Recht im Internet: Digital signieren heisst persönlich haften
Artikel erschienen in Swiss IT Magazine 2001/16
Anfang Jahr schickte der Bundesrat den Vorentwurf zu einem Bundesgesetz über die elektronische Signatur (BGES) in die Vernehmlassung, welches die digitale Signatur der eigenhändigen Unterschrift gleichsetzen soll.
Die digitale Signatur soll sicherstellen, dass die über das Internet ausgetauschten Nachrichten nicht verändert werden können (Integrität), und dass der Absender der Nachricht eindeutig identifzierbar ist (Authentizität). Gänzlich gleichzusetzen mit der eigenhändigen Unterschrift ist sie jedoch nicht. Denn bei der digitalen Signatur wird die Identität des Senders einer Nachricht auf den privaten Schlüssel reduziert. Damit wird - im Gegensatz zur eigenhändigen Unterschrift - die digitale Signatur übertragbar. Die Person, die den Schlüssel zum Signieren von elektronischen Nachrichten benutzt, muss nicht identisch sein mit der effektiv dazu berechtigten Person. Und hier liegt ein grosses Risiko des neuen Systems. Der private Schlüssel kann von einem Dritten missbräuchlich, d.h. ohne Wissen und Willen des Berechtigten, verwendet werden. Der bundesrätliche Gesetzesentwurf sieht eine Haftung des Inhabers des privaten Signaturschlüssels vor, wenn beispielsweise ein Online-Händler durch die missbräuchliche Verwendung des privaten Schlüssels durch einen Dritten einen Schaden erleidet.
Abweichend von den allgemeinen Stellvertretungsregeln des Obligationenrechts ist aber eine Beweislastumkehr vorgesehen. Beweispflichtig ist diejenige Person, die behauptet, ihr privater Signaturschlüssel sei ohne ihren Willen zum Einsatz gelangt. Dies zu beweisen, dürfte in den meisten Fällen äusserst schwierig sein. Wurde beispielsweise die private Signatur nur auf einem Computer installiert und von diesem Computer aus elektronisch und mit der digitalen Signatur ein Vertrag durch einen unberechtigten Dritten geschlossen, so mag der Inhaber des privaten Signaturschlüssels anhand von Logfiles oder Datum und Uhrzeit der Übermittlung wohl darzulegen, dass er an genau diesem Zeitpunkt seinen Computer nicht bedient hatte. Wie will aber der Inhaber des privaten Signaturschlüssels beweisen, dass dieser ohne seinen Willen zum Einsatz gekommen ist, wenn sich der Zeitpunkt und der Ort des Absendens der elektronischen Willenserklärung nicht mehr eruieren lässt, weil ein Dritter mittels geeigneter Software diese Anhaltspunkte verwischen konnte?
Die Haftung entfällt, wenn der Inhaber des privaten Signaturschlüssels den Vertrag, den ein Dritter ohne entsprechende Vollmacht mittels dieses Schlüssels abgeschlossen hat, nachträglich genehmigt. Sie entfällt natürlich auch, wenn der Vertrag nicht nachträglich genehmigt wird, der angebliche Vertreter aber haftbar gemacht werden kann.
Der bundesrätliche Gesetzesentwurf zur elektronischen Signatur sieht schliesslich einen dritten Haftungsausschlussgrund vor: Wenn der berechtigte Inhaber des privaten Schlüssels diesen so aufbewahrt hat, dass eine Verwendung durch unbefugte Drittpersonen ausgeschlossen werden kann. Wie diese Aufbewahrung im einzelnen aussehen muss, wird nicht weiter ausgeführt; es müssen jedoch alle nach den Umständen zumutbaren Vorkehren zur sicheren Aufbewahrung vorgenommen werden. Dies dürfte etwa dann der Fall sein, wenn die Diskette mit dem privaten Signaturschlüssel an einem sicheren Ort aufbewahrt wird (z.B. Safe) und der Zugang zum Computer mit dem installierten privaten Signaturschlüssel durch Passwortschutz und allenfalls weitergehenden Sicherheitsvorkehrungen geschützt ist.
Wurden diese Vorkehrungen getroffen, scheidet eine Haftung des Inhabers des privaten Signaturschlüssels bei einer Fälschung des Signaturschlüssels durch einen Dritten oder bei Ausstellung eines Schlüssels durch eine Zertifizierungsstelle auf Grund eines gefälschten oder gestohlenen Identitätsausweises aus.