Die Einführung der elektronischen Signatur stellt einen wichtigen Schritt in Richtung der vollständig digitalisierten Kunden-Bank-Beziehung dar. Sie ermöglicht rechtsgültige Unterschriften von beiden Seiten, ohne dass der Kunde die Bankfiliale aufsuchen oder Papier hin- und hergeschickt werden muss.
Die rechtlichen Grundlagen für elektronische Signaturen werden in der Schweiz vom ZertES geregelt. Von den darin definierten Signaturstandards sind für Beziehungen zwischen Banken und natürlichen Personen deren drei relevant: die einfache (EES), die fortgeschrittene (FES) und die qualifizierte elektronische Signatur (QES).
Die Faksimile-Unterschrift (Reproduktion einer handschriftlichen Unterschrift, z.B. durch ein digitales Abbild) kann für Banken beispielsweise in der Kommunikation mit Kunden ebenfalls von Interesse sein, entspricht aber keinem dieser Standards. Zentrale Unterscheidungsmerkmale der Standards liegen in der dafür notwendigen Identifikation des Kunden sowie in ihrer Anwendbarkeit zur Unterzeichnung von Verträgen mit Schrifterfordernis, wobei gemäss OR nur die QES einer eigenhändigen Unterschrift rechtlich gleichgestellt ist.
Die meisten in der Schweiz tätigen Banken setzen bei der digitalen Kundeneröffnung auf die FES, also nicht auf den höchstmöglichen Standard. Auch bei Lieferantenverträgen, welche ein bestimmtes Auftragsvolumen nicht überschreiten, wird die FES bevorzugt. Wir erklären in diesem Blog, weshalb.
Nur wenige Verträge setzen die QES voraus
Der Grossteil an Verträgen, die zwischen Kunde und Bank bestehen, müssen aus rechtlicher Sicht nicht schriftlich abgeschlossen werden. Eröffnung einer Bankbeziehung zum Beispiel oder Abheben von Bargeld darf grundsätzlich mündlich bestätigt werden. Sogar Kreditkartenverträge haben mit mündlicher Zusage rechtliche Gültigkeit, sofern keine Rückzahlung in Raten, die so genannte Teilrückzahlungsoption, vorgesehen ist. Mit einer Teilrückzahlungsoption fällt der Kreditkartenvertrag unter das Konsumkreditgesetz, welches einen schriftlichen Vertragsabschluss verlangt.
Obwohl also ein Grossteil der relevanten Verträge nach Gesetz mündlich besiegelt werden könnte, wird in der heutigen Praxis bei fast allen Bankverträgen eine handschriftliche Signatur verlangt. Dies hat primär damit zu tun, dass sich die Banken selbst strengere Compliance Richtlinien auferlegen, um in allfälligen Prozessen Forderungen leichter parieren zu können und bislang keine sichere Alternative zur handschriftlichen Signatur existierte. Der Wechsel auf elektronische Signaturen bietet den Banken eine ideale Gelegenheit, ihre Richtlinien anzupassen und nicht mehr überall automatisch den höchstmöglichen Standard zu verlangen.
Was macht eine sichere Signatur aus?
Die Eigenschaften einer sicheren Signatur lassen sich wie folgt zusammenfassen: Die Signatur ist ausschliesslich dem Inhaber zugeordnet, welcher vorgängig identifiziert wurde, und macht nachträgliche Veränderungen des Dokuments erkennbar. Letztere Eigenschaft erfüllt die eigenhändige Unterschrift nicht. Die Erzeugung einer sicheren elektronischen Signatur erfolgt ausserdem mit Mitteln, welche der Inhaber unter seiner alleinigen Kontrolle hat. Dies wird im Signaturprozess typischerweise über ein SMS One-time Password oder das Scannen eines QR-Codes erreicht.
Neben der QES muss auch die FES nach ZertES all diese Kriterien erfüllen. Ob diese erfüllt sind oder zum Zeitpunkt der Signatur erfüllt waren, lässt sich auch nachträglich feststellen. Somit ist die Beweiskraft einer getätigten elektronischen Signatur auch in Zukunft sichergestellt.
In den Sicherheitsabwägungen stellt die Identifikation des Unterzeichners einen massgebenden Punkt dar. Für eine QES muss grundsätzlich eine Identifikation vor Ort stattfinden, für Finanzintermediäre lässt die Verordnung zum ZertES jedoch auch eine Identifikation per Video-Call zu. Für eine FES sind die Vorgaben weniger restriktiv, eine Online-Identifikation reicht hier aus.
Die Online-Identifikation: jederzeit, schnell, automatisch, günstig
Im Vergleich zur Video-Identifikation, die in Echtzeit von einem geschulten Mitarbeiter durchgeführt werden muss, kann die Online-Identifikation vollautomatisch durchgeführt werden. Ein sogenannter Liveness-Check stellt dabei sicher, dass es sich auf der Gegenseite um eine reale Person handelt. Durch die Automatisierung ist die Online-Identifikation nicht nur günstiger und um mehrere Minuten schneller als die Video-Identifikation, sondern auch jederzeit durchführbar, während die Identifikation per Video in der Praxis nur zu erweiterten Geschäftszeiten angeboten werden kann. Somit hat die die Video-Identifikation in entscheidenden Punkten das Nachsehen, weshalb die Online-Identifikation sowohl für die Bank als auch für den Kunden in vielerlei Hinsicht die bessere Variante darstellt.
Eine FES ist günstiger als eine QES
Ein weiterer Unterschied in den zwei Signaturstandards FES und QES sind die Zertifikatsanbieter, auch Trust Provider genannt. Während für die FES ein beliebiger Trust Provider die Zertifikate bereitstellen kann, dürfen die Zertifikate für eine QES in der Schweiz nur von einem durch KPMG akkreditierten Trust Provider ausgestellt werden. Der Prozess (wie z.B. eine digitale Vertragsunterzeichnung), in welchem mit QES signiert wird, muss ebenfalls einem externen Audit unterzogen werden.
Aufgrund der erhöhten Sicherheitsanforderungen an qualifizierte Zertifikate, sowie dem zusätzlich notwendigen qualifizierten Zeitstempel, der für eine QES ebenfalls von einem akkreditierten Trust Provider zur Verfügung gestellt werden muss, sind die Kosten für eine QES um ungefähr den Faktor 2 höher als diejenigen für eine FES. Dazu kommen die im Vergleich zur Online-Identifikation erhöhten Kosten für die Video-Identifikation sowie die Kosten, welche für ein Audit des Signaturprozesses anfallen.
Der Eröffnungsprozess mindert das Betrugspotential, nicht die Signatur
Bei der digitalen Kundeneröffnung braucht eine Bank ein klares Konzept, wie sie dem Betrugspotential begegnen möchte. Dieses Risiko wird in erster Linie durch den Eröffnungsprozess gemindert und nicht durch den Signaturstandard. Der Aufbau des gesamten Prozesses mit der Datenabfrage, den Sicherheitsnetzen und dem anschliessenden Monitoring (z.B. AML) ist verantwortlich für ein möglichst geringes Betrugspotential. Ob am Ende mit FES oder QES signiert wird, hat zwar einen Einfluss auf die Beweiskraft der Signatur, jedoch wird dadurch das Betrugsrisiko nicht zusätzlich erhöht oder gemindert.
Ein Blick in die Zukunft: Verändert die Einführung der EID alles?
Es darf Hoffnung bestehen, dass in ein paar Jahren eine QES auch ohne Video-Identifikation möglich ist. Hand dazu bietet die EID, welche für Bankkunden eine für eine QES ausreichende Identifikation ermöglicht. Die Einführung der EID ist allerdings nach dem Volks-Nein wieder etwas weiter in die Ferne gerückt. Auch nach ihrer Einführung wird es noch einige Jahre dauern, bis eine gute Durchdringung dieses Identifikationsmittels in der Schweizer Bevölkerung erreicht ist.
Somit sind die Schweizer Banken im Moment gut beraten, auf die kundenfreundlichste Methode zur digitalen Unterzeichnung von Verträgen zu setzen. Der Erfolg der Neo-Banken zeigt, dass für die Neukundengewinnung das Kundenerlebnis bei der Eröffnung eine entscheidende Rolle spielt. Die FES als Signaturstandard zusammen mit der Online-Identifikation macht dieses positive Erlebnis möglich und wird daher voraussichtlich noch während mehrerer Jahre gegenüber der QES die bevorzugte Variante bleiben.
Themenverantwortung
