Regulation & Compliance

Ja, es wird unterschieden, ob die Signierenden zu den Nutzungsbedingungen der Schweiz oder der EU oder beiden zugestimmt haben. Alle Daten werden von der Swisscom (Schweiz) AG auch für die Swisscom IT Services Finance S.E. in Wien verarbeitet.

Der Distinguished Name enthält entweder den Vornamen, Nachnamen und das Geburts-/Registrierungs- oder Heimatland der Person oder ein Pseudonym mit einer Seriennummer, die sich durch die Registrierungsstelle eindeutig auf eine Person zurückführen lässt. Organisationsnamen werden nur in Sonderfällen zugelassen.

Die Schweiz ist nicht in der EU und hat somit national nicht die Gesetzgebung der EU, die sogenannte Datenschutz-Grundverordnung (DSGVO) eingeführt. Grundsätzlich ist die DSGVO auch dann anwendbar, wenn die Unternehmen ihren Sitz in der Schweiz haben und Dienstleistungen in der EU anbieten.

Somit gelten für Swisscom die gleichen Pflichten im Umgang mit den Daten wie für alle anderen Organisationen, die die DSGVO einhalten müssen:

• informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden
• “Privacy by design” und “Privacy by default” garantieren
• einen Vertreter für Datenschutzfragen benennen
• ein Verzeichnis der Verarbeitungstätigkeiten erstellen
• Verletzungen des Datenschutzes an die Aufsichtsbehörde melden
• eine Datenschutz-Folgenabschätzung durchführen

Alle Applikationen, die den Datenschutz betreffen und zur Datenverarbeitung eingesetzt werden, z.B. auch die RA-App müssen DSGVO konform sein. Swisscom gibt hierfür auf seinen Seiten:
Schweiz: www.swisscom.com/signing-service

Österreich: www.swisscom.at

Entsprechende Datenschutzerklärungen gemäss DSGVO ab.

Schweiz galt immer schon und gilt gemäss Art. 45 DSGVO (Datenübermittlung auf der Grundlage eines Angemessenheitsbeschluss) als sicheres Drittland, d.h. die üblichen Genehmigungen wie bei anderen Drittländern (z.B. USA) sind hier nicht notwendig. Die Schweiz verfügt dank ihres Datenschutzgesetzes und der laufenden Anpassung an die DSGVO über ein “angemessenes Schutzniveau für die Übermittlung von personenbezogenen Daten” nach EU-Kriterien, d.h. ist faktisch bei der Datenübertragung so wie ein EU Land zu behandeln:

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en

Swisscom muss im Rahmen seiner fortlaufenden Auditierungen sowohl gegenüber der Anerkennungsstelle in der Schweiz als auch gegenüber der Konformitätsbewertungsstelle in Österreich, dass alle für die Ausstellung von digitalen Signaturen notwendigen strengen Datenschutzauflagen eingehalten werden. D.h. über einer Selbstdeklaration hinaus sind Vertrauensdienstanbieter und Zertifizierungsdienste durch die Gesetzgebung und den angewandten internationalen Normen, wie z.B. ETSI 319 401, verpflichtet einen angemessenen Datenschutz aller persönlichen Daten nachzuweisen und auditieren zu lassen.

Die nachzuweisenden und zu auditierenden Datenschutzanforderungen gelten auch für die Registrierungsstellentätigkeit – einer Aufgabe eines Vertrauensdienstanbieters und Anbieters von Zertifizierungsdiensten. Damit ist auch der Datenschutz auf der RA-App als Teil des Registrierungsprozesses gewährleistet. Die RA-App selber speichert keine persönlichen Daten permanent. Es können auch keine Daten exportiert werden. Sobald die Identifikation abgeschlossen wurde, werden die Daten vom RA-Agenten signiert übermittelt als sogenannte Evidenz. Diese Evidenzen werden bei Swisscom im RA-Service unter strengen Sicherheitsauflagen (z.B. 4-Augen Zugang) aufbewahrt. Nur wenige Personen haben Zugang zu diesen Daten und dürfen diese nur aufgrund eines richterlichen Beschlusses weitergeben oder in Bezug auf die Qualität der Identifikation prüfen. Swisscom haftet nach dem Gesetz für die ordnungsgemässe Durchführung der Signatur und damit auch der Identifikation unbegrenzt.

RA Master Agenten haben einen Webzugang auf ein Portal, in welchem sie alle von den RA-Agenten identifizierten Personen mit Namen, Vornamen, Ablaufdatum des ID Dokumentes und Mobilfunknummer einsehen können. Die Ausweisdokumente und Fotos (sogenannte “Evidenzen”) sind nicht zugreifbar oder exportierbar.

Swisscom ist gesetzlich verpflichtet, für die Signatur Personendaten aufzunehmen. Sie ist damit für diese Daten verantwortlich. Somit kann Swisscom auch nicht die Rolle eines Auftragsverarbeiters spielen, auch wenn es für die Signatur z.B. Mitarbeiterdaten eines Kundenunternehmens erhält. Ähnlich wie Telekom- oder Postdienstleister hat hier Swisscom einen gesetzlichen Auftrag. Swisscom hat wiederum mit den Nutzungsbestimmungen ein gesetzliches Vertragsverhältnis mit den Signierenden. Hierin akzeptiert der Signierende auch die Datenverwendung.

Mit der RA-App verlagert Swisscom die Aufnahme von Identitätsdaten an einen externen Dienstleister, der in den Verträgen “RA-Agentur” genannt wird. Hierfür sieht die Datenschutzgrundverordnung die Auftragsverarbeitung vor. Die RA-Agentur muss die Vorgaben der Auftragsdatenverarbeitung daher einhalten.

Auch in rein Schweizer Projekten wird die Einhaltung der DSGVO Auftragsdatenverarbeitung eingefordert. Das hat zwei Gründe:

• Einerseits kann selten garantiert werden, dass in der Schweiz identifizierte Personen nicht EU Bürger sind, die dem Marktprinzip der DSGVO unterliegen,
• Andererseits kann die RA-App nicht so eingesetzt werden, dass nur Personen für die Schweiz identifiziert werden, d.h. es findet immer eine Auftragsdatenverarbeitung auch für Swisscom IT Services Finance S.E. in Wien statt.

Es gibt Projekte, in denen Swisscom auf gesetzlich anerkannte Identifikationsverfahren bei Dritten aufsetzt und diese auch auditieren lässt. Typisches Beispiel ist hier eine Bank, die im Rahmen ihres KYC Prozesses eine Präsenzidentifikation einer Person durchführt. In diesem Falle erhält Swisscom eine Kopie dieser Daten für ihre eigene Geschäftszwecke (Signatur). Eine Auftragsdatenverarbeitung ist hier nicht notwendig, da zwei verantwortliche Parteien für die Daten vorhanden sind. Umgekehrt wird hierbei auch nicht das Joint Controllership Prinzip der DSGVO herangezogen, da die Aufnahme nicht einem gleichen Geschäftszweck dient und beide im Sinne des gemeinsamen Geschäftszwecks verantwortlich handeln. Die Bank handelt für ihren Geschäftszweck, z.B. Kontoeröffnung und Swisscom verfolgt seinen Geschäftszweck, die Ausstellung von Signaturen. Dennoch beinhalten unsere Verträge zur “Delegation der Registrierungsstellentätigkeit” in diesem Fall auch ein Minimum an Regelungen, wie in Bezug auf Datenschutz und DSGVO vorgegangen wird.

Bei einer Fernsignatur verwaltet Swisscom treuhänderisch die Schlüssel zu den Signaturzertifikaten. Bei einer Personensignatur werden die Signaturzertifikate nur für die Signatur erzeugt und verlieren nach ca. 10 Minuten ihre Gültigkeit. Unternehmenszertifikate für Siegel haben Gültigkeiten von bis zu 3 Jahren. Der private Schlüssel muss dabei laut Gesetz auf einer (qualifizierten) Signaturerstellungseinheit gespeichert werden. Der Speicher hierfür ist ein Gerät, welches hauptsächlich nur für die Schlüsselspeicherung konzipiert ist, das HSM (Hardware Security Modul). Es unterliegt einer strengen Regulierung, Auditierung, in Bezug auf Fähigkeiten und Zugang zu diesem Gerät. Für Signaturen in der EU und in der Schweiz gelten besonders hohe Fähigkeiten, die nur von wenigen HSM Herstellern weltweit zur Verfügung gestellt werden.

Regelung zur Löschung von Personendaten bei Zertifizierungs- und Vertrauensdiensten

Evidenzdaten von Personen, die noch nicht signiert haben, aber eine Registrierung durchgeführt haben, werden nach 15 Tagen Erinnerung per SMS gelöscht, wenn die Nutzungsbestimmungen der Swisscom noch nicht akzeptiert und signiert wurden.

Personen, die bereits signiert haben, unterliegen mit Ihren Daten für eine qualifizierte Signatur der Aufbewahrungspflicht des österreichischen Signaturgesetzes (SVG §10 (3)) von über 30 Jahren bzw. der Aufbewahrungspflicht des schweizerischen Signaturgesetzes (ZertES bzw. ausgeführt in der Verordnung zum Signaturgesetz VZertES, Art. 9 (3)) von über 10 Jahren.

Bei fortgeschrittenen Signaturen betragen die Aufbewahrungsfristen gemäss der auditierten Normen 7 Jahre.

Die Aufbewahrungsfristen werden jedem Signierenden in den Nutzungsbestimmungen Schweiz und EU (Kapitel 7.4) und Datenschutzerklärungen (Kapitel 5) angezeigt und vom Signierenden akzeptiert (DSGVO Art 6 (1) (a,b)). Gemäss Art 6 (1) (c) DSGVO ist der Vertrauensdienst darüber hinaus verpflichtet, die Einhaltung der rechtlichen Verpflichtung in der Aufbewahrung der Daten sicherzustellen sowie auch die automatische Löschung der Daten nach der Aufbewahrungszeit.

Vertrauensdienste sind verpflichtet, beim Logging und Archivierung der Daten die ETSI Vorschriften, insbesondere EN 319411-1 (6.4.6) einzuhalten und werden dementsprechend laufend von Konformitätsbewertungsstellen auditiert und den Aufsichtsstellen überwacht. Das Audit wird bei Swisscom von der KPMG ausgeführt. In Österreich untersteht der Vertrauensdienst Swisscom IT Services und Finance S.E. der Kontrolle der RTR GmbH als Aufsichtsstelle, in der Schweiz untersteht Swisscom (Schweiz) AG als Zertifizierungsdienst der Kontrolle des BaKOM.

Hintergrund der Vorschriften liegt in der notwendigen Beweisführung, die ein Zertifizierungs- bzw. Vertrauensdienst ermöglichen muss, falls die Gültigkeit einer Signatur vor Gericht angezweifelt wird.

Beides sollten Personen aus der IT sein, die die Applikation kennen. Es muss nicht eine Person mit der offiziellen Rolle “Datenschutz” sein. Swisscom will hier einfach das 4-Augen Prinzip beibehalten. Die Rollen sind: Auskünfte geben können über die Administration der Benutzerapplikation (wer hat Zugang, was könnte ein Administrator manipulieren, wo hakt es ggfs., SSL Connection zu Swisscom) und beim Sicherheitsverantwortlichen Themen wie Virenschutz, Zugangskontrolle allgemein, etc.

Zum einen kann eine interne Gesellschaft bei entsprechendem Volumen “Reselling Partner” von Swisscom werden für andere Gesellschaften. Dann geht der Zahlungsfluss direkt nur über diese einzelne Gesellschaft. Es kann auch eine Gesellschaft die komplette Verantwortung für den Betrieb der Teilnehmerapplikation übernehmen. Auch dann gehen Rechnungen nur über diese Gesellschaft. Sie kann dann Mitarbeiter der anderen Gesellschaften identifizieren.

Sofern alle Gesellschaften unabhängig die Teilnehmerapplikation betreiben wollen (mit jeweils eigener Haftung und Verantwortung) und auch selber RA-Agenten stellen wollen, bedarf es für jede Gesellschaft einen eigenen Vertrag.

Swisscom investiert jährlich hohe Summen in die fortwährenden Audits. Um dennoch das Angebot eines Trust Service Providers am Markt preisgünstig platzieren zu können, wird dieser Service in einer standardisierten Form angeboten. Es findet pro Kunde kein “Projekt” statt, sondern Signaturen werden als Plattformgeschäft verkauft. Das heisst insbesondere:

• Es ist der Standardprozess der Bestellung mit den durch die Auditoren mitgeprüften Vertragstexten einzuhalten.
• Weitere Assessments durch Teilnehmer und die Prüfung und Annahme eigener Vertragstexte sind im Angebot nicht inbegriffen.

Viele Aspekte des Trust Service Providers unterliegen nicht nur Auflagen in der Ausführung des Services sondern auch in der Festschreibung wichtiger Pflichten, Haftungsregelungen und Mitwirkungsleistungen in den Vertragsunterlagen. Daher unterliegen diese Vertragsunterlagen auch der Auditierung bzw. werden auch den staatlichen Konformitätsbewertungsstellen vorgelegt. Daher können weder Änderungen des Rechtssystems akzeptiert werden, noch vertragliche Beilagen des Teilnehmers insbesondere, wenn diese fremden, anwendbaren Recht unterliegen.

Ist es dennoch notwendig, vertragliche Texte anzupassen, vertragliche Regelungen hinzuzufügen (z.B. eigene Code of Conducts, Data Protection Declaration etc.), besondere Assessmentfragebögen zu bearbeiten oder haben Sie gar Fehler oder unklare Formulierungen entdeckt, so melden sie diese bitte an unser Produktmanagement.

Sofern allfällige Fehler oder Unklarheiten ersichtlich sind, wird ein entsprechender Change Prozess seitens Produktmanagement hierzu angestossen und schnell möglichst umgesetzt.

Für die Bewertung anderer Fragen wird ein Bearbeitungsteam gebildet, dass die entsprechenden Experten (z.B. Rechtsabteilung, Sicherheitsverantwortlicher, Compliance Officer, etc.) heranzieht und eine Bewertung der Anfrage durchführt. Hierfür wird eine Bearbeitungsgebühr von CHF 6’000 fällig. Sofern das Expertenteam nicht direkt eine Lösung erarbeiten konnte, wird dieses eine Antwort und Angebot erarbeiten, welche weiteren Schritte seitens Swisscom vorstellt und abschätzt.

Nein, nur für den Betrieb der Signaturapplikation benötigt es keine Zertifizierung und kein offizielles Audit mit Zertifikat. Der Kunde gibt im Rahmen einer “Konfigurations- und Annahmeerklärung” eine Selbstdeklaration ab, die Signaturapplikation ordnungsgemäss zu betreiben, d.h. z.B. den Hash eines Dokumentes nicht auszutauschen und dem Kunden das zu signierende Dokument auch tatsächlich anzuzeigen (WYSIWYS = “What you see is what you sign”). Auch der Datenverkehr sollte verschlüsselt zur Swisscom erfolgen und der Grundschutz in Bezug auf Viren und Angriffe sollte wie bei jedem anderen System gewährleistet sein. Nur eine eigene Identifikation insbesondere auch in Bezug mit einer eigenen Authentisierungsmethode kann ein Audit mit Zertifikat notwendig machen. In der Schweiz kann eine Identifikation mit Authentisierungsmethoden von Swisscom vereinfacht durch ein geeignetes vom Kunden vorgelegtes und von Swisscom abgenommenes “Umsetzungskonzept” abgehandelt werden, in der EU ist in der Regel ein Audit notwendig. Eine Authentisierungsmethode muss in der Regel immer zertifiziert werden, da hierdurch der “alleinige Zugriff” (im ETSI Kontext “Sole Control” genannt) sichergestellt werden sollte.

Grundsätzlich ist nach dem Gesetz Swisscom unbegrenzt haftbar für die Falschausstellung von qualifizierten Zertifikaten. Im Rahmen der fortgeschrittenen Zertifikate kann diese Haftung begrenzt werden. Swisscom schliesst hierfür auch entsprechende Pflichtversicherungen ab. Im Rahmen von Fehlern auf der Signaturapplikation (z.B. der Austausch eines Hashes eines Dokumentes) oder bei Fehlern bei der Identifikation durch dritte Registrierungsstellen, wird Swisscom seinerseits diese Dritte in Haftung nehmen. Um die Risiken einer Haftung zu vermeiden, werden an den Ausstellungs- und Vertragsprozess hohe Anforderungen gestellt und generell auch die Möglichkeit einer Auditierung der beteiligten Dritten gefordert.

Die schweizerische Gesetzgebung, d.h. das Schweizerische Bundesgesetz über die elektronische Signatur (ZertES), sieht die Einzelheiten vor, nachdem Unternehmer als Zertifizierungsdienst anerkannt sind. Die akkreditierte Anerkennungsstelle für die Anerkennung von Swisscom als Zertifizierungsdienst in der Schweiz ist die KPMG (Akkr. Nr. SCESm 0071). Sie stellt eine Konformitätsbewertungsbestätigung aus (zu finden unter www.swisscom.com/signing-service).  Die Schweizerische Akkreditierungsstelle SAS führt eine Liste der akkreditierten Zertifizierungsdiensten: Link

Mit dem Inkrafttreten der Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt der Europäischen Union (eIDAS) wurde die Basis für eine europaweite, rechtsgültige elektronische Kommunikation und sichere elektronische Identifizierung geschaffen. Mit Hilfe der Vertrauensdienste, wie elektronischen Signaturen, Siegeln, Zeitstempeln, Zustelldiensten und Zertifikaten zur Authentifizierung, können Unternehmen, Verwaltungen und Privatpersonen digitale Dokumente wie Angebote, Bestellungen, Verträge u.v.m. innerhalb der Europäischen Union auf einer einheitlichen Rechtsbasis austauschen. Damit löst die neue EU Verordnung das nationale Signaturgesetz und Signaturverordnungen ab.

Nach dieser EU-Verordnung (EU) Nr. 910/2014/EU (eIDAS-Verordnung) haben sogenannte nationale Vertrauenslisten eine konstitutive Wirkung. Mit anderen Worten, ein Vertrauensdienst und die von ihm erbrachten Vertrauensdienstleistungen werden nur dann qualifiziert und überall in der EU als qualifiziert betrachtet, wenn sie in den sogenannten “Trusted Lists” erscheinen. Folglich profitieren die Nutzer (Bürger, Unternehmen oder öffentliche Verwaltungen) nur dann von der Rechtswirkung eines bestimmten qualifizierten Vertrauensdienstes, wenn dieser in den Vertrauenslisten als qualifiziert aufgeführt ist. Swisscom ist mit seiner Tochtergesellschaft in Österreich “Swisscom IT Services Finance S.E.”, Wien in dieser Vertrauensliste aufgenommen worden mit qualifizierten Zertifikaten und Siegeln:

https://webgate.ec.europa.eu/tl-browser/#/tl/AT

Swisscom IT Services Finance S.E. hat Swisscom (Schweiz) AG mit dem Betrieb des Vertrauensdienstes beauftragt und auch die Registrierungsstellentätigkeit an Swisscom (Schweiz) AG delegiert. Swisscom(Schweiz) AG bietet somit den Dienst am Markt an und nimmt auch vertragliche Dokumente im Auftrag der Swisscom IT Services Finance S.E. entgegen.

Swisscom kann grundsätzlich nur bestätigen, dass es nach der eIDAS Verordnung der EU und nach dem ZertES Gesetz der Schweiz in beiden Rechtssystemen qualifizierte Signaturen ausstellen kann. Hierbei werden die qualifizierten Schweizer Signaturen nur in der Schweiz qualifiziert anerkannt und die eIDAS qualifizierten Signaturen in der EU.

Ob die qualifizierte Signatur für einen beliebigen Vertrag zulässig ist, muss in jedem Falle von einem Juristen geprüft werden. Swisscom darf hierzu keinerlei Rechtsauskunft geben. Das hängt nicht nur mit der Signatur zusammen, sondern auch aufgrund ggfs. anderer Punkte, die in Verträgen vereinbart werden können. Beispielsweise kann die Forderung einer “Rücksendung per Einschreiben” dazu führen, dass eine elektronische Signatur gar nicht geleistet werden kann, da ein postalischer Papierweg vorgeschrieben ist.

Grundsätzlich gilt in beiden Rechtssystemen EU und Schweiz die Beweisumkehr (bzw. in Deutschland auch Anscheinsbeweis gegenüber dem Augenscheinsbeweis) in Bezug auf qualifizierte Signaturen. D.h. eine Gegenseite muss beweisen, dass die qualifizierte Signatur nicht ordnungsgemäss erfolgt ist, falls diese angefochten wird. Und natürlich kann Swisscom anhand der von KPMG testierten Überprüfungen nachweisen, dass die qualifizierte Signatur ordnungsgemäss erfolgt.

Die Aufbewahrungsfristen der Identitätsfeststellung und des Tätigkeitjournals und damit auch die Beweisfristen betragen in der Schweiz 11 Jahre und in der EU 35 Jahre. Swisscom verwendet grundsätzlich den Langzeitvalidierungsstandard von ETSI (LTV).

Long Term Validation bedeutet eine Signatur so zu validieren, dass sie für lange Zeit valide bleibt. Die LTV Validierung lässt eine Validierung aber nur so lange zu, wie das Wurzelzertifikat für den Zeitstempel nicht abgelaufen ist. Es empfiehlt sich daher bei Langzeitbeweiserhaltung die Dokumente vor Ablauf nochmals mit einem Zeitstempel zu versehen, damit die Integrität und Aussagekraft des Signaturbeweises weiterhin gegeben ist.

Grundsätzlich sollten PDF Dokumente auch in sicheren Archiven verwaltet werden. Es kann eine Situation in 5, 10 oder 20 Jahren kommen, dass die Signaturalgorithmen “geknackt” werden, d.h. es könnte damit die Unversehrtheit oder Authentizität nicht mehr gewährleistet sein. Gute Archivsysteme sehen daher regelmässige Resignatur z.B. mit einem Zeitstempel vor, der immer den neuesten Algorithmus nutzt und damit die Integrität des Dokumentes sicherstellt.

Im WWW findet man hierzu verschiedene optimierte Verfahren, z.B. “Archisig”. Das deutsche BSI hat auch eine technische Richtlinie „Beweiswerterhaltung kryptographisch signierter Dokumente“ herausgebracht. Sie ist die Spezifikation sicherheitstechnischer Anforderungen für den langfristigen Beweiswerterhalt von kryptographisch signierten elektronischen Dokumenten und Daten nebst zugehörigen elektronischen Verwaltungsdaten (Metadaten).

Eine für diese Zwecke definierte Middleware (TR-ESOR-Middleware) im Sinn dieser Richtlinie umfasst alle diejenigen Module und Schnittstellen, die zur Sicherung und zum Erhalt der Authentizität und zum Nachweis der Integrität der aufbewahrten Dokumente und Daten eingesetzt werden.

Nein.

Mit der Vertragskündigung werden noch existierende, gültige Siegelzertifikate widerrufen (revoziert).

Gesetzlich ist geregelt, wie so ein “shutdown” Scenario abzulaufen hat: In der CP/CPS des Zertifizierungsdienstes bzw. Vertrauensdienstes sind die genauen Abläufe beschrieben. Es muss einen Shut-Down Plan geben und die benachrichtigte Aufsichtsstelle bzw. das BAKOM benennt dann in der Regel einen Nachfolger, der den Dienst für die Kunden anbieten könnte. Dieser Nachfolger erhält dann in der Regel auch die Certificate Revocation List und damit die Liste über die Gültigkeiten der Zertifikate, sofern Swisscom die nicht weiter noch selber publiziert. Die Liste wird weiterhin für Jahre betrieben, so dass die Gültigkeit von Unterschriften auch weiterhin geprüft werden kann. Die Evidenzen zu den Registrierungen für den Service müssen entsprechend den Aufbewahrungsfristen auch nach einer Beendigung über 11 oder sogar 35 Jahre aufbewahrt werden, Swisscom oder ein benannter Nachfolger müssen ein Archivierungssystem dafür erstellen, damit in juristischen Verhandlungen auch auf diese Information zurückgegriffen werden kann. Die geleisteten Identifikationen können bei einem eventuellen Nachfolger nicht mehr genutzt werden, d.h. neue Registrierungen sind in diesem Falle notwendig.

Elektronische Unterschriften können in einem Rechtsstreitverfahren als Beweismittel vorgelegt werden. In der Regel – mit Ausnahme der qualifizierten Signatur – unterliegen sie der freien Beweiswürdigung. Da “einfache” und “fortgeschrittene” elektronische Signaturen kaum oder nur sehr grob gesetzlich definiert sind, obliegt es dem Gericht, so eine Signatur zu akzeptieren oder nicht. Die Partei, die diese Signaturen als gültig vorweisen möchte, muss hierzu die entsprechenden Beweise herbeiführen. Im Falle von Swisscom ist es hilfreich, dass auch die fortgeschrittenen Signaturen einer sehr strengen Prüfung nach dem ETSI Standard für “NCP+” Signaturen unterliegen und somit solche Auditreports herangezogen werden können. Im Falle einer qualifizierten Signatur gilt die Beweisumkehr. Da diese genau gesetzlich bestimmt ist und z.B. sowohl die Schweiz als auch Österreich im Web Validatoren für die Gültigkeiten solcher Signaturen anbieten, werden diese Signaturen erstmal als gültig angesehen, bis eine Partei das Gegenteil beweist und damit auch beweist, dass die Aufsichtsstelle oder das BAKOM sowie die Auditoren ihren Pflichten nicht nachgekommen ist.  Nach 11 Jahren in der Schweiz oder 35 Jahren in Österreich kann eine Beweisführung auch im qualifizierten Bereich Schwierigkeiten machen, da die Unterlagen zur Registrierung vernichtet werden müssen. Dennoch ist die Unterschrift immer noch als “qualifiziert” ersichtlich.

Im Rahmen einer Beweisführung nach vielen Jahren sollte auch beachtet werden, dass elektronisch archivierte Dokumente von Zeit zu Zeit immer wieder mit Zeitstempel versehen werden sollten. Es kann passieren, dass Algorithmen entschlüsselt werden und nicht mehr so robust sind. Ein Zeitstempel versiegelt das Dokument wieder mit den neuesten Algorithmen und schützt damit die Integrität des Dokumentes inklusive der Unterschriften.

Qualifizierte eIDAS Signaturen gelten nur im EU (und EWR) Raum als “qualifiziert”, genauso gelten ZertES Signaturen auch nur im Schweizer Raum als qualifiziert. D.h. bei der Rechtswahl eines dritten Staates können diese Signaturen nicht mehr ihre “qualifizierte” Wirkung erzielen oder werden ggfs. sogar nicht anerkannt.

Schweiz (QES), ZertES:

Die CP/CPS sieht vor, dass die durchgeführte Identifikation und die hinterlegte Dokumentation während max. 5 Jahren verwendet werden kann, kürzer, wenn die Gültigkeitsdauer des vorgelegten Ausweises vor der Fünfjahresfrist endet oder das Identifikationsverfahren seitens des Auditors keine 5 Jahre zulässt.

Die Aufbewahrungsfrist gemäss Art. 11. Abs. 1 VZertES (Tätigkeitsjournal) gilt: “Die anerkannten Anbieterinnen bewahren die Eintragungen betreffend ihre Tätigkeiten sowie die dazugehörenden Belege während elf Jahren auf.” Swisscom versteht diese Frist auch als Aufbewahrungsfrist für die im ID-Prozess vorgelegten Unterlagen, insbesondere Ausweiskopie.

1 Jahr Reserve wurde als “Sicherheitspuffer” hinzugerechnet, um zu vermeiden, dass Swisscom RA-Stellen die 11 Jahre anders berechnen könnten, wodurch Swisscom in Grenzfällen keine Dokumentation mehr hätte, wichtig insbesondere in Anwendung von Art. 17 ZertES (Unbeschränkte Haftung).

• So kommt man bei QES CH auf die 17 Jahre, welche in den Nutzungsbestimmungen  auch offengelegt werden.

Europa, (QES), eIDAS:

Gleiche Begründung und Herleitung wie bei der QES in der Schweiz nur mit dem Unterschied, dass in Österreich die gesetzliche Aufbewahrungsfrist 30 Jahre beträgt.  Der Artikel 10.1 aus dem SVG (Signatur- und Vertrauensdienstegesetz) lautet:

Zugangsrechte und Aufbewahrungsdauer

• 10. (1) Auf Ersuchen von Gerichten oder anderen Behörden hat ein qualifizierter VDA Zugang zur Dokumentation nach Art. 24 Abs. 2 lit. h eIDAS-VO und seiner Zertifikatsdatenbank zu gewähren.

(2) […].

(3) Die Dokumentation ist vom qualifizierten VDA 30 Jahre, gerechnet ab dem im qualifizierten Zertifikat eingetragenen Ende der Gültigkeit oder, mangels eines solchen, 30 Jahre ab dem Zeitpunkt des Anfallens von einschlägigen Informationen über die von dem qualifizierten VDA im Rahmen seiner Tätigkeit ausgegebenen und empfangenen Daten, aufzubewahren.

• So kommt man bei einer QES in Österreich auf die 36 Jahre, welche in den eIDAS Nutzungsbestimmungen auch offengelegt werden.

Fortgeschrittene Signaturen (eIDAS, ZertES)

Die CP/CPS sieht vor, dass die durchgeführte Identifikation und die hinterlegte Dokumentation während max. 5 Jahren verwendet werden kann, kürzer, wenn die Gültigkeitsdauer des vorgelegten Ausweises vor der Fünfjahresfrist endet oder das Identifikationsverfahren keine 5 Jahre zulässt.

Es gibt im Bereich FES keine gesetzliche Aufbewahrungsfristen, da die Aufbewahrungsfristen  nicht gesetzlich geregelt sind. Die ETSI-Normen sehen aber eine Frist von 7 Jahren vor. Diese Angabe ergibt sich aus der ETSI Richtlinie EN 319 411-01:

6.4.6 Records archival

The following particular requirements apply:

NOTE: ETSI TS 101 533-1 [i.13] suggests provisions on how to preserve digital data objects.

1. a) The TSP shall retain the following for at least seven years after any certificate based on these records ceases to be valid:
2. i) log of all events relating to the life cycle of keys managed by the CA, including any subject key pairs

generated by the CA (see clause 6.4.5, item g));

6. ii) documentation as identified in clause 6.3.4.

1 Jahr Reserve wurde als “Sicherheitspuffer” hinzugerechnet, um zu vermeiden, dass die Swisscom RA-Stellen die 11 Jahre anders berechnen könnten.

• So kommt man bei FES auf die 13 Jahre, welche in den Nutzungsbestimmungen offengelegt werden.

1. Mündlicher Vertragsabschluss: Sehr schwierig zu beweisen (nur mit Zeugen)
2. Signiert mit einer einfachen Signatur, z.B. eingescanntes Signaturbild: Die Generierung dieser Signatur muss im Zweifelsfalle vor Gericht geprüft werden. Da das Verfahren sehr leicht gefälscht werden kann, kommt es auch hier auf andere Beweismittel an, z.B. Zeugen.
3. FES: Für eine endgültige Feststellung des Signaturbeweises müssen auch hier beide Parteien vor Gericht gehen. Das Gericht wird einen Spezialisten beauftragen, die fortgeschrittene elektronische Signatur von Swisscom zu untersuchen. Aufgrund der Audits auch im fortgeschrittenen Bereich, kann eine sehr gute Beweisführung gelingen. Dennoch ist eine FES in der Beweiskraft schlechter als eine QES, z.B. aufgrund der 1-Faktor Authentisierung bei der Signatur (ein gestohlenes Smartphone könnte ggfs. eine Signatur auslösen), der Art und Weise der Registrierung und die Archivzeiten der Evidenzen und Logs sind auf 7 Jahre begrenzt.
4. QES: Die Verifikation der Signatur kann direkt via https://validator.ch oder https://www.signatur.rtr.at/de/vd/Pruefung.html erfolgen. Die Parteien müssen dafür nicht vor Gericht gehen. Eine Beweisführung, dass diese Feststellung eine Fälschung ist, wird schwierig sein. QES Signaturbelege werden so lange aufbewahrt, wie es auch in den Geschäftsbüchern vorgesehen ist, mehr als 10 Jahre in der Schweiz und 35 Jahre in der EU.

Aufgrund der DSGVO Bestimmungen und der Tatsache, dass es dort kein Konzernprivileg gibt, muss es im Rahmen des RA-Agenturvertrages zwischen jeder Firma des Konzerns und Swisscom einen eigenen RA-Agenturvertrag geben.

Für die Langzeitvalidierung einer Signatur empfehlen wir unbedingt den PAdES LTA Standard (siehe ETSI TS 103 172). Weitere Hinweise dazu auch hier: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation . PDFs selber sollten dem PDF/A Standard erfüllen.

Bei einer Fernsignatur verwaltet Swisscom treuhänderisch die Schlüssel zu den Signaturzertifikaten. Bei einer Personensignatur werden die Signaturzertifikate nur für die Signatur erzeugt und verlieren nach ca. 10 Minuten ihre Gültigkeit. Hiermit vermeiden wir die Meldung einer Kompromittierung des Zertifikates, d.h. ein Zertifikat kann nicht kompromittiert werden. Das Verfahren hat mehrere Vorteile:

Der Endnutzer muss nicht mit Swisscom Kontakt haben (z.B. ein Userkonto, um Zertifikate zu Revozieren)

Auf Seiten der Empfänger von signierten Dokumenten entfällt das Handling mit Sperrlisten und OCSP (online Überprüfung von Gültigkeit von Zertifikaten)

Security Probleme bei Applikationen, die nur auf regelmässigen Sperrlisten Update setzen, werden vermieden

OCSP Abfragen führen zu zeitlichen Verzögerungen beim Empfänger

Zudem liefert ein Kurzzeitzertifikat immer eine positive Antwort – eine OCSP Abfrage kann immer nur eine negative Antwort geben.

Wichtig, die Unterschrift welche mit der QES geleistet wurde ist natürlich weiterhin gültig, unabhängig vom Zertifikat.

Die Kurzzeitzertifikate werden aufgrund von Registrierungen des Registrierungsservice ausgestellt, d.h. sie basieren auf Registrierung und Authentisierungsmittel. Ein Kurzzeitzertifikat wird nur erzeugt, sofern eine Authentisierung (Freigabe) im 2FA Verfahren vorliegt.

Beispiel zur Analogie im Papierumfeld: Ich unterschreibe einen Vertrag mit einem Tintenschreiber. Die Tinte im Schreiber ist nach der Unterschrift leer. Der Vertag bleibt natürlich gültig.

Bei der Unterschrift mit einer QES gelten folgende Beweisfristen:

Die Aufbewahrungsfristen der Identitätsfeststellung und des Tätigkeitjournals und damit auch die Beweisfristen betragen für EU Signaturen in Österreich (hier sind wir akkreditiert) 35 Jahre in der Schweiz 10 Jahre.

Durch die PAdES B LTA Norm können Signaturen aufgrund von Kurzzeitzertifikaten auch lange Zeit nach Ablauf validiert werden.

Die Algorithmen zur Hashbildung (Prüfsummenbildung) und Verschlüsselung des Hashes richten sich nach den Empfehlungen des ETSI Standards ETSI TS 119 312, die wiederum auch die NIS Standards befolgen. Diese Algorithmen haben bestimmte Annahmen über Zeiträume von 1->6 Jahren, in denen sie stabil sind. Entwicklungen (z.B. Cracken von Algorithmen) können hier aber schnell auch zu Änderungen führen. Swisscom Trust Services ändert z.B. jetzt wieder seine Wurzel CA, um den Anforderungen > 6 Jahren zu befolgen. Im Herbst dieses Jahres wird wiederum eine Neuauflage der Spezifikation erwartet.

Für eine Langzeitvalidierung ist es daher notwendig regelmässig die Integrität auf Basis neuester Algorithmen zu gewährleisten, z.B. jährliches Zeitstempeln aller Dokumente oder Verwendung entsprechender Archivierungslösungen. Stichwort «Beweiswerterhaltung» – siehe hierzu die DIN 31647:2015-05.

Swisscom Trust Services ist eine reine Plattformdienstleistung, die hoch standardisiert und reguliert anhand von Standardworkflows zur Abwicklung die gesetzlich vorgeschriebenen Signaturdienstleistungen allen Signierenden als Fernsignatur einer Vielzahl von Kunden in Europa zur Verfügung stellt. Das hierzu bereitgestellte Standardvertragswerk wurde bei den Aufsichtsbehörden eingereicht und/oder entsprechend auditiert. Swisscom Trust Services erbringt somit mit Ausnahme von gesondert beauftragten Beratungsleistungen im Vorfeld keine projektspezifischen Leistungen im Rahmen der Signatur oder der Registrierung oder Aufwände für Vertragsverfahren, die vom Standardvertragsworkflow abweichen.

Somit können wir allen Kunden und Partnern gleiche günstige Preise gemäss Leistungs- und Preisverzeichnis anbieten. Wir bitten um Verständnis.

Das betrifft insofern und inbesondere (aber nicht ausschliesslich) auch:

• Abschluss aller zusätzlichen Vereinbarungen und Verträge, z.B. Code of Conducts, Vereinbarungen zur Aufnahme im Lieferantenverzeichnis, Procurement Policies, Anti-Corrpution Directives, projekt- oder kundenspezifische AGBs, Datenschutzerklärungen, Datenschutzverarbeitungen, etc., da diese auch die standardisierten, regulierten Verträge aushebeln könnten.
• Änderungen an den Verträgen, insbesondere auch anwendbares Recht, abweichende Versicherungswünsche.
• Abweichungen von den Vertragsprozessen, z.B. Nutzung von weiteren Plattformen für Lieferantenregistrierung/Vertragsunterzeichnung
• Besondere Vereinbarungen zur Einsichtnahme in Architektur oder Offenlegung von Realisierungsdetails (z.B. Backupverfahren, Programmier- und Sicherheitsdetails wie Zugriffsschutz, zugänge, kryptographische Verfahren, Desaster Recovery etc.). Alle Hinweise zur Praxis der Dienstausübung veröffentlicht Swisscom in ihrer CP/CPS (https://trustservices.swisscom.com/repository ) und dem Basisdokument zur CP/CPS. Aus Sicherheitsgründen werden weitere Details keinem Kunden herausgegeben, so dass nicht ein Wissen aufgebaut werden kann, um ggfs. zielgerichtet Attacken zu entwerfen.
• Anfragen auf Anschlüsse an das betriebsinterne Monitoring, Swisscom veröffentlicht Störungen seines Service über die Web-seite https://trustservices.swisscom.com/status-service , die auch im Rahmen des RSS Protokolls abonniert wer-den kann. Darüberhinausgehende Eingriffe in das System zu Monitoringzwecken werden aus Sicherheitsgründen nicht zugelassen.

Die Zertifizierungs- und Vertrauensdienste müssen ihre Praktiken und Abläufe, wie sie einen Dienst ausführen, in einem sogenannten „CP/CPS“ (Certificate Policy/Certificate Practise Statement) Dokument beschreiben. Die Dienste werden nicht nur zu Beginn der Tätigkeit, sondern regelmässig durch staatlich anerkannte Auditoren auditiert und die Anerkennungsstelle (Schweiz) bzw. Aufsichtsstelle (EU) des Staates entscheiden anhand der Audits über die Zulassung, Weiterbetrieb oder Erweiterung der Zertifizierungsdienste und Vertrauensdienste und stellen damit den hohen Qualitätsstandard im Markt für alle Signierenden sicher. Neben den allgemeinen gesetzlichen Vorgaben müssen zahlreiche Normen der europäischen Standardisierungsstellen ETSI und CEN eingehalten werden.

Der Staat publiziert die Einhaltung der Normen und Auditstandards und damit auch die Zulassung als anerkannter Zertifizierungs- bzw. Vertrauensdienst auf seinen Webseiten:

• Schweiz:
• EU (Trust List):

Gemäß der eIDAS-Verordnung müssen die Vertrauensdiensteanbieter auf nationaler Ebene akkreditiert werden und die nationalen Gesetze, Regeln und Vorschriften der nationalen Aufsichtsbehörde befolgen, sofern nicht eine andere EU-weite Verordnung bestimmte Regeln festlegt, wie die Durchführungsbeschlüsse der EU-Kommission, z. B. für die ADES-Standards oder die Sicherheitsstufen der eID oder einige Regeln aus der eIDAS-Verordnung selbst. So hat jedes Land unterschiedliche nationale Standards für seine Vetrauensdiensteanbieter; in Deutschland muss zum Beispiel das BSI einige Aspekte genehmigen, in Frankreich das Institut ANSII. In einigen Ländern ist z.B. die Videoidentifikation vollständig erlaubt. In anderen ist sie verboten, und in Drittländern ist sie nur mit kurzfristigen Zertifikaten erlaubt.
Die EU-Verordnung eIDAS sieht jedoch vor, dass alle qualifizierten elektronischen Signaturen von einem national akkreditierten Vertrauensdiensteanbieter in einem beliebigen EU-Land von allen EU-Mitgliedern akzeptiert werden müssen. So kann ein in Frankreich akkreditierter Vertrauensdiensteanbieter seine QES, die auf den französischen Vorschriften basieren, in Deutschland verkaufen, und ein österreichischer Vertrauensdiensteanbieter, wie z.B. die Swisscom, muss nur die österreichischen Vorschriften befolgen und kann seine qualifizierten Signaturen in anderen EU-Ländern verkaufen. Die EU-Vertrauensliste ist der Standardanker und bestätigt, dass eine qualifizierte Signatur, die von einem der dort aufgeführten Vertrauensdiensteanbietern ausgestellt wurde, akzeptiert werden muss.
Mit der Version 2 der eIDAS-Verordnung werden die EU-Länder versuchen, die Teile der Akkreditierung, z.B. die Art und Weise, wie man sich für einen Dienst registrieren lassen kann, mehr und mehr zu harmonisieren, und sie wollen sogar eine EU-eWallet als Basis für die zukünftige Identifikation für jeden vertrauenswürdigen Dienst schaffen.