E018

Die Einsatzrichtlinie E018 gilt nur für Bundesbehörden, die der Bundesinformatikverordnung (BInfV) unterstellt sind. Hier eine Zusammenfassung der wichtigsten Punkte der E018:

1. Für Verwaltungsentscheide ist das Verwaltungsverfahrensgesetz (VwVG, SR 172.021), für Verträge und Vereinbarungen auch das Obligationenrecht (OR, SR 220) und in allen Fällen das Bundesgesetz über die elektronische Signatur (ZertES SR 943.03) , sowie die Verordnung über die elektronische Übermittlung im Rahmen eines Verwaltungsverfahrens (VeÜ-VwV, SR 172.021.2) zu beachten.

2. Dokumente mit rechtsverbindlichem Charakter und im besonderen Dokumente im Rahmen von Verwaltungsverfahren (Verfügungen, Entscheide, Bewilligungen etc.) sowie Vereinbarungen und Verträge, die an Adressaten ausserhalb der Bundesverwaltung übermittelt werden, müssen mit qualifizierten elektronischen Signaturen versehen werden, sofern für einen bestimmten Geschäftsprozess auf Verordnungsstufe nicht etwas Anderes festgelegt wird.

Für das elektronische Signieren von Quittungen von Übermittlungsplattformen und Entscheiden im sog. Massenverfahren können gemäss der VeÜ-VwV die neu eingeführten elektronischen Siegel eingesetzt werden.

3. Interne Dokumente wie Berichte, Anträge, Entscheidungen, Protokolle, Vereinbarungen sowie auch alle E-Mails können bzw. dürfen mit dem persönlichen Signaturzertifikat für Mitarbeitende (Klasse B) elektronisch signiert werden. Die Signatur kann jedoch keine besonderen formellen Anforderungen oder Vorschriften erfüllen. Sie dient allein der Identifikation und Beweissicherung. In den GEVER Systemen erfolgt das Genehmigen solcher Dokumente, soweit möglich und sinnvoll, nicht durch das Signieren mit dem Klasse B Zertifikat, sondern durch die Funktion «Visieren». Die Informationen werden dabei in den Metadaten hinterlegt und nicht im Dokument selbst.

4. Es sollen nur finale Dokumente elektronisch unterschrieben werden. Zum Genehmigen und Visieren sind die Funktionen (zum Beispiel Workflow) der entsprechenden Fachanwendung oder des Geschäftsverwaltungssystems (GEVER) zu verwenden. Elektronische Signaturen in PDF-Dokumenten sollen hauptsächlich dann verwendet werden, wenn ein finales Dokument die Fachanwendung/das GEVER-System verlässt, insbesondere wenn es an Adressaten ausserhalb der Bundesverwaltung übermittelt werden soll.

5. Dokumente müssen vor dem Signieren in der Anwendung, in der sie erstellt werden, in ein möglichst barrierefreies (bzw. zumindest maschinenlesbares) und archivtaugliches Format umgewandelt werden. Verwaltungsentscheide sollten - wenn immer möglich - in das PDF/A-1a Format, alle anderen Dokumente allenfalls auch in PDF/A-2a umgewandelt werden. Die Verwendung des nicht barrierefreien Formates PDF/A-1b ist möglichst zu vermeiden.

Hinweis: Werden in der Bundesverwaltung Dokumente mit Microsoft Office mit der Funktion «Speichern unter…» im PDF-Format abgespeichert, so sorgen die vorkonfigurierten Einstellungen (ISO1905-1) automatisch dafür, dass ein PDF/A-1a-Ausgangsformat erzeugt wird. Gleiches gilt für die Konversion in den GEVER-Systemen sowie beim Einscannen über die Abteilungsdrucker.

6. Persönliche Signaturen müssen im Modus «Signieren» und elektronische Siegel im Modus «Zertifizieren» ausgeführt werden. In beiden Fällen ist ein qualifizierter Zeitstempel online beizufügen, d.h. offline ist eine elektronische Signatur nicht möglich.

7. PDF-Dokumente können sichtbar oder auch unsichtbar elektronisch signiert werden. Eine sichtbare Signatur bedeutet, dass beim Signaturvorgang im Inhalt des Dokumentes eine Art Stempel eingefügt wird, der anzeigt, von wem das Dokument elektronisch signiert wurde.

Bei der Bildschirmdarstellung bleibt dadurch ersichtlich, ob ein Dokument (ursprünglich) elektronisch signiert wurde oder nicht. Sichtbar zu signieren ist immer dann zwingend vorgeschrieben, wenn das Dokument die Bundesverwaltung verlassen soll – in allen anderen Fällen wird dies empfohlen.

Die E018 gibt vor, wie die sichtbare Darstellung für eine elektronische Signatur auszusehen hat, welche Symbole zu verwenden sind und welche textlichen Elemente der strukturierten Daten aus Signatur und Zertifikat sie umfasst.

Hinweis: Ausserhalb der Verwaltungsnetzwerke ist die Nutzung von Adobe Acrobat Reader, mit dem elektronische Signaturen angezeigt und auch technisch geprüft werden können, nicht immer gegeben. Eine sichtbare Darstellung für eine elektronische Signatur ermöglicht es in diesem Fall den Empfängerinnen und Empfängern das Vorhandensein einer elektronischen Signatur zu erkennen.

8. Einem amtlichen Dokument muss nebst einer sichtbaren Darstellung zu den enthaltenen Signaturen auch die Information mitgegeben werden, wie dessen Authentizität über den Validator des Bundes überprüft werden kann. Anstelle eines Hinweises im Dokument, kann bei der sichtbaren Darstellung der Signatur auch ein Verweis auf die Startseite dieser Webseite aufgenommen werden.

9. Bis zur flächendeckenden Einführung der Signaturdienste Version 2.0 muss in der Bundesverwaltung der auf jedem Arbeitsplatz installierte Open eGov LocalSigner zum elektronischen Signieren von PDF-Dokumenten eingesetzt werden. Dieser enthält in der Bundesversion spezielle Anfügeseiten für das Platzieren der sichtbaren Darstellung für die Signaturen.

10. PDF-Formulare der Bundesverwaltung sollen mit vorkonfigurierten Signaturfeldern (Timestamp und Signatureigenschaften) versehen werden. Zum Ausfüllen und elektronisch Signieren von PDF-Formularen soll der Original Adobe Acrobat Reader verwendet werden. Das Signieren von PDF-Formularen ist im Open eGov LocalSigner gesperrt.

Enthält ein PDF-Formular kein vorkonfiguriertes Signaturfeld, so kann das ausgefüllte Formular notfalls vor dem Signieren in das PDF/A Format überführt werden, welches nach der Signatur keine Formular-Anpassung mehr erlaubt.

11. Bundesbehörden im Geltungsbereich der Bundesinformatikverordnung (BInfV) müssen die benötigten qualifizierten Signaturzertifikate sowie die auf die Organisation lautenden elektronischen Siegel und auch alle weiteren Zertifikate von der Swiss Government PKI beim Leistungserbringer Bundesamt für Informatik und Kommunikation (LE-BIT) beziehen. Privaten Personen oder Organisationen stellt die Swiss Government PKI keine Zertifikate aus.

Sigi klein
https://www.bit.admin.ch/content/bit/de/home/themen/elektronische-signatur/elektronische-signatur-im-bund/e018.html