Regelungen für digitale Signaturen in der Schweiz und in der Europäischen Union
Im Hinblick auf die Schaffung eines Rechtsrahmens für den digitalen Raum ist die EU eine treibende Kraft – mit weitreichenden Regelungen. Jedes Land, das mit der EU zusammenarbeiten möchte, muss sich an die vorgegebenen Richtlinien halten. Aus diesem Grund ist es wichtig zu verstehen, wie die europäischen Rechtsvorschriften für die digitale Kommunikation umgesetzt werden und wie sie sich auf die Schweiz auswirken.
Für das digitale Jahrzehnt hat die Europäische Kommission folgendes Ziel definiert: ein Europa, das fit für das digitale Zeitalter ist. Dazu wurden mehr als 30 Gesetze und Initiativen umgesetzt. Diese sollen ein vertrauenswürdiges digitales Ökosystem fördern, das die Privatsphäre der Nutzer respektiert sowie einen fairen, für den Wettbewerb offenen Markt und den Übergang zu einer demokratischen digitalen Gesellschaft gewährleistet. Gleichzeitig wird angestrebt, bis 2050 klimaneutral zu werden.
Von besonderem Interesse ist die eIDAS-Verordnung (electronic Identification, Authentication and Trust Services). Diese Verordnung ist in der ersten Fassung seit dem 1. Juli 2016 in Kraft. Sie legt einen gemeinsamen Rechtsrahmen innerhalb der EU fest, um die Interoperabilität und die Sicherheit elektronischer Vertrauensdienste wie elektronischer Signaturen und Siegel, elektronischer Einschreib- und Zustelldienste etc. zu gewährleisten. Diese Verordnung ist eine Grundlage, auf die sich jedes Unternehmen stützen kann, um vertrauenswürdige digitale Dienste aufzubauen. Die Anwendungsfälle reichen von der offiziellen Unternehmenskommunikation bis hin zu befristeten Arbeitsverträgen.
Eine aktualisierte eIDAS-Verordnung, die eIDAS 2, wird derzeit auf den Weg gebracht. Sie soll die Schwachstellen der wiederverwendbaren elektronischen Identität beheben, die in der ersten Fassung der Verordnung noch fehlten. Es ist geplant, dass die Verordnung 2024 in Kraft tritt. Die europäische digitale Identität (EUid) soll allen, die sie nutzen und gleichzeitig die volle Kontrolle über ihre Daten behalten möchten, zur Verfügung stehen. Sie wird auf dem Self-Sovereign Identity-Ansatz (SSI) basieren, einer Technologie, die den Schwerpunkt auf die dezentrale Speicherung von Daten und die Zustimmung der Nutzer legt, bevor Daten geteilt werden. Um sicherzustellen, dass das System auch angenommen wird, werden die sogenannten Very Large Online Platforms (mit mindestens 45 Millionen monatlich aktiven Nutzern gemäss der DSA-Verordnung) verpflichtet sein, mobile Wallets zu unterstützen, wenn sie weiterhin in der EU tätig sein wollen. Die Kommission hat sich zum Ziel gesetzt, bis 2030 80 Prozent der europäischen Bevölkerung (das sind mehr als 350 Millionen Menschen) mit einem digitalen Wallet auszustatten.
Da die EU der wichtigste Wirtschaftspartner der Schweiz ist, ist es sehr wichtig zu verstehen, wie diese Regelungen funktionieren und wie die Schweiz Gesetze umsetzen kann, die eine digitale Gesellschaft in der Schweiz ermöglichen und gleichzeitig eine nahtlose Interoperabilität mit unserem wichtigsten Partner gewährleisten.
Obwohl die Schweizer Gesetze weniger kohärent sind als eIDAS, werden diese bereits heute im Alltag von Konsumenten sowie von privaten und öffentlichen Einrichtungen angewendet. Die Standards für E-Signaturen, Siegel und Zeitstempel sind im Bundesgesetz über die elektronische Signatur (ZertES) geregelt und gelten seit dem 1. Januar 2017. Interessanterweise haben die eIDAS-Verordnung und die ZertES-Gesetzgebung gemeinsame technologische Standards, erkennen sich jedoch nicht gegenseitig an: Eine schweizerische qualifizierte E-Signatur wird gemäss eIDAS nicht als qualifiziert angesehen und umgekehrt.
Die aktuelle Schweizer Regelung weist in Bezug auf digitale Identitäten ähnliche Lücken auf, da das Gesetz für eine eID im März 2021 in einer Volksabstimmung abgelehnt wurde. Somit gibt es keine offizielle Anerkennung einer elektronischen Identität, die für unterschiedliche private und öffentliche digitale Dienste eingesetzt werden kann. Branchenspezifische Regelungen erlauben es jedoch, auf ZertES-konforme Identifizierungsverfahren zu vertrauen. Bei diesen Verfahren wird allerdings eine digitale Identität verwendet, die von privaten Unternehmen ausgegeben wird. So erkennt die FINMA unter bestimmten Voraussetzungen die Online-Identifikation von Nutzern durch einen TSP (Trust Service Provider) in Verbindung mit einer qualifizierten elektronischen Signatur an.
Die Schweizer Regierung erarbeitet derzeit einen Vorschlag für eine elektronische Identität, die auf einer ähnlichen Technologie wie die europäische basiert und interoperabel sein soll. Bis Ende 2023 soll die Bundesversammlung über den Vorschlag beraten – mit dem Ziel, bis Ende 2025 oder 2026 ein neues Gesetz umzusetzen.
"SSI ist eine noch junge Technologie"
Die elektronische Signatur soll helfen, teure Medienbrüche zu verhindern. Welche Rolle die hierzulande noch fehlende E-ID für das Angebot an Signaturlösungen spielt und warum sich die Self-Sovereign Identity nicht schon längst durchgesetzt hat, erklärt Frédéric Mauger, Chief Product Officer bei Swisssign. Interview: Joël Orizet
Welche Schwachstellen soll die aktualisierte eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste beheben?
Frédéric Mauger: Sie soll eine wesentliche Lücke im Bereich der Erstellung und Nutzung der elektronischen Identität schliessen. Ziel ist es, einen EU-anerkannten Rahmen dafür zu definieren. Swisssign als zertifizierter Trust Service Provider beschäftigt sich bereits heute intensiv mit diesem Thema. Damit unsere digitalen Dienstleistungen gemäss EU- und CH-Verordnung gleichermassen konform sein werden, ist es wichtig, die damit verbundenen Auswirkungen auf die Schweiz zu verstehen.
Was bedeuten die Änderungen für Schweizer KMUs?
Jedes Unternehmen, das in digitaler Form mit einer EU-Einrichtung kommunizieren möchte, muss die europäischen Vorschriften für die digitale Kommunikation einhalten. So haben Schweizer Unternehmen schon wichtige «Request for Proposals» verloren, weil sie bei der Unterzeichnung der endgültigen Einreichung die falsche Verordnung (CH statt EU) angewandt haben. Ausserdem wird sich der digitale Standard für Signaturen mittelfristig etablieren. KMUs, die weiterhin wettbewerbsfähig bleiben wollen, müssen diesem Trend folgen.
Welche Rolle spielt die noch fehlende schweizweite E-ID für das Angebot an digitalen Signaturlösungen?
Qualifizierte elektronische Signaturen gemäss ZertES erfordern eine eindeutige Identifizierung der Nutzer. Eine solche digitale Identität kann jedoch nicht ohne zusätzliche Auditierung für andere vertrauenswürdige digitale Dienste wiederverwendet werden wie beispielsweise das elektronische Patientendossier. Die damit verbundenen hohen Kosten für die Anbieter (z.B. Auditierung) stehen einer breiten Einführung im Weg. Eine E-ID wäre nützlich gewesen, um diese Hürde zu beseitigen. Die Situation hat sich in der Zwischenzeit jedoch verbessert: Bis März 2022 konnte eine Identitätsprüfung ausschliesslich persönlich vor Ort durchgeführt werden. Erst seit dem 15. März 2022 lässt die Gesetzgebung zu, dass sich die Unterzeichner auch auf digitale Weise identifizieren lassen. Swisssign war das erste Unternehmen in der Schweiz, das den Zertifizierungsprozess der Online-Identifikation erfolgreich durchlaufen hat. Heute kann jede Person über die SwissID-App in nur wenigen Schritten eine zertifizierte digitale Identität erlangen. Alles, was es dazu braucht, ist ein Mobiltelefon sowie eine gültige Identitätskarte oder einen Reisepass. Es freut uns sehr, dass wir seit der Lancierung dieses Dienstes ein starkes Wachstum verzeichnen konnten und die E-Signatur so endlich massentauglich wird.
Mit einer Self-Sovereign Identity (SSI) sollen Nutzerinnen und Nutzer die vollständige Kontrolle über ihre eigenen Identitätsdaten behalten können. Warum ist der Ansatz nicht schon längst Standard?
SSI ist eine noch junge Technologie. Sie war bei der Ausgestaltung des damaligen E-ID-Gesetzes (BGEID) noch lange nicht ausgereift und konnte deshalb nicht als mögliche Umsetzung in Betracht gezogen werden. Derzeit werden in der EU jedoch wichtige Pilotprojekte durchgeführt, um Standards und Protokolle festzulegen, die ein hohes Mass an Vertrauen für das künftige E-ID-Gesetz gewährleisten sollen. Swisssign investiert bereits heute in das Thema SSI, um die zugrundeliegende Architektur, die Komponenten und die Prozesse zu verstehen. Der Ausblick ist vielversprechend: Mit SSI wird es möglich sein, den gleichen Grad an Privatsphäre zu erreichen, wie dies mit dem heutigen physischen Pass der Fall ist. Das heisst, einzig der Inhaber hat die Kontrolle über die Verwendung seiner digitalen Identität. Wir sind davon überzeugt, dass dies der richtige Ansatz für eine digitale Gesellschaft ist.
Das SSI-Konzept sieht eine dezentrale Speicherung von Daten vor. Braucht es zu diesem Zweck eine Blockchain oder gibt es auch andere technische Möglichkeiten?
Das ist ein komplexes Thema und hängt von den entsprechenden Daten ab. Den Inhabern von Wallets, in der Regel auf dem Mobiltelefon, werden sogenannte «Verified Credentials» (VC) ausgestellt. Sie sind von vornherein dezentralisiert, da jeder sein Handy in der Tasche hat. Hier ist keine Blockchain erforderlich. Der Aussteller der Verified Credentials kümmert sich ausschliesslich um den Lebenszyklus, beispielsweise, wenn diese abgelaufen sind, oder um sie zu widerrufen. Dafür muss ein Verweis auf diesen Credentials gespeichert werden. Hier kommt die Vertrauensinfrastruktur ins Spiel: So ist es möglich, eine Distributed Ledger Technology (DLT), eine Blockchain, oder eine klassische, zentral betriebene Datenbank zu verwenden.
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
visiONstage – wo Business auf Zukunft trifft
Red Hat stellt neue Lösungen für Entwickler vor
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Die Stimmen zu den Best of Swiss Web Awards 2024
SAP würdigt seine Schweizer Lieblingskunden
Ergon wächst zweistellig
HPE und Bosch bringen Lösungen zusammen für Digital Twins
