SuisseID und die Haftungsfrage

11. Februar 2011, 13:59
  • e-government
  • sicherheit
  • security
image

Die Regelung der Haftung im Falle des Missbrauchs einer elektronischen Signatur zeigt das Misstrauen des Gesetzgebers. Doch wer Sicherheitsvorkehrungen trifft, hat wenig zu befürchten. Von Gastautor Matthias Ebneter.

Die Regelung der Haftung im Falle des Missbrauchs einer elektronischen Signatur zeigt das Misstrauen des Gesetzgebers. Doch wer Sicherheitsvorkehrungen trifft, hat wenig zu befürchten. Von Gastautor Matthias Ebneter.
Im Mai 2010 hat das Staatssekretariat für Wirtschaft (SECO) die SuisseID auf den Schweizer Markt gebracht. Mit der SuisseID soll die Verkehrsfähigkeit und damit die Marktdurchsetzung elektronischer Signaturen gefördert werden. Bereits vorher waren elektronische Signaturen von vier anerkannten Schweizer Anbietern auf dem Markt (Swisscom, QuoVadi, SwissSign und Bundesamt für Informatik BIT). Allerdings basierten diese auf unterschiedlichen Standards. Mit der SuisseID soll ein standardisierter und sicherer elektronischer Identitätsnachweis, verknüpft mit einer qualifizierten elektronischen Signatur, ermöglicht werden. Die qualifizierte elektronische Signatur dient unter anderem zur rechtgültigen elektronischen Unterzeichnung von (schriftlichen) Verträgen (Art. 14 Abs. 2bis des Obligationenrechts). Wurde ein elektronisches Dokument mit einer (gültigen) qualifizierten elektronischen Signatur unterschrieben, so darf eine Drittperson davon ausgehen und darauf vertrauen, dass die Signatur von der in den Signaturdaten angegebenen Person stammt (Identität) und echt ist (Authentizität), und dass das elektronische Dokument in der vorliegenden Form (Integrität) zum angegebenen Zeitpunkt (Zeitstempel) unterzeichnet wurde.
Sicherheit in Frage gestellt
Wenige Monate nach der Lancierung wurde allerdings die Sicherheit des neuen SuisseID-Standards in Frage gestellt, die SuisseID sei nach aktuellen, heutigen Sicherheitsstandards entwickelt worden. Allerdings fehlen konkrete Vorgaben, welches Mindestmass an Sicherheit die Umgebung des Nutzers sowie die Softwarekomponenten erfüllen müssen, um den sicheren Einsatz der SuisseID zu ermöglichen. Die Diskussionen um die Sicherheit der SuisseID haben jedenfalls gezeigt, dass die SuisseID gegen mögliche Missbräuche und Manipulationen nicht gefeit ist und entsprechende Sicherheitsrisiken bestehen.
Wer haftet bei Missbrauch?
Diese Sicherheitsbedenken und Risiken werfen – insbesondere aus der Sicht von Nutzern (also Signaturinhabern) – die Frage auf, wer für den Missbrauch einer SuisseID haftet. Die Antwort findet sich in Art. 59a des Obligationenrechts, eine Bestimmung, die mit dem Inkrafttreten des Schweizerischen Signaturgesetzes (ZertES) eingefügt wurde und von einem relativ grossen Misstrauen in die Vertrauenswürdigkeit elektronischer Signaturen geprägt ist. Nach dieser Bestimmung haftet nämlich der Signaturinhaber – unabhängig vom Verschulden – gegenüber Drittpersonen für Schäden, die diese erleiden, weil sie sich auf eine (gültige) qualifizierte elektronische Signatur verlassen haben. Die Haftung entfällt nur dann, wenn der Signaturinhaber glaubhaft darlegen kann, dass er die nach den Umständen notwendigen und zumutbaren Sicherheitsvorkehrungen getroffen hat, um einen Missbrauch der elektronischen Signatur zu verhindern. Dies bedeutet eine Beweislastumkehr zum Nachteil des Signaturinhabers (und zum Vorteil der geschädigten Drittperson).
Sicherheitsvorkehrungen gemäss VZertES
Der Bundesrat hat in der Verordnung zum Signaturgesetz (VZertEs) die erforderlichen Sicherheitsvorkehrungen definiert. Darauf stützen sich auch die Empfehlungen des SECO zum sicheren Umgang mit der Suisse ID:
# Die SuisseID und der PIN müssen immer getrennt und sicher aufbewahrt werden.
  1. Die SuisseID oder der PIN dürfen in keinem Fall Dritten überlassen werden.
  2. Die SuisseID darf nur über vertrauenswürdige (insbesondere verschlüsselte) Webseiten eingesetzt werden.

Nur geringe Haftungsrisiken
Wer diese Empfehlungen beachtet, setzt sich beim Einsatz der SuisseID nur geringen Haftungsrisiken aus. Im Haftungsfall muss der Signaturinhaber zudem nur glaubhaft machen, dass er die notwendigen und zumutbaren Sicherheitsvorkehrungen getroffen hat, er muss also nicht den vollumfänglichen Beweis dafür erbringen. Erleichternd kommt hinzu, dass Art. 59a OR keine Vermutung festlegt, dass eine elektronisch signierte Erklärung effektiv vom Signaturinhaber stammt. Wenn also ein Dritter die elektronische Signatur missbraucht, um im Namen des Signaturinhabers einen Vertrag zu signieren, so wird der Vertrag für den Signaturinhaber nicht einfach verbindlich. Er haftet nur (aber immerhin) für den Schaden, welcher infolge des Missbrauchs daraus entsteht, dass die Drittperson darauf vertraut hat, dass der Signaturinhaber den Vertrag elektronisch signiert hat (so genannter Vertrauensschaden).
In zweiter Stufe haften auch der Anbieter der elektronischen Signatur und die zuständige Akkreditierungsstelle gegenüber dem Signaturinhaber und gegenüber Drittpersonen, die sich auf eine (gültige) qualifizierte elektronische Signatur verlassen haben, für Schäden, die diese erleiden, weil der Anbieter und/oder die Akkreditierungsstelle ihren Pflichten aus dem Gesetz und den Ausführungsvorschriften nicht nachgekommen sind (Art. 16 und 17 ZertES). Der Signaturinhaber (aber auch die Drittperson) kann also gegebenenfalls auf den Anbieter und die Akkreditierungsstelle Rückgriff nehmen.
Der Autor
Matthias Ebneter ist Rechtsanwalt bei Rentsch & Partner in Zürich (www.rentschpartner.ch

Loading

Mehr zum Thema

image

Cyberangriff auf Infopro trifft auch Gemeinde Messen

Die Solothurner Gemeinde musste ihre Services nach einem Angriff herunterfahren. Derzeit kommuniziert sie über eine provisorische GMX-E-Mail-Adresse.

publiziert am 25.11.2022
image

Whatsapp-Leck: Millionen Schweizer Handynummern landen im Netz

Durch einen Hack haben Unbekannte fast 500 Millionen Whatsapp-Telefonnummern ergaunert und verkaufen diese nun im Web. Auch Schweizer Userinnen und User sind davon betroffen.

publiziert am 25.11.2022 1
image

Aargau migriert die SAP-Basis für 10 Millionen Franken in die Cloud

Der Kanton wechselt von einem On-Prem- in einen Cloud-Betrieb und vergibt den Auftrag für 10 Millionen Franken freihändig an SAP Schweiz.

publiziert am 25.11.2022
image

Meteoschweiz braucht viel Data-Know-how

Das Bundesamt für Meteorologie und Klimatologie will seine IT-Architektur umstellen und sucht dafür externe IT-Fachleute.

publiziert am 25.11.2022