Is a git commit timestamp legally binding proof of authorship?

No. Git timestamps are set by the committer's local system clock and can be altered by anyone with repository access using standard git commands. They are treated as circumstantial evidence, not authoritative proof. A qualified electronic timestamp from an accredited QTSP under eIDAS Art. 41 carries a statutory presumption of accuracy that git history does not.

Can I seal an entire repository, not just a single file?

Yes. Export your repository as a ZIP archive using git archive --format=zip HEAD > repo.zip, then seal the ZIP file. Swiss Trust Layer supports any file format up to 500 MB, so a complete codebase can be sealed in a single operation.

Does sealing source code expose my proprietary code to Swiss Trust Layer?

No. The SHA-256 hash is computed in your browser before anything is transmitted. Swiss Trust Layer receives only the hash — a 64-character hexadecimal string — never the source code itself. Your proprietary algorithms and implementation details remain entirely private.

What if I seal a file and then make commits on top of it?

Each seal is a snapshot at a specific moment. Seal again when you release a new version. The series of seals creates a provenance trail showing the evolution of your codebase — useful for investor due diligence and continuous-development evidence.

How much does it cost to seal source code on Swiss Trust Layer?

Sealing starts at CHF 5 per document. Volume plans are available for teams with frequent release cycles. The cost of a qualified timestamp is a fraction of the legal fees in any IP dispute.

Software-IP-Eigentümerschaft beweisen: Kryptografisches Siegel für Quellcode (2026)

Wenn Sie glauben, Ihre git-Commit-Historie beweise, dass Sie den Code geschrieben haben, wird ein gegnerischer Anwalt diese Behauptung in wenigen Minuten entkräften. Git-Zeitstempel werden von der lokalen Systemuhr des Committers gesetzt — nicht von einer unabhängigen, akkreditierten Stelle. Jeder mit Repository-Zugriff kann die Historie umschreiben, Commits rückdatieren oder von einem manipulierten Zeitstempel aus neu committen. Ein qualifiziertes kryptografisches Siegel hat diese Schwachstellen nicht.

Warum Git-Historie vor Gericht nur schwache Beweise liefert

Git ist ein Kollaborationswerkzeug, kein rechtliches Aufzeichnungssystem. Die Historie ist konstruktionsbedingt veränderlich: git commit --amend ändert den Zeitstempel eines Commits, git push --force überschreibt einen gesamten Branch, und ein böswilliger Akteur kann Ihr öffentliches Repository klonen, rückdatierte Commits hinzufügen und den Fork als Original veröffentlichen.

Selbst ohne vorsätzlichen Betrug sind git-Zeitstempel anfechtbar. Eine falsch konfigurierte Systemuhr oder eine CI/CD-Pipeline, die erstellte Artefakte erneut committet, erzeugt Zeitstempel, die Gerichte als bloße Indizien behandeln. In einem Streit darüber, wer einen proprietären Algorithmus zuerst geschrieben hat, ist die git-Historie ein Ausgangspunkt — keine Schlussfolgerung.

Was qualifizierte elektronische Zeitstempel hinzufügen

Swiss Trust Layer berechnet einen SHA-256-Hash Ihrer Quelldatei oder Repository-ZIP — ändern Sie ein einziges Zeichen, und der Hash ändert sich vollständig — und übermittelt diesen Hash an Swisscom Trust Services, einen Qualified Trust Service Provider (QTSP), der unter EU- und Schweizer Recht akkreditiert ist. Swisscom stellt einen Zeitstempel aus, der RFC 3161 entspricht und Ihren Hash mit einer genauen UTC-Zeit durch eine kryptografische Signatur verbindet, die keine der Parteien verändern kann.

Das Ergebnis ist ein PAdES-konformes Zertifikat, das jeder unter swisstrustlayer.com/validate überprüfen kann — ohne Kontakt mit Ihnen. Gemäß eIDAS Art. 41 trägt der Zeitstempel in allen 27 EU-Mitgliedstaaten eine gesetzliche Vermutung der Richtigkeit. ZertES Art. 2 sieht dieselbe Vermutung nach Schweizer Recht vor. Das ist eine grundlegend andere Beweislage als ein git-Log.

Drei kritische Szenarien, in denen Entwickler dies benötigen

Auftragnehmerstreit — wer hat den Algorithmus zuerst geschrieben?

Ein freiberuflicher Entwickler liefert ein Machine-Learning-Modell. Monate später behauptet der Auftraggeber, der Algorithmus sei intern vor Vertragsbeginn entwickelt worden. Das interne Repository des Auftraggebers kann nachträglich gefälscht werden. Ein qualifiziertes Siegel auf dem ersten Prototyp des Auftragnehmers, zeitgestempelt vor dem behaupteten Datum des Auftraggebers, liefert rechtlich vermutetes Prior-Art, das nicht als Uhrenfehler oder umgeschriebener Commit abgetan werden kann.

Investor-Due-Diligence — Nachweis der IP-Eigentümerkette

VC- und M&A-Teams verlangen mittlerweile routinemäßig eine Software-IP-Provenienz. Ein kryptografisches Siegel auf der Codebasis bei jedem Meilenstein — Prototyp, Series A, Series B — erstellt eine prüfbare Eigentümerkette, die Rechtsteams zufriedenstellt, ohne allein auf die git-Historie angewiesen zu sein.

Open-Source-Lizenzierung — Prior-Art vor einem Fork etablieren

Wenn ein kommerzielles Unternehmen Ihre Bibliothek forkt, die Namensnennung entfernt und sie relizenziert, ist Ihr stärkstes Verteidigungsmittel das ursprüngliche Veröffentlichungsdatum. Ein qualifizierter Zeitstempel auf der ersten öffentlichen Version gibt Ihnen einen rechtlich belastbaren Prior-Art-Nachweis, den der Fork nicht vorausdatieren kann.

Schritt für Schritt: Eine Quellcodedatei oder Repository-ZIP versiegeln

Schritt 1: Artefakt vorbereiten. Verwenden Sie bei einer einzelnen Datei die Quelldatei direkt. Für ein vollständiges Repository exportieren Sie ein ZIP-Archiv — git archive --format=zip HEAD > repo-v1.0.zip. Jede Datei bis zu 500 MB wird unterstützt.

Schritt 2: Hochladen bei swisstrustlayer.com. Der SHA-256-Hash wird clientseitig berechnet. Ihr Quellcode verlässt niemals Ihren Browser — nur der Hash wird an die Server von Swiss Trust Layer übertragen.

Schritt 3: Qualifizierter Zeitstempel wird ausgestellt. Swisscom Trust Services verankert Ihren Hash in einem RFC 3161-konformen qualifizierten elektronischen Zeitstempel. Dies ist das rechtlich bindende Ereignis.

Schritt 4: Zertifikat herunterladen. Das PAdES-konforme Zertifikat enthält Ihren Datei-Hash, Zeitstempel, Ausstellerkette und verifizierte Identität. Bewahren Sie es neben der Originaldatei auf oder committen Sie es in ein separates Evidenz-Repository.

Schritt 5: Unabhängig verifizieren. Teilen Sie den Verifikationslink unter /validate mit jedem Dritten — Investor, Anwalt, Open-Source-Stiftung —, der Ihren Prior-Art-Anspruch bestätigen muss, ohne Ihnen beim Wort nehmen zu müssen.

Rechtliche Gewichtung: Die regulatorische Grundlage

Software ist als Sprachwerk nach Berner Übereinkunft Art. 5 geschützt — das Urheberrecht entsteht ab dem Moment der Schöpfung in 181 Mitgliedstaaten, ohne Registrierung. Die Übereinkunft schützt jedoch das Recht; sie beweist nicht das Datum. Genau das leistet ein qualifizierter Zeitstempel.

eIDAS Art. 41 gewährt eine gesetzliche Vermutung der Richtigkeit für Datum und Uhrzeit, die ein qualifizierter elektronischer Zeitstempel angibt — wirksam in jedem EU-Gericht, Widerlegungslast beim Anfechtenden. ZertES Art. 2 ist das schweizerische Äquivalent. Dies sind gesetzliche Vermutungen, keine Leitlinien.

Häufig gestellte Fragen

Ist ein git-Commit-Zeitstempel rechtlich bindender Urheberschaftsnachweis?

Nein. Git-Zeitstempel werden von der lokalen Systemuhr des Committers gesetzt und können von jedem mit Repository-Zugriff mittels Standard-git-Befehlen geändert werden. Sie werden als Indizienbeweis behandelt, nicht als autoritativer Nachweis. Ein qualifizierter elektronischer Zeitstempel eines akkreditierten QTSP gemäß eIDAS Art. 41 trägt eine gesetzliche Vermutung der Richtigkeit, die die git-Historie nicht hat.

Kann ich ein gesamtes Repository versiegeln, nicht nur eine einzelne Datei?

Ja. Exportieren Sie Ihr Repository als ZIP-Archiv mit git archive --format=zip HEAD > repo.zip und versiegeln Sie dann die ZIP-Datei. Swiss Trust Layer unterstützt jedes Dateiformat bis zu 500 MB, sodass eine vollständige Codebasis — einschließlich Dokumentation, Tests und Build-Skripte — in einem einzigen Vorgang versiegelt werden kann. Der SHA-256-Hash deckt den genauen binären Inhalt des gesamten Archivs ab.

Gibt die Versiegelung von Quellcode meinen proprietären Code an Swiss Trust Layer preis?

Nein. Der SHA-256-Hash wird in Ihrem Browser berechnet, bevor irgendetwas übertragen wird. Swiss Trust Layer erhält nur den Hash — eine 64-stellige hexadezimale Zeichenfolge — niemals den Quellcode selbst. Ihre proprietären Algorithmen und Implementierungsdetails bleiben vollständig privat.

Was passiert, wenn ich eine Datei versiegle und dann weitere Commits darauf aufbaue?

Jedes Siegel ist ein Schnappschuss zu einem bestimmten Zeitpunkt. Versiegeln Sie erneut, wenn Sie eine neue Version veröffentlichen. Die Reihe der Siegel erstellt einen Provenienzpfad, der die Entwicklung Ihrer Codebasis zeigt — nützlich für Investor-Due-Diligence und Nachweise zur kontinuierlichen Entwicklung.

Was kostet es, Quellcode auf Swiss Trust Layer zu versiegeln?

Die Versiegelung beginnt bei CHF 5 pro Dokument. Volumentarife sind für Teams mit häufigen Release-Zyklen verfügbar. Die Kosten eines qualifizierten Zeitstempels sind ein Bruchteil der Anwaltskosten in jedem IP-Streit.

Die git-Historie ist ein Entwicklungsprotokoll. Sie ist kein rechtliches Instrument. Für Auftragnehmer, Gründer und Open-Source-Maintainer, die beweisen müssen, dass sie den Code zuerst geschrieben haben, ist ein qualifiziertes kryptografisches Siegel — verankert bei einer unabhängigen, akkreditierten Zeitstempelbehörde und zulässig gemäß eIDAS, ZertES und der Berner Übereinkunft — der einzige Beweis, den Gerichte als vermutungsweise richtig behandeln. Versiegeln Sie Ihre Codebasis, bevor der Streit entsteht. Erfahren Sie mehr über den Rechtsrahmen unter /eidas und /zertes.