ZertES-konform mit digitalen Signaturen in der Schweiz

Elektronische Signaturen haben, angesichts der zunehmenden Remote- und Hybridarbeitsmodelle, in den letzten Jahren einen starken Aufschwung erlebt. In den meisten Fällen, für die meisten Kunden und an den meisten Orten ist eine elektronische Signatur ausreichend. Bei Transaktionen in stark regulierten Branchen, im Ausland oder mit Behörden können jedoch digitale Signaturen erforderlich oder gewünscht sein, die einen höheren Grad der Identitätssicherung bieten als elektronische Signaturen.

Eine digitale Signatur ist eine Unterart der elektronischen Signatur, bei der die Identität der an einer Transaktion beteiligten Parteien verifiziert werden kann. Diese Möglichkeit unterscheidet sie von einfachen elektronischen Signaturen.

Elektronische Transaktionen in Europa und der einheitliche Standard eIDAS

Regionale Standards wie die EU-Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) haben einen zuverlässigen Rechtsrahmen geschaffen, der für mehr Sicherheit und Effizienz bei geschäftlichen Transaktionen sorgt. Die eIDAS-Verordnung trat am 1. Juli 2016 in Kraft und gilt verbindlich für alle EU-Mitgliedsstaaten. Sie bietet „einen EU-weiten Rechtsrahmen für elektronische Signaturen, um Menschen, Unternehmen und öffentlichen Verwaltungen den sicheren und bequemen Zugang zu grenzüberschreitenden elektronischen Transaktionen innerhalb der EU zu ermöglichen."

Der einheitliche Standard der eIDAS-Verordnung regelt den Einsatz elektronischer Transaktionen in den 27 Mitgliedsstaaten der EU und schafft einen europäischen Binnenmarkt für Vertrauensdienste (Trust Services). Diese Trust Services umfassen elektronische Signaturen, Siegel, Zeitstempel und Zustelldienste. eIDAS regelt also den Einsatz elektronischer Transaktionen in der EU – außerhalb der EU jedoch gibt es ähnliche Verordnungen wie das Schweizer Bundesgesetz ZertES. Beide Gesetze geben einen Sicherheitsgrad für E-Signaturen vor, darin gleichen sie sich. Bei geschäftlichen Transaktionen mit der Schweiz müssen Sie darauf achten, dass Ihre Signaturlösung die Konformität mit beiden Verordnungen gewährleistet.

Die eIDAS-Verordnung definiert drei Sicherheitsstufen für elektronische Signaturen:

• Einfache elektronische Signatur (SES)

  Grundlegende Form der elektronischen Signatur, die für die meisten Alltagstransaktionen ausreichend ist

• Fortgeschrittene elektronische Signatur (AES)

  Bietet höhere Sicherheit durch eindeutige Zuordnung zum Unterzeichner und ermöglicht dessen Identifizierung

• Qualifizierte elektronische Signatur (QES)

  Höchste Sicherheitsstufe, die rechtlich einer handschriftlichen Unterschrift gleichgestellt ist und von zertifizierten Vertrauensdiensteanbietern bereitgestellt wird

Worum handelt es sich bei der ZertES-Verordnung?

Die Schweizer Regierung erließ mit ZertES 2003 das Bundesgesetz zur Verwendung von Zertifizierungsdiensten mit elektronischen Signaturen. Diese rechtliche Grundlage regelt die Bedingungen für „Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate" (S. 18) und schafft einen durchsetzbaren Rechtsrahmen für elektronische Transaktionen in der Schweiz. Das Gesetz definiert präzise Anforderungen an die Qualität bestimmter digitaler Zertifikate und legt fest, welchen Standards die Anbieter genügen müssen.

Aufgrund der geografischen Nähe zur EU weist ZertES verständlicherweise viele Ähnlichkeiten mit eIDAS auf. Die Verordnung verwendet denselben gestaffelten Ansatz bei der Kategorisierung elektronischer Signaturen: einfache elektronische Signatur (SES), fortgeschrittene elektronische Signatur (AES) und qualifizierte elektronische Signatur (QES). Die qualifizierte elektronische Signatur wird bei ZertES rechtlich mit einer handschriftlichen Unterschrift gleichgestellt – ähnlich wie bei eIDAS. Ein wichtiger Unterschied: Bei ZertES ist parallel zur QES explizit ein qualifizierter elektronischer Zeitstempel erforderlich, was dieses Verfahren besonders für Transaktionen im Personal-, Banken- und Versicherungssektor empfiehlt.

ZertES konzentriert sich, anders als eIDAS, weniger darauf, wie oder wann elektronische Signaturen verwendet werden sollten, sondern regelt vorrangig die Pflichten der anerkannten Anbieterinnen von Zertifizierungsdiensten. Diese Pflichten umfassen:

• Einhaltung strenger Sicherheitsstandards bei der Ausstellung von Zertifikaten

• Regelmäßige Überprüfung durch die Schweizerische Akkreditierungsstelle (SAS)

• Nachweis der Qualität, Sicherheit und Zuverlässigkeit aller angebotenen Dienste

• Transparente Dokumentation aller Zertifizierungsprozesse

Für die Erstellung einer QES sind „qualifizierte Zertifikate für elektronische Signaturen" erforderlich, die ausschließlich von akkreditierten und von der SAS anerkannten Dienstleistern ausgestellt werden dürfen, wie etwa Swisscom. Die SAS führt eine offizielle Liste aller anerkannten Anbieterinnen von Zertifizierungsdiensten, die regelmäßig aktualisiert wird.

Unterschiede zwischen ZertES und eIDAS

ZertES und eIDAS weisen in vielen Punkten Ähnlichkeiten auf, bilden jedoch unterschiedliche rechtliche Rahmen für elektronische Signaturen. Da die Schweiz kein Mitglied der Europäischen Union ist, gelten hier eigene Vorgaben, die trotz starker Anlehnung an eIDAS wichtige Unterschiede aufweisen. Obwohl die Entwicklung und Umsetzung von ZertES maßgeblich von eIDAS beeinflusst wurde, fehlt bislang ein einheitlicher Standard für grenzüberschreitende geschäftliche Transaktionen.

Eine positive Entwicklung zeichnet sich ab: Im Januar 2025 hat der Schweizer Bundesrat das UVEK und das EDA beauftragt, ein Verhandlungsmandat mit der EU zur gegenseitigen Anerkennung elektronischer Signaturen auszuarbeiten. Bis zum Abschluss eines solchen Abkommens bleibt jedoch die Tatsache bestehen, dass nach dem Schweizer Gesetz erstellte Zertifikate nicht automatisch mit eIDAS konform sind. Für Unternehmen, die in beiden Rechtssystemen tätig sind, ist es daher entscheidend, einen Anbieter für elektronische Signaturen zu finden, der die Konformität mit beiden Regelwerken gewährleistet.

Docusign unterstützt sowohl ZertES- als auch eIDAS-konforme elektronische Signaturen und bietet damit eine zuverlässige Lösung für grenzüberschreitende geschäftliche Transaktionen zwischen der Schweiz und der EU. Durch die Zusammenarbeit mit führenden Vertrauensdiensteanbietern wie Swisscom Trust Services ermöglicht Docusign Ihnen, rechtskonforme elektronische Signaturen in beiden Rechtssystemen zu nutzen. Erfahren Sie mehr über die Implementierung von elektronischen und digitalen Signaturen mit Docusign.

Anerkannte ZertES-Anbieter und Zertifizierungsdienste (CSP)

In der Schweiz unterliegen elektronische Signaturen strengen Regularien. Um rechtskonforme digitale Signaturen zu erstellen, benötigen Sie spezialisierte Anbieter von Zertifizierungsdiensten (CSP - Certification Service Providers), die nach ZertES-Standards zertifiziert sind.

Aktuelle Liste 2025

Die Schweizerische Akkreditierungsstelle (SAS) führt eine offizielle Liste der anerkannten Anbieterinnen von Zertifizierungsdiensten, die regelmäßig aktualisiert wird. Die aktuelle Liste (Stand Juli 2025) enthält alle Anbieter, die berechtigt sind, qualifizierte elektronische Signaturen nach Schweizer Recht auszustellen. Swisscom Trust Services zählt zu den führenden Anbietern und ist als einziges europäisches Unternehmen anerkannt, sowohl ZertES-konforme als auch eIDAS-konforme digitale Signaturen auszustellen. Alle Anbieter wurden durch die KPMG AG als offizielle Anerkennungsstelle überprüft und zertifiziert.

Kriterien für die Anerkennung

Um als Zertifizierungsdiensteanbieter anerkannt zu werden, müssen strenge Qualitätsanforderungen erfüllt werden. Die Anbieter müssen nachweisen, dass ihre Dienste höchste Standards in Bezug auf Sicherheit, Zuverlässigkeit und Datenschutz erfüllen. Zu den zentralen Anforderungen gehören:

• Nachweis technischer und organisatorischer Sicherheitsmaßnahmen

• Einhaltung der Vorgaben für die Identitätsüberprüfung von Unterzeichnern

• Implementierung sicherer Verfahren zur Zertifikatserstellung und -verwaltung

• Gewährleistung der Langzeitarchivierung und Nachweisbarkeit

Die Trust Services der anerkannten Anbieter unterliegen einer kontinuierlichen Überwachung durch die KPMG AG, die als akkreditierte Anerkennungsstelle fungiert. Für ausländische Anbieter existiert ein vereinfachtes Anerkennungsverfahren, sofern sie gleichwertige Anforderungen erfüllen.

ZertES-Gesetz: Rechtliche Grundlage und aktuelle Entwicklungen

Das Schweizer Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur (ZertES) mit der Gesetzesnummer SR 943.03 bildet die zentrale rechtliche Grundlage für digitale Signaturen in der Schweiz. Dieses Gesetz regelt den rechtlichen Rahmen für digitale Signaturen, deren Einsatz, Anbieter sowie die damit verbundenen Rechte und Pflichten. Anders als eIDAS fokussiert sich das Gesetz stärker auf die Anforderungen an Anbieter von Zertifizierungsdiensten und deren Anerkennung.

Status 2025

Die aktuelle rechtliche Grundlage von ZertES hat sich in den letzten Jahren als stabil erwiesen. Besonders relevant ist, dass im Januar 2025 der Schweizer Bundesrat das UVEK und das EDA beauftragt hat, ein Verhandlungsmandat mit der EU zur gegenseitigen Anerkennung qualifizierter elektronischer Signaturen auszuarbeiten. Dies markiert einen wichtigen Schritt zur Überwindung der bisherigen Hürden, da zwischen der Schweiz und der EU derzeit keine gegenseitige Anerkennung elektronischer Signaturen besteht.

Ausblick auf Harmonisierung

Die laufenden Verhandlungen zielen auf einen einheitlichen Standard zwischen der Schweiz und der EU ab. Eine erfolgreiche Vereinbarung würde sicherstellen, dass in der EU ausgestellte elektronische Zertifikate auch in der Schweiz gültig sind und umgekehrt. Für Unternehmen, die grenzüberschreitend tätig sind, würde ein solches Abkommen erhebliche Vorteile bringen, da sie nicht mehr auf unterschiedliche Signatursysteme angewiesen wären. Bis zum Abschluss dieser Verhandlungen bleibt es jedoch wichtig, dass Signaturdienste sowohl eIDAS- als auch ZertES-konform arbeiten.

FAQ: ZertES und digitale Signaturen

Ist eine digitale Unterschrift in der Schweiz rechtsgültig?

Ja, eine digitale Unterschrift ist in der Schweiz rechtsgültig. Nach dem Schweizer Obligationenrecht ist die qualifizierte elektronische Signatur (QES) der handschriftlichen Unterschrift gleichgestellt. Für die meisten Geschäftsvorgänge sind einfache oder fortgeschrittene elektronische Signaturen ausreichend, nur bei formgebundenen Verträgen wird die QES benötigt. Ausnahmen bilden Grundstückkauf- und Erbverträge, die weiterhin persönlich unterschrieben werden müssen.

Was kostet eine qualifizierte elektronische Signatur (QES)?

Die Kosten für eine qualifizierte elektronische Signatur variieren je nach Anbieter und Nutzungsumfang. Für Einzelpersonen beginnen die Preise bei etwa 10-20 CHF pro Signatur, während Unternehmen von Mengenrabatten und Paketpreisen profitieren können. Die Kosten umfassen die Identitätsprüfung, das qualifizierte Zertifikat und den elektronischen Zeitstempel, der bei der handschriftlichen Unterschrift in der Schweiz zusätzlich erforderlich ist.

Welche Anbieterinnen von Zertifizierungsdiensten sind anerkannt?

In der Schweiz gibt es mehrere von der Schweizerischen Akkreditierungsstelle (SAS) anerkannte Anbieterinnen von Zertifizierungsdiensten. Dazu gehören Swisscom Trust Services, DigiCert Switzerland AG (QuoVadis) und SwissSign AG. Diese Zertifizierungsstellen erfüllen die strengen Anforderungen des ZertES-Gesetzes und dürfen qualifizierte Zertifikate ausstellen. Wichtig: EU-Zertifikate gelten in der Schweiz nicht automatisch als qualifiziert, da zwischen der Schweiz und der EU noch kein entsprechendes Abkommen besteht.

Wie komme ich an eine qualifizierte elektronische Signatur?

Um eine qualifizierte elektronische Signatur zu erhalten, müssen Sie zunächst Ihre Identität bei einem anerkannten Zertifizierungsdienstleister verifizieren lassen. Dies kann mittlerweile per Video-Identifikation, Bank-Account-Verifizierung oder persönlich erfolgen. Nach erfolgreicher Identitätsprüfung erhalten Sie ein qualifiziertes Zertifikat und können Dokumente rechtsgültig signieren. Die Authentifizierung beim Signieren erfolgt dann je nach Anbieter per App, Mobile ID oder SMS/OTP.

Was ist ZertES?

ZertES ist das Schweizer Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate. Es trat 2003 in Kraft und regelt die Anforderungen an Anbieter von elektronischen Signaturen sowie die rechtliche Gleichstellung der qualifizierten elektronischen Signatur mit der handschriftlichen Unterschrift. Das Gesetz definiert drei Signaturarten (einfache, fortgeschrittene und qualifizierte) und schafft einen rechtlichen Rahmen für sichere elektronische Transaktionen in der Schweiz.