Die E018 gilt nur für Bundesbehörden, die der Verordnung über die digitale Transformation und die Informatik (VDTI) unterstellt sind.
Interessierte können die aktuelle Version der E018 per mail an info.dti@bk.admin.ch anfragen.
Hier eine Zusammenfassung der wichtigsten Punkte der E018:
1. Für Verwaltungsentscheide ist das Verwaltungsverfahrensgesetz (VwVG, SR 172.021), für Verträge und Vereinbarungen auch das Obligationenrecht (OR, SR 220) und in allen Fällen das Bundesgesetz über die elektronische Signatur (ZertES SR 943.03) , sowie die Verordnung über die elektronische Übermittlung im Rahmen eines Verwaltungsverfahrens (VeÜ-VwV, SR 172.021.2) zu beachten.
2. Dokumente mit rechtsverbindlichem Charakter wie Vereinbarungen und Verträge, die an Adressaten ausserhalb der Bundesverwaltung übermittelt werden, sollten möglichst mit qualifizierten elektronischen Signaturen versehen werden. Verfügungen, wie auch Rechnungen mit Verfügungscharakter, müssen zwingend entweder mit qualifizierten Signaturen oder mit geregelten elektronischen Siegeln versehen werden.
Unterschriftenregelungen der Generalsekretariate und der Verwaltungseinheiten müssen für elektronische Dokumente daraufhin angepasst werden, welche Art von Unterschrift (qualifizierte elektronische Unterschrift, fortgeschrittene elektronische Unterschrift mit dem Signaturzertifikat Klasse B der Mitarbeitenden, geregeltes elektronisches Siegel) für welche Art von Dokument verwendet werden soll.
3. Interne Dokumente wie Berichte, Anträge, Entscheidungen, Protokolle, Vereinbarungen sowie auch alle E-Mails können bzw. dürfen mit dem persönlichen Signaturzertifikat für Mitarbeitende (Klasse B) elektronisch signiert werden. Die Signatur kann jedoch keine besonderen formellen Anforderungen oder Vorschriften erfüllen. Sie dient allein der Identifikation und Beweissicherung. Qualifizierte Unterschriften sind dort notwendig, wo die Schriftform als Gültigkeitsvoraussetzung gesetzlich vorgesehen ist. Ein Beispiel für eine solche Regelung sind Dokumente im Personalwesen, die im Zusammenhang mit der Entstehung, Anpassung und Beendigung des Arbeitsverhältnisses stehen. In den GEVER Systemen erfolgt das Genehmigen solcher Dokumente, soweit möglich und sinnvoll, nicht durch das Signieren mit dem Klasse B Zertifikat, sondern durch die Funktion «Visieren». Die Informationen werden dabei in den Metadaten hinterlegt und nicht im Dokument selbst.
4. Es sollen nur finale Dokumente elektronisch unterschrieben werden. Zum Genehmigen und Visieren sind die Funktionen (zum Beispiel Workflow) der entsprechenden Fachanwendung oder des Geschäftsverwaltungssystems (GEVER) zu verwenden. Elektronische Signaturen in PDF-Dokumenten sollen hauptsächlich dann verwendet werden, wenn ein finales Dokument die Fachanwendung/das GEVER-System verlässt, insbesondere wenn es an Adressaten ausserhalb der Bundesverwaltung übermittelt werden soll.
5. Dokumente müssen vor dem Signieren in der Anwendung, in der sie erstellt werden, in ein möglichst barrierefreies (bzw. zumindest maschinenlesbares) und archivtaugliches Format umgewandelt werden. Verwaltungsentscheide sollten - wenn immer möglich - in das PDF/A-1a oder das PDF/A-2a Format umgewandelt werden. Die Verwendung der nicht barrierefreien Formate PDF/A-1b und PDF/A-2b ist möglichst zu vermeiden.
Hinweis: Werden in der Bundesverwaltung Dokumente mit Microsoft Office mit der Funktion «Speichern unter…» im PDF-Format abgespeichert, so sorgen die vorkonfigurierten Einstellungen (ISO1905-1) automatisch dafür, dass ein PDF/A-1a-Ausgangsformat erzeugt wird. Gleiches gilt beim Einscannen über die Abteilungsdrucker.
6. Beim elektronischen Signieren ist immer die LTV (Long Term Validation) Information sowie ein qualifizierter Zeitstempel online beizufügen, d.h. offline ist eine elektronische Signatur nicht möglich.
7. PDF-Dokumente können sichtbar oder auch unsichtbar elektronisch signiert werden. Eine sichtbare Signatur bedeutet, dass beim Signaturvorgang im Inhalt des Dokumentes eine Art Stempel eingefügt wird, der anzeigt, dass das Dokument elektronisch signiert wurde.
Bei der Bildschirmdarstellung bleibt dadurch ersichtlich, ob ein Dokument (ursprünglich) elektronisch signiert wurde oder nicht. Sichtbar zu signieren ist immer dann zwingend vorgeschrieben, wenn das Dokument die Bundesverwaltung verlassen soll – in allen anderen Fällen wird dies empfohlen.
Die E018 gibt vor, wie die sichtbare Darstellung für eine elektronische Signatur auszusehen hat, welche Symbole zu verwenden sind und welche textlichen Elemente der strukturierten Daten aus Signatur und Zertifikat sie umfasst.
Hinweis: Ausserhalb der Verwaltungsnetzwerke ist die Nutzung von Adobe Acrobat Reader, mit dem elektronische Signaturen angezeigt und auch technisch geprüft werden können, nicht immer gegeben. Eine sichtbare Darstellung für eine elektronische Signatur ermöglicht es in diesem Fall den Empfängerinnen und Empfängern das Vorhandensein einer elektronischen Signatur zu erkennen.
8. Einem amtlichen Dokument muss nebst einer sichtbaren Darstellung zu den enthaltenen Signaturen auch die Information mitgegeben werden, wie dessen Authentizität über den Validator des Bundes überprüft werden kann. Anstelle eines Hinweises im Dokument, kann bei der sichtbaren Darstellung der Signatur auch ein Verweis auf die Startseite dieser Webseite aufgenommen werden.
9. Seit der flächendeckenden Einführung der Signaturdienste Version 2.0 im August 2021 müssen in der Bundesverwaltung zum Signieren von PDF-Dokumenten entweder aus dem GEVER-System oder Fachanwendungen die serverbasierten Signaturdienste oder der auf jedem Arbeitsplatz installierte DesktopSigner eingesetzt werden.
10. PDF-Formulare sollen mit dem Original Adobe Acrobat Reader ausgefüllt werden. Das Signieren von PDF-Formularen muss im DesktopSigner erfolgen.
11. Bundesbehörden im Geltungsbereich der Verordnung über die digitale Transformation
und die Informatik (VDTI) müssen die benötigten qualifizierten Signaturzertifikate sowie die auf die Organisation lautenden elektronischen Siegel und auch alle weiteren Zertifikate von der Swiss Government PKI beim Leistungserbringer Bundesamt für Informatik und Kommunikation (LE-BIT) beziehen. Privaten Personen oder Organisationen stellt die Swiss Government PKI keine Zertifikate aus.
