FAQ

Die anerkannten Anbieterinnen geregelter und qualifizierter Zertifikate müssen die Anforderungen erfüllen, die im Gesetz (ZertES), in der Verordnung (VZertES) und in den technischen und administrativen Vorschriften über Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate festgelegt sind.

Die Anerkennungsstelle bewertet regelmässig die Konformität.

Die Anbieterinnen anderer digitaler Zertifikatstypen sind nicht zur Einhaltung der oben genannten Bestimmungen verpflichtet und werden nicht von einer unabhängigen Stelle beaufsichtigt.

Die CSP müssen ein Datierungssystem (Zeitstempel) bereitstellen und den Inhaberinnen und Inhabern von geregelten oder qualifizierten Zertifikaten auf Verlangen Zeitstempel anbieten.

Die Anforderungen des Bundesgesetzes vom 18. März 2016 über Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate (ZertES) sind mit denen der Verordnung (EG) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierungs- und Treuhanddienste für den elektronischen Geschäftsverkehr im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG vergleichbar.

Die technischen und administrativen Vorschriften des Bundesamts für Kommunikation (BAKOM) verweisen auf die von vielen europäischen Ländern anerkannten europäischen Normen. So wurden in den europäischen Ländern Millionen sogenannter qualifizierter Zertifikate nach sehr ähnlichen Kriterien ausgestellt.

Qualifizierte Zertifikate aus EU-Ländern werden in der Schweiz jedoch nicht automatisch anerkannt. Gleiches gilt für die schweizerischen qualifizierten Zertifikate in der Europäischen Union. Die gegenseitige Anerkennung elektronischer Signaturen erfordert den Abschluss internationaler Abkommen. Bisher hat die Schweiz noch kein solches Abkommen abgeschlossen.

Nur anerkannte CSP dürfen geregelte oder qualifizierte Zertifikate ausstellen.

Ausserdem haben nur elektronische Signaturen, die auf einem qualifizierten Zertifikat einer anerkannten CSP beruhen und mit einem qualifizierten Zeitstempel im Sinne des Bundesgesetzes über die elektronische Signatur (ZertES) versehen sind, den gleichen rechtlichen Wert wie handschriftliche Unterschriften. Zudem stellt die Anerkennung eine Qualitäts- und Sicherheitsauszeichnung dar, welche die Kompetenz der Anbieterin belegt. Für die Ausstellung anderer Zertifikatstypen ist die Anerkennung nicht nötig.

Die interessierten CSP können sich an die einzige Anerkennungsstelle wenden:

KPMG SA
Information Risk Management
Badenerstrasse 172
8026 Zürich
Tel. +41 58 249 31 31
www.kpmg.ch

Ist eine ausländische CSP bereits von einer ausländischen Anerkennungsstelle anerkannt worden, so kann die schweizerische Anerkennungsstelle dies ebenfalls tun, wenn erwiesen ist, dass:

• sie die Anerkennung nach dem Recht des betreffenden Landes erworben hat;
• die für die Anerkennung massgebenden Vorschriften des ausländischen Rechts den schweizerischen Vorschriften gleichwertig sind;
• die ausländische Anerkennungsstelle über Qualifikationen verfügt, die denen, die von schweizerischen Anerkennungsstellen gefordert werden, gleichwertig sind;
• die ausländische Anerkennungsstelle die Zusammenarbeit mit der schweizerischen Anerkennungsstelle zur Überwachung der CSP in der Schweiz gewährleistet.

Bisher hat sich noch keine ausländische CSP in der Schweiz auf diese Weise anerkennen lassen. Nur Schweizer CSP erhielten von der Schweizer Anerkennungsstelle eine Anerkennung. Eine ausländische CSP kann in der Schweiz automatisch anerkannt werden, wenn ein internationales Abkommen zwischen der Schweiz und dem Niederlassungsland der CSP besteht. Die Schweiz hat jedoch noch kein solches Abkommen abgeschlossen.

Ein Zertifikat für elektronische Signaturen, das von einer Zertifizierungsstelle (CSP) ausgestellt wird, ist eine elektronische Bescheinigung, die die Validierungsdaten einer elektronischen Signatur mit einer natürlichen Person verknüpft und zumindest den Namen oder das Pseudonym dieser Person bestätigt. Auf diese Weise kann das Zertifikat, das in der Regel mit dem signierten Dokument verknüpft ist, dazu verwendet werden, die Identität des Unterzeichners zu überprüfen und festzustellen, ob das Dokument mit dem der/dem Unterzeichnenden zugeordneten privaten Schlüssel signiert worden ist.

Qualifizierte Zertifikate für elektronische Signaturen bieten aufgrund der strengeren Anforderungen des schweizerischen Signaturgesetzes (ZertES) beispielsweise höhere Garantien für die Identität des Unterzeichners, eine höhere technische Sicherheit und damit eine höhere Rechtssicherheit für die erstellten elektronischen Signaturen.

Zertifikate gemäss Schweizer Gesetzgebung (ZertES) gelten in der Schweiz und aufgrund der dortigen Gesetzgebung auch im Fürstentum Lichtenstein. In der EU sind Schweizer Zertifikate nicht anerkannt. Sie gelten dort nur wie fortgeschrittene Zertifikate.

Ein elektronisches Siegel gemäss ZertES ist eine fortgeschrittene elektronische Signatur, die unter Verwendung einer sicheren Siegelerstellungseinheit nach ZertES Artikel 6 erstellt wurde und auf einem geregelten, auf eine UID-Einheit (Organisation) nach Artikel 3 Absatz 1 Buchstabe c des Bundesgesetzes vom 18. Juni 20103 über die Unternehmens-Identifikationsnummer (UIDG) ausgestellten und zum Zeitpunkt der Erzeugung des elektronischen Siegels gültigen Zertifikat beruht.

Elektronische Siegel dienen als Beweis dafür, dass ein elektronisches Dokument von einer bestimmten Organisation ausgestellt wurde, wodurch die Herkunft und Integrität des Dokuments sichergestellt wird.

Der Antrag auf Ausstellung eines entsprechenden geregelten Zertifikates muss von einer für die Organisation zeichnungsberechtigten Person gestellt werden.

Es gibt verschiedene Zertifikatstypen. Die Anforderungen des ZertES gelten nur für CSP, die sogenannte geregelte und qualifizierte Zertifikate ausstellen. Wer andere Zertifikatstypen benutzt (wer die elektronische Signatur überprüft), muss darauf achten, ob die von der CSP angewandten Vorschriften für die Zertifikatsausstellung ausreichend sind. Es genügt nicht, die Benennung des Zertifikats zu überprüfen, da die Verwendung der gleichen Bezeichnung für unterschiedliche Zertifikatstypen nicht ausgeschlossen werden kann. Ein fortgeschrittenes Zertifikat kann somit nach verschiedenen Kriterien ausgestellt worden sein.

• Die Inhaberin bzw. der Inhaber eines qualifizierten Zertifikats kann elektronische Signaturen erzeugen, die rechtlich gleichwertig sind wie handschriftliche Unterschriften.
• Die Inhaberin bzw. der Inhaber sowie der Nutzende eines geregelten oder qualifizierten Zertifikats sind sicher, dass das Zertifikat gemäss den im Gesetz definierten Sicherheitskriterien ausgestellt wurde und regelmässig von einer unabhängigen Stelle kontrolliert wird.
• Die Profile von geregelten oder qualifizierten Zertifikaten sind in den technischen und administrativen Vorschriften des BAKOM und in den referenzierten internationalen Normen definiert.
• Der Umfang der Haftung der Inhaberin bzw. des Inhabers eines geregelten oder qualifizierten Zertifikats wurde vom Gesetzgeber in Artikel 59a OR klar definiert.
• Verstossen die Anerkennungsstelle und die anerkannte Anbieterin von Zertifizierungsdiensten gegen ihre Verpflichtungen, die sich aus dem Gesetz und den Ausführungsbestimmungen ergeben, haften sie für den Schaden, der der Inhaberin oder dem Inhaber eines gültigen geregelten oder qualifizierten Zertifikats und den Dritten, die sich auf dieses Zertifikat verlassen haben, entsteht.

Ein geregeltes oder qualifiziertes Zertifikat, das von einer anerkannten CSP ausgestellt wurde, enthält namentlich:

• den Hinweis, dass es sich um ein geregeltes oder qualifiziertes Zertifikat handelt;
• den Namen der CSP, die das Zertifikat ausgestellt hat;
• den Namen der Anerkennungsstelle.

Im Übrigen publiziert die Schweizerische Akkreditierungsstelle (SAS) die Liste der anerkannten CSP: Liste der anerkannten Anbieterinnen

Die anerkannte CSP ist nur im Zusammenhang mit der Ausstellung geregelter oder qualifizierter Zertifikate verpflichtet, die Vorschriften des ZertES einzuhalten, und wird auch nur diesbezüglich von der Anerkennungsstelle überwacht.

Benutzerinnen und Benutzer müssen sich bewusst sein, dass die CSP die Sicherheitskriterien gemäss ZertES und seinen Ausführungsbestimmungen nicht unbedingt einhalten muss, wenn es um andere Zertifikatstypen geht.

Fortgeschrittene Zertifikate sind im ZertES nur definiert, aber nicht geregelt. Insbesondere ist nicht geregelt, wie Inhaberinnen und Inhaber identifiziert werden und welche technische Sicherheit fortgeschrittene Zertifikate bei der Nutzung aufweisen. Es gibt fortgeschrittene Zertifikate mit einer sehr hohen Qualität in Bezug auf die beiden genannten Punkte, wie z.B. das Signaturzertifikat der Angestellten der Bundesverwaltung auf deren Smartcard. Es gibt aber auch fortgeschrittene Zertifikate bei denen die Identität der Inhaberinnen und Inhaber nur mangelhaft abgeklärt und bewiesen ist und die nur in Form einer kopierbaren Datei ausgegeben werden.

Der Verzeichnisdienst ist nicht obligatorisch.

Zertifikate werden im Falle des Todes der Inhaberin oder des Inhabers oder des Verlustes oder Diebstahls des Trägers mit dem privaten Signierschlüssel (Smartcard) auf Antrag der Inhaberin oder des Inhabers oder deren Rechtsnachfolger widerrufen. ¨

Widerrufene Zertifikate werden vom CSP mindestens bis zum regulären Ablauf des Zertifikates mit ihrem Widerrufsdatum in einer sogenannten Revokation-List geführt.

Beim Signieren kann zum Zwecke der Langzeit Validierbarkeit (LTV, Long Term Validation) das Resultat der Abfrage der Certificate Revocation List (CRL) in die Signatur integriert werden (LTV Fähigkeit). So bleibt eine elektronische Signatur auch validierbar, wenn die CRL- nicht mehr zugänglich oder das Zertifikat regulär abgelaufen ist und ein allfälliger Widerruf deshalb nicht mehr in der CRL geführt wird.

Um bei der Prüfung des Widerrufs beim Signieren und Validieren über einen gesicherten Zeitpunkt zu verfügen, muss zumindest bei qualifizierten Signaturen obligatorisch ein qualifizierter Timestamp der Signatur beigefügt werden, wodurch der Signaturzeitpunkt vertrauenswürdig belegt ist. Mit diesem Zeitpunkt kann geprüft werden, ob das Zertifikat zum Zeitpunkt der Signatur noch gültig und nicht widerrufen war.

Der Timestamp sichert aber zusätzlich auch den Signaturzeitpunkt in rechtlicher Hinsicht. Das Beifügen eines qualifizierten Zeitstempels ist aus den genannten Gründen auch bei Signaturen mit anderen Zertifikaten unbedingt zu empfehlen.

Bei den anerkannten Anbieterinnen dieser Zertifikate oder Dienstleisterinnen, welche Wiederverkäufer dieser Zertifikate sind.

Liste der anerkannten Anbieterinnen von Zertifizierungsdiensten

Die CSP haben Registrierungsstellen in mehreren Städten und Regionen eröffnet. In bestimmten Fällen können auch mobile Registrierungsstellen eingesetzt werden.

Vor der Revision des schweizerischen ZertES, d. h. vor 2017, wurden Zertifikate hoher Qualität bzw. deren Signaturschlüssel meist auf einer speziell zertifizierten Smartcard (sog. sichere Signaturerstellungseinheit gemäss ZertES) ausgegeben.

Das revidierte ZertES erlaubte ab 2017 die Zertifikate zusammen mit ihrem privaten Signaturschlüsseln auf speziell gesicherten zentralen, von anerkannten CSP betriebenen Signaturservern zu hinterlegen.

Dabei werden entweder Zertifikate mit mehrjähriger Laufzeit mit ihrem Signaturschlüssel generiert und hinterlegt, oder es wird bei jedem Signaturvorgang ein kurzlebiges Zertifikat mit einer Laufzeit von einigen Minuten mit dem zugehörigem privaten Signaturschlüssel generiert und hinterlegt.

Die Inhaberinnen und Inhaber, bzw. die vom anerkannten CSP identifizierten und registrierten Benutzerinnen und Benutzer verbinden sich über ein Login mit einer Anwendung zum Signieren und mit dem Signaturserver, laden das zu signierende Dokument und starten den Signaturvorgang. Beim Signaturvorgang wird der Hash (digitaler Fingerabdruck des Dokuments) erzeugt, zum Signaturserver geschickt und dort mit dem privaten Signaturschlüssel - nach Eingabe der PIN über eine App oder Mobile-ID - signiert. Zum Schluss wird der signierte Hash an die Anwendung zurückübermittelt, in das Dokument eingefügt und dieses dann abgespeichert.

Die Ausgabe von Zertifikaten und zugehörigen Signaturschlüsseln auf Smartcard ist seit 2017 stark rückläufig.

Für die Angebote der CSP sei auf das Kapitel «Signieren – Angebote der Privatwirtschaft» auf dieser Webseite verwiesen.

Die Inhaberinnen und Inhaber von qualifizierten Zertifikaten müssen natürliche Personen sein.

Allerdings kann ein qualifiziertes Zertifikat einer natürlichen Person zugewiesen werden, die eine juristische Person vertritt. In diesem Fall ist es möglich, die Eigenschaften dieser Person und den Namen der juristischen Person im Zertifikat zu nennen.

Die Inhaberinnen und Inhaber von geregelten Zertifikaten können natürliche Personen oder UID-Einheiten sein. Bei natürlichen Personen kann ein Pseudonym anstelle des Namens in einem geregelten oder qualifizierten Zertifikat angegeben werden.

Qualifizierte Zertifikate können nur für die elektronische Signatur von natürlichen Personen verwendet werden. Die elektronische Signatur stellt die Echtheit und die Integrität der Daten sicher und wird zur Sicherung der Datenübertragung sowie Archivierung der Daten eingesetzt.

Auch geregelte Zertifikate können für die elektronische Signatur von natürlichen Personen verwendet werden. Zudem können sie von UID-Einheiten benutzt werden, um elektronische Daten zu authentifizieren. Weiter werden sie für die Verschlüsselung von elektronischen Daten und die Authentifizierung von natürlichen Personen oder UID-Einheiten eingesetzt.

Die Anwesenheit der antragstellenden Person während der Generierung ihrer Schlüssel durch die CSP ist nicht erforderlich.

Die CSP ist nicht verpflichtet, diese Informationen der antragstellenden Person während des Registrierungsvorgangs vorzulesen.

Eine elektronische Signatur, wie auch ein elektronisches Siegel sind Daten in elektronischer Form, die an andere Daten in elektronischer Form angehängt oder mit diesen logisch verknüpft sind und die vom Unterzeichner zum Unterschreiben verwendet werden. Beim Siegel lautet der Unterzeichner auf eine Organisation.

Wie ihr handschriftliches Gegenstück in der Offline-Welt kann eine elektronische Signatur beispielsweise dazu verwendet werden, elektronisch anzugeben, dass der Unterzeichner das Dokument geschrieben hat, mit dem Inhalt des Dokuments einverstanden ist oder als Zeuge anwesend war. Das Siegel sichert die Herkunft und die Integrität des Dokuments.

Eine «elektronische Signatur» ist ein rechtlicher Begriff, «digitale Signatur» ein technischer Begriff. Die beiden Begriffe decken sich allerdings nicht vollständig.

Im ZertES werden diverse Stufen elektronischer Signaturen definiert: fortgeschrittene elektronische Signaturen, geregelte elektronische Signaturen und qualifizierte elektronische Signaturen. Die Anforderungen jeder Stufe bauen auf den Anforderungen der darunter liegenden Stufe auf, so dass eine qualifizierte elektronische Signatur (QES) die meisten Anforderungen erfüllt und eine fortgeschrittene elektronische Signatur die wenigsten.

Nur geregelte elektronische Siegel (für Organisationen) und qualifizierte elektronische Signaturen sind im ZertES geregelt (Regeln für die Identifikation der Inhaberinnen und Inhaber, technische Vorschriften bezüglich Sicherheit).

Fortgeschrittene elektronische Signaturen (AdES, FES) sind vom ZertES nur definiert, aber NICHT geregelt. Eine fortgeschrittene elektronische Signatur ist eine elektronische Signatur, die folgende Anforderungen erfüllt:

• sie ist ausschliesslich der Inhaberin oder dem Inhaber zugeordnet,
• sie ermöglicht die Identifizierung der Inhaberin oder des Inhabers,
• sie wird mit Mitteln erzeugt, welche die Inhaberin oder der Inhaber unter ihrer oder seiner alleinigen Kontrolle halten kann,
• sie ist mit den Daten, auf die sie sich bezieht, so verknüpft, dass eine nachträgliche Veränderung der Daten erkannt werden kann;

Die am häufigsten verwendete Technologie, die diese Anforderungen erfüllen kann, beruht auf der Verwendung einer Public-Key-Infrastruktur (PKI), die den Einsatz von Zertifikaten und kryptografischen Schlüsseln beinhaltet.

Eine qualifizierte elektronische Signatur (QES) ist eine fortgeschrittene elektronische Signatur (FES), die zusätzlich:

• von einer qualifizierten Signaturerstellungseinheit (QSCD) erstellt wird und
• auf einem qualifizierten Zertifikat basiert.

Die qualifizierte Signatur ist einer handschriftlichen Unterschrift gleichwertig und erfüllt das Erfordernis der Schriftform gemäss Artikel 12-14 des schweizerischen Obligationenrechts (OR, SR 220). Einer qualifizierten elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt

Ein geregeltes elektronisches Siegel muss von einer sicheren Signaturerstellungseinheit (SSCD) erstellt werden und basiert auf einem geregelten Zertifikat. Es hat ebenfalls einen erhöhten Beweiswert.

Auch wenn verschiedene Stufen elektronischer Signaturen in unterschiedlichen Kontexten angemessen sein können, werden nur qualifizierte elektronische Signaturen in der Schweiz ausdrücklich als gleichwertig mit handschriftlichen Unterschriften anerkannt.

Entspricht das Signaturverfahren den Anforderungen im Gesetz, in der Verordnung und in den technischen und administrativen Vorschriften über die Zertifizierungsdienste im Bereich der elektronischen Signatur, kann eine qualifizierte elektronische Signatur durch einen automatisierten Vorgang erstellt werden.

Der Unterzeichnende muss nicht unbedingt die zu unterzeichnenden Daten zur Kenntnis nehmen. Die verwendete Signaturerstellungseinheit darf aber die signierende Person nicht daran hindern, den Inhalt zur Kenntnis zu nehmen.

Dies ist nicht nötig. Es kann eine Reihe von Signaturen durchgeführt werden, indem man die Daten nur einmal liefert.

Es ist möglich, die Aktivierungsdaten aufzuschreiben. Diese müssen aber an einem sicheren Ort und getrennt von der Signaturerstellungseinheit aufbewahrt werden.

Im Ausland zertifizierte Produkte, die den Anforderungen in den technischen und administrativen Vorschriften entsprechen, können von einer Schweizer CSP bereitgestellt werden, wenn die ausländische Stelle, die das Produkt zertifiziert hat, von einer Akkreditierungsstelle akkreditiert wurde, die das entsprechende multilaterale Abkommen (Multilateral Agreement) der EA (European Accreditation) unterzeichnet hat.

Die Anerkennungsstelle ist mit der Überprüfung der Produktzertifizierung beauftragt.

Die Norm ETSI EN 319 411-2, die die CSP gemäss den technischen und administrativen Vorschriften des BAKOM erfüllen müssen, verweist betreffend Wahl der Algorithmen und Schlüssellängen auf das Dokument ETSI TS 119 312.

Nach Artikel 14 Absatz 2^bis des Obligationenrechts (OR, SR 220) ist nur die qualifizierte elektronische Signatur, die auf einem qualifizierten Zertifikat einer anerkannten Anbieterin von Zertifizierungsdiensten beruht und mit einem qualifizierten Zeitstempel im Sinne des Bundesgesetzes über die elektronische Signatur (ZertES) versehen ist, einer eigenhändigen Unterschrift gleichgestellt. Allerdings benötigen wenige Transaktionen in der Schweiz eine qualifizierte elektronische Signatur, die gleichwertig wie eine handschriftliche Unterschrift ist (z. B. Konsumkredit), da das schweizerische Vertragsrecht auf dem Prinzip der Formfreiheit beruht. Andere elektronische Signaturarten können daher verwendet werden, wenn keine eigenhändige Unterschrift der Vertragsparteien erforderlich ist, wobei sich Letztere der Nutzungsbeschränkungen bewusst sind.

Die Verwendung der vom ZertES normierten geregelten Zertifikate (qualifizierte persönliche Zertifikate und Zertifikate für elektronische Siegel von gemäss ZertES anerkannten schweizerischen Anbieterinnen) ist jedoch von wesentlich höherem Beweiswert als die Verwendung anderer Zertifikatsklassen und schafft so erhöhtes Vertrauen im Geschäfts- und Behördenverkehr.

Durch die allgemeine Verwendung von Produkten einer anerkannten Anbieterin wird den Nutzerinnen und Nutzern jedoch die rechtliche Anerkennung von Transaktionen mit Schriftformerfordernis zugesichert. Sie können ausserdem gegenüber dem Signaturprüfer nachweisen, dass zum Zeitpunkt der Signatur gewisse Sicherheitsvorkehrungen getroffen wurden.

Ein elektronischer Zeitstempel ist eine Datei in elektronischer Form, die andere Daten in elektronischer Form an einen bestimmten Zeitpunkt bindet und damit beweist, dass die letztgenannten Daten zu diesem Zeitpunkt existierten.

Beispielsweise kann ein Unterzeichner einen elektronischen Zeitstempel verwenden, um ein unterzeichnetes Dokument an ein bestimmtes Datum und eine bestimmte Uhrzeit zu binden und in der Zukunft zu beweisen, dass das unterzeichnete Dokument zu diesem bestimmten Datum und dieser Uhrzeit existierte.

Eine qualifizierte elektronische Signatur muss gemäss ZertES obligatorisch mit einem Zeitstempel versehen sein. Die meisten Signaturanwendungen und serverbasierten Signatursysteme fügen einen qualifizierten Zeitstempel automatisch bei. Lediglich für das Signieren mit Adobe Acrobat Reader muss ein Zeitstempeldienst manuell in den Einstellungen des Adobe Acrobat Reader konfiguriert werden.

Das Beifügen eines elektronischen Zeitstempel ist ebenfalls notwendig, um eine elektronische Signatur daraufhin überprüfen zu können, ob alle verwendeten Zertifikate (gesamte Zertifikatskette) zum Zeitpunkt der Signatur gültig bzw. nicht revoziert waren.

Gemäss der Verordnung über die Übermittlung im Rahmen eines Verwaltungsverfahrens (VeÜ-VwV) Artikel 9 müssen Verfügungen und Rechnungen mit Verfügungscharakter nach Wahl der entscheidenden Verwaltungseinheit des Bundes entweder mit einer qualifizierten elektronischen Signatur oder mit einem geregelten elektronischen Siegel versehen werden.

Das Signieren von Verfügungen und Rechnungen mit Verfügungscharakter mit fortgeschrittenen Zertifikaten, namentlich dem Signaturzertifikat der Mitarbeitenden der Bundesverwaltung auf Smartcard ist nicht zulässig.

Signaturen mit fortgeschrittenen Zertifikaten können dann verwendet werden, wenn vom Gesetz nicht ein Rechtsgeschäft vorliegt, das die Schriftform gemäss Obligationenrecht (OR) Artikel 12-14 verlangt. Fortgeschrittene Signaturen können somit für den Abschluss der meisten Verträge eingesetzt werden, ausser es sei im Gesetz ausdrücklich die Schriftform vorgesehen.

Bei der Verwendung von fortgeschrittenen Signaturen bzw. fortgeschrittenen Zertifikaten ist unbedingt zu beachten, dass diese vom ZertES in keiner Weise geregelt sind: So ist die Identität der Inhaberin bzw. des Inhabers des verwendeten Zertifikats und auch dessen technische Sicherheit nicht gesichert. Ihre Qualität, Vertrauenswürdigkeit und damit ihr Beweiswert ist somit im Vergleich zu qualifizierten Signaturen deutlich reduziert. Ein(e) Richter(in) muss ggf. ein (teures) Gutachten erstellen lassen, wenn die Gültigkeit einer fortgeschrittenen Signatur von einer der Parteien bestritten wird.

Bei einem solchen Gutachten muss geprüft werden, ob das entsprechende Zertifikat von einer vertrauenswürdigen Stelle ausgegeben worden ist, ob und wie die darin verzeichnete Identität geprüft wurde und ob die Sicherheit des zugehörigen privaten Signaturschlüssels bzw. dessen Schutz vor missbräuchlicher Verwendung als gewährleistet betrachtet werden kann.

Die meisten PDF-Anzeigeprogramme auf Smartphones, Tablets und auch solche, die in Web-Browsern integriert sind, können elektronische Signaturen nicht anzeigen und können auch nicht anzeigen, ob ein Dokument elektronisch signiert ist.

Mit dem originalen Adobe Acrobat Reader (Freeware) können elektronische Signaturen dagegen ohne Probleme in allen Details (Signatur, Zeitstempel, Zertifikate, Zertifikatskette etc.) angezeigt und auch überprüft werden.

Wenn sich eine Partei auf ein elektronisch signiertes Dokument verlassen muss, ist es wichtig, dass sie Dokument und Signaturen bezüglich folgender Punkte überprüfen kann:

• Integrität der signierten Daten. Integrität bedeutet, dass die signierten Daten nach dem Signieren nicht verändert wurden;
• Authentizität der signierten Daten. Authentizität bedeutet, dass die Signatur durch ein qualifiziertes Zertifikat unterstützt wird, das den Unterzeichner identifiziert, und dass nur der Unterzeichner die Signatur erstellen kann.

Der Validierungsvorgang läuft vereinfacht dargestellt wie folgt ab:

• Die Überprüfung der Integrität der Daten;
• Die Überprüfung der Gültigkeit des Zertifikats;
• die Überprüfung des qualifizierten Status des Zertifikats (nur bei qualifizierten Signaturen)

die Überprüfung, ob die Signatur von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde (nur bei qualifizierten elektronischen Signaturen).

Elektronische Signaturen können mit einigen PDF-Anzeigeprogrammen (z. B. mit dem originalen Adobe Acrobat Reader) in allen Details angezeigt und auch technisch geprüft werden. Je nach Einstellung der Trustlist (sofern im PDF-Anzeigeprogramm vorhanden) werden dabei die nach schweizerischem ZertES gültigen Zertifikate und damit auch die damit ausgeführten elektronischen Signaturen als ungültig dargestellt, oder es werden ausländische Zertifikate als gültig dargestellt. Für Laien ist es kaum nachvollziehbar, weshalb in einem Fall elektronische Signaturen als gültig und im anderen Fall als ungültig darstellt werden.

Um es für Laien überprüfbar zu machen, ob nach schweizerischem ZertES gültige Zertifikate und Signaturen im Dokument enthalten sind, bzw. ob das Dokument gültig signiert und die elektronische Signatur mit einem Zeitstempel versehen wurde, hat die Bundesverwaltung einen Validator entwickelt und stellt diesen dem Publikum unentgeltlich unter www.validator.ch zur Verfügung.

Der Validator stellt nach dem Validierungsvorgang detaillierte Prüfberichte zum Download zur Verfügung.

Der Validator prüft im Wesentlichen Dokumente, die qualifiziert signiert oder geregelt gesiegelt sind. Weiter prüft er Dokumente, die mit dem fortgeschrittenen Signaturzertifikat der Mitarbeitenden der Bundesverwaltung auf deren Smartcard signiert sind. Andere fortgeschrittene Signaturen werden bis dato nicht geprüft. Der Validator überprüft auch elektronische Ausfertigungen schweizerischer notarieller Urkunden auf deren Gültigkeit.

Dies kann verschiedene Ursachen haben. Ein häufiger Grund sind Formulare, bei denen nach der ersten Signatur noch weitere Formularfelder ausgefüllt werden. Die Signatur im Dokument bleibt trotz den Annotationen gültig und die Integrität des PDF’s ist gewährleistet, sofern die restlichen Prüfpunkte gültig sind. Es handelt sich bei der Meldung zu den Annotationen nur um einen Hinweis. 

Ein möglicher Grund sind PDF’s, die als geschütztes PDF abgespeichert wurden. Diese lassen sich vom Validator nicht prüfen, da nicht auf alle benötigten Informationen zugegriffen werden kann.