ehEiDie im eGovernment

Technisch übermittelte Bits und Bytes sollen unverfälschte Dokumente und unbestreitbare Willenserklärungen desjenigen repräsentieren, in dessen Namen sie auf den Weg gebracht worden sind. Unstrittig ist und war seit jeher, dass die eindeutige Identität der beteiligten Partner in allen elektronischen Verwaltungs- und Geschäftsprozessen eine der wesentlichen Grundlagen darstellt.
Trotz aller Widrigkeiten der digitalen Halbwelt (Internet) möchte man sich auf Bürgerauskünfte, Anträge und Erklärungen, Gebühren- und Steuerbescheide, Bewilligungen oder Ablehnungen etc. auch in der wirklichen Wirklichkeit verlassen können. Akademisch interessant – und vielleicht teuer – kann es ansonsten im Streitfall werden.
Kurz gesagt, es geht um Rechtsverbindlichkeit und letztlich auch Beweisbarkeit.

Lösung ZertES

Haben wir nicht in der Schweiz seit dem 1.1.2005
ein geltendes ZertES in Verbindung mit der
VZertES sowie den TAV (SR 942.032.1), in denen
alles gesagt ist, was Sie schon immer wissen
wollten?
Wer allein die Titel der verschiedenen CH-,
ETSI-, IETF- und EU-Regularien stolperfrei lesen oder gar zitieren kann, darf sich schon zu den Experten zählen.
Über Details des ZertES mag man unterschiedlicher Auffassung sein – das Gesetz schafft verbindliche Grundlagen. Und das ist gut so.
Möge der Funke nun überspringen auf das eGovernment, denn lustvoll gejammert wurde hierzu schon bis zur Schmerzgrenze. Üben wir uns daher kurz in der freien Assoziation zu einigen Problemzonen, die sich im eGovernment so hartnäckig halten, wie an anderen Stellen die Cellulite.

•
1) Rechtsrahmen
Was unterscheidet die Online-Bestellung der Fussball-WM Karten von der Online-Steuereinreichung?
Im B2B und B2C gelten u.a. das Obligationen- und Vertragsrecht mit weitgehender Gestaltungsfreiheit.
Gemäss öffentlichem Recht können z.B. Baubewilligungen jedoch nicht im Hinterzimmer per Handschlag besiegelt werden - von bedauerlichen Ausnahmen vielleicht abgesehen. Gesetze und Verordnungen regeln hier alles und jeden.
Für beide Bereich gilt, dass nur in ausgesuchten – Fällen tatsächlich die Schriftlichkeit« oder «notarielle Beurkundung» gesetzlich vorgeschrieben ist.

•
2) Fristen 1
Insbesondere im Prozessrecht können Fristen von geradezu schicksalhafter Bedeutung sein. Aber reicht die termingerechte Absendung einer qualifiziert signierten eMail an das Gericht zur Wahrung der Einspruchsfrist? Was, wenn z.B. durch technische Probleme die Zustellung verzögert oder gar nicht erfolgt? Ohne dass dies für die Beteiligten auch nur erkennbar wäre – bevor es zu spät ist.

•
3) Fristen 2
Umgekehrt: der Bescheid zur Steuernachzahlung (wegen exorbitanter Kapitalgewinne) per qualifiziert signierter eMail. Leider hat Ihre Frau das Passwort geändert und Sie können erst reagieren, nachdem die Liebste aus dem 3-monatigen Wellness-Urlaub zurück ist. Auch dies nur ein plakatives Beispiel für das Problem der sog. Zumutbarkeit der Kenntnisnahme».

•
4) Zeitpunkte
Für manche Geschäftsprozesse ist der präzise tatsächliche Zeitpunkt relevant, zu dem eine Vereinbarung geschlossen oder ein Antrag gestellt worden ist. Einen «amtlichen Zeitstempeldienst» könnte man sich z.B. von der METAS gut vorstellen, die bereits heute NTP-Services anbieten.

•
5) Zustellung
Was für die Briefpost Alltag ist, gilt für digitale Medien noch nicht. Oder sollten die Bürger zum täglichen Abruf der eMails verpflichtet werden, zwecks Prüfung, ob nicht ein amtliches Dokument darunter ist,
auf das fristgerecht zu reagieren sich zur Vermeidung einer allfälligen Verhaftung empfiehlt?

•
6) Massenverarbeitung 1
Es bedarf keiner grossen Erleuchtung für die Erkenntnis, dass vor allem regelmässige und standardisierte G2G und G2B eGeschäftsprozesse das grösste Rationalisierungspotential aufweisen.
Bürger, die nur selten überhaupt mit Behörden oder Computern zu tun haben, werden trotz Warteschlangen weiterhin das physische Rathaus bevorzugen.

•
7) Massenverarbeitung 2
Bei automatisierten Prozessen sind die Akteure Maschinen, die im Namen einer juristischen Person Transaktionen digital signieren. Gerade diese Fälle sind wirtschaftlich besonders attraktiv, jedoch rechtlich durch das ZertES nicht abgedeckt.

•
8) Beweislast
Auch mit dem qualifizierten Zertifikat gibt es die ersehnte gesetzliche Garantie für die abschliessende Gültigkeit der Signatur nicht. Der Inhaber hat im Zweifelsfalle lediglich hinreichend «glaubhaft» zu machen, dass alle geforderten Sicherheitsmassnahmen zum Schutz des Signaturschlüssels getroffen wurden.
Mit Spannung dürfen die ersten Musterprozesse hierzu erwartet werden.

•
9) Haftung
Die halbwegs erschöpfende Behandlung der Haftungs-Killerfrage würde für sich schon die Ausgabe dieses Heftes sprengen. Daher nur einige Stichworte:

a) Der auf die Signatur vertrauende Dritte muss lediglich eine u.U. im Zertifikat enthaltene Nutzungs- oder Betragseinschränkung (ZertES Art. 7 Abs. 2) berücksichtigen. Er haftet quasi nur sich selbst gegenüber.

b) Der Inhaber des Zertifikates haftet gegenüber dem Dritten in Höhe der o.g. Einschränkung und im Rahmen seiner Sorgfaltspflichten.

c) Der gemäss ZertES anerkannte Aussteller qualifizierter Zertifikate schliesslich sieht sich möglichen Ansprüchen des Zertifikatsinhabers sowie des Dritten gegenüber. Zur Abdeckung direkter und mittelbarer Schäden hat er Vorsorge zu treffen in Höhe von 2 Mio Fr je Schadensfall und 8 Mio Fr pro Jahr (ZertES Art. 3 f. und 13; VzertES Art. 2). Ein Geschäft also vorwiegend für jene, die sich ohnehin siebenstellig orientieren.
Gleichzeitig darf nicht aus dem Blick geraten, dass Nicht-ZertES-anerkannte Anbieter keinesfalls frei sind von jeglicher Haftung, die sich hier jedoch nach den allgemeinen gesetzlichen Bestimmungen richtet – die sich bislang gut bewährt haben.

Fazit

1. eGovernment umfasst komplexe Prozessketten.

2. X.509 Zertifikate bieten eine geeignete Plattform zur Authentisierung der Prozess-Beteiligten (Personen, Maschinen, Netzwerke, Anwendungen) sowie zur digitalen Signatur von Dokumenten, Zeitpunkten und Willenserklärungen.

3. Die im ZertES konkret geregelte Ausstellung von qualifizierten Client-Zertifikaten an ausschliesslich natürliche Personen deckt nur einen Teil der gesamten Prozesskette ab (Web-Frontend, Client-PC, Netzwerke, Backend-Systeme, etc.).

4. Insbesondere routinemässige Standardprozesse im G2G sowie G2B eröffnen das grösste Potential für Rationalisierungsgewinne und "Quality of Service" durch den Einsatz PKI-basierter Prozesse.

5. Generische Konzepte und Standards für eGovernment und Wirtschaft bringen substantielle Synergien insbesondere für automatisierte G2G und G2B
Prozesse.

6. Die starren aber unscharfen Haftungsregelungen des ZertES begründen den Bedarf an Zertifikaten definierter Qualität im privatrechtlichen Rahmen von u.a. OR, Vertrags- und Handelsrecht.

Lösungsansatz

Im Verlauf der eGovernment-Prozessketten bedarf es einiger "Digitaler Identitäten", von denen eine das qualifizierte Signatur-Zertifikat gemäss ZertES
sein kann.
Weiterhin angesprochen im ZertES sind neben der einfachen elektronischen Signatur» (ZertES Art. 2a) auch die fortgeschrittene elektronische Signatur» (ZertES Art.2b). Rahmenbedingungen und Rechtsfolgen sind hierzu jedoch in den weiteren Ausführungen nicht detailliert.

In Sinne einer pragmatische Ergänzung von ZertES/VZertES für die o.g. Anwendungsfelder wurde im eGovernment-Standardisierungsgremium eCH der Entwurf einer Klassifikation von sog. "Trust-Levels" ausgearbeitet. Hiermit wird ein Framework von Qualitäts- und Anforderungskriterien zur Verfügung gestellt, an dem sich die Betreiber sicherheitskritischer Anwendungen ebenso orientieren können wie potentielle CSPs.

Zertifikate des höchsten Trust-Levels werden demnach in einem dem ZertES gleichwertigen Verfahren erstellt und ausgegeben - unterliegen dabei jedoch vertragsrechtlich vereinbarten Regelungen und sind nicht ausschliesslich an natürliche Personen gebunden. Auf diese Weise können über die gesamte Prozesskette auch juristische Personen, Maschinen und automatisierte Prozesse mit Zertifikaten eines hohen – und klar definierten – Vertrauens-Niveaus ausgestattet werden.
Im Ergebnis entsteht eine Matrix, in der

•
die Eigner eines Geschäftsprozesses gemäss Schutzbedarf von Daten und Anwendung die Anforderungen (Trust-Level) festlegen, unter denen der Zugriff von Dritten erfolgt

•
die Anbieter von Zertifikats-Dienstleistungen (CSPs) ihr Angebot positionieren können – ungeachtet der eigenen Labels ihrer Zertifikatsklassen. Über zulässige Ausstattungsvarianten erfolgt dabei die marktgerechte Differenzierung der Service-Angebote.