Bundesgesetzes über Zertifizierungsdienste im Bereich der elektronischen Signatur, Schreiben an das EJPD
Auszug aus dem Protokoll des Regierungsrates des Kantons Zürich Sitzung vom 27. Juni 2012
692. Totalrevision des Bundesgesetzes vom 19. Dezember 2003
Erwägungen
über Zertifizierungsdienste im Bereich der elektronischen Signatur (ZertES) Am 19. März 2012 hat das Eidgenössische Justiz- und Polizeidepartement (EJPD) die Vernehmlassung zur formellen Totalrevision des Bundes- gesetzes über Zertifizierungsdienste im Bereich der elektronischen Signatur (ZertES) eröffnet. Die Gesetzesrevision verfolgt hauptsäch- lich drei Ziele: Zum einen soll die Anwendung der elektronischen Sig- natur für juristische Personen und Behörden vereinfacht werden. Zum andern soll neben der elektronischen Signatur künftig auch die sichere Authentifikation mit Produkten von Zertifizierungsdiensten geregelt werden. Schliesslich soll – wo immer möglich – die Regelung der elek- tronischen Signatur in den verschiedenen Gesetzen und Verordnungen terminologisch bereinigt und vereinfacht werden. Keine Änderungen sollen hingegen an den bestehenden Grundprinzipien des ZertES wie beispielsweise der Freiwilligkeit der Anbieter und der nicht abschlies- senden Regelung von Zertifikatsprodukten vorgenommen werden. Grundsätzlich sind die geplanten Änderungen zu begrüssen.
Dispositiv
Auf Antrag der Direktion der Justiz und des Innern beschliesst der Regierungsrat:
I. Schreiben an das Eidgenössische Justiz- und Polizeidepartement (Zustelladresse: Bundesamt für Justiz, Fachbereich Rechtsinformatik, Bundesrain 20, 3003 Bern; Zustellung auch per E-Mail an urspaul. holenstein@bj.admin.ch): Mit Zuschrift vom 29. März 2012 haben Sie uns den Entwurf zur To- talrevision des Bundesgesetzes vom 19. Dezember 2003 über Zertifizie- rungsdienste im Bereich der elektronischen Signatur (ZertES) samt Er- läuterndem Bericht zur Vernehmlassung zukommen lassen. Wir danken Ihnen für die Gelegenheit zur Stellungnahme.
A. Allgemeines Grundsätzlich begrüssen wir die Stossrichtung der Gesetzesrevision, insbesondere die Schaffung einer neuen Form der elektronischen Sig- natur für juristische Personen und Behörden. Dass die bisherige quali- fizierte elektronische Signatur nur natürlichen Personen zugänglich ist,
hat sich für den elektronischen Verkehr in Wirtschaft und Verwaltung, insbesondere für Massengeschäfte, als hinderlich erwiesen. Ebenfalls begrüsst wird, dass das neue sogenannte «geregelte Zertifikat» nicht nur für die elektronische Signatur, sondern auch etwa für die sichere Authentifizierung von Kommunikationspartnern eingesetzt werden kann. Diese Neuerung entspricht den heutigen Gepflogenheiten im elektronischen Geschäftsverkehr, wo neben dem Austausch von Willens- erklärungen via E-Mail vor allem auch die Geschäftsabwicklung via Web-Diensten und -Portalen eine zentrale Rolle spielt. Im Übrigen be- grüssen wir grundsätzlich auch die vorgeschlagenen terminologischen Vereinfachungen und Bereinigungen, erlauben uns aber den Hinweis, dass das Gesetz nach wie vor äusserst «techniklastig» formuliert und deshalb selbst für Fachleute teilweise nur schwer verständlich ist. Im Übrigen hängt der konkrete Nutzen digitaler Signaturen und Zer- tifikate massgeblich davon ab, in wie vielen und welchen Bereichen sie künftig eingesetzt werden können. Diese Fragen sind nicht Gegenstand der vorliegenden Revision des ZertES, das nur die Qualität gewisser Zertifizierungsprodukte und die Pflichten der Anbieter solcher Pro- dukte regelt. Bedeutung und Rechtswirkungen digitaler Signaturen und Zertifikate sind in den entsprechenden Sachgesetzen zu regeln. In die- sem Zusammenhang wird derzeit vom EJPD der gesetzgeberische Handlungsbedarf im Bereich der elektronischen Signatur abgeklärt. Ein entsprechender Vorschlag für das weitere Vorgehen wird offenbar bis Ende 2012 zuhanden des Bundesrates erwartet. Vor diesem Hinter- grund fragt es sich, warum die Revision ZertES bereits jetzt isoliert und nicht später zusammen mit der geplanten Revision der Sachgesetz- gebung erfolgen soll.
B. Zu einzelnen Bestimmungen der Vorlage Im Folgenden finden Sie neben Stellungnahmen zu neuen Bestim- mungen und Formulierungen auch Hinweise auf Mängel bereits beste- hender Gesetzesbestimmungen. Zu Art. 2 (neu) Um die bestehende qualifizierte elektronische Signatur von der neu zu schaffenden, leicht vereinfachten Signatur zu unterscheiden, wird für Letztere der Begriff «geregelte elektronische Signatur» verwendet. Wir erachten den Begriff «geregelt» in diesem Zusammenhang als wenig geglückt, denn «geregelt» können auch Signaturen sein, die nicht vom ZertES erfasst werden. Das Gleiche gilt für die Begriffe «geregeltes Zertifikat» und «digitales Zertifikat». Sinnvoller erscheinen uns etwa folgende Bezeichnungen: «ZertES-Signatur» bzw. «qualifizierte ZertES-
Signatur» und «ZertES-Zertifikat» bzw. «qualifiziertes ZertES-Zerti- fikat». Dies vereinfacht die Begriffe und grenzt die ZertES-Signaturen und -Zertifikate eindeutig von Signaturen und Zertifikaten ab, die ge- setzlich nicht geregelt sind. Die Begriffe «kryptografischer Schlüssel» und «qualifizierter Zeit- stempel» sind in Art. 2 nicht definiert. Wir schlagen vor, beide Begriffe in Art. 2 aufzunehmen. Zu Art. 7 (neu) Abs. 1 (neu): Es wird begrüsst, dass sich neu auch UID-Einheiten zertifizieren können. Im Zusammenhang mit der Zertifizierung von UID-Einheiten ist aber auf Folgendes hinzuweisen: Auch Privatper- sonen können UID-Einheiten sein. Deshalb ist darauf zu achten, dass klare Unterscheidungen zwischen UID und anderen Nummerierungs- systemen für Privatpersonen (z. B. SuisseID-Nr.) möglich sind. Ferner gibt es gemäss eCH-Standard UID auch einen provisorischen Status einer UID. Hier stellt sich die Frage, ob auch bereits bei provisorischer UID ein geregeltes Zertifikat ausgestellt werden kann oder erst bei der definitiven. Zudem ist es notwendig, dass die Interoperabilität mit bestehenden Identifikatorsystemen zur Identifikation von Zertifikats- haltern gewährleistet wird. Abs. 2 Bst. b (neu): Art. 7 Abs. 2 Bst. a des geltenden ZertES be- schränkt die Hinweise in Zertifikaten auf die Vertretung von juristischen Personen. Diese Einschränkung scheint nun (ohne nähere Begründung) weggefallen zu sein («zur Vertretung einer bestimmten Person oder UID-Einheit berechtigt»). Bei juristischen Personen ist die Vertretungs- macht durch das Handelsregister und den Zweck begrenzt. Bei natür- lichen Personen fehlt diese Beschränkung. Die Möglichkeit, auf einer ZertES-Signatur die Vertretung für eine natürliche Person zu verewi- gen, geht deshalb zu weit. Die (korrekte) Einschränkung auf juristische Personen sollte im geltenden ZertES beibehalten werden. Zu Art. 8 (neu) Das qualifizierte ZertES-Zertifikat unterscheidet sich vom geregel- ten ZertES-Zertifikat einzig durch: (1) die Beschränkung auf natürliche Personen; (2) die Verwendung nur für die elektronische Signatur. Die Erklärung zur zweiten Einschränkung im erläuternden Bericht ist dürf- tig. Sie lautet «Nichttechnische Kreise haben sich immer daran gestört, dass eine so wichtige Einschränkung, die sich offenbar aus technischen Gründen aufdrängt und daher vorerst nur einmal Technikern plausibel erscheint, nicht ausdrücklich im Gesetz aufgeführt ist.» Interessant wäre es zu erfahren, warum sich diese Einschränkung aus technischen Grün- den aufdrängt. Sinn und Zweck der beiden Stufen sind so jedenfalls
nicht klar voneinander abgegrenzt. Es ist demnach entweder eingehend und verständlich zu begründen, weshalb die Unterscheidung vorzuneh- men ist, oder aber es ist auf sie ganz zu verzichten. Abs. 3 (neu): Dieser Absatz enthält eine falsche Verweisung auf Art. 7 Abs. 1 lit. b. Korrekt ist die Verweisung auf Art. 7 Abs. 2 lit. b. Zu Art. 12 Abs. 3 (bestehend) Die Abfragen sollten nicht nur für die öffentliche Hand, sondern grundsätzlich unentgeltlich sein. Die Zertifikate dürften nur dann breite Verwendung finden, wenn jeder jederzeit unentgeltlich überprüfen kann, ob ein Zertifikat gültig ist. Soll die Regelung beibehalten werden, wäre auszuführen, weshalb das notwendig ist und weshalb die Verbrei- tung der Verwendung der Zertifikate darunter nicht leidet. Hinweise für die eine oder andere Lösung könnte eine Übersicht über die heutige Praxis geben. Zu Art. 19 (neu) bzw. Art. 18 (bestehend) Es ist nicht sinnvoll, Verjährungsbestimmungen in Spezialgesetze aufzunehmen, insbesondere dann, wenn sie mit den Verjährungsbe- stimmungen des Obligationenrechts identisch sind. Wir regen daher an, Art. 19 ZertES durch eine Verweisung auf Art. 60 OR zu ersetzen. Die Idee, die qualifizierte Signatur mit einem Zeitstempeldienst zu versehen, ist weiterzuverfolgen. Zwar kann auch bei der eigenhändigen Unterschrift nicht festgestellt werden, wann genau sie angebracht wurde. Allerdings ist die eigenhändige Unterschrift gerade durch ihre Eigen- händigkeit besser gegen Fälschungen geschützt. Dieser Schutz entfällt bei der elektronischen Signatur. Aus diesem Grund begrüssen wir die Idee, die qualifizierte Signatur mit einem Zeitstempeldienst zu versehen, um Betrugs- und anderen Fälschungsszenarien vorzubeugen. Ob der Zeitstempel nun allerdings als zwingendes Erfordernis für die quali- fizierte elektronische Signatur gemäss ZertES vorgesehen wird oder nur bei Bedarf im entsprechenden Sacherlass verlangt wird, spielt aus unserer Sicht keine zentrale Rolle. Im Allgemeinen lässt sich weder der Botschaft zum geltenden ZertES noch der einschlägigen Literatur entnehmen, weshalb es diese Haftungs- bestimmung überhaupt braucht. Wir haben ferner keine Informationen darüber, ob sie jemals angewendet wurde. Es ist daher zu prüfen, ob und inwiefern nicht bereits die allgemeinen vertraglichen bzw. ausservertrag- lichen Haftungsbestimmungen des OR genügen. Die Erläuterungen sollten sich jedenfalls klar und verständlich zu dieser Frage äussern.
Im Übrigen ist Art. 59 Abs. 1 OR nun missverständlich formuliert: Die Formulierung legt den Schluss nahe, dass für die Authentisierung mittels geregelten Zertifikats die gleiche Haftungsregelung (d. h. impli- zite Beweislastumkehr) wie für die Signatur gelten soll. Der erläuternde Bericht enthält dagegen die Aussage, die Haftung mit Beweislast- umkehr sei auf Signatur-Anwendungen beschränkt.
II. Mitteilung an die Geschäftsleitung des Kantonsrates, die Mitglieder des Regierungsrates sowie an die Direktion der Justiz und des Innern.
Vor dem Regierungsrat Der Staatsschreiber:
Husi