Signatur: Die Ausgestaltung einer elektronischen Signatur
Jacqueline Brunner
Jacqueline Brunner, MLaw, war juristische Mitarbeiterin bei der Anwaltskanzlei Voillat Facincani Sutter + Partner in Zürich und Rüti. Sie berät vorwiegend in zivilrechtlichen Belangen.
Anerkennung einer elektronischen Signatur
Konkret regelt das ZertES die Voraussetzungen für die Anerkennung von Anbieterinnen von Zertifizierungsdiensten, deren Tätigkeit sowie Haftung und die Anforderungen an die Qualität bestimmter Zertifikate sowie an ihre Verwendung. Es bezweckt ein breites Angebot an sicheren Zertifizierungsdiensten zu fördern, die Verwendung digitaler Zertifikate, elektronischer Signaturen und elektronischer Siegel zu begünstigen und die internationale Anerkennung der Anbieterinnen von Zertifizierungsdiensten und ihrer Leistungen zu ermöglichen.
Derzeit gibt es in der Schweiz vier anerkannte Anbieterinnen von Zertifizierungsdiensten. Dies sind die Swisscom (Schweiz) AG, Quo-Vadis Trustlink Schweiz AG, SwissSign AG sowie das Bundesamt für Informatik und Telekommunikation (BIT). Einzige akkreditierte Anerkennungsstelle ist momentan die KPMG.
Ausgestaltung der elektronischen Signaturen
Die elektronische Signatur stellt ein technisches Verfahren zur Überprüfung der Echtheit von elektronischen Dokumenten, Nachrichten oder anderen elektronischen Daten sowie der Identität des Unterzeichnenden dar. Sie basiert auf einer Zertifizierungsinfrastruktur bzw. Public Key Infrastructure, welche von vertrauenswürdigen Dritten (Anbieterinnen von Zertifizierungsdiensten) verwaltet wird. Die Anbieterinnen von Zertifizierungsdiensten bescheinigen mittels digitalen Zertifikaten die Zuordnung eines kryptografischen Schlüsselpaars zu seinem Inhaber sowie dessen Identität. Das kryptografische Schlüsselpaar besteht aus einem privaten Schlüssel (private key) und einem öffentlichen Schlüssel (public key). Der Absender signiert elektronische Dokumente, Nachrichten oder andere elektronische Daten mit dem privaten Schlüssel, welcher von ihm geheim zu halten ist. Der öffentlich zugängliche Schlüssel erlaubt dem Empfänger sodann, die Integrität und Authentizität zu überprüfen. Vom privaten Schlüssel des Absenders hat der Empfänger keine Kenntnis.
Das ZertES umschreibt drei Stufen von digitalen Zertifikaten, welche den elektronischen Signaturen zugrunde liegen:
- digitales Zertifikat;
- geregeltes Zertifikat;
- qualifziertes Zertifikat.
Das digitale Zertifikat stellt eine digitale Bescheinigung dar, die den öffentlichen Schlüssel eines asymmetrischen kryptografischen Schlüsselpaars seinem Inhaber zuordnet. Beim geregelten Zertifikat handelt es sich um ein digitales Zertifikat, das zusätzlich die Anforderungen nach Art. 7 ZertES erfüllt und von einer nach dem ZertES anerkannten Anbieterin von Zertifizierungsdiensten ausgestellt wurde. Beim qualifizierten Zertifikat handelt es sich um ein geregeltes Zertifikat, das zudem die Anforderungen nach Art. 8 ZertES erfüllt. Demnach dürfen sowohl geregelte als auch qualifi zierte Zertifikate nur von anerkannten Anbieterinnen von Zertifizierungsdiensten ausgestellt werden.
Passende Produkt-Empfehlungen
Im Weiteren sind im ZertES fünf elektronische Signaturen definiert, welche auf den vorstehend genannten Stufen von digitalen Zertifikaten basieren:
- die (einfache) elektronische Signatur;
- die fortgeschrittene elektronische Signatur;
- die geregelte elektronische Signatur und das geregelte elektronische Siegel;
- die qualifizierte elektronische Signatur.
Die geregelten und qualifizierten elektronischen Signaturen sind natürlichen Personen vorbehalten. Dies bedeutet jedoch nicht, dass eine juristische Person nicht mittels qualifizierter elektronischer Signatur verpflichtet werden könnte – ein vertretungsberechtigtes Organ der juristischen Person kann mit seiner qualifizierten elektronischen Signatur für die juristische Person unterzeichnen. Ausgeschlossen ist nur eine auf die juristische Person selbst lautende qualifizierte elektronische Signatur. Für juristische Personen und Behörden wurde mit dem Inkrafttreten des totalrevidierten ZertES (per 1. Januar 2017) das geregelte elektronische Siegel eingeführt. Dieses ermöglicht es juristischen Personen und Behörden, die Integrität und Herkunft ihrer elektronischen Dokumente zu garantieren. Im Weiteren können Behörden – sofern von Gesetz oder Verordnung vorgesehen – das geregelte elektronische Siegel verwenden, um ihre Verfügungen oder Publikationen im Internet zu authentifizieren. Die geregelte elektronische Signatur wurde ebenfalls mit dem Inkrafttreten des totalrevidierten ZertES eingeführt.
Der elektronische Zeitstempel
Nicht nur die Integrität und Authentizität von mit einer elektronischen Signatur versehenen elektronischen Dokumenten, Nachrichten oder anderen elektronischen Daten, sondern auch der genaue Zeitpunkt ihres Vorliegens kann bedeutsam sein. Die Anbieterin von Zertifizierungsdiensten bestätigt mit dem elektronischen Zeitstempel deren Vorliegen zu einem bestimmten Zeitpunkt. Damit ermöglicht der elektronische Zeitstempel, die Integrität und Authentizität von elektronischen Dokumenten, Nachrichten und anderen elektronischen Daten zu einem ganz bestimmten Zeitpunkt festzustellen. Ein elektronischer Zeitstempel ist dann als qualifizierter elektronischer Zeitstempel zu qualifizieren, wenn er von einer nach dem ZertES anerkannten Anbieterin von Zertifizierungsdiensten ausgestellt und mit einem geregelten elektronischen Siegel versehen wurde.
Rechtskraft der elektronischen Signatur
Verträge bedürfen zu ihrer Gültigkeit nur dann einer besonderen Form, wenn das Gesetz eine solche vorschreibt (Art. 11 Abs. 1 OR), und können entsprechend grundsätzlich auch mündlich oder sogar konkludent abgeschlossen werden. Eine differenzierte Betrachtung ist notwendig, wenn aufgrund einer Parteivereinbarung oder von Gesetzes wegen ein Formerfordernis – z.B. Schriftlichkeit – besteht. Ein Vertrag, für den die schriftliche Form vorgeschrieben ist, muss gemäss Art. 13 Abs. 1 OR die Unterschriften sämtlicher Personen tragen, die durch ihn verpflichtet werden sollen, wobei die Unterschrift gemäss Art. 14 Abs. 1 OR grundsätzlich eigenhändig zu schreiben ist. Eine Alternative hierzu bietet die qualifizierte elektronische Signatur. Gemäss Art. 14 Abs. 2bis OR ist die mit einem qualifizierten Zeitstempel verbundene qualifizierte elektronische Signatur im Sinne des ZertES der eigenhändigen Unterschrift gleichgestellt – abweichende gesetzliche oder vertragliche Regelungen bleiben vorbehalten. Demgegenüber kann die qualifizierte elektronische Signatur nicht zur Anwendung gelangen, wenn das Gesetz vorsieht, dass die ganze Erklärung oder gewisse Angaben darin eigenhändig erfolgen müssen. Auch vermag die qualifizierte elektronische Signatur die öffentliche Beurkundung nicht zu ersetzen.
In der Schweiz gelten für die meisten Verträge allerdings ohnehin keine gesetzlichen Formvorschriften. Damit können solche Verträge – anderslautende Parteiabrede vorbehalten – mit anderen elektronischen Signaturarten – als mit der (der eigenhändigen Unterschrift gleichgestellten) qualifizierten elektronischen Signatur – sowie auch formlos rechtsgültig abgeschlossen werden.
Haftung
Das ZertES regelt die Haftung der Anbieterinnen von Zertifizierungsdiensten sowie der Anerkennungsstelle. Demnach haftet die Anbieterin von Zertifizierungsdiensten gemäss Art. 17 Abs. 1 ZertES dem Inhaber eines gültigen geregelten Zertifikats und Drittpersonen, die sich auf ein solches Zertifikat verlassen haben, für Schäden, die diese erleiden, weil die Anbieterin den Pflichten aus dem ZertES und den entsprechenden Ausführungsbestimmungen nicht nachgekommen ist. Die Anbieterin von Zertifizierungsdiensten trägt die Beweislast dafür, den Pflichten aus dem ZertES und den dazugehörigen Ausführungsbestimmungen nachgekommen zu sein (Art. 17 Abs. 2 ZertES). Sie kann weder für eigenes Verhalten noch für jenes ihrer Hilfspersonen die Haftung aus dem ZertES wegbedingen. Allerdings haftet die Anbieterin von Zertifizierungsdiensten nicht für Schäden, die sich aus der Nichtbeachtung oder Überschreitung einer Nutzungsbeschränkung ergeben (Art. 17 Abs. 3 ZertES).
Gemäss Art. 18 ZertES haftet die Anerkennungsstelle dem Inhaber eines gültigen geregelten Zertifikats und Drittpersonen, die sich auf ein solches Zertifikat verlassen haben, für Schäden, die diese erleiden, weil die Anerkennungsstelle ihren Pflichten aus dem ZertES und den entsprechenden Ausführungsbestimmungen nicht nachgekommen ist. Art. 17 Abs. 2 und 3 ZertES gelten sinngemäss.
Demgegenüber haftet der Inhaber eines kryptografischen Schlüssels, der zur Erzeugung elektronischer Signaturen oder Siegel eingesetzt wird, gemäss Art. 59a Abs. 1 OR Drittpersonen für Schäden, die diese erleiden, weil sie sich auf ein gültiges geregeltes Zertifikat einer anerkannten Anbieterin von Zertifizierungsdiensten im Sinne des ZertES verlassen haben. Kann der Inhaber glaubhaft darlegen, dass er die nach den Umständen notwendigen und zumutbaren Sicherheitsvorkehrungen getroffen hat, um den Missbrauch des kryptografischen Schlüssels zu verhindern, entfällt die Haftung (Art. 59a Abs. 2 OR). In Art. 13 VZertES sind diese Sicherheitsvorkehrungen detailliert aufgeführt.
