Büro: (0041)  26 670 0 670
Mail:  admin (at) d-bee ch

Die Digitale Signatur in der Schweiz

Die Digitale Signatur und die Schweiz

 Der Beitrag von Behörden und Parlament

Die Bereitstellung einer öffentlichen PKI wäre sicher wünschenswert, nicht nur vom technischen Aspekt aus, es wäre ein Image-Gewinn für die Schweiz. Doch wie die Erfahrung von Swisskey gezeigt hat, ist der Aufwand im Vergleich zum zu erwartenden Ertrag sehr gross. Es liegt an der Politik gute Rahmenbedingungen zu schaffen und Wege für neue Anwendungen zu öffnen. Die politischen Debatten haben gezeigt, dass die Komplexität der e-Anwendungen das Parlament sehr stark fordert. Dazu kommt, dass verschiedene Departemente betroffen sind. Der Wille zur Einführung der e-Anwendungen ist vorhanden, das zeigt folgender Auszug aus Art. 1 ZertES

·     ein breites Angebot an sicheren Diensten der elektronischen Zertifizierung zu fördern:

·     die Verwendung qualifizierte elektronischer Stignaturen zu begünstigen;

·     die internationale Anerkennung der Anbieterinnen von Zertifizierungsdiensten und ihrer Leistungen zu ermöglichen.“

Einfachere Lösungen sind auch möglich. Genf hat es bewiesen, „eVoting“ kann auch mit Rubbeln betrieben werden.

Seit 2002 arbeitet der Bund an der Einführung der elektronischen Identitätskarte[42]. Diese soll rechtsverbindlichen elektronischen Verkehr ermöglichen. Welche Funktionen eingeschlossen werden sollen ist noch nicht definiert. Im Zusammenhang mit e-Government müssten sicher Identifikationsmerkmale mittels Biometrie eingesetzt werden.

Bis zur Annahme des ZertES wurden in 'Bern' etliche Diskussionen geführt. Z. B. die Debatte des Nationalrats während seiner Sommersession 2001, Vierzehnte Sitzung, 21.06.01-08h00[43], zum Verschwinden von Swisskey. Hier zeigten  sich je nach Fraktion sehr unterschiedlich Ansichten. Die politische Mehrheit setzte offensichtlich auf den Markt. Bezweifelt wurde zum Teil die fehlende Kontinuität bei privaten Lösungen. Auch wurde bezweifelt, ob die Digitale Signatur eine „Grundlage für den elektronischen Geschäftsverkehr“ ist. Eine andere Forderung war, dass der Staat analog zur bisherigen Bürgeridentifikation die Verantwortung für die elektronische Identifikation übernimmt[44].

Oder jene im Zusammenhang mit der Motion „e-Switzerland“[45] vom 19. 6. 2000 zur Förderung  von e- e- e-. Diese hat dazu geführt, dass der Bundesrat „das EJPD mit den Vorarbeiten für die Einführung der elektronischen Identitätskarte beauftragt hat. Das EJPD wird bis Ende 2003 ein Konzept und einen Gesetzesentwurf ausarbeiten“[46].

Oder auch jene, die folgender Pressemitteilung zugrunde liegt[47]: „Bern, 15.09.04. Schweizerinnen und Schweizer sollen ab Ende 2005 einen Pass mit biometrischen Daten beantragen können. Der Bundesrat hat sich in seiner heutigen Sitzung für die Einführung biometrischer Pässe entschieden. Die Ausstellung solcher Pässe erfolgt vorerst in einem fünf Jahre dauernden Pilotprojekt….“

Die gesetzlichen Grundlagen

Grundsatz der Formfreiheit

Weil es so einfach ist, gleich vollständig:

„Das schweizerische Vertragsrecht - dazu gehören nicht nur die Art. 1-551 des Obligationenrechts vom 30. März 1911 (OR, SR 220), sondern beispielsweise auch Teile des Zivilgesetzbuchs vom 10. Dezember 1907 (ZGB, SR 210), das BG vom 1. Juli 1908 über den Versicherungsvertrag (VVG, SR 221.229.1), das BG vom 8. Oktober 1993 über den Konsumkredit (KKG, SR 221.214.1) und das BG vom 18. Juni 1993 über Pauschalreisen (SR 944.3) - baut auf dem Grundsatz der Vertragsfreiheit auf. Teil der Vertragsfreiheit bildet die Formfreiheit (Art. 11 Abs. 1 OR). Sie bedeutet, dass der rechtlich relevante Wille ungeachtet der Einhaltung bestimmter Formen, also beispielsweise auch mündlich oder durch konkludentes Handeln, zum Ausdruck gebracht werden kann.

Formfreiheit bedeutet umgekehrt, dass die Vertragsparteien das Recht haben, die rechtliche Relevanz von Willensäusserungen davon abhängig zu machen, dass bestimmte Formen, beispielsweise Schriftlichkeit, beachtet worden sind (Art. 16 Abs. 1 OR)“.[48]

Auf Grund des Grundsatzes der Formfreiheit konnten bereits vor dem neuen Gesetz Verträge auf elektronischem Weg rechtsgültig abgeschlossen werden. Als Beispiel sei EDI mit EDIFACT erwähnt. EDI Meldungen werden kaum aufs Papier gebracht. Trotzdem kann die vom Gesetzgeber verlangte Nachvollziehbarkeit[49] gewährleistet werden. Bedingung ist eine Sicherung in nicht modifizierbarer Form. Der Beweiswert unterliegt im Streitfall der freien richterlichen Würdigung.

Das ZertES

Das „Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur“ ZertES vom 19. Dezember 2003 ist nach Ablauf der Referendumsfrist am 8. April 2004 endgültig in Kraft getreten. [50]. Im Artikel 1 wird der Wille kundgetan, die zu einer PKI gehörende Infrastruktur zu fördern. Da die Auswirkung dieser Aussage vor allem vom der politischen Führung abhängig ist, wurde sie im Kapitel 'Der Beitrag von Behörden und Parlament behandelt. Art. 2 definiert folgende Begriffe:

Elektronische Signatur: Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder die logisch mit ihnen verknüpft sind und zu deren Authentifizierung dienen;

Fortgeschrittene elektronische Signatur: Eine elektronische Signatur, die folgende Anforderungen erfüllt:

1. Sie ist ausschliesslich der Inhaberin oder dem Inhaber zugeordnet.

2. Sie ermöglicht die Identifizierung der Inhaberin oder des Inhabers.

3. Sie wird mit Mitteln erzeugt, welche die Inhaberin oder der Inhaber unter ihrer oder seiner alleinigen Kontrolle halten kann.

4. Sie ist mit den Daten, auf die sie sich bezieht, so verknüpft, nachträgliche Veränderung der Daten erkannt werden kann;

Qualifizierte elektronische Signatur: Eine fortgeschrittene elektronische Signatur, die auf einer sicheren Signaturerstellungseinheit nach Art. 6 Abs. 1 f. und auf einem qualifizierten und zum Zeitpunkt der Erzeugung gültigen Zertifikat beruht;

Zu beachten ist die Benutzung der Bezeichnungen Signaturschlüssel für den privaten oder geheimen Schlüssel, da er zur Signierung gebraucht wird; der öffentliche Schlüssel, der zur Prüfung der Signatur benutzt wird, wird seiner Funktion gemäss, als Signaturprüfschlüssel bezeichnet.

Wichtig ist die Unterteilung in 3 Stufen. In der schweizerischen Gesetzgebung wird die schriftliche Form nur in wenigen Fällen verlangt. In diesen Fällen muss die qualifizierte elektronische Signatur angewendet werden. Im täglichen Geschäftsverkehr genügen die elektronische Signatur“ und die „fortgeschrittene elektronische Signatur“.

Nach Schlauri[51] ist jedoch der Beweiswert der elektronischen Signatur im Falle eines Rechtstreites gering, da schwierig zu erbringen. Dennoch werden heute sehr viele Geschäftsvorfälle ohne jegliche Absicherung über Internet abgewickelt. Da ist eine einfache digitale Signatur eine gute Basis. Die Beweiswürdigung liegt oft im Ermessen des Richters[52] Je „lesbarer“ eine digitale Unterschrift ist, desto grösser der Beweiswert. Es liegt also am Benutzer eine saubere und auch für nicht Informatiker nachvollziehbare Dokumentation und Sicherung des elektronischen Schriftverkehrs zu führen. 

Schriftlichkeit: Art. 13 OR verlangt „Ein Vertrag, für den die schriftliche Form gesetzlich vorgeschrieben ist, muss die Unterschriften aller Personen tragen, die durch ihn verpflichtet werden sollen“. Ein Grund die digitale Unterschrift nicht der eigenhändigen gleichzustellen war die Angst, dass der Schutz vor übereiltem Handeln dahinfallen könnte[53]. Dieser Schutzzweck muss bei der technischen Realisierung der Digitalen Unterschrift berücksichtigt werden.

Haftung: In Art. 59a wird der Inhaber des Signaturschlüssels Dritten gegenüber haftbar gemacht, die einer gültigen Digitalen Unterschrift vertrauen, da diese keine Möglichkeit haben die Verwaltung des Signierschlüssels zu überprüfen[54]. Es liegt am Inhaber des Signaturschlüssels zu beweisen, dass der Schlüssel korrekt aufbewahrt wurde (Abs. 2). Im Vergleich zum Entwurf ist das aktuelle Gesetz weniger strikt, so wird „nicht vermutet, dass eine elektronisch signierte Erklärung vom Inhaber des Signaturschlüssels stammt.“[55]

F. Haftung für Signaturschlüssel

1 Der Inhaber eines Signaturschlüssels haftet Drittpersonen für Schäden, die diese erleiden, weil sie sich auf das qualifizierte gültige Zertifikat einer anerkannten Anbieterin von Zertifizierungsdiensten im Sinne des Bundesgesetzes über die elektronische Signatur vom 19. Dezember 2003 verlassen haben.

2 Die Haftung entfällt, wenn der Inhaber des Signaturschlüssels glaubhaft darlegen kann, dass er die nach Umständen entsprechenden, notwendigen und zumutbaren Sicherheitsvorkehrungen getroffen hat, um den Missbrauch des Signaturschlüssels zu verhindern.

3 Der Bundesrat umschreibt die Sicherheitsvorkehrungen im Sinne von Abs. 2.

Die Ausführungsbestimmungen zum neuen Gesetz sind noch nicht bekannt. Diese dürften wesentlich die Entwicklung der Produkte bestimmen.

Zertifizierungsdienste: Um als öffentlich anerkannt zu sein, braucht der Zertifizierungsdienstanbieter die Anerkennung der Anerkennungsstelle und diese wiederum muss bei der Akkreditierungsstelle akkreditiert sein. Das Gesetz dazu im vollen Wortlaut, da der Ablauf und die Haftung der Akkreditierungsstelle wichtig sind:

„Zertifizierungsdienste im Bereich der elektronischen Signatur. BG 8228

6. Abschnitt:

Aufsicht über die anerkannten Anbieterinnen von Zertifizierungsdiensten

Art. 15..

1   Die anerkannten Anbieterinnen von Zertifizierungsdiensten werden nach den Regeln des Akkreditierungsrechts von den Anerkennungsstellen beaufsichtigt.

2   Eine Anerkennungsstelle meldet der Akkreditierungsstelle unverzüglich den Entzug der Anerkennung einer Anbieterin von Zertifizierungsdiensten. Artikel 13 Absatz 2 findet Anwendung.

7. Abschnitt: Haftung

Art. 16 Haftung der Anbieterin von Zertifizierungsdiensten

1   Die Anbieterin von Zertifizierungsdiensten haftet der Inhaberin oder dem Inhaber des Signaturschlüssels und Drittpersonen, die sich auf ein gültiges qualifiziertes Zertifikat verlassen haben, für Schäden, die diese erleiden, weil die Anbieterin den Pflichten aus diesem Gesetz und den entsprechenden Ausführungsvorschriften nicht nachgekommen ist.

2   Sie trägt die Beweislast dafür, den Pflichten aus diesem Gesetz und den Ausführungsvorschriften nachgekommen zu sein.

3   Sie kann ihre Haftung aus diesem Gesetz weder für sich noch für Hilfspersonen wegbedingen. Sie haftet jedoch nicht für Schäden, die sich aus der Nichtbeachtung oder Überschreitung einer Nutzungsbeschränkung (Art. 7 Abs. 2) ergeben.

Art. 17 Haftung der Anerkennungsstelle

Die Anerkennungsstelle nach Artikel 2 Buchstabe h haftet der Inhaberin oder dem Inhaber des Signaturschlüssels und Drittpersonen, die sich auf ein gültiges qualifiziertes Zertifikat verlassen haben, für Schäden, die diese erleiden, weil die Anerkennungsstelle ihren Pflichten aus diesem Gesetz und den Ausführungsvorschriften nicht nachgekommen ist. Artikel 16 Absätze 2 und 3 gilt sinngemäss.

Art. 10 Ungültigerklärung qualifizierter Zertifikate

1   Die anerkannten Anbieterinnen von Zertifizierungsdiensten erklären ein qualifiziertes Zertifikat unverzüglich für ungültig, wenn:

a.   die Inhaberin oder der Inhaber oder die Person, die sie oder ihn vertritt, einen entsprechenden Antrag stellt;

b.   sich herausstellt, dass dieses unrechtmässig erlangt worden ist;

c.   es keine Gewähr mehr bietet für die Zuordnung eines Signaturprüfschlüssels zu einer bestimmten Person.

2   Bei der Ungültigerklärung nach Absatz 1 Buchstabe a müssen sie sich vergewissern, dass die Person, welche die Ungültigerklärung beantragt, dazu berechtigt ist.

3   Sie informieren die Inhaberinnen und Inhaber qualifizierter Zertifikate unverzüglich über die erfolgte Ungültigerklärung.

Art. 11 Verzeichnisdienste für qualifizierte Zertifikate

1   Jede anerkannte Anbieterin von Zertifizierungsdiensten stellt sicher, dass die Gültigkeit aller qualifizierten Zertifikate, die sie ausgestellt hat, mit einem gebräuchlichen Verfahren jederzeit zuverlässig überprüft werden kann.

2   Sie kann zudem einen Verzeichnisdienst anbieten, über den jedermann die qualifizierten Zertifikate dieser Anbieterin suchen und abrufen kann. In dieses Verzeichnis wird ein Zertifikat nur auf Verlangen des Inhabers beziehungsweise der Inhaberin eingetragen.

3   Abfragen der öffentlichen Hand sind unentgeltlich.

4   Der Bundesrat bestimmt die Mindestdauer, während der die Überprüfung von nicht mehr gültigen qualifizierten Zertifikaten möglich bleiben muss.

Art. 12 Zeitstempel

Auf entsprechendes Begehren müssen die anerkannten Anbieterinnen von Zertifizierungsdiensten eine mit ihrer qualifizierten elektronischen Signatur versehene Bescheinigung abgeben, wonach bestimmte digitale Daten zu einem bestimmten Zeitpunkt vorliegen.“

Die Zertifikate

Technisch gesehen ist die Herkunft eines Zertifikates bedeutungslos. Gewünscht wird die Einhaltung der Normen. In folgendem Verzeichnis sind Schweizer Unternehmen aufgeführt, die gemäss Verordnung vom 12. April 2000 über Dienste der elektronischen Zertifizierung (ZertDV, SR 784.103) und dem Schweizer Public Key Infrastructure Standard (PKI, SR 784.103.1) berechtigt sind, elektronische Zertifikate auszustellen und zu verwalten. Weiter können auch die Standards ETSI TS 101.456 (Europa) und ANSI X9.79 (Amerika, Kanada) Grundlage der Zertifizierung einer Public Key Infrastructure (PKI) bzw. einer Certification Authority (CA) sein.

Anerkennung der Digitalen Signatur

Art. 14 Abs. 2 bis E-OR

„Der eigenhändigen Unterschrift gleichgestellt ist die qualifizierte elektronische Signatur, die auf einem qualifiziertem Zertifikat einer anerkannten Anbieterin von Zertifizierungsdiensten im Sinne des Bundesgesetzes über Zertifizierungsdienste im Bereich der elektronischen Signatur beruht und auf den Namen einer natürlichen Person lautet.“

Beweisrecht: Kette von Zusammenhängen

 

 

Stand 2003

  • Nachträge:

 


>