Elektronische Signatur

Die anerkannten Anbieterinnen geregelter und qualifizierter Zertifikate müssen die Anforderungen erfüllen, die im Gesetz (ZertES), in der Verordnung (VZertES) und in den technischen und administrativen Vorschriften über Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate festgelegt sind.

Die Anerkennungsstelle bewertet regelmässig die Konformität.

Die Anbieterinnen anderer digitaler Zertifikatstypen sind nicht zur Einhaltung der oben genannten Bestimmungen verpflichtet und werden nicht von einer unabhängigen Stelle beaufsichtigt.

Die Anforderungen des Bundesgesetzes vom 18. März 2016 über Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate (ZertES) sind mit denen der Verordnung (EG) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierungs- und Treuhanddienste für den elektronischen Geschäftsverkehr im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG vergleichbar.

Die technischen und administrativen Vorschriften des BAKOM verweisen auf die von vielen europäischen Ländern anerkannten europäischen Normen. So wurden in den europäischen Ländern Millionen sogenannter «qualifizierter» Zertifikate nach sehr ähnlichen Kriterien ausgestellt.

Qualifizierte Zertifikate aus EU-Ländern werden in der Schweiz jedoch nicht automatisch anerkannt. Gleiches gilt für die schweizerischen qualifizierten Zertifikate in der Europäischen Union. Die gegenseitige Anerkennung elektronischer Signaturen erfordert den Abschluss internationaler Abkommen. Bisher hat die Schweiz noch kein solches Abkommen abgeschlossen.

Es gibt verschiedene Zertifikatstypen. Die Anforderungen des ZertES gelten nur für CSP, die sogenannte «geregelte» und «qualifizierte» Zertifikate ausstellen. Wer andere Zertifikatstypen benutzt (wer die elektronische Signatur überprüft), muss darauf achten, ob die von der CSP angewandten Vorschriften für die Zertifikatsausstellung ausreichend sind. Es genügt nicht, die Benennung des Zertifikats zu überprüfen, da die Verwendung der gleichen Bezeichnung für unterschiedliche Zertifikatstypen nicht ausgeschlossen werden kann. Ein «fortgeschrittenes» Zertifikat kann somit nach verschiedenen Kriterien ausgestellt worden sein.

• Die Inhaberin bzw. der Inhaber eines qualifizierten Zertifikats kann elektronische Signaturen erzeugen, die rechtlich gleichwertig sind wie handschriftliche Unterschriften.
• Die Inhaberin bzw. der Inhaber sowie der Nutzende eines geregelten oder qualifizierten Zertifikats sind sicher, dass das Zertifikat gemäss den im Gesetz definierten Sicherheitskriterien ausgestellt wurde und regelmässig von einer unabhängigen Stelle kontrolliert wird.
• Die Profile von geregelten oder qualifizierten Zertifikaten sind in den technischen und administrativen Vorschriften des BAKOM und in den referenzierten internationalen Normen definiert.
• Der Umfang der Haftung der Inhaberin bzw. des Inhabers eines geregelten oder qualifizierten Zertifikats wurde vom Gesetzgeber in Artikel 59a OR klar definiert.
• Verstossen die Anerkennungsstelle und die anerkannte Anbieterin von Zertifizierungsdiensten gegen ihre Verpflichtungen, die sich aus dem Gesetz und den Ausführungsbestimmungen ergeben, haften sie für den Schaden, der der Inhaberin oder dem Inhaber eines gültigen geregelten oder qualifizierten Zertifikats und den Dritten, die sich auf dieses Zertifikat verlassen haben, entsteht.

Ein geregeltes oder qualifiziertes Zertifikat, das von einer anerkannten CSP ausgestellt wurde, enthält namentlich:

• den Hinweis, dass es sich um ein geregeltes oder qualifiziertes Zertifikat handelt;
• den Namen der CSP, die das Zertifikat ausgestellt hat;
• den Namen der Anerkennungsstelle.

Im Übrigen publiziert die Schweizerische Akkreditierungsstelle (SAS) die Liste der anerkannten CSP

Die anerkannte CSP ist nur im Zusammenhang mit der Ausstellung geregelter oder qualifizierter Zertifikate verpflichtet, die Vorschriften des ZertES einzuhalten, und wird auch nur diesbezüglich von der Anerkennungsstelle überwacht.

Benutzerinnen und Benutzer müssen sich bewusst sein, dass die CSP die Sicherheitskriterien gemäss ZertES und seinen Ausführungsbestimmungen nicht unbedingt einhalten muss, wenn es um andere Zertifikatstypen geht.

Nur anerkannte CSP dürfen geregelte oder qualifizierte Zertifikate ausstellen.

Ausserdem haben nur elektronische Signaturen, die auf einem qualifizierten Zertifikat einer anerkannten CSP beruhen und mit einem qualifizierten Zeitstempel im Sinne des Bundesgesetzes über die elektronische Signatur (ZertES) versehen sind, den gleichen rechtlichen Wert wie handschriftliche Unterschriften. Zudem stellt die Anerkennung eine Qualitäts- und Sicherheitsauszeichnung dar, welche die Kompetenz der Anbieterin belegt. Für die Ausstellung anderer Zertifikatstypen ist die Anerkennung nicht nötig.

Die interessierten CSP können sich an die einzige Anerkennungsstelle wenden:

KPMG SA
Information Risk Management
Badenerstrasse 172
8026 Zürich
Tel. +41 58 249 31 31
www.kpmg.ch

Ist eine ausländische CSP bereits von einer ausländischen Anerkennungsstelle anerkannt worden, so kann die schweizerische Anerkennungsstelle dies ebenfalls tun, wenn erwiesen ist, dass:

• sie die Anerkennung nach dem Recht des betreffenden Landes erworben hat;
• die für die Anerkennung massgebenden Vorschriften des ausländischen Rechts den schweizerischen Vorschriften gleichwertig sind;
• die ausländische Anerkennungsstelle über Qualifikationen verfügt, die denen, die von schweizerischen Anerkennungsstellen gefordert werden, gleichwertig sind;
• die ausländische Anerkennungsstelle die Zusammenarbeit mit der schweizerischen Anerkennungsstelle zur Überwachung der CSP in der Schweiz gewährleistet.

Bisher hat sich noch keine ausländische CSP in der Schweiz auf diese Weise anerkennen lassen. Nur Schweizer CSP erhielten von der Schweizer Anerkennungsstelle eine Anerkennung.

Eine ausländische CSP kann in der Schweiz automatisch anerkannt werden, wenn ein internationales Abkommen zwischen der Schweiz und dem Niederlassungsland der CSP besteht. Die Schweiz hat jedoch noch kein solches Abkommen abgeschlossen.

Die Akkreditierungsstelle führt eine stets aktualisierte Liste der anerkannten CSP auf ihrer Website.

Liste der anerkannten Anbieterinnen von Zertifizierungsdiensten

Die CSP haben Registrierungsstellen in mehreren Städten und Regionen eröffnet. In bestimmten Fällen können auch mobile Registrierungsstellen eingesetzt werden.

Die Inhaberinnen und Inhaber von qualifizierten Zertifikaten müssen natürliche Personen sein.

Allerdings kann ein qualifiziertes Zertifikat einer natürlichen Person zugewiesen werden, die eine juristische Person vertritt. In diesem Fall ist es möglich, die Eigenschaften dieser Person und den Namen der juristischen Person im Zertifikat zu nennen.

Die Inhaberinnen und Inhaber von geregelten Zertifikaten können natürliche Personen oder UID-Einheiten sein. Bei natürlichen Personen kann ein Pseudonym anstelle des Namens in einem geregelten oder qualifizierten Zertifikat angegeben werden.

Qualifizierte Zertifikate können nur für die elektronische Signatur von natürlichen Personen verwendet werden. Die elektronische Signatur stellt die Echtheit und die Integrität der Daten sicher und wird zur Sicherung der Datenübertragung sowie Archivierung der Daten eingesetzt.

Auch geregelte Zertifikate können für die elektronische Signatur von natürlichen Personen verwendet werden. Zudem können sie von UID-Einheiten benutzt werden, um elektronische Daten zu authentifizieren. Weiter werden sie für die Verschlüsselung von elektronischen Daten und die Authentifizierung von natürlichen Personen oder UID-Einheiten eingesetzt.

Entspricht das Signaturverfahren den Anforderungen im Gesetz, in der Verordnung und in den technischen und administrativen Vorschriften über die Zertifizierungsdienste im Bereich der elektronischen Signatur, kann eine qualifizierte elektronische Signatur durch einen automatisierten Vorgang erstellt werden.

Die CSP ist nicht verpflichtet, diese Informationen der antragstellenden Person während des Registrierungsvorgangs vorzulesen.

Die Anwesenheit der antragstellenden Person während der Generierung ihrer Schlüssel durch die CSP ist nicht erforderlich.

Der Unterzeichnende muss nicht unbedingt die zu unterzeichnenden Daten zur Kenntnis nehmen. Die verwendete Signaturerstellungseinheit darf aber die signierende Person nicht daran hindern, den Inhalt zur Kenntnis zu nehmen.

Dies ist nicht nötig. Es kann eine Reihe von Unterschriften durchgeführt werden, indem man die Daten nur einmal liefert.

Es ist möglich, die Aktivierungsdaten aufzuschreiben. Diese müssen aber an einem sicheren Ort und getrennt von der Signaturerstellungseinheit aufbewahrt werden.

Im Ausland zertifizierte Produkte, die den Anforderungen in den technischen und administrativen Vorschriften entsprechen, können von einer Schweizer CSP bereitgestellt werden, wenn die ausländische Stelle, die das Produkt zertifiziert hat, von einer Akkreditierungsstelle akkreditiert wurde, die das entsprechende multilaterale Abkommen (Multilateral Agreement) der EA (European Accreditation) unterzeichnet hat.

Die Anerkennungsstelle ist mit der Überprüfung der Produktzertifizierung beauftragt.

Die Norm ETSI EN 319 411-2, die die CSP gemäss den technischen und administrativen Vorschriften des BAKOM erfüllen müssen, verweist betreffend Wahl der Algorithmen und Schlüssellängen auf das Dokument ETSI TS 119 312.

Der Verzeichnisdienst ist nicht obligatorisch.

Die CSP müssen ein Datierungssystem (Zeitstempel) bereitstellen und den Inhaberinnen und Inhabern von geregelten oder qualifizierten Zertifikaten auf Verlangen Zeitstempel anbieten.

Nach Artikel 14 Absatz 2bis des Obligationenrechts (OR) ist nur die qualifizierte elektronische Signatur, die auf einem qualifizierten Zertifikat einer anerkannten Anbieterin von Zertifizierungsdiensten beruht und mit einem qualifizierten Zeitstempel im Sinne des Bundesgesetzes über die elektronische Signatur (ZertES) versehen ist, einer eigenhändigen Unterschrift gleichgestellt. Allerdings benötigen wenige Transaktionen in der Schweiz eine qualifizierte elektronische Signatur, die gleichwertig wie eine handschriftliche Unterschrift ist (z. B. Konsumkredit), da das schweizerische Vertragsrecht auf dem Prinzip der Formfreiheit beruht. Andere elektronische Signaturarten können daher verwendet werden, wenn keine eigenhändige Unterschrift der Vertragsparteien erforderlich ist, wobei sich Letztere der Nutzungsbeschränkungen bewusst sind.

Durch die allgemeine Verwendung von Produkten einer anerkannten Anbieterin wird den Nutzerinnen und Nutzern jedoch die rechtliche Anerkennung von Transaktionen mit Schriftformerfordernis zugesichert. Sie können ausserdem gegenüber dem Signaturprüfer nachweisen, dass zum Zeitpunkt der Signatur gewisse Sicherheitsvorkehrungen getroffen wurden.

Bisher hat die Schweiz noch mit keinem Drittland (oder der Europäischen Union) ein Abkommen über die gegenseitige Anerkennung elektronischer Signaturen abgeschlossen. Ohne ein solches Abkommen wird eine qualifizierte elektronische Signatur, die auf einem qualifizierten Zertifikat nach ausländischem Recht beruht, nicht als gleichwertig mit einer qualifizierten elektronischen Signatur nach schweizerischem Recht anerkannt. Entsprechend wird auch eine qualifizierte elektronische Signatur aus der Schweiz nicht als gleichwertig mit einer qualifizierten elektronischen Signatur aus dem Ausland betrachtet. Einige in der Schweiz anerkannte CSP sind in der Lage, rechtlich anerkannte Lösungen in Drittländern anzubieten.

Elektronische Übermittlung im Rahmen von Verwaltungsverfahren