Elektronische Signatur
Funktionsweise und rechtliche Verbindlichkeit
sowie deren Bedeutung bei der Archivierung von
Dokumenten
mag. iur. Maria Winkler
ImageWare_ Informationstag´12
Elektronische Signatur – warum?
 Werden Geschäftsprozesse elektronisch abgewickelt, dann
stellen sich in der Regel die folgenden Fragen:
– Ist dies rechtlich überhaupt zulässig?
– Sind gesetzliche Formvorschriften zu beachten?
– Sind die Prozesse und die erstellten Dokumente beweiskräftig?
 Die elektronische Signatur kann eingesetzt werden, um
– Erklärungen, welche der Schriftform bedürfen, auch elektronisch
rechtsverbindlich abzugeben und
– um die Beweiskraft von Dokumenten und Prozessen zu erhöhen.
IT & Law Consulting GmbH
2
Funktionsweise
 Bei der elektronischen Signatur handelt es sich um ein
kryptografisches Verfahren, welches mit zwei asymmetrischen
Schlüsseln arbeitet
– Mit dem privaten, geheim zu haltenden Schlüssel wird der
Hashwert des Dokuments (= „Komprimat des Textes, bestehend
aus einer Abfolge der Zahlen 0 und 1) verschlüsselt
– Der öffentliche Schlüssel kann nur zur Entschlüsselung
verwendet werden und passt nur zu einem bestimmten privaten
Schlüssel; er kann öffentlich bezogen werden und wird häufig mit
der Nachricht mit gesandt
IT & Law Consulting GmbH
3
Prinzip der Public Key Verfahren
Elektronische Signatur
Carol
„Quersumme über die
Meldung“
Hash Algorithmus
0010....1110
Hash Wert
P[Carol]
1101....1011
Asymmetrische Verschlüsselung
IT & Law Consulting GmbH
Elektronische Signatur
4
Prinzip der Public Key Verfahren
Elektronische Signatur
Mike
1101....1011
1101....1011
Elektronische Signatur
Ö[Carol]
Ungültig
nein
Asym. Entschlüsselung
0010....1110
=?
Hash Algorithmus
0010....1110
ja
Entschlüsselter
Hash Wert
Gültig
IT & Law Consulting GmbH
Hash Wert
5
Zertifikate
 Die Zuordnung der elektronischen Signatur zum Inhaber erfolgt
mittels Zertifikaten
 Es handelt sich dabei um eine elektronische Bescheinigung,
welche den öffentlichen Signaturprüfschlüssel mit dem Namen
des Inhabers verknüpft (natürliche oder juristische Person)
IT & Law Consulting GmbH
6
Gesetzliche Grundlagen
 Die folgenden Normen regeln die Anerkennung der
Anbieterinnen von Zertifizierungsdiensten
– Bundesgesetz über die Zertifizierungsdienste im Bereich der
elektronischen Signatur (ZertES; befindet sich in Revision)
– Verordnung über Zertifizierungsdienste im Bereich der
elektronischen Signatur (VZertES)
– Technische und administrative Vorschriften (TAV)
 Zusätzlich trat mit dem Erlass des ZertES Art. 14 Abs. 2bis OR
in Kraft, der die Voraussetzungen für Gleichstellung der
elektronischen Signatur mit der eigenhändigen Unterschrift
regelt
IT & Law Consulting GmbH
7
Arten von Signaturen nach ZertES
 Elektronische Signatur
– Daten in elektronischer Form, die anderen elektronischen Daten
beigefügt oder die logisch mit ihnen verknüpft sind und zu deren
Authentifizierung dienen
 Fortgeschrittene elektronische Signatur
 Qualifizierte elektronische Signatur
 Mit der Revision des ZertES soll eine sogenannte „geregelte
elektronische Signatur“ für natürliche und juristische
Personen sowie für Behörden eingeführt werden. Sie bildet
einen Spezialfall der fortgeschrittenen elektronischen Signatur.
Die Vernehmlassungsfrist ist Ende Juni 2012 abgelaufen.
IT & Law Consulting GmbH
8
Fortgeschrittene elektronische
Signatur
Elektronische Signatur, die
 ausschliesslich der Inhaberin oder dem Inhaber zugeordnet ist
 die Identifizierung des Inhabers oder der Inhaberin ermöglicht
 mit Mitteln erzeugt wird, welche die Inhaberin oder der Inhaber
unter ihrer oder seiner alleinigen Kontrolle halten kann
 mit den Daten, auf die sie sich bezieht, so verknüpft ist, dass
eine nachträgliche Veränderung erkannt werden kann
IT & Law Consulting GmbH
9
Anwendungsbereich
 Der Inhaber einer fortgeschrittenen elektronischen Signatur
kann auch ein Unternehmen, ein Server, eine Applikation, etc.
sein
 Die fortgeschrittene elektronische Signatur kann daher zum
Signieren von Dokumenten verwendet werden, wenn keine
gesetzlichen Formvorschriften bestehen (persönliche
Zertifikate)
 Mit der fortgeschrittenen elektronischen Signatur sind
Massensignaturen möglich - sie dient der
Integritätssicherung von Dokumenten im Bereich der
elektronischen Rechnungsstellung oder der Archivierung
(Funktionszertifikate)
IT & Law Consulting GmbH
10
Qualifizierte elektronische Signatur
 Eine fortgeschrittene elektronische Signatur, welche auf einer
sicheren Signaturerstellungseinheit und auf einem qualifizierten
und zum Zeitpunkt der Erzeugung gültigen Zertifikat beruht.
Qualifiziertes Zertifikat
 Seriennummer
 Hinweis auf qualifiziertes Zertifikat
 Name des Inhabers (natürliche Person)
 Signaturprüfschlüssel
 Gültigkeitsdauer
 Zertifizierungsdienststelle
 Nutzungsbeschränkungen
IT & Law Consulting GmbH
11
Gleichstellung mit der
Handunterschrift
 Ein Vertrag, für den die schriftliche Form gesetzlich
vorgeschrieben ist, muss die Unterschriften aller Personen
tragen, die durch ihn verpflichtet werden (Art. 13 Abs. 1 OR).
 Die Unterschrift ist eigenhändig zu schreiben (Art. 14 Abs. 1
OR).
 Der eigenhändigen Unterschrift gleichgestellt ist die
qualifizierte elektronische Signatur, die auf einem
qualifizierten Zertifikat einer anerkannten Anbieterin von
Zertifizierungsdiensten im Sinne des ZertES beruht (Art. 14 Abs.
2 bis OR).
IT & Law Consulting GmbH
12
Anbieterin von Zertifizierungsdiensten
 Die Anbieterin von Zertifizierungsdiensten bestätigt als
vertrauenswürdige Dritte, dass ein öffentlicher Prüfschlüssel einer
bestimmten natürlichen Person zugeordnet werden kann
 Die Anbieterin ist verpflichtet, die Identität des Antragsstellers zu
überprüfen
 Die Anerkennung ist freiwillig
 Achtung!
– Auch nicht anerkannte Anbieterinnen von Zertifizierungsdiensten dürfen
qualifizierte Zertifikate herausgeben – diese erzeugen aber keine der
Handunterschrift gleichgestellten elektronischen Signaturen nach Art. 14
Abs. 2 bis OR (z.B. wenn ein Konzern ein eigenes PKI-System aufbaut und
betreibt)
IT & Law Consulting GmbH
13
Die Aufgaben der Anbieterin nach
ZertES







Ausstellung des qualifizierten Zertifikats
Identitätsprüfung
Tätigkeitsjournal
Ungültigerklärung von Zertifikaten
Überprüfungsverfahren
Zeitstempeldienste
Datenschutz
IT & Law Consulting GmbH
14
Anerkannte Anbieterinnen nach ZertES




Swisscom Schweiz AG
QuoVadis Trustlink Schweiz AG
Swiss Sign (100% - Tochter der Post)
Bundesamt für Informatik und Telekommunikation BIT
IT & Law Consulting GmbH
15
Einsatzbereiche der digitalen Signatur
 Ersatz für Handunterschrift (Rechtsverbindlichkeit)
– Schreibt das Gesetz die Schriftform vor, dann muss im elektronischen
Geschäftsverkehr die elektronische Signatur gemäss Art. 14 Abs. 2 bis OR
verwendet werden
 Integritätssicherung
– Mit digitalen Signaturen kann nachgewiesen werden, ob ein Dokument nach
dem Zeitpunkt des Signierens noch geändert wurde
 Authentizität
– Mit digitalen Signaturen kann die (natürliche oder juristische) Person,
welche das Dokument signiert hat, identifiziert werden
 Autorisierung
– Rechte und Befugnisse des Signierenden können in den Zertifikaten
angegeben und damit verwaltet werden
IT & Law Consulting GmbH
16
Welche Signatur wofür?
 Je nachdem, welcher Zweck erreicht werden soll, müssen
einfache, fortgeschrittene oder qualifizierte elektronische
Signaturen verwendet werden
 Qualifizierte Signaturen (gemäss Art. 14 Abs. 2 bis OR)
müssen verwendet werden, wenn das Gesetz im „normalen
Geschäftsverkehr“ die Handunterschrift verlangt
 Fortgeschrittene Signaturen dienen in erster Linie der
Integritätssicherung
IT & Law Consulting GmbH
17
Formfreiheit
 Für die grosse Masse von Verträgen, welche über das Internet
abgeschlossen werden, bestehen keine Formvorschriften
(z.B. Kaufverträge, Lizenzverträge, Aufträge, Werkverträge, etc.)
 Bestehen qualifizierte Formvorschriften (z.B. notarielle
Beglaubigung), dann können diese mittels qualifizierter
elektronischer Signatur (noch) nicht erfüllt werden!
 Bestehen keine Formvorschriften, dann können auch
fortgeschrittene Signaturen und Zertifikate eingesetzt werden,
um eine Vereinbarung rechtsgültig abzuschliessen
IT & Law Consulting GmbH
18
Schriftlichkeit
 Schriftlichkeit im Privatrecht wird beispielsweise in den
folgenden Fällen verlangt:
– Abtretung einer Forderung (Art. 165 OR)
– Konsumkreditvertrag (Barkreditvertrag; Leasingvertrag, wenn
dieser vorsieht, dass die Leasingrate erhöht wird, falls der Vertrag
vorzeitig aufgelöst wird; Kredit- und Kundenkarten, wenn eine
Ratenzahlung möglich ist)
– Nachvertragliches Konkurrenzverbot im Arbeitsvertrag (Art. 340
OR)
– Wenn die Vertragsparteien diese vereinbaren (Art. 16 OR)
IT & Law Consulting GmbH
19
Spezialvorschriften
 Im öffentlichen Recht sowie in gesetzlichen
Spezialvorschriften wird beispielsweise (in der Regel) in den
folgenden Fällen die Schriftform verlangt
– Einreichung der Steuererklärung (SG und OW Nachreichen einer
unterzeichneten Quittung)
– Antrag auf Erteilung einer Arbeitsbewilligung (Ausnahme z.B. ZH)
– Einreichen einer Klage bei Bundesgericht
– Versicherungsantrag bei freiwilliger Unfallversicherung (Art. 136
UVV)
– etc.
IT & Law Consulting GmbH
20
Fazit
Die Verwendung der (qualifizierten) elektronischen Signatur ist zu
empfehlen, wenn
es entweder vom Gesetz verlangt wird,
die Parteien dies miteinander vereinbaren
oder es aus Gründen der Beweissicherung erforderlich ist.
Welche Art der elektronischen Signatur eingesetzt wird, hängt vom
beabsichtigten Zweck ab!
IT & Law Consulting GmbH
21
Beweiskraft elektronischer Urkunden
 Elektronische Dokumente müssen unter Umständen einem
Gericht oder einer Behörde als Beweismittel vorgelegt werden
 Wird die Beweiskraft des elektronischen Dokumentes
angezweifelt, dann scheitert u.U. die Beweisführung!
 Die Verwendung der elektronischen Signatur erhöht die
Beweiskraft der elektronisch ausgetauschten
geschäftsrelevanten Dokumente.
 Will man mittels elektronischer Signatur nur die Integrität der
gespeicherten Dokumente sichern, dann müssen nicht
zwingend qualifizierte Signaturen verwendet werden.
IT & Law Consulting GmbH
22
Erhöhung der Beweiskraft
 Elektronische Signaturen ermöglichen den Nachweis der
Identität der signierenden Person und den Nachweis, dass das
Dokument nicht verändert wurde.
 Elektronische Signaturen ermöglichen jedoch nicht den
Nachweis, dass ein elektronisches Dokument versandt oder
empfangen wurde
 Elektronische Signaturen ermöglichen zudem nicht den
Nachweis, was am ursprünglichen Dokument geändert wurde!
IT & Law Consulting GmbH
23
Suisse ID
 Elektronische Identitäten sind die Voraussetzung für die sichere
Kommunikation in der Privatwirtschaft und im eGovernment
 Seit Mai 2010 ist die SuisseID erhältlich – es handelt sich um
ein elektronisches Zertifikat auf Smartcard oder USB Token inkl.
Funktionsregister (qualifiziertes und fortgeschrittenes Zertifikat
mit Funktionsregister)
 Herausgeber sind die anerkannten Anbieterinnen von
Zertifizierungsdiensten.
IT & Law Consulting GmbH
24
Zusammenfassung
 Qualifizierte elektronische Signaturen (Art. 14 Abs. 2 bis OR) sind
der Handunterschrift gleichgestellt; sie müssen verwendet werden,
wenn das Gesetz Schriftlichkeit verlangt oder die Parteien diese
vereinbaren
 Fortgeschrittene elektronische Signaturen können auf natürliche oder
juristische Personen lauten
 Fortgeschrittene persönliche Zertifikate können für die Signierung
(wo keine Formvorschriften bestehen) und die Authentisierung
verwendet werden
 Funktionszertifikate werden z.B. für die elektronische
Rechnungsstellung und die Integritätssicherung bei der Archivierung
eingesetzt (Massensignatur)
IT & Law Consulting GmbH
25
Schlussbemerkung
 Elektronische Signaturen unterstützen dabei, elektronische
Prozesse sicherer zu machen
 Um die für den geplanten Zweck geeignete elektronische
Signatur zu finden, müssen gesetzliche Anforderungen und
technisch/organisatorische Rahmenbedingungen berücksichtigt
werden
 Zudem muss beachtet werden, dass für die Gewährleistung der
Vertraulichkeit zusätzliche Verschlüsselungsmassnahmen
getroffen werden müssen
 Wann und in welcher Form die revidierten Bestimmungen der
ZertES in Kraft treten werden, ist noch ungewiss.
IT & Law Consulting GmbH
26
Haben Sie Fragen ?
mag. iur. Maria Winkler
IT & Law Consulting GmbH
Grafenaustrasse 5
6300 Zug
[email protected]
Publikationen
www.itandlaw.ch

- IT & Law Consulting GmbH