Signatur

IT-recht / Internet / E-Business
MP3	Aktienkauf	E-mails verschlüsseln
Web-Auktion	Signatur
Powershopping	online-shop-Kündigung

Sicherheit versprochen, ohne dafür zu haften...?

Nun haben die Bürger der Bundesrepublik sich im Juli 1997 ein Signaturgesetz (Artikel 3 des Informations- und Kommunikationsdienste-Gesetz, auch IuKDG) zugelegt, das mit der gebotenen Gründlichkeit ab 1.11.1997 den elektronischen Geschäftsverkehr rechtssicher und gerichtsfest machen soll. Der Austausch von elektronischen Dokumenten soll sicher, der Verfasser unverwechselbar identifiziert und die unbefugte Manipulation erkennbar werden. Schade nur, daß keiner gegenüber Dritten, die schließlich auf die Sicherheit der elektronischen Signatur vertrauen, für diese versprochene Sicherheit haften muß! Sie meinen, die privaten Zertifizierungsstellen? Oh nein, eine Zertifizierungsstelle hat genug damit zu tun,

-	das eigene (öffentliche und private) Schlüsselpaar vor unbefugten Zugriffen zu sichern,
-	die Identität der Zertifikat-Antragsteller zu prüfen,
-	ihm einen eindeutigen Namen, auf Wunsch auch ein Pseudonym(!) zuzuweisen,
-	ihm ein Zertifikat mit Identifizierungsmerkmal, öffentlichem Schlüssel und Gültigkeitszeitraum zu geben,
-	auf Wunsch den privaten Schlüssel des Antragstellers zu generieren,
-	das Verzeichnis aller Schlüsselzertifikate der Zertifizierungsstelle zu führen.
-	gesperrte Zertifikate ein eine jederzeit zugängliche Sperrliste einzutragen,
-	einen digitalen Zeitstempeldienst bereitzuhalten.
-	den privaten Schlüssel jeweils sofort nach Aushändigung an den Antragsteller zu vernichten (damit es nicht zufällig mal zwei gleiche Schlüsselpaare gibt...),
-	die Authentizität zwischen Schlüsselpaar und Zuordnung zum Antragsteller sicherzustellen (sonst nutzt das alles ja nichts...).

Sie meinen, bei soviel Verantwortung müssen die Zertifizierungsstellen auch für Fehler gerade stehen? Nein, das müssen sie gerade nicht! Im Signaturgesetz ist nämlich eine Haftung der privaten Zertifizierungsstellen gegenüber Dritten nicht vorgesehen. Sie meinen, dann müsse das doch nach allgemeinen Haftungsregeln machbar sein? Vielleicht die Produzentenhaftung nach § 823 Abs.1 BGB? Schöne Idee, aber leider deckt diese Haftung nur Schäden an absoluten Rechten (Eigentum, Leben, Gesundheit...) ab - wenn die Zertifizierungsstelle Mist macht, hat das aber regelmäßig Vermögensschäden zur Folge. Vielleicht das Produkthaftungsgesetz? Nein, das gilt nur für Sachen, nicht aber für Dienstleistungen... Vielleicht die Amtshaftung nach § 839 BGB? Nein, nein, es ist gerade keine öffentliche Zertifizierungsstelle! Sie meinen, da muß es doch wohl eine Behörde geben, die diese Zertifizierungsstellen kontrolliert? Jawohl, die gibt es. Die Regulierungsbehörde für Telekommunikation und Post überwacht die Zertifizierungsstellen und kann erteilte Genehmigungen auch widerrufen, wenn eine Zertifizierungsstelle schludrig arbeitet.Dann ist der Schaden aber regelmäßig schon eingetreten... Sie meinen, Sie haben zumindest einen Schadensersatzanspruch gegen den Übeltäter, der die Zertifizierungsstelle geknackt und eine persönliche Signatur mißbraucht hat, auf die Sie vertraut haben? Richtig! Der wird sogar bestraft - wenn man ihn erwischt! Aber finden Sie mal jemanden, der nicht mal elektronische Spuren hinterläßt, geschweige denn beobachtet werden kann. Doch halt, so schlecht ist der Gesetzgeber auch nicht: Man denkt in Bonn und Brüssel (bei der Europäischen Union) bereits über eine Gefährdungshaftung nach...und hat sie inzwischen gefunden mit Konsequenzen auch für den deutschen Gesetzgeber: Rahmenbedingungen für elektronische Signaturen festlegen

Berlin
		(hib/VOM) Rahmenbedingungen für elektronische Signaturen festzulegen ist das Ziel eines Gesetzentwurfs der Bundesregierung (14/4662). Die elektronische Signatur ermöglicht es, im elektronischen Rechts- und Geschäftsverkehr den Urheber und die Integrität von Daten festzustellen, so die Regierung. Sie könne die handschriftliche Unterschrift ersetzen und eine entsprechende Wirkung entfalten, wenn die rechtlichen Voraussetzungen dafür bestehen. Damit schüfen elektronische Signaturen eine "wichtige Grundlage für das Vertrauen in die neuen Informations- und Kommunikationsdienste". Mit dem Gesetzentwurf will die Regierung zum einen eine EU-Richtlinie über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen in deutsches Recht umsetzen und die Ergebnisse der Auswertung des geltenden Signaturgesetzes aufgreifen, das durch den jetzt vorgelegten Gesetzentwurf ersetzt werden soll. Der Entwurf sieht vor, eine freiwillige Akkreditierung für die Anbieter von Zertifizierungsdiensten einzuführen, um den "eingeführten und anerkannten" Sicherheitsstandard nach dem geltenden Signaturgesetz für den Markt weiterhin anzubieten. Aufgenommen werden soll zudem eine im geltenden Signaturgesetz nicht vorgesehene Regelung zur Haftung der Zertifizierungsstellen und zur entsprechenden Deckungsvorsorge. Wie mitgeteilt wird, hat die Regulierungsbehörde für Telekommunikation und Post einen eigenen Zertifizierungsdienst eingerichtet, der seit gut zwei Jahren in Betrieb ist. Im Dezember 1998 habe die Regulierungsbehörde die erste Genehmigung für den Betrieb eines privaten Zertifizierungsdienstes erteilt. Die Deutsche Telekom AG und die Deutsche Post AG böten inzwischen bundesweit Leistungen nach dem geltenden Signaturgesetz an. Weitere Zertifizierungsdiensteanbieter stünden vor dem Markteintritt. Einige dieser Anbieter hätten sich inzwischen auf einen gemeinsamen technischen Standard für gesetzeskonforme Signaturen geeinigt. Damit könnten die Anwender von elektronischen Signaturen die Leistungen verschiedener Anbieter nutzen. Der Anbieter von Zertifizierungsdiensten soll haften, wenn Anforderungen des Signaturgesetzes und der Signaturverordnung verletzt werden. Er soll auch für das Funktionieren seiner Produkte für elektronische Signaturen und seiner sonstigen technischen Sicherungseinrichtungen verantwortlich sein. Für die Akkreditierung soll die Regulierungsbehörde zuständig sein. Der Bundesrat betont in seiner Stellungnahme, die Haftungsvorschrift müsse so gefasst werden, dass sie unmissverständlich sei und kein Zweifel darüber bestehe, welche allgemeinen Vorschriften für die Haftung gelten. Auch sollte die Regierung prüfen, ob die Mindestdeckungssumme von 500.000 DM (250.000 Euro) je Haftung auslösendem Ereignis ausreicht. In ihrer Gegenäußerung stimmt die Regierung den Vorschlägen des Bundesrates teilweise zu. Zum Teil lehnt sie sie ab oder verspricht eine Prüfung.