Zertifikatsanbieter trifft Beweislast
Im zweiten Teil der FutureZoneSerie zum Entwurf eines österreichischen Signaturgesetzes ging es um die rechtlichen Rahmenbedingungen für die Tätigkeit der ZertifizierungsStellen.
Freier Marktzugang für ZertifikatsanbieterEin Diskussionspunkt bei der Regelung der elektronischen Unterschriften war die Frage, ob den Zertifikatsanbietern eine Gefährdungshaftung auferlegt werden sollte oder nicht. Letztlich hat sich die Meinung durchgesetzt, dass eine Gefährungshaftung zu weit ginge.
Daher regelt der § 23 des Signaturgesetzentwurfes, dass der Ziertifizierungsdiensteanbieter im Schadensfall nachweisen muss, dass ihn an der schadensbegründenden Pflichtverletzung [bzw der objektiven Sorgfaltswidrigkeit] kein Verschulden trifft. Damit wird eine Beweislastumkehr festgelegt.
ad "Zertifizierungsdiensteanbieter"
Digitale Signaturen können als elektronisches Gegenstück von eigenhändigen Unterschriften angesehen werden. Jeder Unterzeichner besitzt ein Signier-Schlüsselpaar, das aus einem privaten und einem öffentlichen Schlüssel besteht. Den privaten Schlüssel verwendet der Unterzeichner zur Erzeugung seiner Signatur. Mit Hilfe des öffentlichen Schlüssels kann die Signatur überprüft werden. Zertifizierungsstellen ordnen dem Unterzeichner einen öffentlichen Schlüssel zu, mit dem seine Nachrichten oder Transaktionen verifiziert werden können. [Nähere Infos -> siehe Teil 2 der Serie]
Grundsätzlich haften Zertifizierungsstellen den Geschädigten gegenüber auch für das Verschulden ihrer Bediensteten und der in ihrem Auftrag tätigen Personen. Auf die Haftungsbestimmungen des Signaturgesetzes kann sich jeder berufen - insbesondere auch ein Geschäftspartner des vermeintlichen Unterzeichners.
Enthält ein qualifiziertes Zertifikat, das eine Reihe spezieller Bedingungen erfüllen muss, eine Einschränkung des Anwendungsbereich oder eine Beschränkung der Höhe des Transaktionswertes, so haftet der Zertifikatsanbieter nicht für Schäden, die sich aus einem Überschreiten dieser Schranken ergeben.
§ 23 Abs. 1 Signaturgesetzentwurf
Ein Zertifizierungsdiensteanbieter, der ein qualifiziertes Zertifikat ausstellt, haftet gegenüber jeder Person, die auf das Zertifikat vertraut dafür, dass
· alle Angaben im qualifizierten Zertifikat [wie Name des Signators, Signaturprüfdaten, ev. Einschränkung des Anwendungsbereichs oder des Transaktionswertes etc.] im Zeitpunkt seiner Ausstellung richtig sind,
· der im qualifizierten Zertifikat angegebene Signator [Unterzeichner] im Zeitpunkt der Ausstellung des Zertifikats im Besitz jener Signaturerstellungsdaten [privater Schlüssel] ist, die den im Zertifikat angegebenen Signaturprüfdaten [öffentlicher Schlüssel] entsprechen,
· die Signaturerstellungsdaten und die Signaturprüfdaten einander in komplementärer Weise entsprechen,
· das Zertifikat bei Vorliegen der Widerrufsvoraussetzungen unverzüglich widerrufen wird und die Widerrufsdienste verfügbar sind und
· die Anforderungen, die an Aussteller qualifizierter Zertifikate im Gesetzentwurf gestellt werden erfüllt sind und für die Erzeugung und Speicherung der Signaturerstellungsdaten sichere technische Komponenten und Verfahren verwendet werden.
Der Zertifikatsanbieter haftet dafür, dass alle Angaben im qualifizierten Zertifikat im Zeitpunkt der Ausstellung richtig sind [siehe Kasten oben]. Gibt der Zertifikatswerber die Informationen, die zur Ausstellung eines qualifizierten Zertifikats notwendig sind, nicht bekannt oder stimmt er deren Überprüfung nicht zu, so darf ein qualifiziertes Zertifikat nicht ausgestellt werden.
Fraglich ist, wie der Geschäftspartner eines Zertifikatsinhabers [Signator] überprüfen kann, dass die Angaben, die das Zertifikat enthält auch noch später gelten. Die Zertifizierungsstelle haftet nur für die Richtigkeit der Angaben im Zeitpunkt der Ausstellung - alles andere wäre auch unzumutbar.
Zusammenarbeit mit Berufsvertretungen
Wenn sich ein Notar ein qualifiziertes Zertifikat über seine Tätigkeit als Notar ausstellen lässt, wäre ein Zusammenwirken von Zertifizierungsstelle und Notariatskammer sinnvoll. Tatsächlich ist eine derartige Zusammenarbeit zwischen dem Zertifikatsanbieter A-Trust und der Notariatskammer auch geplant.
Die Notariatskammer garantiert, dass eine bestimmte Person Notar ist. Daraufhin wird dieser Person ein Attributszertifikat ausgestellt. Die Notariatskammer hat die Verantwortung über die Verwaltung dieses Attributszertifikats. Sie hat das Zertifikat zu sperren, wenn dem Notar seine Berufsberechtigung entzogen wurde. Ähnliche Kooperationen wären auch mit der Rechtsanwalts-, Ärzte- oder Apothekerkammer denkbar.
Österreichische Zertifikate
Der Datenschutzverein und Internet Service Provider ARGE DATEN
zertifiziert schon seit 1997 PGP-Schlüssel und ist damit die erste
Zertifizierungsstelle in Österreich gewesen. Auf der Website des
ARGE DATEN Certification Service kann man auch Detailinformationen
über technische und rechtliche Fragen im Zusammenhang mit
elektronischen Signaturen und Zertifikaten nachlesen [zu finden auf
der Website unter der Ruprik "Special Services"].
AD CertA-sign heisst das Zertifikat der PTA-Tochter Datakom. Seit 30. Mai bietet die Datakom gratis Demozertifikate zum Ausprobieren an.
a-signe:sign ist das Zertifikat der Zertifizierungsstelle A-Trust. A-Trust ist ein gemeinsames Projekt der österreichischen Geldinstitute, der Nationalbank, der PTA, der Notariatskammer und des Österreichischen Rechtsanwaltskammertags. Die Banken und Postämter fungieren als Lizensierungsstellen und geben Smart Cards aus, auf denen der private Schlüssel des Signators gespeichert ist.
e:signAuch die Generali Versicherungs AG bietet - im Paket mit einer Versicherung - eine Zertifizierung an.
net.surance securityIm vierten Teil der SignaturgesetzSerie werden Kritiker des Entwurfes zu Wort kommen