27. März 2024

ZertES: Grundlagen einfach erklärt

Jasmine Oeschger
Jasmine Oeschger
ZertES: Gesetz für E-Signaturen in der Schweiz

Wer in der Schweiz ein Dokument mit Formvorschrift rechtsgültig und elektronisch signieren will, muss seine Unterschrift von einer nach ZertES anerkannten Anbieterin von Zertifizierungsdiensten verifizieren lassen. ZertES ist ein Schweizer Bundesgesetz, das die rechtliche Grundlage für die Anerkennung von elektronischen Signaturen und anderen Zertifizierungsdiensten in der Schweiz bildet. 

In diesem Artikel klären wir alle Details zum Schweizer Bundesgesetz über elektronischen Signaturen und erläutern, wo und wann das ZertES Anwendung findet. 

Das Wichtigste in Kürze

  • Das ZertES ist das Schweizer Bundesgesetz über Zertifizierungsdienste im Bereich elektronischer Signaturen. Es regelt die Qualität und die Verwendung von digitalen Zertifikaten und legt die Anforderungen an die Anbieterinnen von Zertifizierungsdiensten fest.
  • ZertES definiert drei verschiedene Zertifizierungsdienste: die elektronische Signatur, das elektronische Siegel und den elektronischen Zeitstempel.
  • Das Schweizer Bundesgesetz unterscheidet sich in einigen Punkten von der europäischen eIDAS-Verordnung: So ist beispielsweise eine E-Signatur nach ZertES nicht automatisch in der EU rechtsgültig – und umgekehrt. 
  • Die Wahl des E-Signatur-Standards für die Unterzeichnung eines Vertrags oder Dokuments richtet sich nach den Formvorschriften. Formfreie Verträge und Dokumente lassen sich mit allen E-Signatur-Standards unterschreiben. Hingegen erfordert die einfache Schriftlichkeit den Einsatz der qualifizierten elektronischen Signatur (QES)​​.

Was ist das ZertES und welche Ziele hat es?

Ausgeschrieben ist das ZertES das „Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate”. Die Abkürzung ZertES setzt sich aus den beiden Begriffen „Zertifizierungsdienste” und „elektronische Signatur” zusammen. 

Das Schweizer Bundesgesetz vom 18. März 2016 (ZertES, SR 943.03) und die Verordnung vom 23. November 2016 (VZertES, SR 943.032) bilden die Grundlage für die Regelungen und Anforderungen an Zertifizierungsdienste im Allgemeinen und für elektronische Signaturen im Speziellen. 

Das ZertES hat drei klare Ziele: Es regelt …

1) die Qualität und Verwendung digitaler Zertifikate, 

2) die Anerkennung von Zertifizierungsdiensten und 

3) die Rechte sowie Pflichten der anerkannten Anbieterinnen von Zertifizierungsdiensten​​.

Gut zu wissen: Die elektronische Signatur ist ein Verfahren zur Bestätigung der Identität des Unterzeichners und der Authentizität von elektronischen Dokumenten oder Daten.  Für die Umsetzung dieses Prozesses ist eine Zertifizierungsinfrastruktur – auf Englisch Public-Key-Infrastructure (PKI) notwendig, die von vertrauenswürdigen Dritten, den Anbieterinnen von Zertifizierungsdiensten, bereitgestellt wird. 

Welche Zertifizierungsdienste regelt die ZertES? 

Neben den elektronischen Signaturen definiert das ZertES weitere Zertifizierungsdienste. Sie tragen ebenfalls dazu bei, digitale Workflows von Unternehmen zu optimieren und für mehr Sicherheit in elektronischen Kommunikationsprozessen zu sorgen. Diese Zertifizierungsdienste gibt es in der Schweiz: 

Elektronische Signaturen

Die E-Signatur dient dazu, die Identität des Unterzeichners zu bestätigen und die Authentizität und Echtheit der Unterschrift sicherzustellen. Das ZertES beschreibt elektronische Signaturen als „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder die logisch mit ihnen verknüpft sind und zu deren Authentifizierung dienen (...)”. 

Außerdem definiert das Bundesgesetz vier Arten elektronischer Signaturen: die einfache (EES), fortgeschrittene (FES), geregelte (GES) und qualifizierte elektronische Signatur (QES). Die EES wird im Gesetzestext nur grundlegend behandelt und ist oft der Sammelbegriff für alle Signaturen, die nicht den Anforderungen der anderen drei E-Signatur-Standards entsprechen.

Tipp: Lesen Sie dazu unseren Beitrag zu „Die E-Signatur-Standards im Vergleich”.

Elektronische Siegel

Ein elektronisches Siegel ist vergleichbar mit einer elektronischen Version eines Firmenstempels. E-Siegel können anders als E-Signaturen nur von Organisationen ausgestellt werden und nicht von natürlichen Personen. 

Im Bundesgesetz ZertEs wird nur eine Kategorie elektronischer Siegel genannt, das geregelte elektronische Siegel. Es wird als fortgeschrittene Signatur bezeichnet, die  unter der Verwendung einer sicheren Siegelerstellungseinheit nach Artikel 6 erstellt wurde. Es basiert zudem auf einem geregelten Zertifikat, das für eine UID-Einheit, also eine Einheit mit einer Unternehmens-Identifikationsnummer gemäß Artikel 3 Absatz 1 Buchstabe c des Bundesgesetzes, erstellt und zum Zeitpunkt der Erstellung des Siegels gültig ist​​.

Elektronische Zeitstempel

Der elektronische Zeitstempel ist eine zusätzliche Sicherheitsebene und dient als Nachweis, dass ein Dokument seit dem Zeitpunkt der Erstellung des Stempels nicht mehr verändert wurde. Das Schweizer Bundesgesetz definiert neben dem elektronischen Zeitstempel noch den qualifizierten elektronischen Zeitstempel. Der qualifizierte E-Zeitstempel muss von einer Anbieterin von Zertifizierungsdiensten ausgestellt und mit einem geregelten elektronischen Siegel versehen werden.

Wie unterscheiden sich eIDAS und ZertES?

Obwohl das Schweizer ZertES und die europäische eIDAS-Verordnung viele Gemeinsamkeiten aufweisen, gibt es auch wesentliche Unterschiede zwischen den beiden Verordnungen. Da die Schweiz kein EU- oder EWR-Mitglied ist, ergeben sich unterschiedliche Zertifizierungsregeln für die Anerkennung von elektronischen Signaturen zwischen den beiden Rechtsräumen. Denn digitale Zertifikate, die nach Schweizer Recht ausgestellt werden, sind nicht automatisch eIDAS-konform – dies gilt auch andersherum. 

Diese Tatsache kann eine Herausforderung für europäische Unternehmen darstellen, die in der Schweiz tätig sind. Für sie ist es wichtig, eine Anbieterin für Zertifizierungsdienste zu wählen, die sowohl die rechtliche Grundlage der eIDAS als auch des ZertES erfüllt, um rechtliche Probleme zu vermeiden. Mit Skribble können Sie dank unserer Partnerschaft mit der Swisscom AG problemlos rechtsgültig nach ZertES und eIDAS signieren. 

Signieren Sie mit Skribble rechtsgültig in der Schweiz & dem EWR.

Die ZertES bietet 4 E-Signatur-Standards

Ein weiterer Unterschied besteht darin, dass die eIDAS-Verordnung drei E-Signatur-Standards unterscheidet, während ZertES vier Kategorien aufweist:

  • Einfache elektronische Signatur (EES): Dieser E-Signatur-Standard ist einfach zu handhaben und hat im Vergleich die geringste Beweiskraft.
  • Fortgeschrittene elektronische Signatur (FES): Dieser Standard hat eine höhere Beweiskraft, da er dem Signierenden eindeutig zuzuordnen ist und so dessen Identifizierung ermöglicht. Zudem ist die FES mit den Daten, auf die sie sich bezieht, so verknüpft, dass diese Daten nachträglich nicht verändert werden können.
  • Geregelte elektronische Signatur (GES): Die GES ist eine fortgeschrittene elektronische Signatur, die mit einer sicheren Siegelerstellungseinheit  – nach ZertES Artikel 6 – erstellt wurde. Sie beruht auf einem geregelten, auf eine natürliche Person ausgestellten und zum Zeitpunkt der Erzeugung der elektronischen Signatur gültigen Zertifikat.
  • Qualifizierte elektronische Signatur (QES): Die QES ist eine geregelte elektronische Signatur, die durch ein qualifiziertes Zertifikat bestätigt wird. Die qualifizierte elektronische Signatur hat in der Schweiz die höchste Beweiskraft. 

Ähnlich wie bei den E-Signatur-Standards wird auch bei den Zertifikaten zwischen verschiedenen Kategorien unterschieden: das digitale Zertifikat, das geregelte Zertifikat und das qualifizierte Zertifikat. Je nachdem, welche Formvorschrift ein Zertifizierungsdienst erfüllen muss, um rechtsgültig zu sein, wird er mit einem der drei Zertifikat-Standards verknüpft. Die höchste Beweiskraft hat das qualifizierte Zertifikat.

In ZertES und eIDAS werden unterschiedliche Begriffe verwendet

Ein weiterer kleiner Unterschied ist, dass einige Sachverhalte gibt, die im ZertES und in der eIDAS-Verordnung unterschiedlich bezeichnet werden. Während ZertES beispielsweise von „Zertifizierungsdiensten" und „Anbieterinnen von Zertifizierungsdiensten" spricht, verwendet die eIDAS-Verordnung dafür die Bezeichnungen „Vertrauensdienste“ und „Vertrauensdiensteanbieter".

UETA und ESIGN Act: Die amerikanischen Pendants

In den USA regeln zwei Gesetze die Anwendung und Anerkennung elektronischer Signaturen: Der Uniform Electronic Transactions Act (UETA) von 1999 und der 2000 verabschiedete Electronic Signatures in Global and National Commerce Act (ESIGN Act). 

Das UETA ist nicht verbindlich und gilt nur in den Bundesstaaten, in denen es von den Landesregierungen verabschiedet wurde. Der ESIGN Act hingegen ist ein Bundesgesetz, das in allen 50 Staaten gilt. Er stellt sicher, dass elektronische Signaturen in jedem Bundesstaat anerkannt werden, ohne dass UETA als Gesetz angewendet werden muss. Mit Ausnahme von New York, das sein eigenes Gesetz verabschiedet hat, haben 49 Bundesstaaten, der District of Columbia, Puerto Rico und die amerikanischen Jungferninseln UETA übernommen.

Es gibt einige Gemeinsamkeiten zwischen dem UETA und dem ESIGN Act, wie z. B. die Anforderungen für die Anerkennung elektronischer Signaturen. Es gibt aber auch Unterschiede: Der ESIGN Act regelt z. B. internationale Transaktionen und solche zwischen verschiedenen Staaten, während sich das UETA primär auf geschäftliche Transaktionen, Handelsverträge und Regierungsangelegenheiten fokussiert.

Vertragsrecht – welche Unterschrift-Regeln gibt es in der Schweiz

Grundsätzlich können in der Schweiz Dokumente digital signiert und Verträge elektronisch abgeschlossen werden, sofern das Gesetz nichts anderes vorsieht. Welcher Standard für die elektronische Signatur erforderlich ist, hängt von der Art des Dokuments und dessen Formvorschriften sowie weiteren gesetzlichen Anforderungen ab.

Formvorschrift oder Formfreiheit 

Ein Vertrag ist eine Vereinbarung zwischen zwei oder mehreren Parteien über die Erbringung einer Leistung. Verträge sind in der Regel formfrei und können auch mündlich geschlossen werden, es sei denn, das Gesetz schreibt eine bestimmte Form vor. Da der mündliche Abschluss von Verträgen mit Schwierigkeiten verbunden sein kann, gibt es für bestimmte Geschäfte gesetzliche Einschränkungen der Formfreiheit. Das Schweizer Vertragsrecht unterscheidet vier Vertragsformen: 

  • Den formfreien Vertrag: Wie ein formfreier Vertrag geschlossen wird, ist nicht vom Gesetz vorgeschrieben. Es gelten alle E-Signatur-Standards oder der mündliche Beschluss.
  • Die einfache Schriftlichkeit: Diese Vertragsform kann als Beweismittel dienen und schützt die schwächere Partei, wobei die schriftliche Fixierung und beidseitige Unterschrift essenziell sind. Die Identität der Signierenden muss feststellbar sein. Die einfache Schriftlichkeit erfordert eine handschriftliche Unterschrift oder eine qualifizierte E-Signatur.
  • Die qualifizierte Schriftlichkeit: Die Anforderungen der einfachen Schriftlichkeit gelten auch für die qualifizierte Schriftform, wobei zusätzliche Kriterien wie die eigenhändige Unterschrift und die eigenhändige Abfassung des Inhalts, die Angabe von Datum und Ort sowie das Vorhandensein einer Rechtsmittelbelehrung hinzukommen. Diese Formvorschrift wird z. B. für Testamente verlangt und kann nicht elektronisch signiert werden.
  • Die notarielle Beurkundung (inkl. Überbeglaubigung): Die Beurkundung ist die strengste Formvorschrift und wird vor allem bei Verträgen mit hohen Geldbeträgen gefordert. Im internationalen Kontext kann zusätzlich eine Überbeglaubigung notwendig sein, um die Anerkennung des Vertrags in anderen Ländern zu gewährleisten. Die E-Signatur ist bei dieser Formvorschrift grundsätzlich ausgeschlossen.

Welchen E-Signatur-Standard Sie für welches Dokument brauchen, erfahren Sie in unserem Leitfaden.

Wann muss die QES angewendet werden?

Qualifizierte elektronische Signaturen, die mit einem qualifizierten Zeitstempel versehen sind, haben laut Artikel 14 Absatz 2 des Obligationenrechts (OR, SR 220) dieselben rechtlichen Wirkungen wie eine eigenhändige Unterschrift. Sie sind speziell für elektronische Rechtsgeschäfte erforderlich, die gesetzlich eine einfache Schriftlichkeit vorschreiben. Die Notwendigkeit einer qualifizierten E-Signatur erkennt man an Formulierungen wie „schriftlich“, „in schriftlicher Form", „in Schriftform“ oder „mit Unterschrift versehen".

Die qualifizierte elektronische Signatur (QES) ist der eigenhändigen Unterschrift rechtlich gleichgestellt. (Quelle: Skribble)

Folgende Auswahl an Dokumenten und Verträgen kann mit der qualifizierten elektronischen Signatur unterzeichnet werden:

  • Leasingvertrag 
  • Revisionsbericht 
  • Leiharbeitsvertrag 
  • Konsumkreditvertrag 
  • Handelsreisendenvertrag
  • Abtretung von Forderungen 
  • Kündigung von Mietverhältnissen 
  • Konto mit Überziehungsmöglichkeit 
  • Nachvertragliches Konkurrenzverbot im Arbeitsvertrag 

Tipp: Lesen Sie dazu unseren Beitrag zu „Die qualifizierte elektronische Signatur (QES) in der Schweiz”.

Die Beweisfunktion von E-Signaturen in der Schweiz

Elektronische Signaturen erfüllen eine wichtige Beweisfunktion, indem sie die Unveränderlichkeit eines Dokuments und die Zuordnung einer Willenserklärung zu einer bestimmten Person belegen. Durch das Anbringen eines Zeitstempels wird diese Beweisfunktion auf den genauen Zeitpunkt der Signatur ausgedehnt. 

Im Schweizer Prozessrecht, das auf dem Grundsatz der freien Beweiswürdigung beruht, genießen elektronische Signaturen, die dem ZertES-Standard entsprechen, ein erhöhtes Vertrauen. Im Zivilprozessrecht gelten Fakten als wahr, bis sie von einer Partei bestritten werden. Wird einer elektronischen Signatur also von einer Partei angefochten, liegt die Entscheidung über deren Echtheit beim Gericht.

Elektronische Signaturen dienen in erster Linie als Sicherungselement für die Integrität und Authentizität von Dokumenten, insbesondere dort, wo keine Formvorschriften bestehen.

Zusätzliche Regelungen im Schweizer Bundesgesetz zu elektronischen Signaturen

Wie bereits festgestellt unterscheiden sich ZertES, eIDAS-Verordnung und die US-amerikanischen Pendants voneinander. Welche speziellen Regelungen das ZertES zusätzlich von den anderen Gesetzen abgrenzen, haben wir in folgendem Abschnitt zusammengefasst.

Wie sind internationale Abkommen nach ZertES geregelt?

Da die ZertES anders als die eIDAS-Verordnung nur in der Schweiz gültig ist, regelt das Bundesgesetz über die elektronische Signatur zusätzlich mögliche internationale Abkommen in Abschnitt 8, Artikel 20

Dieser Artikel schafft die Grundlage für den Bundesrat, Vereinbarungen abzuschließen, um die internationale Verwendung elektronischer Signaturen und anderer Anwendungen kryptografischer Schlüssel sowie deren rechtliche Anerkennung zu erleichtern. Der Bundesrat kann Abkommen über folgende Hauptaspekte abschließen:

  • Über die Anerkennung elektronischer Signaturen, elektronischer Siegel und digitaler Zertifikate.
  • Über die Anerkennung von Konformitätszeichen.
  • Über die Anerkennung von Prüfungen und Konformitätsbewertungen.
  • Über die Anerkennung von Akkreditierungssystemen und akkreditierten Stellen.
  • Über die Anerkennung von Anbieterinnen von Zertifizierungsdiensten und von Anerkennungsstellen.
  • Über die Erteilung von Normungsaufträgen an internationale Normungsorganisationen, insofern in der Gesetzgebung auf bestimmte technische Normen verwiesen wird.
  • Die Information und Konsultation bezüglich der Vorbereitung, des Erlasses, der Änderung und der Anwendung solcher Vorschriften oder Normen.

Was zeichnet ein geregeltes Zertifikat aus?

Ein geregeltes Zertifikat wird nach ZertES wie folgt definiert: Es ist ein digitales Zertifikat, das die Anforderungen nach Artikel 7 erfüllt und von einer nach diesem Gesetz anerkannten Anbieterin von Zertifizierungsdiensten ausgestellt wurde. 

Artikel 7 bestimmt die Angaben, die das Zertifikat enthalten muss, z. B. den Namen oder die Bezeichnung der Inhaberin oder des Inhabers des zugehörigen privaten kryptografischen Schlüssels. Ein geregeltes Zertifikat kann auf natürliche Personen und UID-Einheiten ausgestellt werden. Außerdem bestimmt der Bundesrat das Format der geregelten Zertifikate.

Wie wird ein Unternehmen in der Schweiz zur Anbieterin von Zertifizierungsdiensten?

Unternehmen, die qualifizierte und geregelte elektronische Zertifikate ausstellen und verwalten, werden von einer Zertifizierungsstelle, z. B. der KPMG - SCESm 0071 oder SCESp 0127, geprüft und zugelassen.  Alle Zertifizierungsstellen der KPMG sind von der Schweizer Akkreditierungsstelle SAS und der Deutschen Akkreditierungsstelle DAkkS auf der Grundlage der Normen ISO/IEC 17021-1 und ISO/IEC 17065 offiziell akkreditiert.

Die KPMG informiert nach der Zulassung eines Unternehmens die SAS über die anerkannte Anbieterin für Zertifizierungsdienste, und etwaige Änderungen, die in der offiziellen Liste der anerkannten Anbieterinnen veröffentlicht werden. Zu den Anbieterinnen gehören:

  • Swisscom AG
  • QuoVadis Trustlink 
  • SwissSign AG
  • Bundesamt für Informatik und Telekommunikation BIT

Fazit

Das Schweizer Bundesgesetz ZertES bildet den rechtlichen Rahmen für die Verwendung von elektronischen Signaturen, Siegeln und Zeitstempeln. Es regelt nicht nur die Qualität und die Verwendung von digitalen Zertifikaten, sondern legt auch die Anforderungen an die Anbieterinnen von Zertifizierungsdiensten fest.

Für Unternehmen, die in der Schweiz und in der EU tätig sind, ist es wichtig, eine ZertES- und eIDAS-konforme Lösung zu wählen, um die Rechtskonformität zu gewährleisten.

Durch die Partnerschaft mit der Swisscom können Sie bei Skribble rechtsgültig in der Schweiz & dem EWR signieren. Testen Sie Skribble unverbindlich und kostenlos für 14 Tage.

Häufige Fragen

ZertES bietet umfassende Sicherheitsstandards für elektronische Signaturen: Es legt strenge Vorgaben für digitale Zertifikate fest, regelt das Angebot an Zertifizierungsdiensten und die Anforderungen an Anbieterinnen von Zertifizierungsdiensten. ZertES unterscheidet vier E-Signatur-Standards, wobei insbesondere die qualifizierte elektronische Signatur (QES) maximale  Sicherheit bietet. Diese wird gleichgesetzt mit einer handschriftlichen Unterschrift und muss bestimmten Vorschriften entsprechen, beispielsweise  müssen bei der Erstellung sichere Signaturerstellungseinheiten verwendet werden. 

Um eine QES  nach ZertES zu erstellen, gehen Sie wie folgt vor:

  1. Wählen Sie einen Anbieter, der E-Signaturen nach ZertES unterstützt. Achten Sie darauf, dass er QES anbietet.
  2. Lassen Sie Ihre Identität einmalig von einer anerkannten Schweizer Zertifizierungsstelle verifizieren – entweder persönlich oder online.
  3. Nach erfolgreicher Identifikation können Sie die Software des Anbieters verwenden, um Ihre Dokumente mit einer gültigen QES zu versehen.

Mit Skribble profitieren Sie von einer Komplettlösung: E-Signatur, Identifikation und Zertifikat aus einer Hand. Unsere Kooperation mit der Swisscom AG, einer führenden Anbieterin von Zertifizierungsdiensten nach ZertES (und eIDAS), ermöglicht Ihnen eine nahtlose Signatur-Erfahrung. Denn unsere Kunden werden für die QES-Identifikation direkt an Swisscom weitergeleitet, können die notwendigen Schritte dort abschließen und nahtlos zu Skribble zurückkehren – ohne zusätzliche Verträge.

Signieren Sie rechtsgültig
mit wenigen Klicks

Weltweit einsetzbar, gehostet in der Schweiz.

Kostenlose Testphase verfügbar.
Keine Kreditkarte nötig.
Nutzbar auf Deutsch, Englisch und Französisch.