Testimonial

customweb hat unsere Anforderungen schnell und unbürokratisch umgesetzt. Insbesondere die Anpassung der Shop-Oberfläche an unsere Corporate Identity hat uns überzeugt.

Jürg Baumann, Leiter HPC (Swisscom)

Suisse ID - Wolf im Schafspelz?

Sa, 11/20/2010

Seit der Einführung der Suisse ID wurde sehr viel darüber geschrieben; Positives wie auch negatives. In diesem Artikel möchten wir kurz die Technologie und den Sinn der Suisse ID erläutern und Ihnen den aktuellen Stand der Diskussion aufzeigen. Auch wollen wir Ihnen hiermit einen Überblick über die rechtlichen Implikationen der Suisse ID auf den Vertragsschluss im Internet verschaffen.

Was ist die Suisse ID

Die Suisse ID ist eine standardisierte elektronische Identitätskarte. Sie besteht aus einem kleinen Chip, auf welchem Name, Vorname, E-Mail Adresse und die Suisse ID Nr. gespeichert sind. Weitere Daten, wie zum Beispiel Geburtstag und Heimatort, sind auf einem externen Server gespeichert und können nur durch Bewilligung des Suisse ID Inhabers abgerufen werden. Die Informationen auf dem Chip werden dann mit Plastikkarte und Lesegerät oder über den USB-Port auf den PC gemountet.

Entwickelt wurde die Suisse ID für den elektronischen Geschäfts- und Behördenverkehr. Sie weist zwei Funktionen auf, einerseits dient sie zur Identifikation und ersetzt Benutzernamen und Passwörter, andererseits gilt der Chip als rechtsgültige elektronische Unterschrift im Sinne von Art. 14 Abs 2bis OR, wodurch Geschäfte von Privatpersonen zu Firmen, von Firmen untereinander sowie vom Bürger zur Verwaltung direkt über das Netz abgeschlossen werden.

Durch eine asymmetrische Verschlüsselung lässt sich die Identität des Inhabers sicherstellen und die Integrität und Vertraulichkeit der übermittelten Daten werden gewährleistet. Die Sicherheit im Internet wird dadurch verbessert. Zudem bietet die SuisseID einen effizienteren Ablauf, wodurch die Kosten reduziert werden. Laut dem Staatssekretariat für Wirtschaft (Seco) sei der "volkswirtschaftliche Nutzen gross. Wenn 10'000 Unternehmen und Institutionen mitmachten, seien Einsparungen von mehreren 100 Millionen Franken möglich. Würden sämtliche Unternehmen und Bürger mitmachen, wären es laut Gerber mehrere Milliarden Franken" (NZZ, 3. Mai 2010).

http://www.suisseid.ch/endkunden/suisseid/index.html?lang=de

Elektronische Signaturen

Bei der elektronischen Signatur handelt es sich um ein technisches Verfahren, welches die Echtheit eines Dokuments, einer elektronischen Nachricht oder der Identität des Absenders überprüft. Sie basiert auf einer Zertifizierungsinfrastruktur, welche von Zertifizierungsdiensten (CSP) angeboten wird. Man unterscheidet dabei zwischen zwei Zertifikatstypen, die qualifizierte und die fortgeschrittene.

Die anerkannten Anbieterinnen qualifizierter Zertifikate müssen die Anforderungen erfüllen, die im Gesetz (ZertES) [SR Nr. 943.03] , in der Verordnung (VZertES) [SR NR. 943.032] und in den technischen und administrativen Vorschriften über Zertifizierungsdienste im Bereich der elektronischen Signatur festgelegt sind.

Der qualifizierte Zertifikatstyp enhält:

  • den Hinweis, dass es sich um ein qualifiziertes Zertifikat handelt
  • den Namen der CSP, die das Zertifikat ausgestellt hat
  • den Hinweis, dass die CSP anerkannt ist
  • den Namen der Anerkennungsstelle

Fortgeschrittene Zertifikatstypen weisen sich dadurch aus, dass sie NICHT qualifizierte Zertifikatstypen sind. Sie unterstehen somit nicht dem ZertES und können anhand verschiedener Kriterien ausgestellt werden.
Eine Liste der zertifizierten CSP kann unter unter www.seco.admin.ch/sas/00229/00251/index.html?lang=de gefunden werden.

Kritik

Nicht alle Stellen sind von der Suisse ID überzeugt. Vorallem die Kosten, welche für den Bund dabei aufkommen, stösst bei vielen Skepsis auf Ablehnung. Bis zu 21 Millionen Schweizer Franken soll das Projekt letztendlich kosten. Mit vier Millionen wurden die Entwicklung und die Verbreitung des SuisseID unterstützt und mit bis zu 17 Millionen sollen bis Ende Jahr die Verkäufer subventioniert werden. Dabei wird der Begriff 'Subventionierung' eher schief betrachtet, da sie zwar den Enduser betrifft, schlussendlich womöglich lediglich die Unternehmen davon profitieren werden.

Die Hauptkritik liegt jedoch in den Argumenten zum Nutzen und Wert der Suisse ID. Ihre erste Funktion, sprich das Ersetzen der Benutzernamen und Passwörter, relativiert sich dadurch, dass der Identitätsnachweis nicht auf internationaler Ebene rechtskräftig ist. Bisher ist der Handel mit Firmen wie Amazon, E-Bay, Apple, etc. somit noch nicht eingebunden. Des Weiteren fürchtet man sich vor der Stagnierung der Schweizer Entwicklung. Die Suisse ID müsste sich jeder Veränderung und neuen Möglichkeit im Netz anpassen, dies könnte zu erheblichen Verzögerungen in einem solch dynamischen System wie dem Internet führen.

http://www.nzz.ch/nachrichten/schweiz/die_suisseid_ist_parat_1.5623942.html
http://www.weltwoche.ch/onlineexklusiv/aktuell/2010-05-04-suisseid-teure...

Entwicklungen im Ausland

Deutsches Beispiel:
In Deutschland wurde ein ähnliches Projekt am 1. November lanciert. Zusätzlich zur Suisse ID enthält die Deutsche Version die Möglichkeit eines Fingerabdrucks. Bis jetzt besitzen bereits über eine Million Personen den Ausweis. Die Inhaber weisen sich dadurch automatisch beim e-Shopping, Chatten, etc. aus. Diese Funktion kann jedoch ausgeschaltet und nur in spezifischen Situationen gebraucht werden. Generell, muss sich der User seines Ausweises sehr bewusst sein; für die Sicherheit ist nämlich er selbst zuständig. Dies beinhaltet zum Beispiel die Benutzung eines virenfreien Computers, die Aufmerksamkeit darauf, nur bei zertifizierten Anbietern einzukaufen und die sofortige Entfernung des Chips vom Lesegerät. Zudem ist, obwohl sie gross angepriesen wurde, die Unterschriftsfunktion noch nicht in Gange, da hierfür noch die rechtliche Grundlage einer elektronischen Willenserklärung fehlt.

In der Schweiz ist nach (Art. 14 Abs 2bis OR) der Gesetzgebung die elektronische Unterschrift der handschriftlichen gleichgestellt worden. Hierbei wird der User der Suisse ID mehr profitieren, als derjenige des Deutschen Personalausweises. Trotzdem bleibt fraglich, ob sich die elektronische Identitätskarte hierzulande vollständig etablieren werden kann.

http://www.3sat.de/page/?source=/neues/sendungen/magazin/149125/index.html

Anwendungsbeispiele im E-Commerce

Online Einkäufe können durch die Suisse ID erheblich vereinfacht werden, sofern der Shop Betreiber an das System angebunden ist. Der Kunde benötigt in Zukunft keine Benutzernamen und Passwörter mehr, sondern kann sich mit Hilfe des Lesegeräts oder des USB-Sticks mit dem Chip ausweisen und den Kauf problemlos durchführen. Zudem wird durch die elektronische Signatur der Gebrauch elektronischer Rechnungen und dem elektronischen Versand der Rechnungen einfacher. Unternehmensübergreifende Geschäftsprozesse können somit markant effizienter und rascher abgewickelt werden.

Alterskontrolle

Bei der Bestellung in einem E-Shop wird der Käufer angefragt, ob seine Daten abgerufen werden können. Falls der Kunde dies bejaht und dadurch bestätigt wird, dass er z.B. über 18 Jahre alt ist, hat der Shopbetreiber die Sicherheit, dass der Kunde das gesetzliche Alter von 18 Jahren erreicht hat.

Herkunftsüberprüfung - Signatur von Emails

Anhand der elektronischen Signatur mit der SuisseID kann garantiert werden, dass die Identität des Absenders einer E-Mail gewährleistet ist. Auch nachträgliche Veränderungen des Inhalts der E-Mail – ohne dass die ursprüngliche Signatur gebrochen wird – können so ausgeschlossen werden.

Vor allem im Verkauf von Alkohol sehen wir zur Zeit den grössten Handlungsbedarf. Momentan wird die Altersüberprüfung bei der Bestellung durch Bestätigung des Nutzers und Abfrage der Kreditkarte sichergestellt. Das dies keine effektive Alterskontrolle darstellt leuchtet ein. Die Verkäufer von Alkohol setzen sich immer dem Risiko einer Rechtsverletzung aufgrund der Abgabe von Alkohol an Minderjährige aus.

Rechnung - Abschluss von Verträgen - E-Government

Gemäss Art. 14 Abs 2bis OR ist die elektronische Unterschrift der handschriftlichen gleichgestellt. Per Mausklick werden Dokumente direkt elektronisch signiert. Es ist somit möglich, mit der Suisse ID online Verträge abzuschliessen oder amtliche Urkunden zu bestellen. Dabei ist die eGovernment-Stelle darauf angewiesen, zu wissen, mit wem sie in Kontakt tritt. Zur genauen Identifikation des Anfragenden fragt sie weitere Informationen ab, die auch in einem Ausweis hinterlegt sind. Sobald der User seine SuisseID einsetzt, wird er im Browser gefragt, ob beispielsweise sein Heimatort abgefragt werden darf. Erst, wenn der User OK drückt, werden die erforderlichen Daten elektronisch abgefragt.

http://www.suisseid.ch/unternehmen/anwendungen/index.html?lang=de
http://www.suisseid.ch/endkunden/anwendungsbeispiele/index.html?lang=de

Exkurs: Besonderheiten beim Vertragsschluss mittels SuisseID

Die Suisse ID wurde entwickelt um das Vertrauen in den elektronischen Geschäftsverkehr zu stärken. Im Geschäftsverkehr im Internet stellt sich aufgrund der Anonymität des Vertragsschlusses vermehrt die Frage, unter welchen Voraussetzungen Handlungen Dritter zugerechnet werden. Beispielsweise, wenn auf einen Fremden Namen bestellt wird. Gelingt der Beweis, dass keine Bevollmächtigung des Bestellers vorlag, so wird Vertretene nicht verpflichtet, wenn ihn keine Sorgfaltsverletzung trifft (Art. 36 Abs.2 OR). Dies wird bei einmaligen Vorkommnissen anzunehmen sein. Wird eine Person aber mehrmals durch eine Person im gleichen Shop vertreten, kann eine Duldungsvollmacht angenommen werden und der Vertretene wird rechtsverbindlich verpflichtet.

Übertragen auf die Suisse ID, welche aufgrund der Sicherheitselemente des Zertifikatspasswort bedeutet dies, dass der Inhaber des Zertifikats verpflichtet wird, wenn er die notwendigen Sicherheitsvorkehren nicht getroffen hat, um sein Passwort zu schützen. Wobei die Beweislast beim Inhaber der Suisse ID verbleibt. Die Haftung ist somit dem konventionellen Stellvertretungsrecht nachgebildet, bei welchem der Vollmachtgeber die Vollmacht zurückrufen, muss (Art. 36 Abs. 2 OR).

Für den Shop Betreiber bedeutet dies, dass zwischen ihm und dem vermeintlich Vertretenen kein Vertrag entsteht, sofern dieser den Vertrag nicht nachträglich genehmigt, was in diesen Konstellationen meistens nicht anzunehmen ist. Der Shop Betreiber hat aber unter Art. 39 Abs. 2 OR die Möglichkeit den Schaden gegenüber dem Besteller geltend zu machen.

Die customweb GmbH bietet bereits Services für Ihre Kunden an, um im Online Shop die Zertifikatsüberprüfung durchzuführen. Sollten Sie sich dafür Interessieren, bitten wir Sie sich direkt mit uns in Kontakt zu setzen.

Tags:

Payment Solutions, E-Commerce, Suisse ID