierung als TSP durchlaufen zu müssen.

Gegenüberstellung: Integration von Vertrauensdiensten vs. Eigene Zertifizierung

Fazit: Integration von Vertrauensdiensten oder eigene Zertifizierung – Was lohnt sich mehr für mich?

Für Unternehmen, die schnell und effizient vertrauenswürdige Signaturdienste anbieten möchten, ist eine Integration die ideale Lösung. Sie profitieren von kurzen Umsetzungszeiten und der Übernahme der regulatorischen Verantwortung durch den Trust Service Provider. Dies ermöglicht es Unternehmen, rechtsgültige elektronische Signaturen nahtlos in ihre Systeme einzubinden, ohne sich mit komplexen Zertifizierungsprozessen oder dem Aufbau eigener Infrastrukturen belasten zu müssen.

Eine eigene Zertifizierung hingegen ist sinnvoll, wenn Vertrauensdienste zu einem strategischen Kerngeschäft gehören und langfristig ausreichende Ressourcen für den Betrieb, die Wartung und die Erfüllung regulatorischer Vorgaben bereitgestellt werden können. Dieser Ansatz erfordert jedoch erhebliche Investitionen in Zeit, Know-how und Infrastruktur.

Die Wahl zwischen diesen beiden Optionen sollte daher sorgfältig abgewogen werden, basierend auf den individuellen Zielen und Ressourcen des Unternehmens.