ZertES-konform mit digitalen Signaturen in der Schweiz
Die Schweizer Regierung erließ mit ZertES 2003 das Bundesgesetz zur Verwendung von Zertifizierungsdiensten mit elektronischen Signaturen. Was bedeutet es?
Elektronische Signaturen haben, angesichts der zunehmenden Remote- und Hybridarbeitsmodelle, in den letzten Jahren einen starken Aufschwung erlebt. In den meisten Fällen, für die meisten Kunden und an den meisten Orten ist eine elektronische Signatur ausreichend. Bei Transaktionen in stark regulierten Branchen, im Ausland oder mit Behörden können jedoch digitale Signaturen erforderlich oder gewünscht sein, die einen höheren Grad der Identitätssicherung bieten als elektronische Signaturen.
Eine digitale Signatur ist eine Unterart der elektronischen Signatur, bei der die Identität der an einer Transaktion beteiligten Parteien verifiziert werden kann. Diese Möglichkeit unterscheidet sie von einfachen elektronischen Signaturen.
Elektronische Transaktionen in Europa
Regionale Standards, wie die EU-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS) aus dem Jahr 2016, haben dazu beigetragen, einen anerkannten Rechtsrahmen zu schaffen, der für mehr Sicherheit, Schnelligkeit und Effizienz sorgt. Mit anderen Worten: Sie bietet „einen EU-weiten Rechtsrahmen für elektronische Signaturen, um Menschen, Unternehmen und öffentlichen Verwaltungen den sicheren und bequemen Zugang zu grenzüberschreitenden elektronischen Transaktionen innerhalb der EU zu ermöglichen."
eIDAS regelt also den Einsatz elektronischer Transaktionen in den 27 Mitgliedsstaaten der EU – außerhalb der EU jedoch gibt es ähnliche Verordnungen. ZertES beispielsweise ist das Schweizer Bundesgesetz zu elektronischen Signaturen. eIDAS wie ZertES geben beide einen Sicherheitsgrad für E-Signaturen vor, darin gleichen sie sich. Um E-Signaturen aber wirklich ordnungsgemäß zu verwenden, muss bei geschäftlichen Transaktionen mit der Schweiz unbedingt darauf geachtet werden, dass die gewählte Lösung die Konformität mit beiden Verordnungen gewährleistet.
Worum handelt es sich bei der ZertES-Verordnung?
Die Schweizer Regierung erließ mit ZertES 2003 das Bundesgesetz zur Verwendung von Zertifizierungsdiensten mit elektronischen Signaturen. Es soll die Bedingungen für „Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate" (S. 18) regeln und schafft einen durchsetzbaren Rechtsrahmen, der ausführt, welchen Anforderungen die Anbieter elektronischer Signaturen genügen müssen, wenn sie Zertifizierungsdienste erbringen.
Aufgrund der großen geografischen Nähe zur EU weist ZertES verständlicherweise viele Ähnlichkeiten mit eIDAS auf. Ganz allgemein stützt sich die Verordnung auf denselben gestaffelten Ansatz bei der Kategorisierung verschiedener elektronischer Signaturen: einfache elektronische Signatur (SES), fortgeschrittene elektronische Signatur (AES) und qualifizierte elektronische Signatur (QES). Während im Hinblick auf die Rechtsgültigkeit einer elektronischen Signatur keine besonderen gesetzlichen Vorgaben oder anerkannten bewährten Verfahren bestehen, wird die qualifizierte elektronische Signatur bei ZertES ebenso wie bei eIDAS rechtlich mit einer handschriftlich gegebenen Signatur gleichgestellt. Anders als bei eIDAS ist jedoch parallel zur QES explizit ein qualifizierter elektronischer Zeitstempel erforderlich. Daher empfiehlt sich dieses Verfahren besonders für spezielle Transaktionen, üblicherweise im Personal-, Banken- und Versicherungssektor.
ZertES geht, anders als eIDAS, üblicherweise nicht genauer darauf ein, wie oder wann elektronische Signaturen verwendet werden sollten, sondern behandelt mehr die Pflichten eines Anbieters von Zertifizierungsdiensten. So definiert ZertES unter anderem, wie und wann ein Anbieter von Vertrauensdiensten hinsichtlich der Ausstellung einer Zertifizierung „anerkannt" wird und somit eine digitale Signatur erhalten kann. Für die Erstellung einer QES sind beispielsweise „qualifizierte Zertifikate für elektronische Signaturen" erforderlich, die von akkreditierten und von der Schweizerischen Akkreditierungsstelle (SAS) anerkannten Dienstleistern ausgestellt werden, wie etwa Swisscom.
Unterschiede zwischen ZertES und eIDAS
ZertES und eIDAS weisen in vielen Punkten Ähnlichkeiten auf, aber man sollte durchaus im Blick behalten, wo sich die beiden Verordnungen voneinander unterscheiden. Da die Schweiz kein Mitglied der Europäischen Union ist, gelten hier abweichende Vorgaben für elektronische Signaturen. Demgegenüber wurde die Entwicklung und Umsetzung von ZertES massiv von eIDAS beeinflusst. Aufgrund der Tatsache, dass es im Hinblick auf die rechtliche Durchsetzbarkeit von elektronischen Signaturen keine bilateralen Abkommen zwischen der Europäischen Union und der Schweiz gibt, sind nach dem Schweizer Gesetz erstellte Zertifikate nicht automatisch mit eIDAS konform. Deshalb ist es für europäische Unternehmen, die in der Schweiz geschäftlich tätig sind, wichtig, einen Anbieter für elektronische Signaturen zu finden, der die Konformität mit eIDAS und ZertES gewährleisten kann. Nur so lassen sich Probleme mit der rechtlichen Durchsetzbarkeit Ihrer elektronischen Signaturen in der Schweiz vermeiden.
Docusign kann hier mit einem eng geknüpften Netz aus Vertrauensdiensten Hilfe bieten. Erfahren Sie mehr über die Implementierung von elektronischen Signaturen und digitalen Signaturen mit Docusign.