Änderungshistorie

Der Schweizerische Bundesrat,

gestützt auf die Artikel 4, 6 Absatz 1, 7 Absatz 4, 9 Absatz 4, 10 Absatz 3,

12 Absatz 4, 14 Absatz 2 und 21 des Bundesgesetzes vom 18. März 2016[^1]

über die elektronische Signatur (ZertES),

gestützt auf Artikel 59*a* Absatz 3 des Obligationenrechts[^2],

verordnet:

¹ Die Schweizerische Akkreditierungsstelle (SAS) des Staatssekretariats für Wirtschaft akkreditiert gemäss den Bestimmungen der Akkreditierungs- und Bezeichnungsverordnung vom 17. Juni 1996[^3] die Stellen, die die Anbieterinnen von Zertifizierungsdiensten anerkennen.

¹ Eine Anbieterin, die anerkannt werden will, muss zur Deckung ihrer Haftung eine Versicherung von mindestens 2 Millionen Franken pro Versicherungsfall und 8 Millionen Franken pro Versicherungsjahr abschliessen.

##### **Art. 3** Generierung, Speicherung und Verwendung kryptografischer Schlüssel

- a. die elektronische Signatur einer natürlichen Person oder das elektronische Siegel einer UID-Einheit im Sinne von Artikel 3 Absatz 1 Buchstabe c des Bundesgesetzes vom 18. Juni 2010[^4] über die Unternehmens-Identifikationsnummer (UIDG);

⁵ Die anerkannten Anbieterinnen überprüfen ausserdem die Daten zu den Kernmerkmalen der vertretenen UID-Einheiten anhand des UID-Registers (Art. 11 Abs. 1 UIDG[^5]). Hat die UID-Einheit der Veröffentlichung ihrer Daten zu den Kernmerkmalen nicht zugstimmt (Art. 11 Abs. 3 UIDG), müssen sie einen aktuellen beglaubigten Auszug aus dem UID-Register verlangen.

##### **Art. 6** Ausstellung geregelter Zertifikate auf UID-Einheiten, die keine natürlichen Personen sind

² Die anerkannten Anbieterinnen müssen die Daten zu den Kernmerkmalen der UID-Einheiten anhand des UID-Registers überprüfen (Art. 11 Abs. 1 UIDG[^6]). Hat die UID-Einheit der Veröffentlichung ihrer Daten zu den Kernmerkmalen nicht zugestimmt (Art. 11 Abs. 3 UIDG), müssen sie einen aktuellen beglaubigten Auszug aus dem UID-Register verlangen.

² Die anerkannten Anbieterinnen können geregelte Zertifikate im Rahmen eines Verfahrens zur Personenidentifikation mittels audiovisueller Kommunikation in Echtzeit ausstellen, wenn das Verfahren den Anforderungen des Geldwäschereigesetzes vom 10. Oktober 1997[^7] entspricht. Die so ausgestellten Zertifikate dürfen nur im Rahmen der Beziehungen zwischen deren Inhaberinnen und Inhabern und den Finanzintermediären, die ihre Identität überprüft haben, verwendet werden.

##### **Art. 7***a*[^8] Befreiung von der Pflicht des persönlichen Erscheinens

während der COVID-19-Pandemie

¹ Die Identität einer Person, die ein geregeltes Zertifikat beantragt, kann mittels audiovisueller Kommunikation in Echtzeit festgestellt werden, sofern diese Teil eines Verfahrens ist, das den folgenden Anforderungen entspricht:

- a. den Anforderungen der Geldwäschereigesetzgebung; oder

- b. den Anforderungen von Artikel 24 Absatz 1 Unterabsatz 2 Buchstabe d der Verordnung (EU) Nr. 910/2014[^9] und des nationalen Rechts eines durch diese Verordnung gebundenen Staates.

² Die anerkannten Anbieterinnen können das Verfahren nach Absatz 1 selbst durchführen oder diese Aufgabe einem Dritten übertragen. Das Verfahren muss von einer der folgenden Stellen, die gemäss dem nach Absatz 1 anwendbaren Recht zuständig ist, bewertet worden sein:

- a. einer Prüfgesellschaft im Rahmen einer Prüfung in Zusammenhang mit den Fällen nach Absatz 1 Buchstabe a;

- b. einer Konformitätsbewertungsstelle in den Fällen nach Absatz 1 Buchstabe b.

³ Die Gültigkeitsdauer von Zertifikaten, die in Anwendung von Absatz 1 ausgestellt werden, darf nicht über die Geltungsdauer dieses Artikels hinausgehen. Wird dieser Artikel vor dem vorgesehenen Datum aufgehoben, so widerrufen die Anbieterinnen die Zertifikate, die nach der Aufhebung noch gültig wären.

⁴ Eine qualifizierte elektronische Signatur, die auf einem in Anwendung von Absatz 1 ausgestellten Zertifikat beruht, darf nicht verwendet werden, um ein neues geregeltes Zertifikat zu beantragen, das über die Geltungsdauer dieses Artikels hinaus gültig ist.

⁵ Die anerkannten Anbieterinnen, die Zertifikate nach diesem Artikel ausstellen, melden dies unverzüglich der Anerkennungsstelle. Sie reichen ihr so bald wie möglich eine Bescheinigung ein, wonach das Identifikationsverfahren gemäss Absatz 2 bewertet worden ist.

³ Für die in Anwendung von Artikel 7 Absatz 3 Buchstabe b ausgestellten Zertifikate müssen die Eintragungen und die Belege zur Identifizierung ihrer Inhaberinnen oder Inhaber gemäss den Artikeln 5 und 7 Absätze 1 und 2 so lange aufbewahrt werden, bis die Elfjahresfrist für das letzte der so ausgestellten Zertifikate abgelaufen ist.

##### **Art.**** 12** Einstellung der Geschäftstätigkeit

¹ Die Inhaberin oder der Inhaber eines geregelten Zertifikats muss den ausschliesslichen Zugang zum kryptografischen Schlüssel, der zur Generierung elektronischer Signaturen oder Siegel eingesetzt wird, behalten. Soweit zumutbar, muss sie oder er die Signatur- oder Siegelerstellungseinheit auf sich tragen oder wegschliessen.

² Bei Verlust oder Diebstahl der Signatur- oder Siegelerstellungseinheit muss die Inhaberin oder der Inhaber eines geregelten Zertifikats so rasch wie möglich dessen Ungültigerklärung beantragen. Das Gleiche gilt, wenn die Inhaberin oder der Inhaber weiss oder den begründeten Verdacht hat, dass eine Drittperson Zugang zum kryptografischen Schlüssel, der zur Generierung elektronischer Signaturen oder Siegel eingesetzt wird, haben konnte.

³ Die Daten zur Aktivierung der Signatur- oder Siegelerstellungseinheit dürfen sich nicht auf Daten zur Person oder zur UID-Einheit, die Inhaberin eines geregelten Zertifikats ist, beziehen.

⁴ Aufzeichnungen der Aktivierungsdaten sind sicher und getrennt von der Signatur- oder Siegelerstellungseinheit aufzubewahren.

⁵ Die Inhaberin oder der Inhaber eines geregelten Zertifikats muss die Aktivierungsdaten der Signatur- oder Siegelerstellungseinheit ändern, wenn sie oder er weiss oder den begründeten Verdacht hat, dass eine Drittperson Kenntnis davon erlangt hat. Wenn sie oder er die Aktivierungsdaten nicht selbst ändern kann, muss sie oder er so rasch wie möglich die Ungültigerklärung des Zertifikates beantragen.

¹ Was die Aufbewahrung der Belege betrifft, die zur Ausstellung eines geregelten Zertifikats für Personen mit im Handelsregister eingetragenen spezifischen Attributen oder Vertretungsbefugnissen vorgelegt werden müssen, so bleiben die Artikel 8 Absatz 5, 9 Absatz 4 und 166 der Handelsregisterverordnung vom 17. Oktober 2007[^10] vorbehalten.

[^1]: [SR **943.03**](https://fedlex.data.admin.ch/eli/cc/2016/752)

[^2]: [SR **220**](https://fedlex.data.admin.ch/eli/cc/27/317_321_377)

[^3]: [SR **946.512**](https://fedlex.data.admin.ch/eli/cc/1996/1904_1904_1904)

[^4]: [SR **431.03**](https://fedlex.data.admin.ch/eli/cc/2010/705)

[^5]: [SR **431.03**](https://fedlex.data.admin.ch/eli/cc/2010/705)

[^6]: [SR **431.03**](https://fedlex.data.admin.ch/eli/cc/2010/705)

[^7]: [SR **955.0**](https://fedlex.data.admin.ch/eli/cc/1998/892_892_892)

[^8]: Eingefügt durch Ziff. I der V vom 1. April 2020, in Kraft vom 2. April 2020 bis zum 1. Okt. 2020 ([AS **2020** 1149](https://fedlex.data.admin.ch/eli/oc/2020/210)).

[^9]: Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, Fassung gemäss ABl. L 257 vom 28.8.2014, S. 73.

[^10]: [SR **221.411**](https://fedlex.data.admin.ch/eli/cc/2007/686)