Jusletter IT

Die europäische Signaturrichtlinie¹ ist in die Jahre gekommen und genügt den Anforderungen nicht mehr. Am 4. Juni 2012 hat die EU-Kommission daher einen «Vorschlag für eine Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt» («Regulation on electronic identification and trusted services for electronic transactions in the internal market») zuhanden des Parlaments und des Rats verabschiedet und in Englisch, Französisch und Deutsch publiziert (im Folgenden als Verordnungsvorschlag bezeichnet).² Eine zugehörige Pressemitteilung fasst die wichtigsten Absichten und Inhalte der Regelung zusammen.³

Nebst der Regelung und Zertifizierung der Anbieter der elektronischen Signatur und weiterer Vertrauensdienste in der Art der bisherigen Richtlinie enthält der Verordnungsvorschlag als besonderes und neues Thema die Notifikation und damit die gegenseitige Anerkennung von staatlichen Schemata für die elektronische Identifizierung (eID, bzw. Authentisierung) in den Artikeln 5 ff. Die Mitgliedstaaten werden verpflichtet, dort, wo sie für den Zugang zu Behördendiensten eine eID akzeptieren, auch die ausländischen eIDs aller notifizierten eID-Systeme zu akzeptieren. Die Anforderungen an die zu notifizierende nationale eID-Lösung stehen in Artikel 6 des Verordnungsvorschlags.

Die Schweiz dürfte früher oder später ein Interesse daran haben, am europäischen System für die Interoperabilität von eIDs beteiligt zu sein, sei es, damit Inhaber schweizerischer eIDs mit ausländischen Behörden verkehren können, sei es, dass Ausländer mit ihrer nationalen eID mit Schweizer Behörden verkehren können.

Eine Variante für eine mögliche eID-Lösung in der Schweiz besteht darin, die bereits bestehende Lösung SuisseID mit einer neuen eID zu verbinden. Dies daher, weil die aktuelle SuisseID neben der herkömmlichen qualifizierten elektronischen Signatur bereits heute auch ein zusätzliches Schlüsselpaar für die Authentisierung enthält.

Der vorliegende Text soll die folgenden Fragen beantworten:

• Welche Anforderungen an den rechtlichen Status einer notifizierbaren eID stellt der Verordnungsvorschlag?
• Ist die SuisseID nach dem Verordnungsvorschlag notifizierbar?
• Falls die SuisseID gemäss aktueller rechtlicher Regelung nicht notifizierbar ist, welche Änderungen müssten an der rechtlichen Regelung vorgenommen werden, um nach Art. 6 des vorliegenden Verordnungsvorschlags notifizierbar zu werden?
• Gibt es für solche Anpassungen der rechtlichen Regelung nach Punkt 3 allenfalls verschiedene Ausrichtungen, bzw. Modelle oder Varianten?

Dabei wird ausgeblendet, dass die Schweiz nicht Mitglied der EU ist, bzw. es wird unterstellt, dass es auf irgendeine noch offene Art zur Anwendung dieses Verordnungsvorschlags auf die SuisseID käme.

Die SuisseID ist ein standardisiertes Zertifikatsprodukt, das von gemäss Bundesgesetz über Zertifizierungsdienste im Bereich der elektronische Signatur (ZertES; SR 943.03) anerkannten Anbietern von ZertES-konformen Signaturzertifikaten angeboten werden kann.⁴ Der Standard der SuisseID ist unter Anleitung des SECO im Rahmen eines Konjunkturstabilisierungspakets entstanden.⁵

Die Ausgestaltung der SuisseID und ihrer eID ergibt sich in erster Linie aus dem Reglement für die SuisseID-Anbieter (aktuell ist Version 1.0c vom 4. November 2010)⁶ und den dort erwähnten weiteren Unterlagen, insbesondere der Spezifikation.⁷ Formell handelt es sich bei diesen Normen um Selbstregulierung, materiell lehnt sich die Regelung so weit wie möglich an die Regelung der elektronischen Signatur und ihrer Anbieter durch das ZertES an.

SuisseID-konforme Produkte erweitern die bisher erhältlichen Karten bzw. Geräte mit Signaturzertifikat gemäss ZertES mit einem zusätzlichen, standardisierten Authentisierungszertifikat, einer eindeutigen SuisseID-Nummer und einem Dienst für den Nachweis von Identitätsmerkmalen (Identity Provider Service IdP; auch Authentication Authority). Damit können öffentliche und private Dienstanbieter (Service Provider) einerseits ihre Benutzer sicher authentifizieren, andererseits sollen sich Anwender mit Hilfe einer SuisseID bei einer möglichst breiten Palette von staatlichen und privaten Anwendungen sicher authentisieren und ihre Identität nachweisen können.⁸

Die Spezifikation der SuisseID stützt sich weitgehend auf die gesetzlichen ZertES-Regelungen ab. Darüber hinaus gehende Anforderungen betreffen vor allen Dingen (i) das Authentisierungszertifikat (IAC) und wie dieses sich einer Anwendung gegenüber präsentiert, sowie (ii) den Identity Provider Service und seine Schnittstellen, über welche ein Zertifikatsinhaber ein Datenpaket anfordern kann, das die zum Zeitpunkt der Registrierung erfassten persönlichen Identifikationsdaten bestätigt.⁹ Beim IAC handelt es sich indessen nicht um ein qualifiziertes Zertifikat gemäss Art. 7 ZertES.

Eine SuisseID besteht damit aus den nachstehenden Produkten und Dienstleistungen:

• einem Zertifikatsträger mit einem Signaturzertifikat gemäss ZertES (Qualified Certificate, QC);
• zusätzlich zum Signaturzertifikat einem standardisierten Authentisierungszertifikat (Identity and Authentication Certificate, IAC);
• beide mit einer eindeutigen SuisseID-Nummer, sowie;
• dem SuisseID Identity Provider Service (IdP).¹⁰

Das SuisseID-Reglement erklärt die durch das ZertES vorgegebenen Prozesse für das qualifizierte Signaturzertifikat (QC) auch für das Authentisierungszertifikat (IAC) für anwendbar (soweit anwendbar).¹¹ Das IAC ist, anders als das Authentisierungszertifikat, das üblicherweise mit bisherigen Signaturkarten mitgeliefert wurde, detailliert spezifiziert, um die Interoperabilität zwischen den verschiedenen Systemen zu verbessern.¹² Der Anbieter des IAC haftet dem Inhaber und Drittpersonen, die sich auf ein gültiges Zertifikat verlassen, gleich wie ein Anbieter von ZertES-konformen Zertifikaten,¹³ bzw. er verpflichtet sich, in seinen AGB eine entsprechende Haftung zuzugestehen.

Die eindeutige SuisseID-Nummer geht über die Anforderungen des ZertES hinaus. Die Nummer kann bei der Verlängerung des Zertifikats beibehalten werden, was die Prozesse beim Ablauf des Zertifikats vereinfacht.

Bei den SuisseID-Zertifikaten werden nur die notwendigsten Informationen im Zertifikat aufgeführt, dafür werden alle auf einer Identitätskarte enthaltenen Informationen im SuisseID-IdP Server gespeichert. Ein auf eine Signatur vertrauender Dritter hat auf die zusätzlichen Attribute des IdP nur indirekt, über den Inhaber der SuisseID, Zugriff (benutzerzentrierter Ansatz),¹⁴ und auch dies nur, nachdem sich der Dritte mit starker Authentisierung ausgewiesen hat.¹⁵ Dieser Ansatz stellt gesicherte Informationen zur Verfügung, aber nicht auf dem Zertifikat, das einem zu breiten Kreis bekannt ist und z.B. bei jeder Benutzung auf einem PC dort hinterlassen wird. Hintergrund ist der datenschutzrechtliche Grundsatz der Datensparsamkeit bzw. Verhältnismässigkeit (Art. 4 Abs. 2 DSG).

Der Anbieter des SuisseID-IdP ist ebenfalls verpflichtet, in seinen AGB eine Haftung von mindestens CHF 10’000 pro Schadensfall zu übernehmen für den Fall, dass die Daten in den von ihm abgegebenen Bestätigungen mit den bei der Registrierung des Zertifikatsinhabers auf dem dabei vorgelegten Ausweis erhobenen Daten nicht übereinstimmen.¹⁶

Der Verein «Trägerschaft SuisseID» wurde am 10. November 2010 gegründet. Vereinszweck ist die Förderung und Weiterentwicklung der SuisseID. Gründungsmitglieder (und bis heute die einzigen Mitglieder) sind das Staatssekretariat für Wirtschaft SECO, das Bundesamt für Informatik und Telekommunikation BIT, die QuoVadis Trustlink Schweiz AG, die Schweizerische Post/SwissSign AG sowie die Swisscom (Schweiz AG). Die SuisseID-Zertifikate selber werden dabei nicht durch den Verein, sondern durch dessen Vollmitglieder ausgegeben (das SECO ausgenommen; das BIT gibt derzeit ebenfalls keine Zertifikate aus, obwohl es als Zertifizierungsdiensteanbieter nach ZertES anerkannt ist).

Gemäss § 3 der Statuten des Trägervereins findet nur Aufnahme als Vollmitglied, wer sich verpflichtet, das Reglement des Vereins einzuhalten und die Marke SuisseID, die im Eigentum des SECO steht, lizenziert hat. Die Vollmitglieder verpflichten sich zudem, diese Anforderungen dauernd zu erfüllen. Eine Verletzung kann zum Ausschluss führen (§ 8 Abs. 1 der Statuten). Eine Überwachung der Erfüllung findet indessen nicht statt; die Mitglieder sind gehalten, Abweichungen von der Spezifikation selber dem Vorstand zu melden.¹⁷

Bei der Ausgabe von Zertifikaten wird ein Vertrag zwischen Antragsteller und dem Zertifizierungsdiensteanbieter geschlossen. Der Bezug von SuisseID-Zertifikaten erfolgt, indem der Kunde sich elektronisch bei einem der beteiligten Zertifizierungsdienstanbieter anmeldet und in der Folge ein Antragsformular ausfüllt, auf dem er sich von einer Identitätsprüfstelle (Gemeinde, SBB, Post o.dgl.) seine Identität bestätigen lässt. Die Dokumente gehen an den Zertifizierungsdiensteanbieter, der nach erfolgreicher Prüfung in der Folge dem Kunden die ID-Karte und die PIN zustellt.¹⁸

Das vorliegend im Wesentlichen interessierende IAC-Zertifikat kann, anders als das ebenfalls auf dem Token befindliche qualifizierte Zertifikat gemäss ZertES, auch zur Identifizierung seines Halters verwendet werden. ZertES-konforme Signaturen können indessen einzig mit dem qualifizierten Zertifikat erstellt werden. Zur Verschlüsselung können die Nutzer teils noch gesondert ein Zertifikat beziehen, das nicht auf dem Token gespeichert wird.

Bei der Validierung des IAC-Zertifikats erfolgt auch eine Authentifizierung anhand aktueller Daten des Zertifizierungsdiensteanbieters über die Gültigkeit der von ihm ausgegebenen Zertifikate.

Als Authentifizierung bezeichnet man den elektronischen Prozess, der die Validierung der elektronischen Identifizierung einer natürlichen oder juristischen Person ermöglicht. (Art. 3 Abs. 4 des Verordnungsvorschlags nennt zusätzlich die Validierung des Ursprungs und der Unversehrtheit elektronischer Daten, was allerdings die übliche Bedeutung sprengt¹⁹). Die Validierung wiederum umfasst die Prüfung der Zertifikatskette, ausgehend vom Wurzelzertifikat (kryptographische Bindung zwischen dem im Zertifikat enthaltenen Namen und dem im Zertifikat enthaltenen public key), sowie der Gültigkeit des Zertifikats (d.h. ob sein Verfalldatum erreicht ist oder ob es widerrufen wurde).²⁰ Die Gültigkeit kann entweder anhand einer CRL (Certificate Revocation List) oder mittels OCSP-Abfrage (Online Certificate Status Protocol) überprüft werden, d.h. off- oder online.²¹

Am 4. Juni 2012 veröffentlichte die Europäische Kommission den Verordnungsvorschlag. Die neue Verordnung soll die Signaturrichtlinie 1999/93/EG ablösen und die Nutzung von eID-Systemen vereinfachen, die in verschiedenen europäischen Ländern mit unterschiedlichen Smartcards (z.B. Personalausweisen oder Krankenversicherungskarten) angeboten werden.

Als Begründung für den Verordnungsvorschlag wurde u.a. vorgebracht, die wirtschaftliche Entwicklung setze Vertrauen in das Online-Umfeld voraus. Fehlendes Vertrauen führe dazu, dass Verbraucher, Unternehmen und Verwaltungen nur zögerlich elektronische Transaktionen durchführen oder neue Dienste einführen bzw. nutzen.²² Bereits die Digitale Agenda für Europa²³ von 2010 kündigte Vorschläge für Rechtsvorschriften im Bereich der elektronischen Signaturen sowie der gegenseitigen Anerkennung elektronischer Identifizierungs- und Authentifizierungsdienste an. Ziele waren u.a., die Fragmentierung und den Mangel an Interoperabilität zu beseitigen. Auch weitere Dokumente wiederholen diese Ziele.²⁴

Die bisherige Signaturrichtlinie²⁵ regelt erstens nur elektronische Signaturen und sieht zweitens keinen umfassenden grenzübergreifenden Rahmen für die gegenseitige Anerkennung vor.²⁶ Der Verordnungsvorschlag weitet den Anwendungsbereich aus, und zwar auf die elektronische Identifizierung und die Authentifizierung, und er hat zum Ziel, die gegenseitige Anerkennung und Akzeptanz elektronischer Identifizierungssysteme und anderer wichtiger einschlägiger elektronischer Vertrauensdienste zu regeln.²⁷

Kapitel I regelt Gegenstand, Anwendungsbereich und Begrifflichkeiten der Verordnung. Artikel 3 enthält einige Begriffsbestimmungen. Vorliegend sind die folgenden relevant:

(1) «Elektronische Identifizierung» ist der Prozess der Verwendung von Personenidentifizierungsdaten, die in elektronischer Form eine natürliche oder juristische Person eindeutig repräsentieren.

Im Gegensatz zur elektronischen Signatur geht es dabei nicht um die Fixierung von unterzeichneten Daten (Datenintegrität), sondern allein um die elektronische Identifizierung einer Person. Technisch geschieht die Identifizierung aber auf dem gleichen Weg wie die Fixierung von unterzeichneten Daten, nämlich indem die zu identifizierende Person einen Signierschlüssel verwendet, um Daten zu unterzeichnen. Der unterzeichnete Inhalt der Daten ist dabei allerdings nicht von Belang, sondern dient einzig dazu, die erstellte Signatur später zu überprüfen.

Zur Identifizierung werden ferner nicht dieselben Zertifikate verwendet wie für elektronische Unterschriften, weil nicht sicher gestellt werden könnte, dass einer zu identifizierenden Person beim Identifikationsvorgang wirklich nur Daten mit nicht relevantem Inhalt zur Unterzeichnung präsentiert werden und nicht eine rechtlich relevante Willenserklärung.²⁸

(2) «Elektronisches Identifizierungsmittel» ist eine materielle oder immaterielle Einheit, die die in Absatz 1 genannten Daten enthält und verwendet wird, um Zugang zu den in Artikel 5 genannten Online-Diensten zu erhalten.

Dabei geht es um das Token, eine (materielle) Chipkarte oder eine (immaterielle) Datei, in der die Signierschlüssel zur Identifizierung gespeichert werden.

(3) «Elektronisches Identifizierungssystem» ist ein System für die elektronische Identifizierung, in dessen Rahmen den in Art. 3 Abs. 1 genannten Personen elektronische Identifizierungsmittel ausgestellt werden.

Dabei handelt es sich um die Gesamtheit aller technischen und organisatorischen Massnahmen, die nötig sind, um Tokens und Zertifikate auszustellen.

(4) «Authentifizierung» ist ein elektronischer Prozess, der die Validierung der elektronischen Identifizierung einer natürlichen oder juristischen Person oder die Validierung des Ursprungs und der Unversehrtheit elektronischer Daten ermöglicht.

Gemäss Artikel 25 des Verordnungsvorschlags besteht eine Validierung in der Prüfung des Vorliegens eines qualifizierten Zertifikats, seiner Echtheit und Gültigkeit, der Übereinstimmung der Signaturvalidierungsdaten und dem Zertifikatsinhalt mit den vom vertrauenden Beteiligten bereitgestellten Daten, der Datenintegrität, etc.

(6) «Elektronische Signaturen» sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.

Elektronische Signaturen unterscheiden sich von elektronischen Identifizierungsmitteln insofern, als sie zum Unterzeichnen (und damit zur Anerkennung des Inhalts) von Dokumenten dienen, und nicht nur zur Identifikation gegenüber einer Gegenstelle.

Kapitel II betrifft die elektronische Identifizierung, insbesondere die Notifikation von elektronischen Identifizierungssystemen. Es dient damit dem Zweck der Förderung der Interoperabilität der Identifizierungssysteme innerhalb des Binnenmarktes.

Artikel 5 regelt den Zugang zu mitgliedstaatlichen Online-Diensten mittels durch andere Mitgliedstaaten notifizierter Identifizierungssysteme. Dazu unten mehr unter 3.3.

Artikel 6 regelt die Voraussetzungen für die Notifizierung elektronischer Identifizierungssysteme. Dazu später mehr unter 3.4.

Artikel 7 regelt das Notifizierungsverfahren, beispielsweise die von den Mitgliedstaaten an die Kommission zu übermittelnden Informationen, sowie die Fristen zur Veröffentlichung der Liste der notifizierten elektronischen Identifizierungssysteme. Die Kommission kann mittels Durchführungsrechtsakten Einzelheiten, Form und Verfahren für die Notifizierung festlegen.

Artikel 8 legt fest, dass die Mitgliedstaaten zusammen arbeiten, um die Interoperabilität der Identifizierungssysteme zu gewährleisten. Die Kommission regelt auch hier mit Durchführungsrechtsakten die Einzelheiten. Sie kann auch technische Mindestanforderungen für die erwähnte Interoperabilität festlegen.

Kapitel III befasst sich mit Vertrauensdiensten. Anders als in der gültigen Signaturrichtlinie werden im Verordnungsvorschlag nicht mehr nur elektronische Signaturen, sondern Vertrauensdienste im Allgemeinen geregelt.

Vertrauensdienste sind wie beschrieben elektronische Dienste, die die Erstellung, Überprüfung, Validierung, Handhabung und Bewahrung elektronischer Signaturen, elektronischer Siegel, elektronischer Zeitstempel, elektronischer Dokumente, elektronischer Zustelldienste, der Website-Authentifizierung und elektronischer Zertifikate einschliesslich der Zertifikate für elektronische Signaturen und elektronische Siegel beinhalten (Art. 3 Abs. 12 des Vorschlags).

Die Regelung umfasst insbesondere Haftungsfragen, die Beaufsichtigung der Anbieter von Vertrauensdiensten sowie den Umgang von Zivil- und Prozessrecht mit elektronischen Signaturen. Bemerkenswert ist, dass der Verordnungsvorschlag auf eine Regelung der ex-ante-Prüfung von Zertifizierungsdiensten («freiwillige Akkreditierung»)²⁹ verzichtet. An ihre Stelle tritt eine Beaufsichtigung qualifizierter Vertrauensdiensteanbieter, die auch eine jährliche Auditierung mit einschliesst (Art. 16 des Verordnungsvorschlags).

Die Kapitel IV–VI beschäftigen sich mit delegierten und Durchführungsrechtsakten und Schlussbestimmungen.

Artikel 5 des Verordnungsvorschlags hält fest, dass Mitgliedstaaten, die elektronische Identifizierungsmittel voraussetzen, auch solche anderer Mitgliedstaaten akzeptieren müssen, sofern diese notifiziert sind.

Die Bestimmung lautet wie folgt:

Ist für den Zugang zu einem Online-Dienst nach nationalem Recht oder nationaler Verwaltungspraxis eine elektronische Identifizierung mit einem elektronischen Identifizierungsmittel und mit Authentifizierung erforderlich, wird für die Gewährung des Zugangs zu diesem Dienst jedes in einem anderen Mitgliedstaat ausgestellte elektronische Identifizierungsmittel anerkannt und akzeptiert, das einem System unterliegt, das auf der Liste steht, die von der Kommission nach dem Verfahren des Artikels 7 veröffentlicht wird.

Ein Zwang, elektronische Identifizierungsmittel zu nutzen, besteht damit nicht.³⁰ Ebenfalls besteht kein Zwang, eigene Identifizierungsmittel zu notifizieren. Auch ist es möglich, nur einzelne Systeme zu notifizieren.³¹ Allerdings dürfte der Druck gross sein, eine solche Notifikation vorzunehmen, um Inländerdiskriminierung zu vermeiden.

Entgegen anderslautenden Auffassungen in der Literatur³² hängt die Pflicht zur Zulassung ausländischer Identifizierungssysteme m.E. entsprechend dem Wortlaut von Artikel 5 nicht davon ab, ob der Staat eigene Identifizierungssysteme notifiziert hat.

Artikel 6 des Verordnungsvorschlags legt die Bedingungen fest, die für eine Notifizierung erfüllt sein müssen. Die Bedingungen sollen den Mitgliedstaaten helfen, das nötige Vertrauen in die elektronischen Identifizierungssysteme der anderen zu schöpfen.³³ Der Grundsatz der gegenseitigen Anerkennung soll nur dann gelten, wenn der notifizierende Mitgliedstaat die Notifizierungsbedingungen erfüllt und die Notifizierung im Amtsblatt der Europäischen Union veröffentlicht wurde.³⁴

Die Bedingungen gemäss Bst. a bis e sollen jetzt im Einzelnen analysiert und auf ihre Kompatibilität mit dem System der SuisseID hin untersucht werden.

Dabei ist zu berücksichtigen, dass sich die Auslegungsmethoden des EuGH für das europäische Recht etwas von der schweizerischen Praxis unterscheiden. Von Bedeutung ist insbesondere der Effektivitätsgrundsatz («effet utile»), gemäss dem die Auslegung des Rechts sich an den Vertragszielen zu orientieren hat.³⁵ Hinsichtlich der Auslegung der verschiedenen Sprachversionen der Rechtstexte ist die Praxis hingegen naturgemäss ähnlich wie in der Schweiz.

Nur elektronische Identifizierungssysteme können notifiziert werden. Es ist also zunächst zu prüfen, ob die SuisseID als solches gelten kann.

Ein elektronisches Identifizierungssystem ist ein System für die elektronische Identifizierung, in dessen Rahmen für natürliche oder juristische Personen elektronische Identifizierungsmittel ausgestellt werden (Art. 3 Abs. 3 i.V.m. Abs. 1 des Verordnungsvorschlags).

Elektronische Identifizierungsmittel sind materielle oder immaterielle Einheiten, die Personenidentifizierungsdaten enthalten und die dem Zugang zu Onlinediensten dienen, die für den Zugang eine elektronische Identifizierung mit einem elektronischen Identifizierungsmittel und eine Authentifizierung voraussetzen (Art. 3 Abs. 2 i.V. m. Art. 5 des Entwurfs).

Das IAC-Zertifikat der SuisseID enthält Personenidentifizierungsdaten, werden doch durch das Zertifikat Personen eindeutig repräsentiert (Name, SuisseID-Nummer). Es dient dem Zugang zu Onlinediensten, die über eine elektronische Identifizierung mit einem elektronischen Identifizierungsmittel zugänglich sind (m.a.W., die eben mit der SuisseID zugänglich sind).

Das qualifizierte Zertifikat der SuisseID ist für die Identifizierung nicht zugelassen; es spielt für die vorliegende Untersuchung daher keine Rolle.

Daneben ist auch eine Authentifizierung, d.h. eine Gültigkeitsprüfung der Identifizierung (Validierung; Art. 3 Abs. 4 des Verordnungsvorschlags), vorausgesetzt, damit ein elektronisches Identifizierungsmittel gemäss des Verordnungsvorschlags vorliegt.

Die Validierung der elektronischen Identifizierung als solche ist im weiteren Verordnungsvorschlag nicht geregelt, sondern ausschliesslich die Validierung elektronischer Signaturen; gemäss Artikel 25 des Verordnungsvorschlag besteht die Validierung einer elektronischen Signatur in der Prüfung des Vorliegens eines qualifizierten Zertifikats, seiner Echtheit und Gültigkeit, der Übereinstimmung der Signaturvalidierungsdaten und dem Zertifikatsinhalt mit den vom vertrauenden Beteiligten bereitgestellten Daten, der Datenintegrität, etc. Diese Umschreibung passt indessen nicht auf die Validierung eines IAC-Zertifikats, weil einige Aspekte, die gemäss Art. 25 des Entwurfs zu prüfen sind, bei einem solchen nicht vorliegen, so etwa die Bezeichnung als qualifiziertes Zertifikat.

Die SuisseID enthält ein IAC-Zertifikat, und bei der Verwendung erfolgt wie beschrieben eine Validierung anhand einer CRL oder mittels einer OCSP-Abfrage. Damit liegt ein Identifizierungssystem im Sinn von Art. 5 des Verordnungsvorschlags vor.

Die SuisseID ist demnach so weit ersichtlich ein elektronisches Identifizierungsmittel im Sinne der Verordnung. (Allfällige technische Besonderheiten, die diesen Befund entkräften könnten, sind nicht ersichtlich und waren für die vorliegende Untersuchung nicht zu prüfen).

Die SuisseID wird zudem an natürliche oder juristische Personen vergeben. Auch diese Voraussetzung ist erfüllt.

Das zur Ausgabe und Verwendung der SuisseID nötige System (Hard- und Software etc.) ist folglich ein elektronisches Identifizierungssystem im Sinne des Verordnungsvorschlags.

Nach Art. 6 Abs. 1 Bst. a des Verordnungsvorschlags müssen die elektronischen Identifizierungsmittel vom notifizierenden Mitgliedstaat, in dessen Namen oder unter dessen Verantwortung ausgestellt werden. Der Wortlaut der Bestimmung sieht damit drei alternative Tatbestandsvarianten vor. Sie sollen jetzt untersucht werden.

Art. 6 Abs. 1 Bst. a verursacht am meisten Schwierigkeiten hinsichtlich einer Notifizierbarkeit von SuisseID. Die zentrale Frage ist, ob SuisseID als «durch den Staat, in dessen Namen oder unter dessen Verantwortung» ausgestellt gelten kann, wenn sie wie heute durch private Unternehmen angeboten wird.

Die erste Variante ist die Ausstellung der Identifizierungsmittel durch den notifizierenden Mitgliedstaat (by the notifying member state; par l’État membre notifiant). Weder die französische noch die englische Fassung weichen diesbezüglich vom deutschen Wortlaut der Bestimmung ab.

Die SuisseID wird durch einen Teil der Mitglieder des Trägervereins ausgegeben. Mitglieder sind einerseits das Staatssekretariat für Wirtschaft SECO und das Bundesamt für Informatik und Telekommunikation BIT. Das BIT ist zwar als Zertifizierungsdiensteanbieterin nach ZertES anerkannt, gibt derzeit aber keine Zertifikate aus. Eine Ausgabe erfolgt indessen durch die Schweizerische Post (bzw. ihre Tochter SwissSign AG) als staatliches Unternehmen, die gemischtwirtschaftliche Swisscom AG und das private Unternehmen QuoVadis Trustlink Schweiz AG.

Bei der Ausgabe durch die Post ist die Konstellation nicht völlig eindeutig, denn die Post ist als spezialgesetzliche Aktiengesellschaft konstituiert, die eine von der Schweizerischen Eidgenossenschaft verschiedene Rechtspersönlichkeit aufweist (Art. 2 Postorganisationsgesetz), die Zertifikate werden zudem über ihre Tochter SwissSign AG herausgegeben.

Eine Herausgabe durch den Staat liegt aus grammatikalischer Sicht jedenfalls dann nicht vor, wenn die Zertifikate und Token durch Mitglieder ausgegeben werden, die nicht rein staatlich sind. Gegen eine Anwendung auf die Post spricht, dass SwissSign AG eine eigene Rechtspersönlichkeit hat. Gleiches gilt für die Swisscom AG, bei der hinzu kommt, dass an ihr auch Private beteiligt sind.

Bei der QuoVadis Trustlink Schweiz AG handelt es sich selbstredend nicht um eine Herausgabe durch den Staat, weil diese ein privates Unternehmen ist.

Aus grammatikalischer Sicht liegt damit bei der SuisseID zumindest nicht in allen Fällen eine Herausgabe durch den Staat vor, und auch im Fall von Post/SwissSign, der die Kriterien am ehesten erfüllt, sind erhebliche Zweifel angebracht.

Gemäss den Erwägungsgründen des Verordnungsvorschlags bezweckt der Verordnungsvorschlag keinen Eingriff in die in den Mitgliedstaaten bestehenden elektronischen Identitätsmanagementsysteme und zugehörigen Infrastrukturen. Den Mitgliedstaaten soll es freigestellt bleiben, zwecks elektronischer Identifizierung eigene Mittel für den Zugang zu Online-Diensten einzuführen oder zu verwenden. Sie sollten insbesondere auch selbst entscheiden können, ob sie den Privatsektor in die Bereitstellung solcher Mittel einbeziehen.³⁶

Dem Privatsektor soll auch erlaubt werden können, die notifizierten Identifizierungsmittel zu verwenden, was allerdings für die vorliegende Fragestellung nur indirekt Bedeutung hat: Ziel des Verordnungsvorschlags ist es, den Bürgern und Unternehmen den grenzüberschreitenden Zugang auch zu privaten Angeboten zu erleichtern, was durch eine weite Verbreitung im öffentlichen Sektor unterstützt werden kann.³⁷

Daraus, dass die Mitgliedstaaten den Privatsektor in die Bereitstellung von Identifizierungsmitteln einbeziehen können, lässt sich allerdings kaum der Schluss ziehen, dass bereits die Formulierung Bereitstellung «durch die Mitgliedstaaten» auch so zu verstehen wäre, dass eine Delegation an Private zulässig wäre.

Auch aus einer historisch-teleologischen Perspektive ist damit die SuisseID nicht ein Fall einer Ausstellung durch den Staat.

Auch eine systematische Betrachtungsweise führt zu keinem anderen Schluss, im Gegenteil: Gemäss Art. 6 Abs. 1 Bst. e des Verordnungsvorschlags muss der Staat die Haftung für die eindeutige Zuordnung der Personenidentifizierungsdaten sowie für die Authentifizierungsmöglichkeit tragen, damit ein System notifizierbar ist, was für die Auslegung spricht, dass «durch den Staat» wörtlich zu verstehen ist.

Zudem ist die elektronische Identifizierung in einem eigenen Kapitel II geregelt, während andere Vertrauensdienste, die auch gemäss dem Verordnungsvorschlag durch Private erbracht werden können sollen, in Kapitel III geregelt sind.

Auch aus dieser Sicht ist die SuisseID nicht als Fall der Ausstellung von Identifizierungsmitteln durch den Staat zu verstehen.

Die Formulierung «durch den notifizierenden Mitgliedstaat» kann nur so verstanden werden, dass der Mitgliedstaat selber das Identifizierungssystem betreiben muss.

Die SuisseID erfüllt diese Voraussetzung möglicherweise bei den durch die Post bzw. die SwissSign AG ausgegebenen Zertifikaten, wenngleich auch dort Bedenken bestehen, weil die SwissSign AG formal gesehen eine andere juristische Person ist als die Eidgenossenschaft. Eine abschliessende Beurteilung ist jedoch nicht möglich.

Die Formulierung «im Namen des notifizierenden Mitgliedstaates» (on behalf; en son nom) bedeutet in allgemein-sprachlichem Sinn, dass der Zertifizierungsdiensteanbieter als Vertreter des betreffenden Staates handelt. Die englische und französische Version haben denselben Sinn.

In einem aktuellen Vorabentscheidungsverfahren in Rechtssache C-510/10 vor dem EuGH ging es um die Auslegung der Begriffe «im Namen» bzw. «unter der Verantwortung» im Kontext der Urheberrechtsrichtlinie 2001/29/EG. Dabei waren Vorlagefragen des dänischen «Østre Landsret» zu beantworten.³⁸

In dem Urteil ging es um das urheberrechtliche Vervielfältigungsrecht gemäss Art. 2 der Richtlinie (in der Schweiz in Art. 10 Abs. 2 Bst. a URG geregelt). Artikel 5 Abs. 2 Bst. d der Richtlinie sieht vor, dass die Mitgliedstaaten in Bezug auf ephemere (flüchtige) Aufzeichnungen von Werken, die von Sendeunternehmen mit eigenen Mitteln und für eigene Sendungen vorgenommen worden sind, bei aussergewöhnlichem Dokumentationscharakter die Aufbewahrung in amtlichen Archiven erlauben können.³⁹ Gemäss Erwägungsgrund 41 der Richtlinie wird bei Anwendung der Ausnahme für ephemere Aufzeichnungen davon ausgegangen, dass zu den «eigenen Mitteln» des Sendeunternehmens auch die Mittel einer Person zählen, die im Namen oder unter der Verantwortung des Sendeunternehmens handelt. Die Formulierung entspricht damit vom Wortlaut her der vorliegend zu prüfenden Bestimmung.

Das Gericht entschied die erste Vorlagefrage dahingehend, dass die Formulierungen des Erwägungsgrunds autonom und im Unionsrecht einheitlich auszulegen seien. Dies entsprechend seiner ständigen Praxis, gemäss der Begriffe einer Vorschrift des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Bedeutung nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen.⁴⁰

Die zweite Vorlagefrage ist vorliegend nicht von Bedeutung.

Mit der dritten Vorlagefrage allerdings liess das dänische Gericht klären, welche Kriterien das nationale Gericht zugrunde zu legen habe, wenn es konkret zu beurteilen habe, ob eine Aufzeichnung von einem Dritten (Produzenten) für Sendungen eines Sendeunternehmens «mit eigenen Mitteln» und auch «im Namen [und/oder] unter der Verantwortung» des Sendeunternehmens vorgenommen worden sei.⁴¹

Das Gericht verzichtete allerdings auf eine nähere Auseinandersetzung mit dem Begriff «im Namen» und ging einzig auf den Begriff «unter der Verantwortung» ein (zum letzteren sogleich in 3.4.2.4.4). Dies wohl aus der Vorstellung heraus, dass «im Namen» ausreichend klar sei, und dass, wenn die Tatbestandsvariante «unter der Verantwortung» erfüllt sei, die Variante «im Namen» a fortiori auch erfüllt sein müsse.⁴²

Damit ergibt sich aus diesem Entscheid keine Abweichung von dem allgemein-sprachlichen Verständnis, wonach «im Namen» als «in Vertretung» zu verstehen ist.

Aus einer historisch-teleologischen oder systematischen Perspektive ist dem oben unter 3.4.2.2 Gesagten nichts beizufügen.

Wie beschrieben wird der Vertrag über die SuisseID mit dem durch den Kunden gewählten Mitglied des Trägervereins abgeschlossen. Dieses tritt also nicht als Vertreter der Eidgenossenschaft auf (auch nicht bei Zertifikaten der Post/SwissSign).

Auch die Tatbestandsvariante «im Namen» wird damit durch die SuisseID nicht erfüllt.

Die Formulierung «unter der Verantwortung des notifizierenden Mitgliedstaats» (under the responsibility; sous sa résponsabilité) ist noch einmal offener als die vorgehend besprochenen Varianten. Sie wirft aber auch am meisten Fragen auf.

Auch hier haben die drei Sprachfassungen eine identische Bedeutung.

Zunächst fragt sich, ob der Begriff «unter der Verantwortung» im Sinne einer Haftung für Schadenersatz oder im Sinne einer Pflicht zur umfassenden Sorge für das korrekte Funktionieren des Identifikationssystems zu verstehen ist. Sodann wird zu prüfen sein, ob (auch in letzterem Fall) und ggf. in welchem Umfang eine Delegation an Private zulässig sein sollte.

Vier Vorkommen der Formulierung «unter der Verantwortung» in europäischen Rechtstexten werden für eine grammatikalische Auslegung beigezogen:

In dem bereits erwähnten urheberrechtlichen Entscheid zu Rechtssache C-510/10 äusserte sich das Gericht zur entsprechenden Formulierung. Es befand, ein Handeln eines Dritten «unter der Verantwortung» eines Sendeunternehmens könne nur vorliegen, wenn das Sendeunternehmen für jede Handlung einer solchen Person im Zusammenhang mit der Vervielfältigung des geschützten Werks hafte, insbesondere gegenüber den Urhebern, die Inhaber der betreffenden Rechte sind.⁴³

Wesentlich sei vor allem, dass das Unternehmen für jede beeinträchtigende Wirkung von Handlungen so hafte, als hätte es diese selbst begangen.⁴⁴

Ferner hielt das Gericht fest, es sei für das Tatbestandsmerkmal «unter der Verantwortung» irrelevant, wem die letzte künstlerische oder redaktionelle Entscheidung in Bezug auf den Inhalt des vom Sendeunternehmen bestellten vervielfältigten Programms obliege. Im Hinblick auf die Bestimmung komme es nämlich nur auf den Begriff der «Aufzeichnung» an, die als Mittel der technischen Vervielfältigung aufgefasst werde.⁴⁵ Das Gericht ging also davon aus, dass die Norm keiner Ergänzung um weitere (ungeschriebene) Kriterien bedürfe.

Das Gericht verzichtete auf nähere Begründungen seiner Positionen.

Zusammenfassend hat das Gericht die Formulierung «unter der Verantwortung» damit so ausgelegt, dass der Verantwortungsträger für die Ausübung der fraglichen Tätigkeit so haftet, als hätte es diese selbst ausgeübt. Hingegen sei nicht gefordert, dass der Verantwortungsträger die konkrete Ausgestaltung der Tätigkeit selber bestimme.

Nach Artikel 12 Abs. 1 Unterabsatz 1 der Richtlinie 1995/5/EG ist das CE-Konformitätszeichen unter Verantwortung des Herstellers, seines in der Gemeinschaft ansässigen Bevollmächtigten oder der für das Inverkehrbringen einer Funkanlage verantwortlichen Person anzubringen.

Die Rechtsfolgen von Verstössen gegen die Pflicht zur Anbringung des Zeichens regeln die Mitgliedstaaten. Nach §§ 17 Abs. 1 Nr. 5, 10 Abs. 1 des deutschen Gesetzes über Funkanlagen und Telekommunikationsendeinrichtungen (FTEG) etwa ist die Inverkehrsetzung von Funkanlagen ohne CE-Kennzeichnung mit Busse bedroht.

Nachdem Verantwortung in diesem Kontext zumindest auch eine strafrechtliche Komponente hat, kann nicht mehr die Rede davon sein, dass «unter der Verantwortung» ausschliesslich die (zivilrechtliche) Haftung umfasst.

Nach Art. 4 Bst. f des Verordnungsvorschlages tragen die Mitgliedstaaten dafür Sorge, dass personenbezogene Daten unter der Verantwortung und Haftung des für die Verarbeitung Verantwortlichen verarbeitet werden, der die Einhaltung der nach Massgabe dieser Richtlinie erlassenen Vorschriften gewährleistet.

Diese Bestimmung trennt Verantwortung und Haftung bereits in ihrem Wortlaut. Auch in diesem Fall sind Verantwortung und Haftung also nicht gleichzusetzen.

Ähnlich ist die Situation in Art. 73 der EU-Pflanzenschutzmittelverordnung, der schon im Titel zwischen zivilrechtlicher Haftung und strafrechtlicher Verantwortung unterscheidet.

Die Auslegung der Formulierung «unter der Verantwortung» in der Urheberrechtsrichtlinie durch den EuGH als Haftung lässt sich insofern nicht zwingend auf den vorliegenden Fall übertragen, als die Formulierung in anderen europäischen Rechtstexten offenbar anders gemeint ist. Dies ergibt sich zwar jeweils nicht aus Entscheidungen (wie im Fall der Urheberrechtsrichtlinie), lässt sich aber jeweils bereits aus dem Wortlaut (Datenverarbeitung) bzw. aus der gesamten Regelungssystematik (CE-Kennzeichnung) schliessen.

Damit ergeben sich aus dem Wortlaut von Art. 6 Abs. 1 Bst. a des Verordnungsvorschlags zumindest zwei Auslegungsvarianten, die in der Folge noch näher zu prüfen sind:

• Entweder wird der Begriff «unter der Verantwortung» entsprechend dem EuGH-Entscheid als Haftung für Schadenersatz verstanden, für den Fall, dass einem auf ein Identifizierungsmittel vertrauenden Dritten aufgrund eines Fehlers ein Schaden entsteht;
• oder dann versteht man ihn im Sinne einer umfassenden Sorge für die korrekte Implementation und das korrekte Funktionieren des Identifizierungssystems. Mit Verantwortung meint man denn allgemein-sprachlich auch die mit einer bestimmten Aufgabe, einer bestimmten Stellung verbundene Verpflichtung, dafür zu sorgen, dass (innerhalb eines bestimmten Rahmens) alles einen möglichst guten Verlauf nimmt, dass das jeweils Notwendige und Richtige getan wird und dass möglichst kein Schaden entsteht.⁴⁶ Eine Haftung des Staates für Schadenersatz ist indessen mit der Formulierung «unter der Verantwortung» nicht zwingend vorausgesetzt; es könnte sein, dass sich die Verantwortung auf das Aufstellen von Regeln, die Überwachung von deren Einhaltung und evtl. auf die Sanktionierung von Verstössen beschränkt (dazu sogleich).

Als relativ unwahrscheinlich ist der Fall einzuschätzen, dass ein Gericht zur Auffassung gelangte, das Tatbestandsmerkmal «unter der Verantwortung» habe keine eigenständige Bedeutung und sei ein Unterfall der zweiten Tatbestandsvariante (Vertretung; «im Namen»), denn eine solche Auslegung widerspräche dem Wortlaut, der klar eine alternative Anwendbarkeit vorsieht («oder»). Damit müssen Dritte auch dann beigezogen werden können, wenn sie in eigenem Namen und folglich nicht im Namen des Staates auftreten.

Denkbar wäre indessen, dass die Formulierung mit den drei Varianten gewählt wurde, um verschiedene Konstellationen abzudecken, die bezüglich einzelner Schritte der «Wertschöpfungskette» der Zertifizierung zu erwarten wären, also dass etwa der Staat die Identifikation vornimmt («vom Mitgliedstaat»), aber die Chipkarten von Dritten herstellen lässt («unter der Verantwortung»), und dass der Vertrieb schliesslich durch Dritte («im Namen des Mitgliedstaats») erfolgt. Der Grund für die Wahl von drei Tatbestandsvarianten könnte also die Vorstellung gewesen sein, dass der Staat gewisse sicherheitsrelevante Schritte der Zertifizierung selber vorzunehmen habe und nur weniger problematische Aspekte an Private auslagern sollte. Entsprechend hätte man die drei Varianten nicht vorgesehen, um die gesamte Wertschöpfungskette jeweils entweder durch den Staat, in Vertretung des Staates oder unter dessen Verantwortung ausführen zu lassen, sondern um einzelne bestimmte Teile ein- und desselben Systems den verschiedenen Akteuren zu überlassen.

Dagegen spricht allerdings wiederum Erwägungsgrund 14 des Verordnungsvorschlags, gemäss dem die Mitgliedstaaten selbst entscheiden können sollen, ob sie den Privatsektor in die Ausstellung elektronischer Identifizierungsmittel einbeziehen. Hätte man bestimmte Schritte ausschliesslich dem Staat vorbehalten wollen, hätte dies in Erwägungsgrund 14 zum Ausdruck kommen müssen.

Mit Sicherheit deckt die Formulierung «unter der Verantwortung» aus grammatikalischer Sicht ferner Fälle ab, in denen der Staat Identifizierungsmittel selber ausstellt, dazu aber private Zulieferer beizieht, die gegen aussen nicht in Erscheinung treten.

Aus grammatikalischer Sicht kann damit gesagt werden, dass «unter der Verantwortung des notifizierenden Mitgliedstaats» mit einiger Wahrscheinlichkeit im Sinne einer umfassenden Sorge für die korrekte Implementation und das korrekte Funktionieren des Identifizierungssystems zu verstehen ist, wobei auch der Beizug Dritter möglich bleiben soll.

Der Beizug privater Zulieferer, die gegen aussen nicht in Erscheinung treten, ist auf jeden Fall unproblematisch.

Art. 6 Abs. 1 Bst. c des Verordnungsvorschlags setzt voraus, dass der notifizierende Mitgliedstaat sicherstellt, dass die Personenidentifizierungsdaten der in Artikel 3 Absatz 1 genannten natürlichen oder juristischen Person eindeutig zugeordnet sind.⁴⁷ Bst. c dient dazu, das Vertrauen der anderen Mitgliedstaaten in ein notifiziertes System zu erhöhen.⁴⁸ Es könnte damit sein, dass die Zuordnung von Personenidentifizierungsdaten gemäss Bst. c aus Sicherheitsgründen dem Staat vorbehalten bleiben sollte, wie dies schon im Abschnitt zur grammatikalischen Auslegung angedacht wurde. Konsequenterweise sähe der Wortlaut dieser Bestimmung daher nicht – wie Bst. a – drei Tatbestandsvarianten vor, sondern nur eine: Der notifizierende Mitgliedstaat hat sicherzustellen, dass Identifizierungsdaten und Person eindeutig zugeordnet sind; eine Zuordnung in seinem Namen oder unter dessen Verantwortung ist nicht vorgesehen.

Läse man das Kriterium so, dass der Staat die entsprechende Zuordnung wirklich selber vorzunehmen habe, läge darin allerdings erneut ein Widerspruch zu Erwägungsgrund 14 des Verordnungsvorschlags. Behält man die Zuordnung der Personenidentifizierungsdaten nämlich dem Staat vor, bleibt für private Anbieter kaum mehr etwas von der «Wertschöpfungskette» der Identifizierungsmittel übrig: Sie könnten höchstens noch für die Herstellung von Hardwaretokens oder Signiereinheiten beigezogen werden, nicht aber mehr für die aufwändigen Prozesse der Identifizierung und den Betrieb der Zertifizierungsinfrastruktur selbst, die den Hauptteil der Wertschöpfung ausmachen.

Dreht man die Sache allerdings um und ergänzt das Kriterium des Sicherstellens nach Bst. c um ein (ungeschriebenes) Kriterium «unter der Verantwortung», wie es in Bst. a steht, hätte Bst. c nun aber gar keine eigenständige Bedeutung mehr: Bst. a deckt die Ausstellung von elektronischen Identifizierungsmitteln uneingeschränkt ab, und die Zuordnung von public key und Namen bzw. die Identifikation des Halters des Schlüsselpaars sind selbstverständlich ebenfalls Schritte im Rahmen dieser Ausstellung. Damit wären diese Teile doppelt geregelt.

Eine systematische Auslegung spricht zunächst einmal deutlich gegen eine Interpretation des Begriffs «Verantwortung» als Haftung, denn sie stünde mit der gemäss Art. 6 Abs. 1 Bst. e des Verordnungsvorschlags für eine Notifizierung gesondert vorausgesetzten Haftung des Staates für die Zuordnung der Personenidentifizierungsdaten und die Authentifizierungsmöglichkeit im Widerspruch, weil eine doppelte Regelung desselben Kriteriums vorläge. Es wäre unsinnig, in Art. 6 Abs. 1 Bst. a des Verordnungsvorschlags ein Kriterium aufzuführen, das auch gemäss Art. 6 Abs. 1 Bst. e schon verlangt ist.

Verantwortung im Sinne von Art. 6 Abs. 1 Bst. a des Verordnungsvorschlags muss also auch aus systematischer Sicht mehr sein als die blosse Übernahme einer Schadenersatzhaftung für das korrekte Funktionieren des Systems (oder gar nur von Teilen davon, nämlich für die korrekte Zuordnung der Personenidentifizierungsdaten bzw. für die Authentifizierungsmöglichkeit, wie in Art. 6 Abs. 1 Bst. e vorgesehen).

Hinzu kommt, dass die elektronische Identifizierung in einem eigenen Kapitel II geregelt ist, während andere Vertrauensdienste, die auch unter dem Verordnungsvorschlag eindeutig durch Private erbracht werden können sollen, in Kapitel III geregelt sind.

Damit bleiben die Regelungen von Art. 6 Bst. a (i.V.m. Erwägungsgrund 14) und Bst. c des Verordnungsvorschlags auch aus systematischer Sicht widersprüchlich. Eine weitere Präzisierung des Begriffs «unter der Verantwortung» hinsichtlich der Frage, ob der Staat zur Ausstellung von Signaturen Dritte beiziehen dürfe, ist daher schwierig.

Gemäss Erwägungsgrund 14 des Verordnungsvorschlags sollen wie bereits erwähnt die Mitgliedstaaten selbst entscheiden können, ob sie den Privatsektor in die Ausstellung elektronischer Identifizierungsmittel einbeziehen. Weil Erwägungsgrund 14 keine Ausnahmen für einzelne Schritte der Zertifizierung vorsieht, ist davon auszugehen, dass der Beizug Privater für jeden dieser Schritte möglich sein sollte. Dies entspräche auch Erwägungsgrund 20 des Verordnungsvorschlags, der Angesichts des Tempos der technologischen Veränderungen einen für Innovationen offenen Ansatz vorgibt. Dies schliesst es insbesondere auch mit ein, die Innovationskraft des Wettbewerbs zwischen Privaten zu nutzen und sämtliche Schritte der Zertifizierung für Private offen zu halten.

In einer Antwort auf eine entsprechende Delegiertenanfrage bestätigte die Kommission denn auch die Absicht, auch private Anbieter auch für eine Notifizierung nach Artikel 7 zuzulassen.⁴⁹

Die Formulierung «unter der Verantwortung» ist m.E. so zu verstehen, dass die betreffenden Identifizierungsmittel zwar durch Dritte ausgestellt werden können, dass dem Staat bei der Ausstellung indessen insofern eine wesentliche Rolle zukommt, als er die Regeln für diese Ausstellung setzen und überwachen sowie ggf. Verletzungen sanktionieren können muss.

Wie die Ausgestaltung eines derartigen Regelsystems auszusehen hätte, ist indessen offen. Anhaltspunkte aus dem Wortlaut gibt es keine, und auch Rechtsquellen oder -praxis zu vergleichbaren Konstellationen fehlen. Naheliegend ist indessen, dass sich der Staat bei der Ausgestaltung des Regelsystems an den Regeln für qualifizierte elektronische Signaturen orientiert, wie dies die SuisseID schon heute tut.

Die Problematik besteht dabei darin, dass das ZertES nur für elektronische Signaturen, nicht aber für Identifizierungssysteme Geltung hat (Art. 1 Abs. 1 Bst. a ZertES). Entsprechend fehlt eine gesetzliche Grundlage, gestützt auf die der Staat auch Regeln für Identifizierungsmittel aufstellen könnte. Ihre Schaffung wäre m.E. eine Voraussetzung für die Umsetzung einer Variante mit Identifizierungsmitteln, die durch Dritte in eigenem Namen ausgestellt werden. Eine Anwendung des Ausweisgesetzes (Art. 2 Abs. 2^quater sieht die Integration elektronischer Identitäten in Ausweise vor) dürfte nicht in Frage kommen, denn dieses sieht vor, dass Ausweise durch von den Kantonen bezeichnete Behörden (d.h. durch die öffentliche Hand) ausgestellt werden (Art. 4 Abs. 1 AwG). Eine Ausstellung durch Dritte, zumindest in deren eigenem Namen, ist damit schon vom Wortlaut des AwG her unmöglich.

Eine erste offensichtliche Möglichkeit besteht darin, dass der Staat selber Identifizierungsmittel ausgibt («vom notifizierenden Mitgliedstaat» ausgestellt).

Ebenfalls möglich ist eine Outsourcing-Variante in dem Sinne, dass der Staat Dritte mit der Ausgabe der Identifizierungsmittel beauftragt und diese den Staat bei der Ausstellung vertreten («im Namen des notifizierenden Mitgliedstaats»).

Eine Notifizierung eines Identifizierungssystems sollte aber auch dann möglich sein, wenn der betreffende Mitgliedstaat bloss die Verpflichtung übernimmt, dafür zu sorgen, dass das betreffende System den Vorgaben entsprechend aufgebaut und betrieben wird («unter der Verantwortung des notifizierenden Mitgliedstaats» ausgestellt). Dazu gehört, dass der Staat die entsprechenden Regeln und Ziele setzt, ihre Befolgung überwacht und Verletzungen sanktioniert. Anders als bei der Ausgabe der Identifizierungsmittel durch den Mitgliedstaat schliesst die Formulierung «unter der Verantwortung des Mitgliedstaats» also m.E. nicht aus, dass Dritte die Identifizierungsmittel in ihrem eigenen Namen ausgeben.

Das bestehende System der SuisseID ist derzeit allerdings mit keiner der drei Tatbestandsvarianten konform, denn die Zertifikate werden durch Private ausgegeben, die sich die dafür geltenden Regeln zwar unter Federführung des Staates gegeben haben, aber in Form von Selbstregulierung und ohne staatliche Überwachung der Einhaltung des Reglements.

Die Bedingung b) lautet wie folgt:

Die elektronischen Identifizierungsmittel können im notifizierenden Mitgliedstaat zumindest für den Zugang zu öffentlichen Diensten verwendet werden, für die eine elektronische Identifizierung erforderlich ist;

Es reicht dabei aus, wenn das Identifizierungsmittel den Zugang zu mindestens einem öffentlichen Dienst ermöglicht.⁵⁰ In der Schweiz wird die SuisseID beispielsweise zugelassen, um Strafregisterauszüge zu bestellen.⁵¹ Diese Voraussetzung ist damit schon heute ohne Weiteres erfüllt.

Die Bedingung c) für die Notifizierbarkeit ist wie folgt formuliert:

Der notifizierende Mitgliedstaat stellt sicher, dass die Personenidentifizierungsdaten der in Artikel 3 Absatz 1 genannten natürlichen oder juristischen Person eindeutig zugeordnet sind;

Zunächst ist zu fragen, was genau unter Personenidentifizierungsdaten zu verstehen ist. Die Kommission hat nämlich offensichtlich versäumt, den Begriff im Vorschlag zu definieren (anders als die Begriffe der Signaturerstellungsdaten und Siegelerstellungsdaten; Art. 3 Abs. 9 bzw. 23). Nachdem die zur Identifizierung verwendete Technologie jedoch mit jener zur Erstellung elektronischer Signaturen nahezu identisch ist, kann ohne Weiteres auf die Definition der Signaturerststellungsdaten zurückgegriffen werden: Entsprechend sind Personenidentifizierungsdaten eindeutige Daten, die vom Unterzeichner zur Identifizierung verwendet werden, mithin das Schlüsselpaar von public und private key.

Die Zuordnung der Daten umfasst sodann schematisch besehen mindestens drei Schritte: Zunächst geht es um die kryptographische Sicherheit, dass der verwendete public key auch zu dem private key der sich identifizierenden Person gehört. Als Zweites ist die Verbindung zwischen dem public key und dem Namen der zu identifizierenden Person sicherzustellen (Zertifizierung), und als Drittes ist sicherzustellen, dass die Person, die ihre Identifizierungsdaten zertifizieren lässt, auch tatsächlich die zu identifizierende Person ist (Überprüfung der Personalien).⁵²

Geht man davon aus, dass die kryptographische Verschränkung von private und public key unproblematisch ist,⁵³ kann es nur noch darum gehen, die Zuordnung von public key und Namen zu zertifizieren und/oder die Identifikation des Halters des Schlüsselpaars vorzunehmen. Beide Schritte sind essentielle Glieder der zur Identifizierung nötigen Vertrauenskette, und beide bergen ein gewisses Fehlerrisiko: Bei der Zertifizierung muss der für die Erstellung der Zertifikate verwendete private key des Zertifizierungsdiensteanbieters höchster Geheimhaltung unterstehen, und es muss sicher gestellt sein, dass die korrekten Daten in das Zertifikat übernommen werden. Bei der Identifizierung des Halters hat eine sorgfältige Prüfung von Ausweispapieren zu erfolgen, damit sich niemand unter falschem Namen ein Zertifikat erschleichen kann.

Auf das Spannungsverhältnis zwischen Bst. a und c wurde bereits bei den Ausführungen zu Bst. a hingewiesen.⁵⁴ Wie dargelegt fragt es sich vor allem, ob Bst. c die Ausstellung von Identifizierungsmitteln dem Staat vorbehalten will. Dies wurde, mit einem gewissen Unsicherheitsfaktor, verneint.

Bedingung d) für die Notifizierbarkeit lautet wie folgt:

Der notifizierende Mitgliedstaat stellt sicher, dass jederzeit kostenlos eine Authentifizierungsmöglichkeit online zur Verfügung steht, damit vertrauende Beteiligte die in elektronischer Form empfangenen Personenidentifizierungsdaten validieren können. Die Mitgliedstaaten machen vertrauenden Beteiligten, die ausserhalb ihres jeweiligen Hoheitsgebiets niedergelassen sind und eine solche Authentifizierung vornehmen wollen, keine bestimmten technischen Vorgaben. Ist das notifizierte Identifizierungssystem oder die notifizierte Authentifizierungsmöglichkeit verletzt worden oder teilweise beeinträchtigt, setzt der jeweilige Mitgliedstaat das notifizierte Identifizierungssystem oder die notifizierte Authentifizierungsmöglichkeit oder deren beeinträchtigte Teile unverzüglich aus bzw. widerruft sie und unterrichtet hiervon die anderen Mitgliedstaaten und die Kommission im Einklang mit Artikel 7;

Die Frage, ob ein derartiges Validierungssystem durch den Staat oder durch Dritte betrieben werden soll, ist mit jener nach der Ausstellung der Identifizierungsmittel absolut vergleichbar. Versteht man Bst. a so, dass die Ausstellung der Identifizierungsmittel auch durch Private möglich sein soll, so spricht alles dafür, dass diese Privaten auch die Validierungsmöglichkeit sicher stellen. Umgekehrt führte eine Auslegung von Bst. a in dem Sinne, dass zumindest gewisse Schritte der Ausstellung dem Staat vorzubehalten seien, dazu, auch die Validierung dem Staat zu übertragen.

Die SuisseID wäre unter der ersten Auslegungsvariante voraussichtlich mit dem Verordnungsvorschlag kompatibel was den Betrieb des Authentifizierungssystems als solchen angeht: Ein Widerruf von Zertifikaten ist möglich. Ein den einschlägigen Standards entsprechendes System mit CRL bzw. OCSP-Abfragen ist in Betrieb, was selbstverständlich auch den Zugriff Dritter mit einschliesst, denn für auf das IAC-Zertifikat vertrauende Dritte, wird diese Lösung ja betrieben. Der Zugriff ist zudem wie üblich kostenlos.

Ein Aussetzen des Systems in Fällen von Verletzungen oder teilweisen Beeinträchtigungen ist bisher indessen so weit ersichtlich nicht vorgesehen und müsste noch eingeführt werden. Eine entsprechende Anpassung sollte indessen problemlos möglich sein.

Bedingung e) für die Notifizierbarkeit betrifft die Haftung. Sie lautet wie folgt:

Der notifizierende Mitgliedstaat haftet für

 

i) die eindeutige Zuordnung der in Buchstabe c genannten Personenidentifizierungsdaten und


 

ii) die in Buchstabe d genannte Authentifizierungsmöglichkeit.

Diese Haftungsbestimmung berührt sodann nach Art. 6 Abs. 2 nicht die Haftung der Beteiligten an einer Transaktion, bei der auf elektronische Identifizierungsmittel zurückgegriffen wird, die dem notifizierten System unterliegen.

Unklar bleibt, welcher Art die Haftung des Mitgliedstaates sein muss, d.h. ob eine Gefährdungshaftung vorausgesetzt wird oder eine Verschuldenshaftung (für leichte oder evtl. nur für grobe Fahrlässigkeit). Die vorausgesetzte Haftung müsste sich indessen wohl auch auf mittelbare Schäden beziehen, so lange die adäquate Kausalität gewahrt ist, denn der Zweck der Zuordnung bzw. Authentifizierung besteht regelmässig darin, weitere Rechtswirkungen zu erzielen.

Eine Auslegung, wonach die Haftung auch durch beteiligte Private anstelle des Staates getragen werden könnte, ist angesichts des klaren Wortlauts und der bei Privaten höheren Ausfallrisiken wohl nicht vertretbar.

Bislang gibt es keine gesetzliche Grundlage für eine Haftung der Eidgenossenschaft im Rahmen der SuisseID.⁵⁵ Entsprechend würde eine Notifizierung der SuisseID auch an diesem Kriterium scheitern.

Die Voraussetzungen der Notifizierbarkeit ergeben sich aus Art. 6 des Verordnungsvorschlags. Die folgende Tabelle gibt einen Überblick, welche der acht Kriterien erfüllt sind, welche nicht, und bei welchen dies unsicher ist.

Kriterien 3, 4 und 5 müssen alternativ, die übrigen kumulativ erfüllt sein, damit ein Identifizierungssystem notifizierbar ist.

Kriterium	Erfüllt	Unsicher	Nicht erfüllt
1. Elektronisches Identifizierungssystem	X
2. Ausstellung durch den Mitgliedstaat		X (SwissSign)56	X57
3. Ausstellung im Namen des Mitgliedstaats			X58
4. Ausstellung unter Verantwortung des Mitgliedstaats		X59
5. Akzeptanz nach den Rechtsvorschriften des notifizierenden Staats	X
6. Gewährleistung der Verknüpfung von Identifizierungsdaten und betreffender Person durch Mitgliedstaat		X60
7. Kostenlose Online-Authentifizierung für Dritte			X61
8. Haftung des Mitgliedstaats für Verknüpfung und Authentifizierungsmöglichkeit			X62

Die Befunde decken sich zumindest vom Ergebnis her mit den Aussagen zu vergleichbaren Produkten in Deutschland. So ist der Verein TeleTrusT der Auffassung, das Angebot «De-Mail» (bzw. das diesem beigeordnete Angebot «De-Ident»)⁶³ sei in seiner aktuellen Form nicht notifizierbar und müsse angepasst werden.⁶⁴ Der hessische Datenschutzbeauftragte ist der Auffassung, die deutsche eID sei derzeit ebenfalls nicht notifizierbar.⁶⁵

Das dem Angebot De-Mail beigeordnete Angebot De-Ident, das der Identifizierung dienen soll und daher für eine Notifizierung grundsätzlich in Frage käme, ist derzeit noch nicht nutzbar. Im Rahmen des nach § 6 des D-Mail-Gesetzes sind Identitätsbestätigungsdienste vorgesehen, bei denen sich der Nutzer seiner Identitätsdaten bedienen kann, um seine Identität gegenüber einem Dritten, der ebenfalls Nutzer eines De-Mail-Kontos ist, sicher elektronisch bestätigen zu lassen. Die Bestätigung wird dem Dritten über eine De-Mail-Nachricht zugestellt.

Eine kurze Überprüfung von De-Ident hinsichtlich der Kriterien von Art. 6 des Verordnungsvorschlags ergibt folgende Ergebnisse:

• Mit De-Ident dürfte zwar – trotz des Umwegs über eine De-Mail-Nachricht anstelle eines direkten Einsatzes der Identifizierungsdaten – ein elektronisches Identifizierungssystem vorliegen, wie es nach Art. 6 Abs. 1 Ingress des Verordnungsvorschlags verlangt wird.
• Die Anbieter müssen zudem nach § 17 des Gesetzes akkreditiert sein, worunter wie gesagt mit einiger Wahrscheinlichkeit ein «Ausstellen unter der Verantwortung» des deutschen Staates gesehen werden kann (Art. 6 Abs. 1 Bst. a des Verordnungsvorschlags).
• Ob De-Ident für den Zugang zu öffentlichen Diensten genutzt werden kann, ist derzeit offen, aber natürlich denkbar.
• Etwas problematischer ist die Zuordnung von Personenidentifizierungdaten und betroffener Person nach Art. 6 Abs. 1 Bst. c – sie erfolgt durch den akkreditierten Anbieter selber und nicht durch den Staat (§ 3 Abs. 3 Ziff. 1 De-Mail-G). Wie dargelegt ist aber davon auszugehen, dass dies einer Notifizierung eher nicht entgegen steht.⁶⁶
• Nicht erfüllt ist das Erfordernis einer kostenlosen Authentifizierungsmöglichkeit nach Art. 6 Abs. 1 Bst. d des Verordnungsvorschlags: De-Ident unterscheidet zwar konzeptionell nicht zwischen Identitätsprüfung und Authentifizierungsmöglichkeit, denn die Identitätsprüfung schliesst immer eine Bestätigung durch den Anbieter per Mail mit ein, womit eine Authentifizierungsmöglichkeit implizit ist. Indessen fehlt, wie in der Schweiz, ein Mechanismus, das System als Ganzes bei Beeinträchtigungen auszusetzen.
• Ebenfalls nicht erfüllt ist die Voraussetzung einer Staatshaftung nach Art. 6 Abs. 1 Bst. e des Verordnungsvorschlags, vielmehr haften, wie in der Schweiz, einzig die privaten Anbieter für Schäden (vgl. § 18 Abs. 1 Ziff. 2, wo wie in der Schweiz von einer Versicherungslösung ausgegangen wird).

Damit dürfte eine Notifikation in der Tat scheitern.

Bei der eID handelt es sich um eine Zusatzfunktion, die auf dem deutschen Personalausweis (Identitätskarte) implementiert ist. Die eID ist im «Gesetz über Personalausweise und den elektronischen Identitätätsnachweis sowie zur Änderung weiterer Vorschriften» geregelt.

Eine Überprüfung der eID hinsichtlich der Kriterien von Art. 6 des Verordnungsvorschlags ergibt folgende Ergebnisse:

• Es liegt ein elektronisches Identifizierungssystem vor, wie es nach Art. 6 Abs. 1 Ingress des Verordnungsvorschlags verlangt wird.
• Die Identifizierungsdaten werden durch den Staat ausgestellt; einzig die Berechtigungszertifikate der auf die Identifizierungdaten vertrauenden Dritten (Diensteanbieter) werden durch private Zertifizierungsdiensteanbieter ausgestellt, die nach Signaturgesetz akkreditiert oder zumindest gemeldet sind; damit liegt eine Ausstellung durch den Mitgliedstaat vor und Art. 6 Abs. 1 Bst. a ist erfüllt.
• Die eID ist explizit als Identifizierungsmittel gegenüber öffentlichen (und nicht öffentlichen Stellen) gedacht (vgl. § 18 und 20 des Gesetzes). Bst. b ist ebenfalls erfüllt.
• Die Zuordnung von Personenidentifizierungdaten und betroffener Person erfolgt durch die Personalausweisbehörde (Identifikation; §§ 9 Abs. 3 und 4 des Gesetzes). Die Anforderungen von Bst. c sind damit erfüllt.
• Die Authentifizierung erfolgt über Sperrlisten, die von einem Sperrlistenbetreiber nach § 7 Abs. 4 Satz 2 des Gesetzes geführt werden. Der Sperrlistenbetreiber stellt gemäss § 10 Abs. 4 des Gesetzes jedem auf das Identifizierungssystem vertrauenden Dritten (Diensteanbieter) über jederzeit öffentlich erreichbare Kommunikationsverbindungen eine für ihn errechnete, aktuelle Sperrliste bereit. Auch hier fehlt jedoch ein Mechanismus, das System als Ganzes bei Beeinträchtigungen auszusetzen. Bst. d ist nicht erfüllt.
• Die Haftung des Herstellers der Ausweise (Bundesdruckerei) ist im Personalausweisgesetz nicht geregelt. Damit ist zweifelhaft, ob die Voraussetzungen für eine Haftung nach Art. 6 Abs. 1 Bst. e erfüllt sind, zumal in Deutschland – anders als in der Schweiz nach Verantwortlichkeitsgesetz – keine allgemeine Staatshaftung existiert.

Damit dürfte auch eine Notifikation der eID scheitern.

Die SuisseID erfüllt derzeit vier Kriterien zumindest mit einer gewissen Wahrscheinlichkeit nicht: Die Ausstellung durch, im Namen oder unter der Verantwortung des Mitgliedstaats, die Gewährleistung der Verknüpfung zwischen Identifizierungsdaten und betroffener Person durch den Staat, die kostenlose Authentifizierung (es fehlt nur die Möglichkeit der Aussetzung des Systems), sowie die Haftung des Staates.

Im Folgenden werden drei Varianten und vier Untervarianten dargestellt, gemäss denen die SuisseID mit dem Verordnungsvorschlag kompatibel gemacht werden könnte. Dabei ist insbesondere auf die entsprechenden Subsumtionsrisiken einzugehen, d.h. auf die Frage, ob eine Variante sicher oder bloss wahrscheinlich den Vorgaben des Vorschlags entspricht.

In einer ersten Variante soll die Eidgenossenschaft die Ausgabe der SuisseID komplett selber übernehmen. In einer zweiten Variante erfolgt die Ausgabe durch Private unter staatlicher Aufsicht, und eine dritte Variante umfasst eine Kombination der beiden Ansätze.

In der ersten Variante wird die Ausgabe der SuisseID vollständig durch den Staat übernommen.

Dabei kann der Staat sämtliche Aufgaben im Zusammenhang mit der Ausstellung der Identifizierungsmittel übernehmen (erste Subvariante), oder er kann bestimmte Aufgaben an Private delegieren (Outsourcing; zweite Subvariante).

Das Problem mit Art. 6 Bst. a (Ausgabe unter der Verantwortung des notifizierenden Mitgliedstaats) wäre auf diese Weise einfach zu beheben, und auch die Gewährleistung der Verknüpfung zwischen Identifizierungsdaten und betroffener Person würde durch den Staat selber vorgenommen, was unproblematisch ist. Hinsichtlich des Validierungssystems wäre die genannte Möglichkeit zur Aussetzung des Systems noch zu schaffen, und zudem bräuchte es u.U. eine Haftungsnorm.

Eine gesetzliche Grundlage für die Ausstellung elektronischer Identifizierungsdaten könnte sich aus Art. 2 Abs. 2^quater Ausweisgesetz (AwG) ergeben, gemäss dem der Ausweis elektronische Identitäten für Authentisierungs-, Signatur- und Verschlüsselungsfunktionen enthalten kann.

Aus dem Wortlaut der Bestimmung ergibt sich allerdings nicht explizit, dass der Bund die entsprechenden Identifizierungsdaten auch selber ausstellen darf. Die Gesetzesmaterialien liefern zu der Norm wenig Klares.⁶⁷ Nachdem sich aus dem Gesetz, insbesondere Art. 4 und 6a AwG, indessen keine Vorgaben zur Fertigungstiefe ergeben, und der Staat (konkret: die Kantone, aber der Bund kann auch weitere Stellen bestimmen) insbesondere auch für die Behandlung von Fotografien und biometrischen Daten zuständig ist, ist m.E. jedenfalls zumindest nicht ausgeschlossen, dass der Staat die Ausstellung selber vornimmt. Dafür spricht auch, dass die Ergänzung sehr kurzfristig aufgenommen wurde, wobei evtl. vergessen ging, die entsprechenden Bestimmungen anzupassen, weshalb zumindest von einer entsprechenden Gesetzeslücke ausgegangen werden kann, die in Analogie zu den übrigen Bestimmungen zu füllen wäre. Der Betrieb einer PKI durch die Kantone wäre wenig sinnvoll, weshalb davon auszugehen ist, dass der Bund diese Aufgabe übernehmen sollte. Eine formellgesetzliche Grundlage für die Ausgabe von Identifizierungsdaten erübrigt sich ferner auch aus datenschutzrechtlicher Sicht, handelt es sich doch nicht um besonders schützenswerte Personendaten oder Persönlichkeitsprofile (Art. 17 i.V.m. 3 Bst. c bzw. d DSG). Der Vollzug kann also durch den Bundesrat geregelt werden (vgl. auch Art. 16 AwG).

In Subvariante 1 könnte insbesondere das BIT als ausstellende Behörde auftreten. Dieses ist auch bereits als Zertifizierungsdiensteanbieterin nach ZertES zugelassen und verfügt damit über die notwendigen Einrichtungen.

In Subvariante 2 könnte die Ausstellung durch Private erfolgen. Die Fertigungstiefe der Eidgenossenschaft, d.h. den Anteil des Bundes an den zur Ausstellung von Ausweisen nötigen Schritten, ist im Gesetz nämlich nicht definiert. Seit 1995 lässt der Bund Identitätskarten denn auch durch Private herstellen.⁶⁸ Es wäre entsprechend nicht einsichtig, warum nicht auch für die Ausstellung von Identifizierungsmitteln Private hinzugezogen können werden sollten.

Zu beachten wäre sodann ggf. auch die Annahme einer Motion 12.3303 von NR Luzi Stamm (zwingende Herstellung der Identitätskarte durch die öffentliche Hand). In einem solchen Fall wäre ein Beizug Privater nur noch nach einer Konzessionierung möglich, zumindest sofern sie auch biometrische Daten bearbeiten. Der Bundesrat beantragt indessen die Ablehnung, weil das bestehende Gesetz bereits ausreichende Handhabe für Datenschutz gewähre.

Um hinsichtlich des Kriteriums von Art. 6 Abs. 1 Bst. c (Zuordnung von Identifizierungsdaten und betroffenen Personen) ganz sicher zugehen, sollten dabei die Identifikation der betroffenen Personen und die Ausgabe der Zertifikate dem Staat vorbehalten bleiben (wie dies schon heute bei der Ausstellung von Identitätskarten der Fall ist). Eine Durchführung durch die Kantone oder Gemeinden sollte jedoch möglich bleiben, denn auch sie haben staatlichen Charakter.

Die Tätigkeit des Staates, evtl. an Private delegiert, müsste auch den Betrieb einer konformen Validierungsmöglichkeit gemäss Art. 6 Abs. 1 Bst. d des Verordnungsentwurfs umfassen. Der Wortlaut des Verordnungsvorschlags ist offen hinsichtlich der Art der Haftung, die vorzusehen wäre.

Allerdings ergibt sich aus Art. 3 des Verantwortlichkeitsgesetzes bereits eine Kausalhaftung des Staates für widerrechtliche Handlungen von Beamten, und zwar auch für mittelbare Schäden.⁶⁹ Der Staat haftet zudem nicht nur für Beamte, sondern auch für andere Personen, sofern sie unmittelbar mit öffentlich-rechtlichen Aufgaben des Bundes betraut sind.⁷⁰ Dies dürfte auch bei der Beschaffung über Dritte der Fall, so lange am Ende der Bund gegenüber dem Bürger auftritt (Outsourcing-Variante). In diesen Fällen haftet der Bund zwar nur für den Ausfall (Art. 19 Abs. 1 Best. a VG),⁷¹ was aus teleologischer Sicht aber ebenfalls ausreichen dürfte, um Art. 6 Abs. 1 Bst. e des Verordnungsvorschlags zu erfüllen. Widerrechtlich sind Verletzungen von Amtspflichten, die den Geschädigten gerade vor einem entsprechenden Schaden schützen sollen,⁷² was bei technischen und organisatorischen Vorschriften zur Durchführung der Zuordnung und Authentifizierung der Fall sein wird.

Die bestehende Regelung dürfte Art. 6 Abs. 1 Bst. e Genüge tun, und zwar in beiden Subvarianten. Insbesondere dürfte nicht davon auszugehen sein, dass Art. 6 Abs. 1 Bst. e mehr als eine Kausalhaftung für die Verletzung der einschlägigen organisatorischen und technischen Vorschriften voraussetzt (also etwa ein Einstehen auch für Fälle, in denen trotz Einhaltung aller Vorschriften die Zuordnung oder Authentifizierung nicht korrekt ablief).

Diese Variante hat den Vorteil, die Voraussetzungen von Art. 6 des Verordnungsentwurfs am klarsten erfüllt werden. Sie ist aber auch am weitesten vom bestehenden System der SuisseID entfernt. Aus meiner Sicht unterscheiden sich die beiden Subvarianten hinsichtlich ihrer Notifizierbarkeit zudem nicht; in beiden Fällen ist zumindest das Kriterium «unter der Verantwortung» nach dem Gesagten klar erfüllt.

Folgt man der vorliegend als wahrscheinlicher angesehenen weiten Auslegung von Art. 6 Bst. a des Verordnungsentwurfs («unter der Verantwortung» zu verstehen als umfassenden Sorge für die korrekte Implementation und das korrekte Funktionieren des Identifizierungssystems in dem Sinne, dass der Staat die Regeln für diese Ausstellung setzen und überwachen sowie ggf. Verletzungen sanktionieren können muss), besteht auch die Möglichkeit, dass die SuisseID weiterhin durch Private ausgestellt wird.

Wesentlich ist insbesondere, dass der Verordnungsvorschlag nicht verlangt, dass es sich bei den notifizierten Identifizierungsmitteln um gesetzlich geregelte amtliche Ausweise handelt, sondern einzig, dass die Identifizierungsmittel im notifizierenden Mitgliedstaat für den Zugang zu öffentlichen Diensten verwendet werden können, für die eine elektronische Identifizierung erforderlich ist (Art. 6 Abs. 1 Bst. b des Vorschlags). Letzteres ist wie gesagt bei der SuisseID der Fall. Damit besteht insbesondere die Möglichkeit, die Ausgabe der SuisseID weiterhin nicht unter das Regime des AwG zu stellen, sondern separat zu regeln. Bei dieser Variante ist ferner auch eine Ausgabe durch mehrere Private nicht ausgeschlossen; eine Beschränkung auf einen Anbieter ergibt sich nicht aus dem Verordnungsvorschlag.

Problematisch bleibt indessen die Tatsache, dass die Ausgestaltung der SuisseID derzeit durch Selbstregulierung bestimmt wird, dass der Staat keine Kontrollen vornimmt und auch keine Sanktionierungsmöglichkeit besteht. Dass die Ausstellung des IAC-Zertifikats freiwillig unter die Regeln des ZertES gestellt wurde, ändert daran nichts. Will man die Anforderungen des Verordnungsvorschlags erfüllen, wäre damit wohl eine Revision des ZertES nötig, die die Regulierung der Zertifizierungsdienste über die elektronische Signatur hinaus auch auf elektronische Identifizierungsmittel ausweitet.

Eine entsprechende Regelung im ZertES müsste folgende Aspekte umfassen:

• Der Gegenstand des Gesetzes nach Art. 1 Abs. 1 Bst. b wäre auf die elektronische Identifizierung auszudehnen (Vorschlag: «im Bereich der elektronischen Signatur, der elektronischen Identifizierung und anderer Anwendungen [...]»).
• Definition eines Identifizierungszertifikats, analog derjenigen des qualifizierten Zertifikats im aktuellen Vorentwurf zum revidierten ZertES (VE-ZertES), sowie der elektronischen Identifizierung. Bezüglich der Letzteren könnte eine Anlehnung an den EU-Verordnungsentwurf erfolgen.
• Eine gesonderte Regelung des Inhalts von Identifizierungszertifikaten, analog derjenigen von Art. 8 VE-ZertES, wobei nach Abs. 2 eine Verwendung nur für die elektronische Identifizierung möglich sein dürfte.
• In Art. 12 Abs. 3 VE-ZertES (Verzeichnisdienste) wäre zusätzlich vorzusehen, dass die Überprüfung der Gültigkeit von Identifizierungszertifikaten kostenlos sein muss. Sodann wäre festzuhalten, dass im Fall einer Verletzung oder Beeinträchtigung des Verzeichnisdienstes dieser (ggf. teilweise) auszusetzen ist, bzw. die entsprechenden Zertifikate zu widerrufen sind, und dass die zuständige Bundesstelle zu informieren ist. (Die zuständige Bundesstelle hätte in der Folge, entsprechend einem noch zu schliessenden Vertrag mit der Europäischen Union über die gegenseitige Anerkennung von Identifizierungsdiensten, die anderen Mitgliedstaaten und die Kommission informieren, wie dies in Art. 6 Abs. 1 Bst. d des Verordnungsvorschlags gefordert ist.)
• Ferner wäre, sinnvollerweise im Abschnitt Haftung, eine Ausfallhaftung des Bundes für Fehler bei der eindeutigen Zuordnung der Personenidentifizierungsdaten und den Verzeichnisdienst vorzusehen, so weit diese Identifizierungszertifikate betreffen. Nach der hier vertretenen Meinung wäre eine Kausalhaftung nach dem Modell von Art. 3 Abs. 1 i.V.m. Art. 19 Abs. 1 Bst. a Verantwortlichkeitsgesetzes ausreichend, um die Notifizierbarkeit zu gewährleisten.

Mit der Ausweitung des Anwendungsbereichs des ZertES auf elektronische Identifizierungsmittel wäre nach Art. 15 ZertES für die Aufsicht das Akkreditierungrecht anwendbar (Bundesgesetz über die technischen Handelshemmnisse), was auch Sanktionsmöglichkeiten mit einschliesst (bis hin zum Entzug der Anerkennung).⁷³ Nach dem Akkreditierungsregime des THG bzw. ZertES übernimmt allerdings nicht der Staat, sondern eine zwischengeschaltete private Anerkennungsstelle die Aufsicht (KPMG). Dies soll eine Entlastung der Administration des Bundes von der technisch anspruchsvollen Aufgabe der Prüfung bewirken.⁷⁴ Dabei ist, wenn man Art. 6 Abs. 1 Bst. a im genannten Sinne liest, nicht einzusehen, wieso der Bund die entsprechenden Aufgaben nicht ebenfalls an Private delegieren können soll. Dies insbesondere weil Art. 19 der Akkreditierungs- und Bezeichnungsverordnung (AkkBV) bestimmt, dass auch die Tätigkeit dieser Privaten der Kontrolle des Bundes untersteht.

Wie beschrieben besteht allerdings eine gewisse Unsicherheit, dass das Kritierium der Ausstellung unter der Verantwortung des Staates auf diesem Weg erfüllt werden kann.

Nach dem früher Gesagten sollte nach dem Verordnungsentwurf zudem auch die Zuordnung von Identifizierungsdaten und betroffenen Personen grundsätzlich an Private delegierbar sein. Auch hier besteht jedoch eine gewisse Unsicherheit.

Wie beschrieben sieht das bisherige System der SuisseID soweit ersichtlich kein Aussetzen des Validierungssystems im Fall einer Verletzung oder teilweisen Beeinträchtigung vor. Dies wäre noch zu korrigieren (vgl. soeben 5.3.1, 5. Bullet). Ansonsten wäre das System der SuisseID mit dem Verordnungsvorschlag kompatibel. Insbesondere ist davon auszugehen, dass ein Betrieb durch Private möglich ist, wenn auch die Ausstellung der Identifizierungsmittel durch Private erfolgen kann.

Derzeit haftet auch gemäss ZertES im Weiteren nicht der Staat, sondern die privaten Zertifizierungsdienste, für Schäden, die diese erleiden, weil die Anbieterin den Pflichten aus diesem Gesetz und den entsprechenden Ausführungsvorschriften nicht nachgekommen sind. Diese Haftung deckt zwar die von Art. 6 Abs. 1 Bst. e des Verordnungsvorschlags vorgesehen Bereiche der eindeutige Zuordnung der Personenidentifizierungsdaten und der Authentifizierungsmöglichkeit ab, indessen müsste der Staat Haftungssubjekt sein. Dies setzte eine weitere Gesetzesänderung voraus. Sie könnte entweder als primäre Haftung des Staates gestaltet sein, mit einer Regressregelung, gemäss der der Staat auf Zertifizierungsdiensteanbieter greifen könnte, für deren Fehler er haftbar gemacht wurde (analog Art. 19 Abs. 1 Bst. a VG). Aus einer teleologischen Sicht dürfte auch eine derartige Ausfallhaftung des Staates ausreichen. Die bisherige Versicherungslösung von Art. 3 Abs. 1 Bst. f ZertES wäre allerdings nicht ausreichend, vielmehr wäre, wie bereits unter 5.3.1 (Rz 170), letztes Bullet dargelegt, eine Änderung der Haftungsregeln des ZertES ins Auge zu fassen.

Diese Lösung hat den Nachteil eines gewissen Risikos, am Ende doch nicht mit dem Verordnungsvorschlag kompatibel zu sein. Allerdings ist dieses Risiko als eher gering einzuschätzen.

Dennoch wäre es wohl empfehlenswert, auf die definitive Fassung der EU-Verordnung zu warten, bevor eine Anpassung des ZertES ins Auge gefasst wird, denn nachdem auch die beiden untersuchten deutschen System derzeit nicht notifizierbar sind, dürfte noch mit Änderungen zu rechnen sein. Damit wird eine Änderung des ZertES im Rahmen der aktuellen Revision wohl nicht mehr in Frage kommen.

Eine dritte Variante könnte darin bestehen, wie in der zweiten Variante eine Ausstellung durch Private vorzusehen, aber gewisse Schritte dem Staat vorzubehalten. Dies betrifft insbesondere die Zuordnung von Identifizierungsdaten und betroffenen Personen, d.h. die Identifikation anhand eines physischen Ausweises (Subvariante 1) oder (zusätzlich) die Erstellung des Zertifikats (Subvariante 2).

Wie bereits beschrieben läge insbesondere in der zweiten Subvariante insofern ein relativ grosser Eingriff in das bisherige System der SuisseID, als mit der Identifizierung und Zertifizierung zwei wesentliche Schritte aus der Wertschöpfungskette herausgebrochen und den Privaten entzogen würden. Diese würden faktisch zu Akteuren im Hintergrund, deren Tätigkeit sich auf den Betrieb von IT-Infrastruktur und die Lieferung von Hardware beschränkte.

Weniger gross ist der Eingriff bei der ersten Subvariante, bei der nur die physische Identifizierung dem Staat vorbehalten bliebe, erledigen die Anbieter die Identifizierung doch bereits heute nicht selber, sondern sie haben diese an eine Reihe von Identifizierungsstellen (Poststellen, SBB, etc.) delegiert. Dies hätte die Konsequenz, dass das bestehende Netz dieser Identifizierungsstellen abzubauen und die Identifizierung den auch für die Ausstellung amtlicher Ausweise zuständigen Stellen der Kantone bzw. die Gemeinden zu übertragen wäre. Sie hätte gegenüber Variante 2 den Vorteil, dass zumindest einige wesentliche Schwierigkeiten mit der unklaren Bestimmung von Art. 6 Abs. 1 Bst. c umschifft würden. Hinzu käme, dass mit dem Abstellen auf die Kantone bzw. Gemeinden Synergien genutzt werden könnten.

Auch diese beiden Varianten setzten jedoch Gesetzesänderungen hinsichtlich des Anwendungsbereiches des ZertES sowie der Haftung des Staates voraus. Und auch hier müsste das Validierungsregime leicht angepasst werden.

Der in der Problemstellung angesprochenen Möglichkeit, dass die SuisseID dereinst geeignet mit der neuen eID zu verbinden sei, stehen auch die beiden Subvarianten von Variante 3 nicht im Weg. Im Gegenteil: Eine solche Verbindung böte Hand, eine der beiden Subvarianten zu verwirklichen.

---

 

Dr. Simon Schlauri ist Privatdozent an der Universität Zürich und arbeitet als Rechtsanwalt für Technologie- und Informationsrecht in Zürich. Der Text basiert auf einem Gutachten des Autors für das schweizerische Bundesamt für Aussenwirtschaft SECO.

 

---