Skip to main content

ID Verification für QES Anhang für Docusign eSignature

Service-Anhang Änderungsdatum: 29. August 2022. Sofern in diesem Service-Anhang nicht anders definiert, haben die in Großbuchstaben geschriebenen Begriffe die in der Vereinbarung festgelegte Bedeutung.

 1. BEGRIFFSBESTIMMUNGEN

„Zertifikat(e)“ bezeichnet das von der CA über den Service für einen Unterzeichner generierte Zertifikat, das die eindeutige Verbindung zwischen der Identität des Unterzeichners und einem Public Key attestiert. Der Public Key ist eindeutig mit einem von Docusign verwalteten Private Key verknüpft. In diesem Fall bezeichnet der Begriff „Zertifikat“ das qualifizierte Zertifikat für elektronische Signaturen, wie in Art. 3-15 der eIDAS definiert, das von Docusign zugunsten eines Unterzeichners generiert wird.

„Certification Authority“ (oder „CA“) ist Docusign France, die Stelle, die Zertifikate generiert und den Lebenszyklus der Zertifikate (Ausstellung, Erneuerung, Widerruf) auf Anfrage der Registration Authority verwaltet, in Übereinstimmung mit den Regeln und Praktiken, die in ihrer/ihren Certificate Policy(s) festgelegt sind.

„Certificate Policy(s)“ (oder „CP“) bezeichnet das von der CA veröffentlichte Regelwerk. Eine Certificate Policy beschreibt die allgemeinen Merkmale der Zertifikate sowie die Pflichten und Verantwortlichkeiten der CA, der RA, der Unterzeichner, der Zertifikatsanforderer und aller anderen PKI-Komponenten, die an der Verwaltung des Lebenszyklus eines Zertifikats beteiligt sind. Die Certificate Policy(s) von Docusign und ihre nachfolgende(n) Aktualisierung(en) können auf der Website von Docusign (https://www.docusign.fr/societe/certification-policies) abgerufen werden und sind integraler Bestandteil dieses Service-Anhangs. Für die Zwecke dieses Service-Anhangs ist die anwendbare OID entsprechend 1.3.6.1.4.1.22234.2.14.3.31, abhängig vom Ausstellungszeitpunkt.

„Certificate Revocation List“ (oder „CRL“) bezeichnet die Liste der ungültigen Zertifikate, die vor ihrem Ablaufdatum widerrufen wurden. CRLs werden in regelmäßigen Abständen herausgegeben und von der CA, die die Zertifikate in der Liste ausgestellt hat, digital signiert. Die URL, unter der die CRL gefunden werden kann, ist im Zertifikat enthalten.

„Dokumentation“ umfasst die Certificate Policies für die Zwecke dieses Service-Anhangs.

„Docusign France“ (oder „DSF“) bezeichnet Docusign France SAS, eine hundertprozentige Tochtergesellschaft von Docusign, Inc.

„eIDAS“ bezeichnet die EU-Verordnung Nr. 910/2014.

„Private Key“ bezeichnet einen mit dem Public Key verbundenen mathematischen Schlüssel, der geheim ist, eindeutig in einer zertifizierten remote Qualifizierten Signatur-Erstellungsvorrichtung enthalten ist und vom Unterzeichner per Fernzugriff aktiviert wird, um eDokumente zu signieren. Im Rahmen des Service werden die Private Keys nur für den Zweck einer einzigen Transaktion erzeugt und nach Abschluss dieser Transaktion gelöscht.

„Qualifizierte Signatur“ (oder „QES“) bezeichnet eine qualifizierte elektronische Signatur, wie in Art. 3-12 eIDAS definiert.

„Registration Authority“ (oder „RA“) bezeichnet eine dritte Partei, die von Docusign France autorisiert ist, Anfragen auf Ausstellung, Erneuerung und Widerruf von Zertifikaten zu registrieren. Die RA sammelt elektronische Kopien des ID-Dokuments des Unterzeichners, verifiziert den Namen des Unterzeichners und speichert den Nachweis der Identität des Unterzeichners. Die RA interagiert mit Docusign eSignature und hat ihren Service integriert, um mit dem Unterzeichner zu interagieren.

„ID Check Remote für QES“ bezeichnet den Docusign ID Check Remote für QES Service, der Folgendes bereitstellt: (i) qualifizierte elektronische Signaturen im Sinne von eIDAS; (ii) eine RA-Schnittstelle, die es dem Unterzeichner ermöglicht, mit dem RA per Live-Video über das Internet zu interagieren; und (iii) Beweisspeicherdienste. Unterzeichner greifen über Docusign eSignature auf den Service zu.

ID Verification für QES“ bezeichnet den Docusign ID Verification für QES-Service, der Folgendes bereitstellt: (i) qualifizierte elektronische Signaturen im Sinne von eIDAS; (ii) eine RA-Schnittstelle, die es dem Unterzeichner ermöglicht, erforderliche ID-Verifikationsdokumente hochzuladen; und (iii) Beweisspeicherdienste. Unterzeichner greifen über Docusign eSignature auf den Service zu.

Service“ bezeichnet ID Check Remote für QES und/oder ID Verification.

„Unterzeichner“ bezeichnet jede Person, die eDokumente unter Verwendung des Service unterzeichnet.

„Unterzeichner-Identität“ bezeichnet die Gesamtheit der personenbezogenen Daten (einschließlich Name, E-Mail-Adresse, Mobiltelefonnummer und Kopie eines amtlichen Ausweises), die zur Identifizierung eines Unterzeichners genutzt werden.

„Transaktion(en)“ bezeichnet die Durchführung eines Signaturprozesses, definiert durch eine Reihe von eDokumenten, die zur elektronischen Signatur vorgelegt werden, durch einen oder mehrere Unterzeichner via Docusign eSignature.

„Trust Service Provider“ (oder „TSP“) bezeichnet eine Einrichtung, die von einer CAB für das Angebot von QES zugelassen wurde. Das DSF ist von der französischen Nationalen Agentur für Cybersicherheit (ANSSI) zur Bereitstellung der QES autorisiert.

2. EU QUALIFIZIERTE SIGNATUR

2.1 Allgemeines. Die Parteien erkennen an und erklären sich damit einverstanden, dass: (a) Docusign France ein TSP zum Zweck der Bereitstellung des Service ist; (b) wenn der Kunde mit Docusign eine Vereinbarung über die Bereitstellung des Service und der damit verbundenen Zertifizierungsdienste abschließt, Docusign berechtigt ist, als Vertreter für und im Namen von Docusign France zum Zweck des Vertragsabschlusses mit dem Kunden zu handeln, während Docusign France das Unternehmen ist, das die tatsächliche Lieferung von Qualifizierten Elektronischen Signaturen und Zertifikaten durchführt; und (c) die Nutzung des Service davon abhängig ist, dass der Kunde die Bedingungen dieses Service-Anhangs einhält.  

2.2 Recht zur Nutzung. Während der Laufzeit und vorbehaltlich der Bedingungen dieses Service-Anhangs hat der Kunde das eingeschränkte Recht, eDokumente an Unterzeichner zu senden, die mit dem Service über Docusign eSignature unterzeichnet werden. Das Recht zur Nutzung des Service ist auf die autorisierten Unterzeichner des Kunden beschränkt. Der Kunde und seine Vertreter sind nicht berechtigt, den Service weiterzuverkaufen oder anderweitig zur Verfügung zu stellen oder bei der Bereitstellung zu unterstützen: (a) zugunsten einer anderen Partei; (b) als Teil eines Service, den der Kunde Dritten anbietet; oder (c) als Unterlizenz oder einer Vereinbarung mit einem Serviceunternehmen.

2.3 Certificate Policies. Der Kunde erkennt an und stimmt zu, dass: (a) Docusign France ein TSP ist und dass der Service auf den anwendbaren Certificate Policies von Docusign France basiert; (b) die Certificate Policies wesentliche Verpflichtungen von Docusign France, einschließlich (sofern anwendbar) des Kunden, gegenüber Dritten darstellen, die sich auf den Service verlassen; und (c) die Certificate Policies dem Kunden vor dem Startdatum der Bestellung des Service zur Verfügung gestellt wurden oder werden und auf der Website von Docusign, https://www.docusign.fr/societe/certification-policies, abgerufen werden können.

3. VERANTWORTLICHKEITEN DER KUNDEN

3.1 Allgemeine Verantwortlichkeiten des Kunden. Der Kunde erkennt an, dass er von Docusign alle Informationen erhalten hat, die er benötigt, um zu beurteilen, ob der Service seinen Bedürfnissen entspricht und um alle notwendigen Vorkehrungen für die Implementierung und den Betrieb des Service zu treffen.

3.2 Schnittstelle der Registration Authority. Der Kunde erkennt an, dass die RA-Schnittstelle (einschließlich ihrer Videofunktionalität) bestimmten technischen Beschränkungen und/oder Anforderungen unterliegt, einschließlich, aber nicht beschränkt auf die verwendeten Sprachen, die Mindestanforderungen an das System und die Konnektivität zur Nutzung der RA-Services und die vom RA-System unterstützten Identifikationsdokumente. Der Kunde erkennt an, dass es sich bei der RA-Schnittstelle um Services Dritter handelt, wie sie in der Vereinbarung definiert sind und von dieser geregelt werden.

4. DOCUSIGN VERANTWORTLICHKEITEN

4.1 Trust Service Provider. Docusign hat wirtschaftlich angemessene Anstrengungen zu unternehmen, um: (a) sicherzustellen, dass ihre Rechenzentren und Informationstechnologie sowie diese ihrer Verbundenen Unternehmen sicher und vertrauenswürdig sind; (b) zu verifizieren, dass die RA die Anforderungen der ETSI 319 411-2 an den Identitätsnachweis innerhalb des RA-Service erfüllt; und (c) sicherzustellen, dass die mit dem Service erstellten elektronischen Signaturen, vorbehaltlich der Erfüllung der Pflichten des Kunden gemäß dieses Service-Anhangs, den in Art. 3-12 eIDAS festgelegten Definitionen von QES entsprechen.

4.2 Certification Services. Docusign France ist in ihrer Eigenschaft als Certification Authority für das ordnungsgemäße Funktionieren der Komponenten des Service und die Übereinstimmung ihres Zertifikatsverwaltungssystems und ihrer Verfahren mit den in der/den anwendbaren Certificate Policies festgelegten Bestimmungen verantwortlich. Docusign France verwaltet technisch den Lebenszyklus der Zertifikate während ihrer gesamten Gültigkeitsdauer in Übereinstimmung mit den in den anwendbaren Certificate Policies festgelegten Bedingungen.

5. WIDERRUF

5.1 Allgemeiner Widerruf. In ihrer Eigenschaft als CA ermöglicht Docusign France einem Unterzeichner, Ungenauigkeiten in der Unterzeichner-Identität durch eine Widerrufsanfrage zu melden. Wenn Docusign innerhalb der ersten neun (9) Tage nach Ausstellung eines Zertifikats eine authentifizierte Widerrufsanfrage von der RA erhält, hat Docusign das Zertifikat des Unterzeichners in die von der CA geführte und veröffentlichte Certificate Revocation List aufzunehmen.

5.2 Widerruf nach Ausführung. Ein Widerruf, der nach der Ausführung einer QES registriert wird, macht die QES nicht ungültig. Die RA hat Verfahren zu entwickeln und einzuhalten, um auf Widerrufsanfragen eines von ihr identifizierten Unterzeichners zu reagieren. Zu diesem Zweck hat die RA: (a) Verfahren zu definieren und zu implementieren, um Widerrufsanfragen von Unterzeichnern zu erhalten und solche Widerrufsanfragen zu authentifizieren; und (b) authentifizierte Widerrufsanfragen an Docusign France innerhalb von achtzehn (18) Stunden nach Erhalt solcher Widerrufsanfragen in Übereinstimmung mit den geltenden Certificate Policies zu übermitteln.

6. VEREINBARUNG ÜBER DEN NACHWEIS

6.1 Computerisierte Aufzeichnungen. Sofern keine gegenteiligen Vorschriften bestehen, werden computergestützte Aufzeichnungen, die in den Informationssystemen von Docusign und ihren Verbundenen Unternehmen unter Verwendung angemessener Sicherheitsmaßnahmen gespeichert sind, als Beweis für die Kommunikation und Vereinbarungen zwischen den Parteien akzeptiert.

6.2 Mittel des Nachweises. Docusign ist berechtigt, auch zum Zwecke des Nachweises oder der Erstellung einer Rechnung, jedes Dokument, jede Datei, Aufzeichnung, jeden Überwachungsbericht oder jede Statistik auf jedem beliebigen Medium, einschließlich eines elektronischen Mediums, das direkt oder indirekt von Docusign erstellt, empfangen oder in einer Datenbank gespeichert wurde, zu verwenden.