Qualifizierte elektronische Signatur (QES) in der Schweiz, gemäss dem Schweizer Signaturgesetz ZertES:
Die CP/CPS von Swisscom sieht vor, dass Sie die Identifikation und die gespeicherten Ausweisdokumente maximal 5 Jahre lang für die elektronische Signatur verwenden können, kürzer, wenn die Gültigkeitsdauer des vorgelegten Ausweises/Reisepasses vor den fünf Jahren endet oder wenn die Identifikationsmethode seitens des Auditors keine fünf Jahre zulässt.
Es gilt die Aufbewahrungsfrist nach Artikel 11.1 ZertES (Tätigkeitsnachweis): «Die anerkannten Anbieter bewahren die Aufzeichnungen über ihre Tätigkeiten und die diesbezüglichen Belege elf Jahre lang auf.» Swisscom versteht diese Frist auch als Aufbewahrungsfrist für die im Rahmen des Identifizierungsverfahrens eingereichten Dokumente, insbesondere eine Kopie des Ausweises.
Die 1-Jahres-Reserve wurde als «Sicherheitspuffer» hinzugefügt, um zu verhindern, dass die RA-Agenturen die 11 Jahre unterschiedlich berechnen können. Dies würde bedeuten, dass Swisscom in bestimmten Fällen keine Unterlagen mehr hätte, speziell bei der Anwendung von Artikel 17 ZertES (unbeschränkte Haftung).
- Zusammenfassend lässt sich sagen, dass die Archivierungszeit 17 Jahre beträgt, die auch in Bezug auf die Nutzung offengelegt werden.
Qualifizierte elektronische Signatur (QES) in Europa, gemäss der EU-Verordnung eIDAS:
Dies ist die gleiche Begründung und Herleitung wie im Fall der QES in der Schweiz, mit dem Unterschied, dass in Österreich die gesetzliche Aufbewahrungsfrist 30 Jahre beträgt. Artikel 10.1 des SVG (Signatur- und Vertrauensdienstgesetz) sieht vor:
Zugriffsrechte und Aufbewahrungsfrist
10. (1) Auf Antrag von Gerichten oder anderen Behörden gewährt ein qualifizierter FDA Zugang zu den Unterlagen nach Artikel 24 Absatz 2 Buchstabe h eIDAS-VO und seiner Zertifikatsdatenbank.
(2) […].
(3) Die Dokumentation wird von dem qualifizierten FDA für 30 Jahre zur Verfügung gestellt, gerechnet ab dem Datum, an dem das qualifizierte Zertifikat am Ende der Gültigkeit eingetragen wurde, oder, in Ermangelung eines solchen, 30 Jahre ab dem Datum, an dem relevante Informationen über die Daten, die von dem qualifizierten FDA im Rahmen seiner Tätigkeit ausgestellt und empfangen wurden, angefallen sind.
- Zusammengefasst beträgt die Archivierungszeit 36 Jahre, was auch in den eIDAS-Nutzungsbedingungen angegeben ist.
Fortgeschrittene elektronische Signaturen (FES) in der Schweiz und in Europa, nach ZertES und eIDAS
Die CP/CPS von Swisscom sieht vor, dass Sie die Identifikation und die archivierten Ausweisdokumente maximal 5 Jahre lang verwenden können, kürzer, wenn die Gültigkeitsdauer der eingereichten Karte vor den fünf Jahren endet oder wenn das Identifikationsverfahren keine fünf Jahre zulässt.
Es gibt keine gesetzlichen Aufbewahrungsfristen im FES, da die Aufbewahrungsfristen nicht gesetzlich geregelt sind.
Die ETSI-Standards sehen jedoch einen Zeitraum von 7 Jahren vor. Diese Informationen stammen aus der ETSI-Richtlinie EN 319 411-01:
6.4.6 Archivierung von Aufzeichnungen
Es gelten die folgenden besonderen Anforderungen:
HINWEIS: ETSI TS 101 533-1 [i.13] schlägt Bestimmungen für die Aufbewahrung digitaler Datenobjekte vor.
a) Der TSP bewahrt Folgendes mindestens sieben Jahre lang auf, nachdem ein auf diesen Aufzeichnungen basierendes Zertifikat ungültig geworden ist:
i) Protokoll aller Ereignisse im Zusammenhang mit dem Lebenszyklus der von der CA verwalteten Schlüssel, einschliesslich aller unterstellten Schlüsselpaare
die von der CA erzeugt wurden (siehe Abschnitt 6.4.5, Punkt g));
ii) Dokumentation wie in Abschnitt 6.3.4 beschrieben.
Die 1-Jahres-Reserve wurde als «Sicherheitspuffer» hinzugefügt, um die Möglichkeit zu vermeiden, dass die Swisscom RA-Agenturen die 11 Jahre unterschiedlich berechnen könnten.
- Zusammengefasst beträgt die Archivierungszeit 13 Jahre, was auch in den eIDAS-Nutzungsbedingungen angegeben ist.