1.1.
Hintergründe ^
Die europäische Signaturrichtlinie1 ist in die Jahre gekommen und genügt den Anforderungen nicht mehr. Am 4. Juni 2012 hat die EU-Kommission daher einen «Vorschlag für eine Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt» («Regulation on electronic identification and trusted services for electronic transactions in the internal market») zuhanden des Parlaments und des Rats verabschiedet und in Englisch, Französisch und Deutsch publiziert (im Folgenden als Verordnungsvorschlag bezeichnet).2 Eine zugehörige Pressemitteilung fasst die wichtigsten Absichten und Inhalte der Regelung zusammen.3
1.2.
Fragestellung ^
Der vorliegende Text soll die folgenden Fragen beantworten:
- Welche Anforderungen an den rechtlichen Status einer notifizierbaren eID stellt der Verordnungsvorschlag?
- Ist die SuisseID nach dem Verordnungsvorschlag notifizierbar?
- Falls die SuisseID gemäss aktueller rechtlicher Regelung nicht notifizierbar ist, welche Änderungen müssten an der rechtlichen Regelung vorgenommen werden, um nach Art. 6 des vorliegenden Verordnungsvorschlags notifizierbar zu werden?
- Gibt es für solche Anpassungen der rechtlichen Regelung nach Punkt 3 allenfalls verschiedene Ausrichtungen, bzw. Modelle oder Varianten?
2.1.
Technische Beschreibung ^
Die SuisseID ist ein standardisiertes Zertifikatsprodukt, das von gemäss Bundesgesetz über Zertifizierungsdienste im Bereich der elektronische Signatur (ZertES; SR 943.03) anerkannten Anbietern von ZertES-konformen Signaturzertifikaten angeboten werden kann.4 Der Standard der SuisseID ist unter Anleitung des SECO im Rahmen eines Konjunkturstabilisierungspakets entstanden.5
Die Ausgestaltung der SuisseID und ihrer eID ergibt sich in erster Linie aus dem Reglement für die SuisseID-Anbieter (aktuell ist Version 1.0c vom 4. November 2010)6 und den dort erwähnten weiteren Unterlagen, insbesondere der Spezifikation.7 Formell handelt es sich bei diesen Normen um Selbstregulierung, materiell lehnt sich die Regelung so weit wie möglich an die Regelung der elektronischen Signatur und ihrer Anbieter durch das ZertES an.
SuisseID-konforme Produkte erweitern die bisher erhältlichen Karten bzw. Geräte mit Signaturzertifikat gemäss ZertES mit einem zusätzlichen, standardisierten Authentisierungszertifikat, einer eindeutigen SuisseID-Nummer und einem Dienst für den Nachweis von Identitätsmerkmalen (Identity Provider Service IdP; auch Authentication Authority). Damit können öffentliche und private Dienstanbieter (Service Provider) einerseits ihre Benutzer sicher authentifizieren, andererseits sollen sich Anwender mit Hilfe einer SuisseID bei einer möglichst breiten Palette von staatlichen und privaten Anwendungen sicher authentisieren und ihre Identität nachweisen können.8
Die Spezifikation der SuisseID stützt sich weitgehend auf die gesetzlichen ZertES-Regelungen ab. Darüber hinaus gehende Anforderungen betreffen vor allen Dingen (i) das Authentisierungszertifikat (IAC) und wie dieses sich einer Anwendung gegenüber präsentiert, sowie (ii) den Identity Provider Service und seine Schnittstellen, über welche ein Zertifikatsinhaber ein Datenpaket anfordern kann, das die zum Zeitpunkt der Registrierung erfassten persönlichen Identifikationsdaten bestätigt.9 Beim IAC handelt es sich indessen nicht um ein qualifiziertes Zertifikat gemäss Art. 7 ZertES.
Eine SuisseID besteht damit aus den nachstehenden Produkten und Dienstleistungen:
- einem Zertifikatsträger mit einem Signaturzertifikat gemäss ZertES (Qualified Certificate, QC);
- zusätzlich zum Signaturzertifikat einem standardisierten Authentisierungszertifikat (Identity and Authentication Certificate, IAC);
- beide mit einer eindeutigen SuisseID-Nummer, sowie;
- dem SuisseID Identity Provider Service (IdP).10
Das SuisseID-Reglement erklärt die durch das ZertES vorgegebenen Prozesse für das qualifizierte Signaturzertifikat (QC) auch für das Authentisierungszertifikat (IAC) für anwendbar (soweit anwendbar).11 Das IAC ist, anders als das Authentisierungszertifikat, das üblicherweise mit bisherigen Signaturkarten mitgeliefert wurde, detailliert spezifiziert, um die Interoperabilität zwischen den verschiedenen Systemen zu verbessern.12 Der Anbieter des IAC haftet dem Inhaber und Drittpersonen, die sich auf ein gültiges Zertifikat verlassen, gleich wie ein Anbieter von ZertES-konformen Zertifikaten,13 bzw. er verpflichtet sich, in seinen AGB eine entsprechende Haftung zuzugestehen.
Bei den SuisseID-Zertifikaten werden nur die notwendigsten Informationen im Zertifikat aufgeführt, dafür werden alle auf einer Identitätskarte enthaltenen Informationen im SuisseID-IdP Server gespeichert. Ein auf eine Signatur vertrauender Dritter hat auf die zusätzlichen Attribute des IdP nur indirekt, über den Inhaber der SuisseID, Zugriff (benutzerzentrierter Ansatz),14 und auch dies nur, nachdem sich der Dritte mit starker Authentisierung ausgewiesen hat.15 Dieser Ansatz stellt gesicherte Informationen zur Verfügung, aber nicht auf dem Zertifikat, das einem zu breiten Kreis bekannt ist und z.B. bei jeder Benutzung auf einem PC dort hinterlassen wird. Hintergrund ist der datenschutzrechtliche Grundsatz der Datensparsamkeit bzw. Verhältnismässigkeit (Art. 4 Abs. 2 DSG).
Der Anbieter des SuisseID-IdP ist ebenfalls verpflichtet, in seinen AGB eine Haftung von mindestens CHF 10’000 pro Schadensfall zu übernehmen für den Fall, dass die Daten in den von ihm abgegebenen Bestätigungen mit den bei der Registrierung des Zertifikatsinhabers auf dem dabei vorgelegten Ausweis erhobenen Daten nicht übereinstimmen.16
2.2.1.
Der Trägerverein ^
Gemäss § 3 der Statuten des Trägervereins findet nur Aufnahme als Vollmitglied, wer sich verpflichtet, das Reglement des Vereins einzuhalten und die Marke SuisseID, die im Eigentum des SECO steht, lizenziert hat. Die Vollmitglieder verpflichten sich zudem, diese Anforderungen dauernd zu erfüllen. Eine Verletzung kann zum Ausschluss führen (§ 8 Abs. 1 der Statuten). Eine Überwachung der Erfüllung findet indessen nicht statt; die Mitglieder sind gehalten, Abweichungen von der Spezifikation selber dem Vorstand zu melden.17
2.2.2.
Ausgabe von Zertifikaten ^
Bei der Ausgabe von Zertifikaten wird ein Vertrag zwischen Antragsteller und dem Zertifizierungsdiensteanbieter geschlossen. Der Bezug von SuisseID-Zertifikaten erfolgt, indem der Kunde sich elektronisch bei einem der beteiligten Zertifizierungsdienstanbieter anmeldet und in der Folge ein Antragsformular ausfüllt, auf dem er sich von einer Identitätsprüfstelle (Gemeinde, SBB, Post o.dgl.) seine Identität bestätigen lässt. Die Dokumente gehen an den Zertifizierungsdiensteanbieter, der nach erfolgreicher Prüfung in der Folge dem Kunden die ID-Karte und die PIN zustellt.18
2.3.
Einsatz des IAC-Zertifikats ^
Als Authentifizierung bezeichnet man den elektronischen Prozess, der die Validierung der elektronischen Identifizierung einer natürlichen oder juristischen Person ermöglicht. (Art. 3 Abs. 4 des Verordnungsvorschlags nennt zusätzlich die Validierung des Ursprungs und der Unversehrtheit elektronischer Daten, was allerdings die übliche Bedeutung sprengt19). Die Validierung wiederum umfasst die Prüfung der Zertifikatskette, ausgehend vom Wurzelzertifikat (kryptographische Bindung zwischen dem im Zertifikat enthaltenen Namen und dem im Zertifikat enthaltenen public key), sowie der Gültigkeit des Zertifikats (d.h. ob sein Verfalldatum erreicht ist oder ob es widerrufen wurde).20 Die Gültigkeit kann entweder anhand einer CRL (Certificate Revocation List) oder mittels OCSP-Abfrage (Online Certificate Status Protocol) überprüft werden, d.h. off- oder online.21
3.
Die Anforderungen des Verordnungsvorschlags an notifizierbare elektronische Identifizierungssysteme und ihre Kompatibilität mit der SuisseID ^
3.1.
Allgemeines ^
Am 4. Juni 2012 veröffentlichte die Europäische Kommission den Verordnungsvorschlag. Die neue Verordnung soll die Signaturrichtlinie 1999/93/EG ablösen und die Nutzung von eID-Systemen vereinfachen, die in verschiedenen europäischen Ländern mit unterschiedlichen Smartcards (z.B. Personalausweisen oder Krankenversicherungskarten) angeboten werden.
Als Begründung für den Verordnungsvorschlag wurde u.a. vorgebracht, die wirtschaftliche Entwicklung setze Vertrauen in das Online-Umfeld voraus. Fehlendes Vertrauen führe dazu, dass Verbraucher, Unternehmen und Verwaltungen nur zögerlich elektronische Transaktionen durchführen oder neue Dienste einführen bzw. nutzen.22 Bereits die Digitale Agenda für Europa23 von 2010 kündigte Vorschläge für Rechtsvorschriften im Bereich der elektronischen Signaturen sowie der gegenseitigen Anerkennung elektronischer Identifizierungs- und Authentifizierungsdienste an. Ziele waren u.a., die Fragmentierung und den Mangel an Interoperabilität zu beseitigen. Auch weitere Dokumente wiederholen diese Ziele.24
Die bisherige Signaturrichtlinie25 regelt erstens nur elektronische Signaturen und sieht zweitens keinen umfassenden grenzübergreifenden Rahmen für die gegenseitige Anerkennung vor.26 Der Verordnungsvorschlag weitet den Anwendungsbereich aus, und zwar auf die elektronische Identifizierung und die Authentifizierung, und er hat zum Ziel, die gegenseitige Anerkennung und Akzeptanz elektronischer Identifizierungssysteme und anderer wichtiger einschlägiger elektronischer Vertrauensdienste zu regeln.27
3.2.1.
Kapitel I ^
(1) «Elektronische Identifizierung» ist der Prozess der Verwendung von Personenidentifizierungsdaten, die in elektronischer Form eine natürliche oder juristische Person eindeutig repräsentieren.
Zur Identifizierung werden ferner nicht dieselben Zertifikate verwendet wie für elektronische Unterschriften, weil nicht sicher gestellt werden könnte, dass einer zu identifizierenden Person beim Identifikationsvorgang wirklich nur Daten mit nicht relevantem Inhalt zur Unterzeichnung präsentiert werden und nicht eine rechtlich relevante Willenserklärung.28
(2) «Elektronisches Identifizierungsmittel» ist eine materielle oder immaterielle Einheit, die die in Absatz 1 genannten Daten enthält und verwendet wird, um Zugang zu den in Artikel 5 genannten Online-Diensten zu erhalten.
(3) «Elektronisches Identifizierungssystem» ist ein System für die elektronische Identifizierung, in dessen Rahmen den in Art. 3 Abs. 1 genannten Personen elektronische Identifizierungsmittel ausgestellt werden.
(4) «Authentifizierung» ist ein elektronischer Prozess, der die Validierung der elektronischen Identifizierung einer natürlichen oder juristischen Person oder die Validierung des Ursprungs und der Unversehrtheit elektronischer Daten ermöglicht.
(6) «Elektronische Signaturen» sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.
3.2.2.
Kapitel II ^
Artikel 5 regelt den Zugang zu mitgliedstaatlichen Online-Diensten mittels durch andere Mitgliedstaaten notifizierter Identifizierungssysteme. Dazu unten mehr unter 3.3.
Artikel 6 regelt die Voraussetzungen für die Notifizierung elektronischer Identifizierungssysteme. Dazu später mehr unter 3.4.
3.2.3.
Kapitel III–VI ^
Die Regelung umfasst insbesondere Haftungsfragen, die Beaufsichtigung der Anbieter von Vertrauensdiensten sowie den Umgang von Zivil- und Prozessrecht mit elektronischen Signaturen. Bemerkenswert ist, dass der Verordnungsvorschlag auf eine Regelung der ex-ante-Prüfung von Zertifizierungsdiensten («freiwillige Akkreditierung»)29 verzichtet. An ihre Stelle tritt eine Beaufsichtigung qualifizierter Vertrauensdiensteanbieter, die auch eine jährliche Auditierung mit einschliesst (Art. 16 des Verordnungsvorschlags).
Die Kapitel IV–VI beschäftigen sich mit delegierten und Durchführungsrechtsakten und Schlussbestimmungen.
3.3.
Gegenseitige Anerkennung und Akzeptierung ^
Ist für den Zugang zu einem Online-Dienst nach nationalem Recht oder nationaler Verwaltungspraxis eine elektronische Identifizierung mit einem elektronischen Identifizierungsmittel und mit Authentifizierung erforderlich, wird für die Gewährung des Zugangs zu diesem Dienst jedes in einem anderen Mitgliedstaat ausgestellte elektronische Identifizierungsmittel anerkannt und akzeptiert, das einem System unterliegt, das auf der Liste steht, die von der Kommission nach dem Verfahren des Artikels 7 veröffentlicht wird.
Ein Zwang, elektronische Identifizierungsmittel zu nutzen, besteht damit nicht.30 Ebenfalls besteht kein Zwang, eigene Identifizierungsmittel zu notifizieren. Auch ist es möglich, nur einzelne Systeme zu notifizieren.31 Allerdings dürfte der Druck gross sein, eine solche Notifikation vorzunehmen, um Inländerdiskriminierung zu vermeiden.
Entgegen anderslautenden Auffassungen in der Literatur32 hängt die Pflicht zur Zulassung ausländischer Identifizierungssysteme m.E. entsprechend dem Wortlaut von Artikel 5 nicht davon ab, ob der Staat eigene Identifizierungssysteme notifiziert hat.
3.4.
Voraussetzungen der Notifizierung von Identifizierungssystemen nach Art. 6 des Verordnungsvorschlags ^
Artikel 6 des Verordnungsvorschlags legt die Bedingungen fest, die für eine Notifizierung erfüllt sein müssen. Die Bedingungen sollen den Mitgliedstaaten helfen, das nötige Vertrauen in die elektronischen Identifizierungssysteme der anderen zu schöpfen.33 Der Grundsatz der gegenseitigen Anerkennung soll nur dann gelten, wenn der notifizierende Mitgliedstaat die Notifizierungsbedingungen erfüllt und die Notifizierung im Amtsblatt der Europäischen Union veröffentlicht wurde.34
Dabei ist zu berücksichtigen, dass sich die Auslegungsmethoden des EuGH für das europäische Recht etwas von der schweizerischen Praxis unterscheiden. Von Bedeutung ist insbesondere der Effektivitätsgrundsatz («effet utile»), gemäss dem die Auslegung des Rechts sich an den Vertragszielen zu orientieren hat.35 Hinsichtlich der Auslegung der verschiedenen Sprachversionen der Rechtstexte ist die Praxis hingegen naturgemäss ähnlich wie in der Schweiz.
3.4.1.
Elektronisches Identifizierungssystem ^
3.4.1.1.
Voraussetzungen ^
3.4.1.2.
Elektronisches Identifizierungsmittel ^
3.4.1.2.1.
Personenidentifizierungsdaten ^
3.4.1.2.2.
Authentifizierung ^
3.4.1.2.3.
Fazit ^
3.4.1.3.
Ausgabe an natürliche oder juristische Personen ^
3.4.1.4.
Fazit ^
3.4.2.
Ausstellung des elektronischen Identifizierungsmittels durch den notifizierenden Mitgliedstaat bzw. in seinem Namen oder unter seiner Verantwortung ^
3.4.2.1.
Die drei Varianten der Ausstellung ^
3.4.2.2.1.
Grammatikalische Auslegung ^
Bei der Ausgabe durch die Post ist die Konstellation nicht völlig eindeutig, denn die Post ist als spezialgesetzliche Aktiengesellschaft konstituiert, die eine von der Schweizerischen Eidgenossenschaft verschiedene Rechtspersönlichkeit aufweist (Art. 2 Postorganisationsgesetz), die Zertifikate werden zudem über ihre Tochter SwissSign AG herausgegeben.
3.4.2.2.2.
Historisch-teleologische Auslegung / effet utile ^
3.4.2.2.3.
Systematische Auslegung ^
3.4.2.2.4.
Fazit ^
3.4.2.3.1.
Grammatikalische Auslegung ^
In einem aktuellen Vorabentscheidungsverfahren in Rechtssache C-510/10 vor dem EuGH ging es um die Auslegung der Begriffe «im Namen» bzw. «unter der Verantwortung» im Kontext der Urheberrechtsrichtlinie 2001/29/EG. Dabei waren Vorlagefragen des dänischen «Østre Landsret» zu beantworten.38
In dem Urteil ging es um das urheberrechtliche Vervielfältigungsrecht gemäss Art. 2 der Richtlinie (in der Schweiz in Art. 10 Abs. 2 Bst. a URG geregelt). Artikel 5 Abs. 2 Bst. d der Richtlinie sieht vor, dass die Mitgliedstaaten in Bezug auf ephemere (flüchtige) Aufzeichnungen von Werken, die von Sendeunternehmen mit eigenen Mitteln und für eigene Sendungen vorgenommen worden sind, bei aussergewöhnlichem Dokumentationscharakter die Aufbewahrung in amtlichen Archiven erlauben können.39 Gemäss Erwägungsgrund 41 der Richtlinie wird bei Anwendung der Ausnahme für ephemere Aufzeichnungen davon ausgegangen, dass zu den «eigenen Mitteln» des Sendeunternehmens auch die Mittel einer Person zählen, die im Namen oder unter der Verantwortung des Sendeunternehmens handelt. Die Formulierung entspricht damit vom Wortlaut her der vorliegend zu prüfenden Bestimmung.
Das Gericht verzichtete allerdings auf eine nähere Auseinandersetzung mit dem Begriff «im Namen» und ging einzig auf den Begriff «unter der Verantwortung» ein (zum letzteren sogleich in 3.4.2.4.4). Dies wohl aus der Vorstellung heraus, dass «im Namen» ausreichend klar sei, und dass, wenn die Tatbestandsvariante «unter der Verantwortung» erfüllt sei, die Variante «im Namen» a fortiori auch erfüllt sein müsse.42
3.4.2.3.2.
Systematische und historisch-teleologische Auslegung / effet utile ^
Aus einer historisch-teleologischen oder systematischen Perspektive ist dem oben unter 3.4.2.2 Gesagten nichts beizufügen.
3.4.2.3.3.
Fazit ^
3.4.2.4.1.
Grammatikalische Auslegung ^
3.4.2.4.1.1.
Rechtssache C-510/10: Urheberrechtsrichtlinie (Auslegung durch den EuGH) ^
3.4.2.4.1.2.
Richtlinie 1995/5/EG: Anbringung des CE-Konformitätszeichen auf Funkanlagen «unter Verantwortung des Herstellers» ^
Die Rechtsfolgen von Verstössen gegen die Pflicht zur Anbringung des Zeichens regeln die Mitgliedstaaten. Nach §§ 17 Abs. 1 Nr. 5, 10 Abs. 1 des deutschen Gesetzes über Funkanlagen und Telekommunikationsendeinrichtungen (FTEG) etwa ist die Inverkehrsetzung von Funkanlagen ohne CE-Kennzeichnung mit Busse bedroht.
3.4.2.4.1.3.
Verordnungsvorschlag KOM (2012) 010: «Unter der Verantwortung und Haftung des für Datenverarbeitung Verantwortlichen» ^
3.4.2.4.1.4.
Art. 73 der EU-Pflanzenschutzmittelverordnung 1107/2009: «Zivilrechtliche Haftung und strafrechtliche Verantwortung» ^
3.4.2.4.1.5.
Zwischenfazit ^
3.4.2.4.1.6.
Verantwortung als Haftung oder umfassende Sorgepflicht ^
Damit ergeben sich aus dem Wortlaut von Art. 6 Abs. 1 Bst. a des Verordnungsvorschlags zumindest zwei Auslegungsvarianten, die in der Folge noch näher zu prüfen sind:
- Entweder wird der Begriff «unter der Verantwortung» entsprechend dem EuGH-Entscheid als Haftung für Schadenersatz verstanden, für den Fall, dass einem auf ein Identifizierungsmittel vertrauenden Dritten aufgrund eines Fehlers ein Schaden entsteht;
- oder dann versteht man ihn im Sinne einer umfassenden Sorge für die korrekte Implementation und das korrekte Funktionieren des Identifizierungssystems. Mit Verantwortung meint man denn allgemein-sprachlich auch die mit einer bestimmten Aufgabe, einer bestimmten Stellung verbundene Verpflichtung, dafür zu sorgen, dass (innerhalb eines bestimmten Rahmens) alles einen möglichst guten Verlauf nimmt, dass das jeweils Notwendige und Richtige getan wird und dass möglichst kein Schaden entsteht.46 Eine Haftung des Staates für Schadenersatz ist indessen mit der Formulierung «unter der Verantwortung» nicht zwingend vorausgesetzt; es könnte sein, dass sich die Verantwortung auf das Aufstellen von Regeln, die Überwachung von deren Einhaltung und evtl. auf die Sanktionierung von Verstössen beschränkt (dazu sogleich).
3.4.2.4.1.7.
Eigenständige Bedeutung von «unter der Verantwortung» im Verhältnis zu «im Namen» ^
3.4.2.4.1.8.
Vorbehalt gewisser Schritte der Ausstellung für den Staat ^
3.4.2.4.1.9.
Beizug privater Zulieferer ^
3.4.2.4.1.10.
Fazit ^
3.4.2.4.2.1.
Verantwortung nach Bst. a und Zuordnung durch den Mitgliedstaat nach Bst. c ^
Art. 6 Abs. 1 Bst. c des Verordnungsvorschlags setzt voraus, dass der notifizierende Mitgliedstaat sicherstellt, dass die Personenidentifizierungsdaten der in Artikel 3 Absatz 1 genannten natürlichen oder juristischen Person eindeutig zugeordnet sind.47 Bst. c dient dazu, das Vertrauen der anderen Mitgliedstaaten in ein notifiziertes System zu erhöhen.48 Es könnte damit sein, dass die Zuordnung von Personenidentifizierungsdaten gemäss Bst. c aus Sicherheitsgründen dem Staat vorbehalten bleiben sollte, wie dies schon im Abschnitt zur grammatikalischen Auslegung angedacht wurde. Konsequenterweise sähe der Wortlaut dieser Bestimmung daher nicht – wie Bst. a – drei Tatbestandsvarianten vor, sondern nur eine: Der notifizierende Mitgliedstaat hat sicherzustellen, dass Identifizierungsdaten und Person eindeutig zugeordnet sind; eine Zuordnung in seinem Namen oder unter dessen Verantwortung ist nicht vorgesehen.
Läse man das Kriterium so, dass der Staat die entsprechende Zuordnung wirklich selber vorzunehmen habe, läge darin allerdings erneut ein Widerspruch zu Erwägungsgrund 14 des Verordnungsvorschlags. Behält man die Zuordnung der Personenidentifizierungsdaten nämlich dem Staat vor, bleibt für private Anbieter kaum mehr etwas von der «Wertschöpfungskette» der Identifizierungsmittel übrig: Sie könnten höchstens noch für die Herstellung von Hardwaretokens oder Signiereinheiten beigezogen werden, nicht aber mehr für die aufwändigen Prozesse der Identifizierung und den Betrieb der Zertifizierungsinfrastruktur selbst, die den Hauptteil der Wertschöpfung ausmachen.
3.4.2.4.2.2.
Verantwortung nach Bst. a und Haftung nach Bst. e ^
3.4.2.4.2.3.
Unterschiedliche Ausrichtungen der Kapitel II und III des Verordnungsvorschlags ^
3.4.2.4.2.4.
Fazit ^
3.4.2.4.3.
Historisch-teleologische Auslegung / effet utile ^
3.4.2.4.4.
Fazit zu «unter der Verantwortung» ^
Die Problematik besteht dabei darin, dass das ZertES nur für elektronische Signaturen, nicht aber für Identifizierungssysteme Geltung hat (Art. 1 Abs. 1 Bst. a ZertES). Entsprechend fehlt eine gesetzliche Grundlage, gestützt auf die der Staat auch Regeln für Identifizierungsmittel aufstellen könnte. Ihre Schaffung wäre m.E. eine Voraussetzung für die Umsetzung einer Variante mit Identifizierungsmitteln, die durch Dritte in eigenem Namen ausgestellt werden. Eine Anwendung des Ausweisgesetzes (Art. 2 Abs. 2quater sieht die Integration elektronischer Identitäten in Ausweise vor) dürfte nicht in Frage kommen, denn dieses sieht vor, dass Ausweise durch von den Kantonen bezeichnete Behörden (d.h. durch die öffentliche Hand) ausgestellt werden (Art. 4 Abs. 1 AwG). Eine Ausstellung durch Dritte, zumindest in deren eigenem Namen, ist damit schon vom Wortlaut des AwG her unmöglich.
3.4.2.5.
Auslegungsergebnis zu Art. 6 Abs. 1 Bst. a des Verordnungsvorschlags; Kompatibilität mit SuisseID ^
3.4.3.
Akzeptanz des Identifizierungssystems nach den eigenen Rechtsvorschriften des notifizierenden Mitgliedstaates ^
Die elektronischen Identifizierungsmittel können im notifizierenden Mitgliedstaat zumindest für den Zugang zu öffentlichen Diensten verwendet werden, für die eine elektronische Identifizierung erforderlich ist;
3.4.4.
Gewährleistung der eindeutigen Zuordnung der elektronischen Identifizierungsdaten mit der betreffenden Person ^
3.4.4.1.
Wortlaut ^
Der notifizierende Mitgliedstaat stellt sicher, dass die Personenidentifizierungsdaten der in Artikel 3 Absatz 1 genannten natürlichen oder juristischen Person eindeutig zugeordnet sind;
3.4.4.2.
Personenidentifizierungsdaten ^
3.4.4.3.
Zuordnung der Personenidentifizierungsdaten ^
Die Zuordnung der Daten umfasst sodann schematisch besehen mindestens drei Schritte: Zunächst geht es um die kryptographische Sicherheit, dass der verwendete public key auch zu dem private key der sich identifizierenden Person gehört. Als Zweites ist die Verbindung zwischen dem public key und dem Namen der zu identifizierenden Person sicherzustellen (Zertifizierung), und als Drittes ist sicherzustellen, dass die Person, die ihre Identifizierungsdaten zertifizieren lässt, auch tatsächlich die zu identifizierende Person ist (Überprüfung der Personalien).52
Geht man davon aus, dass die kryptographische Verschränkung von private und public key unproblematisch ist,53 kann es nur noch darum gehen, die Zuordnung von public key und Namen zu zertifizieren und/oder die Identifikation des Halters des Schlüsselpaars vorzunehmen. Beide Schritte sind essentielle Glieder der zur Identifizierung nötigen Vertrauenskette, und beide bergen ein gewisses Fehlerrisiko: Bei der Zertifizierung muss der für die Erstellung der Zertifikate verwendete private key des Zertifizierungsdiensteanbieters höchster Geheimhaltung unterstehen, und es muss sicher gestellt sein, dass die korrekten Daten in das Zertifikat übernommen werden. Bei der Identifizierung des Halters hat eine sorgfältige Prüfung von Ausweispapieren zu erfolgen, damit sich niemand unter falschem Namen ein Zertifikat erschleichen kann.
3.4.4.4.
Problematik und Fazit ^
Auf das Spannungsverhältnis zwischen Bst. a und c wurde bereits bei den Ausführungen zu Bst. a hingewiesen.54 Wie dargelegt fragt es sich vor allem, ob Bst. c die Ausstellung von Identifizierungsmitteln dem Staat vorbehalten will. Dies wurde, mit einem gewissen Unsicherheitsfaktor, verneint.
3.4.5.
Kostenlose Online-Validierung für Dritte ^
Der notifizierende Mitgliedstaat stellt sicher, dass jederzeit kostenlos eine Authentifizierungsmöglichkeit online zur Verfügung steht, damit vertrauende Beteiligte die in elektronischer Form empfangenen Personenidentifizierungsdaten validieren können. Die Mitgliedstaaten machen vertrauenden Beteiligten, die ausserhalb ihres jeweiligen Hoheitsgebiets niedergelassen sind und eine solche Authentifizierung vornehmen wollen, keine bestimmten technischen Vorgaben. Ist das notifizierte Identifizierungssystem oder die notifizierte Authentifizierungsmöglichkeit verletzt worden oder teilweise beeinträchtigt, setzt der jeweilige Mitgliedstaat das notifizierte Identifizierungssystem oder die notifizierte Authentifizierungsmöglichkeit oder deren beeinträchtigte Teile unverzüglich aus bzw. widerruft sie und unterrichtet hiervon die anderen Mitgliedstaaten und die Kommission im Einklang mit Artikel 7;
3.4.6.
Haftung des Mitgliedstaates für die Eindeutigkeit der Verknüpfung und für die Authentifizierungsmöglichkeit ^
Der notifizierende Mitgliedstaat haftet für
i) die eindeutige Zuordnung der in Buchstabe c genannten Personenidentifizierungsdaten und
ii) die in Buchstabe d genannte Authentifizierungsmöglichkeit.
4.
Notifizierbarkeit der heutigen SuisseID: Zusammenfassung und Vergleich mit deutschen Identifizierungssystemen ^
4.1.
Zusammenfassung ^
Kriterien 3, 4 und 5 müssen alternativ, die übrigen kumulativ erfüllt sein, damit ein Identifizierungssystem notifizierbar ist.
Kriterium | Erfüllt | Unsicher | Nicht erfüllt |
| X | ||
| X (SwissSign)56 | X57 | |
| X58 | ||
| X59 | ||
| X | ||
| X60 | ||
| X61 | ||
| X62 |
4.2.
Vergleich mit deutschen Identifizierungssystemen ^
Die Befunde decken sich zumindest vom Ergebnis her mit den Aussagen zu vergleichbaren Produkten in Deutschland. So ist der Verein TeleTrusT der Auffassung, das Angebot «De-Mail» (bzw. das diesem beigeordnete Angebot «De-Ident»)63 sei in seiner aktuellen Form nicht notifizierbar und müsse angepasst werden.64 Der hessische Datenschutzbeauftragte ist der Auffassung, die deutsche eID sei derzeit ebenfalls nicht notifizierbar.65
4.2.1.
De-Ident ^
Eine kurze Überprüfung von De-Ident hinsichtlich der Kriterien von Art. 6 des Verordnungsvorschlags ergibt folgende Ergebnisse:
- Mit De-Ident dürfte zwar – trotz des Umwegs über eine De-Mail-Nachricht anstelle eines direkten Einsatzes der Identifizierungsdaten – ein elektronisches Identifizierungssystem vorliegen, wie es nach Art. 6 Abs. 1 Ingress des Verordnungsvorschlags verlangt wird.
- Die Anbieter müssen zudem nach § 17 des Gesetzes akkreditiert sein, worunter wie gesagt mit einiger Wahrscheinlichkeit ein «Ausstellen unter der Verantwortung» des deutschen Staates gesehen werden kann (Art. 6 Abs. 1 Bst. a des Verordnungsvorschlags).
- Ob De-Ident für den Zugang zu öffentlichen Diensten genutzt werden kann, ist derzeit offen, aber natürlich denkbar.
- Etwas problematischer ist die Zuordnung von Personenidentifizierungdaten und betroffener Person nach Art. 6 Abs. 1 Bst. c – sie erfolgt durch den akkreditierten Anbieter selber und nicht durch den Staat (§ 3 Abs. 3 Ziff. 1 De-Mail-G). Wie dargelegt ist aber davon auszugehen, dass dies einer Notifizierung eher nicht entgegen steht.66
- Nicht erfüllt ist das Erfordernis einer kostenlosen Authentifizierungsmöglichkeit nach Art. 6 Abs. 1 Bst. d des Verordnungsvorschlags: De-Ident unterscheidet zwar konzeptionell nicht zwischen Identitätsprüfung und Authentifizierungsmöglichkeit, denn die Identitätsprüfung schliesst immer eine Bestätigung durch den Anbieter per Mail mit ein, womit eine Authentifizierungsmöglichkeit implizit ist. Indessen fehlt, wie in der Schweiz, ein Mechanismus, das System als Ganzes bei Beeinträchtigungen auszusetzen.
- Ebenfalls nicht erfüllt ist die Voraussetzung einer Staatshaftung nach Art. 6 Abs. 1 Bst. e des Verordnungsvorschlags, vielmehr haften, wie in der Schweiz, einzig die privaten Anbieter für Schäden (vgl. § 18 Abs. 1 Ziff. 2, wo wie in der Schweiz von einer Versicherungslösung ausgegangen wird).
4.2.2.
Elektronischer Personalausweis (eID) ^
Eine Überprüfung der eID hinsichtlich der Kriterien von Art. 6 des Verordnungsvorschlags ergibt folgende Ergebnisse:
- Es liegt ein elektronisches Identifizierungssystem vor, wie es nach Art. 6 Abs. 1 Ingress des Verordnungsvorschlags verlangt wird.
- Die Identifizierungsdaten werden durch den Staat ausgestellt; einzig die Berechtigungszertifikate der auf die Identifizierungdaten vertrauenden Dritten (Diensteanbieter) werden durch private Zertifizierungsdiensteanbieter ausgestellt, die nach Signaturgesetz akkreditiert oder zumindest gemeldet sind; damit liegt eine Ausstellung durch den Mitgliedstaat vor und Art. 6 Abs. 1 Bst. a ist erfüllt.
- Die eID ist explizit als Identifizierungsmittel gegenüber öffentlichen (und nicht öffentlichen Stellen) gedacht (vgl. § 18 und 20 des Gesetzes). Bst. b ist ebenfalls erfüllt.
- Die Zuordnung von Personenidentifizierungdaten und betroffener Person erfolgt durch die Personalausweisbehörde (Identifikation; §§ 9 Abs. 3 und 4 des Gesetzes). Die Anforderungen von Bst. c sind damit erfüllt.
- Die Authentifizierung erfolgt über Sperrlisten, die von einem Sperrlistenbetreiber nach § 7 Abs. 4 Satz 2 des Gesetzes geführt werden. Der Sperrlistenbetreiber stellt gemäss § 10 Abs. 4 des Gesetzes jedem auf das Identifizierungssystem vertrauenden Dritten (Diensteanbieter) über jederzeit öffentlich erreichbare Kommunikationsverbindungen eine für ihn errechnete, aktuelle Sperrliste bereit. Auch hier fehlt jedoch ein Mechanismus, das System als Ganzes bei Beeinträchtigungen auszusetzen. Bst. d ist nicht erfüllt.
- Die Haftung des Herstellers der Ausweise (Bundesdruckerei) ist im Personalausweisgesetz nicht geregelt. Damit ist zweifelhaft, ob die Voraussetzungen für eine Haftung nach Art. 6 Abs. 1 Bst. e erfüllt sind, zumal in Deutschland – anders als in der Schweiz nach Verantwortlichkeitsgesetz – keine allgemeine Staatshaftung existiert.
5.1.
Allgemeines, Varianten ^
5.2.
Variante 1: Ausstellung der SuisseID durch die oder im Namen der Eidgenossenschaft ^
5.2.1.
Ausgabe durch, im Namen oder unter der Verantwortung des Staates ^
5.2.2.
Zuordnung von Identifizierungsdaten und betroffenen Personen ^
5.2.3.
Validierungsmöglichkeit; Haftung ^
Allerdings ergibt sich aus Art. 3 des Verantwortlichkeitsgesetzes bereits eine Kausalhaftung des Staates für widerrechtliche Handlungen von Beamten, und zwar auch für mittelbare Schäden.69 Der Staat haftet zudem nicht nur für Beamte, sondern auch für andere Personen, sofern sie unmittelbar mit öffentlich-rechtlichen Aufgaben des Bundes betraut sind.70 Dies dürfte auch bei der Beschaffung über Dritte der Fall, so lange am Ende der Bund gegenüber dem Bürger auftritt (Outsourcing-Variante). In diesen Fällen haftet der Bund zwar nur für den Ausfall (Art. 19 Abs. 1 Best. a VG),71 was aus teleologischer Sicht aber ebenfalls ausreichen dürfte, um Art. 6 Abs. 1 Bst. e des Verordnungsvorschlags zu erfüllen. Widerrechtlich sind Verletzungen von Amtspflichten, die den Geschädigten gerade vor einem entsprechenden Schaden schützen sollen,72 was bei technischen und organisatorischen Vorschriften zur Durchführung der Zuordnung und Authentifizierung der Fall sein wird.
5.2.4.
Würdigung ^
5.3.
Variante 2: Ausstellung der SuisseID durch (mehrere) Private unter staatlicher Akkreditierung («Anerkennung») ^
5.3.1.
Ausgabe durch, im Namen oder unter der Verantwortung des Staates ^
Eine entsprechende Regelung im ZertES müsste folgende Aspekte umfassen:
- Der Gegenstand des Gesetzes nach Art. 1 Abs. 1 Bst. b wäre auf die elektronische Identifizierung auszudehnen (Vorschlag: «im Bereich der elektronischen Signatur, der elektronischen Identifizierung und anderer Anwendungen [...]»).
- Definition eines Identifizierungszertifikats, analog derjenigen des qualifizierten Zertifikats im aktuellen Vorentwurf zum revidierten ZertES (VE-ZertES), sowie der elektronischen Identifizierung. Bezüglich der Letzteren könnte eine Anlehnung an den EU-Verordnungsentwurf erfolgen.
- Eine gesonderte Regelung des Inhalts von Identifizierungszertifikaten, analog derjenigen von Art. 8 VE-ZertES, wobei nach Abs. 2 eine Verwendung nur für die elektronische Identifizierung möglich sein dürfte.
- In Art. 12 Abs. 3 VE-ZertES (Verzeichnisdienste) wäre zusätzlich vorzusehen, dass die Überprüfung der Gültigkeit von Identifizierungszertifikaten kostenlos sein muss. Sodann wäre festzuhalten, dass im Fall einer Verletzung oder Beeinträchtigung des Verzeichnisdienstes dieser (ggf. teilweise) auszusetzen ist, bzw. die entsprechenden Zertifikate zu widerrufen sind, und dass die zuständige Bundesstelle zu informieren ist. (Die zuständige Bundesstelle hätte in der Folge, entsprechend einem noch zu schliessenden Vertrag mit der Europäischen Union über die gegenseitige Anerkennung von Identifizierungsdiensten, die anderen Mitgliedstaaten und die Kommission informieren, wie dies in Art. 6 Abs. 1 Bst. d des Verordnungsvorschlags gefordert ist.)
- Ferner wäre, sinnvollerweise im Abschnitt Haftung, eine Ausfallhaftung des Bundes für Fehler bei der eindeutigen Zuordnung der Personenidentifizierungsdaten und den Verzeichnisdienst vorzusehen, so weit diese Identifizierungszertifikate betreffen. Nach der hier vertretenen Meinung wäre eine Kausalhaftung nach dem Modell von Art. 3 Abs. 1 i.V.m. Art. 19 Abs. 1 Bst. a Verantwortlichkeitsgesetzes ausreichend, um die Notifizierbarkeit zu gewährleisten.
Mit der Ausweitung des Anwendungsbereichs des ZertES auf elektronische Identifizierungsmittel wäre nach Art. 15 ZertES für die Aufsicht das Akkreditierungrecht anwendbar (Bundesgesetz über die technischen Handelshemmnisse), was auch Sanktionsmöglichkeiten mit einschliesst (bis hin zum Entzug der Anerkennung).73 Nach dem Akkreditierungsregime des THG bzw. ZertES übernimmt allerdings nicht der Staat, sondern eine zwischengeschaltete private Anerkennungsstelle die Aufsicht (KPMG). Dies soll eine Entlastung der Administration des Bundes von der technisch anspruchsvollen Aufgabe der Prüfung bewirken.74 Dabei ist, wenn man Art. 6 Abs. 1 Bst. a im genannten Sinne liest, nicht einzusehen, wieso der Bund die entsprechenden Aufgaben nicht ebenfalls an Private delegieren können soll. Dies insbesondere weil Art. 19 der Akkreditierungs- und Bezeichnungsverordnung (AkkBV) bestimmt, dass auch die Tätigkeit dieser Privaten der Kontrolle des Bundes untersteht.
5.3.2.
Zuordnung von Identifizierungsdaten und betroffenen Personen ^
5.3.3.
Validierungsmöglichkeit; Haftung ^
Wie beschrieben sieht das bisherige System der SuisseID soweit ersichtlich kein Aussetzen des Validierungssystems im Fall einer Verletzung oder teilweisen Beeinträchtigung vor. Dies wäre noch zu korrigieren (vgl. soeben 5.3.1, 5. Bullet). Ansonsten wäre das System der SuisseID mit dem Verordnungsvorschlag kompatibel. Insbesondere ist davon auszugehen, dass ein Betrieb durch Private möglich ist, wenn auch die Ausstellung der Identifizierungsmittel durch Private erfolgen kann.
Derzeit haftet auch gemäss ZertES im Weiteren nicht der Staat, sondern die privaten Zertifizierungsdienste, für Schäden, die diese erleiden, weil die Anbieterin den Pflichten aus diesem Gesetz und den entsprechenden Ausführungsvorschriften nicht nachgekommen sind. Diese Haftung deckt zwar die von Art. 6 Abs. 1 Bst. e des Verordnungsvorschlags vorgesehen Bereiche der eindeutige Zuordnung der Personenidentifizierungsdaten und der Authentifizierungsmöglichkeit ab, indessen müsste der Staat Haftungssubjekt sein. Dies setzte eine weitere Gesetzesänderung voraus. Sie könnte entweder als primäre Haftung des Staates gestaltet sein, mit einer Regressregelung, gemäss der der Staat auf Zertifizierungsdiensteanbieter greifen könnte, für deren Fehler er haftbar gemacht wurde (analog Art. 19 Abs. 1 Bst. a VG). Aus einer teleologischen Sicht dürfte auch eine derartige Ausfallhaftung des Staates ausreichen. Die bisherige Versicherungslösung von Art. 3 Abs. 1 Bst. f ZertES wäre allerdings nicht ausreichend, vielmehr wäre, wie bereits unter 5.3.1 (Rz 170), letztes Bullet dargelegt, eine Änderung der Haftungsregeln des ZertES ins Auge zu fassen.
5.3.4.
Würdigung ^
5.4.
Variante 3: Ausstellung der SuisseID durch Private unter staatlicher Akkreditierung («Anerkennung»), unter Vorbehalt der Zuordnung von Identifizierungsdaten und betroffenen Personen ^
5.4.1.
Allgemeines ^
5.4.2.
Würdigung ^
Der in der Problemstellung angesprochenen Möglichkeit, dass die SuisseID dereinst geeignet mit der neuen eID zu verbinden sei, stehen auch die beiden Subvarianten von Variante 3 nicht im Weg. Im Gegenteil: Eine solche Verbindung böte Hand, eine der beiden Subvarianten zu verwirklichen.
Dr. Simon Schlauri ist Privatdozent an der Universität Zürich und arbeitet als Rechtsanwalt für Technologie- und Informationsrecht in Zürich. Der Text basiert auf einem Gutachten des Autors für das schweizerische Bundesamt für Aussenwirtschaft SECO.
- 1 Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen.
- 2 COM(2012) 238 final.
- 3 http://europa.eu/rapid/press-release_IP-12-558_de.htm.
- 4 Verein Trägerschaft SuisseID, Reglement für SuisseID-Anbieter, Version 1.0c, 4. November 2010, abrufbar unter http://www.suisseid.ch/unternehmen/marketing/traegerverein/index.html, S. 4.
- 5 Verein Trägerschaft SuisseID, Reglement für SuisseID-Anbieter, Version 1.0c, 4. November 2010, abrufbar unter http://www.suisseid.ch/unternehmen/marketing/traegerverein/index.html, S. 7.
- 6 SuisseID-Reglement (FN 4).
- 7 Verein Trägerschaft SuisseID, SuisseID Specification, Digital Certificates and Core Infrastructure Services, Version 1.3, June 10, 2010, abrufbar unter http://www.suisseid.ch/unternehmen/technik/voraussetzungen/index.html?lang=de.
- 8 Verein Trägerschaft SuisseID, SuisseID Specification, Digital Certificates and Core Infrastructure Services, Version 1.3, June 10, 2010, abrufbar unter http://www.suisseid.ch/unternehmen/technik/voraussetzungen/index.html?lang=de, S. 4, 7.
- 9 Verein Trägerschaft SuisseID, SuisseID Specification, Digital Certificates and Core Infrastructure Services, Version 1.3, June 10, 2010, abrufbar unter http://www.suisseid.ch/unternehmen/technik/voraussetzungen/index.html?lang=de, S. 4; SuisseID-Spezifikaton (FN 7), S. 20.
- 10 SuisseID-Reglement (FN 4), S. 5.
- 11 SuisseID-Reglement (FN 4), S. 5.
- 12 SuisseID-Reglement (FN 4), S. 5.
- 13 SuisseID-Reglement, S. 7, 8.
- 14 SuisseID-Spezifikation (FN 7), S. 21.
- 15 SuisseID-Reglement (FN 4), S. 8.
- 16 SuisseID-Reglement (FN 4), S. 8.
- 17 SuisseID Trägerverein, Statuten, http://www.suisseid.ch/unternehmen/marketing/traegerverein/index.html, § 3 Abs. 2.
- 18 Vgl. etwa http://www.quovadisglobal.ch/Zertifikate/SuisseID.aspx.
- 19 Kritisch auch der Hessische Datenschutzbeauftragte, Kurzfassung der Stellungnahme des HDSB vom 17. August 2012 zum Entwurf EU VO über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt, COM (2012) 238 final, http://www.datenschutz.hessen.de/download.php?download_ID=256, 2.
- 20 Details in der SuisseID-Spezifikation (FN 7), Ziff. 5.1.2 sowie RFC5280, 6., Certificate Path Validation.
- 21 SuisseID-Spezifikation (FN 7), 5.1.2.
- 22 Verordnungsvorschlag, 2; Erwägungsgründe 1, 4.
- 23 KOM(2010) 245 vom 19. Mai 2010.
- 24 So die Binnenmarktakte, KOM(2011) 206 endg. Vom 13. April 2011, der Fahrplan für Stabilität und Wachstum (KOM(2011) 669 vom 12. Oktober 2011.
- 25 Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen vom 13. Dezember 1999.
- 26 Verordnungsvorschlag, S. 2.
- 27 Verordnungsvorschlag, S. 2.
- 28 Zu diesem Präsentationsproblem vgl. Simon Schlauri, Elektronische Signaturen, Publikationen aus dem Zentrum für Informations- und Kommunikationsrecht der Universität Zürich Bd. 19, Zürich 2002 = Diss. Zürich 2002, N 55 ff.
- 29 Schlauri (FN 28), N 286.
- 30 Verordnungsvorschlag, Erwägungsgrund 12.
- 31 Verordnungsvorschlag, Erwägungsgrund 12.
- 32 Philipp Hofmann, Verordnung zur grenzüberschreitenden Nutzung von Vertrauensdiensten und Identifizierungssystemen, CR Online, http://www.computerundrecht.de/27411.htm, geht davon aus, dass eine Pflicht zur Anerkennung ausländischer Systeme nur besteht, wenn eigene Systeme des Mitgliedstaats notifiziert wurden.
- 33 Verordnungsvorschlag, Erwägungsgrund 13.
- 34 Verordnungsvorschlag, Erwägungsgrund 13.
- 35 Vgl. etwa in letzter Zeit EuGH, Urteil vom 22. März 2012, C-567/10, Rz. 20, 30, 37.
- 36 Verordnungsvorschlag, Erwägungsgründe 11, 12 und 14.
- 37 Vgl. Verordnungsvorschlag, Erwägungsgrund 14.
- 38 EuGH, Urteil vom 26. April 2012, C-510/10 = GRUR 2012, S. 810 ff.
- 39 Dazu etwa Norbert Plechsig, Grundlagen des europäischen Urheberrechts, ZUM 2002, S. 1 ff., 10.
- 40 EuGH, Urteil vom 26. April 2012, C-510/10, Randnr. 33.
- 41 EuGH, Urteil vom 26. April 2012, C-510/10, Randnrn. 59 ff.
- 42 Letzteres ergibt sich aus der Formulierung «im Namen» oder wenigstens «unter der Verantwortung»; EuGH, Urteil vom 26. April 2012, C-510/10, Randnr. 66.
- 43 EuGH, Urteil vom 26. April 2012, C-510/10, Randnr. 63.
- 44 EuGH, Urteil vom 26. April 2012, C-510/10, Randnr. 64.
- 45 EuGH, Urteil vom 26. April 2012, C-510/10, Randnr. 65.
- 46 Duden, Verantwortung.
- 47 Eingehend zu diesen Begriffen unten 3.4.4.
- 48 Vgl. Erwägungsgrund 13 des Verordnungsvorschlags, wonach es darum geht, den Mitgliedstaaten zu helfen, das nötige Vertrauen in die elektronischen Identifizierungssysteme der anderen zu schöpfen.
- 49 Rat der Europäischen Union, Interinstitutionelles Dossier 2012/0146 (COD), 17269/12, Vermerk des Vorsitzes für die Delegationen, 7. Dezember 2012, S. 13 Ziff. 23.
- 50 Verordnungsvorschlag, Erwägungsgrund 11.
- 51 Vgl. https://www.e-service.admin.ch/crex/cms/content/digital_in/suisseid_intro_de.
- 52 Vgl. Schlauri (FN 28), N 201 ff.
- 53 Vgl. Schlauri (FN 28), N 201.
- 54 Vorne 3.4.2.4.2.1.
- 55 Vgl. Art. 16 ff. ZertES.
- 56 Eher nicht, weil SwissSign AG nur durch den Staat kontrolliert, aber nicht identisch mit dem Staat ist.
- 57 Swisscom AG und QuoVadis TrustLink AG erfüllen die Voraussetzung klar nicht.
- 58 Kein Anbieter tritt als Vertreter der Eidgenossenschaft auf.
- 59 Der Begriff «unter der Verantwortung» ist nicht völlig klar. Vieles spricht dafür, dass damit die Sorge für die korrekte Implementation und das korrekte Funktionieren des Identifizierungssystems gemeint ist, was die Ausstellung durch Private dann nicht ausschliesst, wenn der Staat ihre Regeln bestimmt, deren Umsetzung überwacht und Verletzungen sanktionieren kann.
- 60 Die Situation ist ähnlich wie bei Kriterium 4: Vieles spricht dafür, dass auch hier nur eine Übernahme der Verantwortung im Sinne von FN 59 gemeint ist. Der Wortlaut ist aber auch hier nicht eindeutig.
- 61 Das bisherige System der SuisseID sieht soweit ersichtlich kein Aussetzen im Fall einer Verletzung oder teilweisen Beeiträchtigung vor. Ansonsten wäre das System der SuisseID mit dem Verordnungsvorschlag kompatibel.
- 62 Eine Haftung der Eidgenossenschaft für die eindeutige Zuordnung und die Authentifizierungsmöglichkeit besteht heute noch nicht. Es müsste eine gesetzliche Grundlage geschaffen werden.
- 63 Vgl. § 1 Abs. 2 De-Mail-Gesetz.
- 64 TeleTrusT – Bundesverband IT-Sicherheit e.V., Stellungnahme des TeleTrusT-Koordinierungskreises «Signaturanwendungs-Hersteller» zum Vorschlag EU-Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt, Berlin 16. Juli 2012, http://www.teletrust.de/uploads/media/2012-07-16-TeleTrusT-EU-eID_Stellungnahme.pdf, Ziff. 7.
- 65 Der Hessische Datenschutzbeauftragte (FN 19), II, 2. Spiegelstrich.
- 66 Vgl. vorne 3.4.4.
- 67 Roberto Schmidt, AB 2008, 217: «Neu beantragt die Kommission bei Artikel 2 Absatz 2quater einstimmig, dass der Ausweis auch elektronische Identitäten für Authentisierungs-, Signatur- und Verschlüsselungsfunktionen enthalten kann. Das ist in der heutigen virtuellen Welt ein Anliegen der Industrie, aber auch der Klein- und Mittelbetriebe und wurde in verschiedenen anderen Ländern bereits eingeführt.»
- 68 Vgl. Art. 6a AwG, sowie dazu etwa die Antwort des Bundesrates auf eine Motion 12.3303 von Nationalrat Luzi Stamm.
- 69 Vgl. etwa Annette Guckelberger, Die Staatshaftung in der Schweiz, recht 2008, S. 175 ff., 182 f.
- 70 Vgl. Annette Guckelberger, Die Staatshaftung in der Schweiz, recht 2008, S. 178.
- 71 Annette Guckelberger, Die Staatshaftung in der Schweiz, recht 2008, S. 185 f.
- 72 Vgl. Annette Guckelberger, Die Staatshaftung in der Schweiz, recht 2008, S. 180.
- 73 Botschaft ZertES, BBl 2001, 5679 ff., 5700; Schlauri (FN 28), N 527.
- 74 Schlauri (FN 28), N 521, m.H.