von Gondini A. Fravi

E-Commerce, also der Geschäftsverkehr über elektronische Medien (insbesondere via Internet), gehört bereits zum Alltag. Es wird online gekauft und verkauft, ersteigert und zugeschlagen, angeboten und angenommen. Das ist die Praxis. Nur, wie sieht es aus, wenn streitig wird, ob überhaupt ein rechtsverbindliches Geschäft zustande gekommen ist, wer eigentlich die Vertragsparteien sind, was genau vereinbart wurde, was bestellt und was bestätigt worden ist?

Es dürfte relativ schwierig sein, eine Partei einzig auf ihrer elektronisch kundgegebenen Willenserklärung zu behaften, wenn sie die Erstellung, den Versand oder den Inhalt einer Meldung einfach abstreitet. Das wird sich ändern, sobald elektronische Meldungen mit einer eindeutigen elektronischen Signatur versehen werden können, welche die gleiche rechtliche Wirkung entfaltet wie eine handschriftliche Unterschrift im übrigen Rechtsverkehr.

Elektronisch "signieren" kann jeder Absender seine elektronischen Meldungen natürlich schon heute. Er schreibt dazu einfach den eigenen Namen, sein Pseudonym oder irgendein anderes Zeichen, welches die Echtheit seiner Meldung bezeugen soll an das Ende seines e-Mails. Diese "Unterschrift" ist eine Form der elektronischen Signatur.

Wird durch Austausch derartig "unterzeichneter" Meldungen ein Vertrag abgeschlossen, dann ist er in der Schweiz rechtlich verbindlich. Ausdrücklich geregelt ist das zwar nirgends, es ergibt sich aber daraus, dass die meisten Verträge nach dem Schweizerischen Obligationenrecht gar keiner schriftlichen Form bedürfen. Also können sie selbstredend auch via e-Mail oder mittels Ausfüllen eines Formulars auf dem Bildschirm rechtsverbindlich abgeschlossen werden.

Etwas anders sieht es in denjenigen (Ausnahme-) Fällen aus, wo das Gesetz für ein Rechtsgeschäft  "Schriftlichkeit" verlangt. Verträge, die zu ihrer Gültigkeit der Schriftform bedürfen, müssen von den Personen, welche damit verpflichtet werden, handschriftlich unterzeichnet werden. Eine derartige Unterschrift kann elektronisch nicht geleistet werden.

Eine elektronische Alternative zur handschriftlichen Unterschrift bietet aber immerhin sogenannte "digitale Signatur", eine Untergruppe der elektronischen Signaturen.

Im Gegensatz zur oben beschriebenen Art der elektronischen Signatur, kann die digitale Signatur durchaus als Ersatz der eigenhändigen Unterschrift dienen. Sie erlaubt eine eindeutige Identifikation des Erstellers der elektronischen Meldung.

Zur Erstellung einer solchen Signatur wird eine asymetrische Verschlüsselungstechnik eingesetzt. Als "asymetrisch" wird sie bezeichnet, weil dabei ein korrespondierendes Schlüsselpaar (privater/öffentlicher Schlüssel) zur Verschlüsselung und Entschlüsselung verwendet wird.

Mit Hilfe dieser Technik wird eine Kurzfassung des elektronischen Dokumentes kreiert, welche man als digitale Signatur bezeichnet. Dazu benötigt der Absender zuerst einen privaten (unter allen Umständen geheim zu haltenden) Schlüssel (private key) und einen korrespondierenden öffentlichen Schlüssel (welcher öffentlich bekannt gegeben wird).

Will er seine Meldungen nun mit einer digitalen Signatur versehen, berechnet sein Verschlüsselungsprogramm aus seiner Meldung, welche eine variable Länge aufweist, als erstes eine Zusammenfassung von fixer Länge (den sogenannten Hash-Wert). Anschliessend wird dieser Hash-Wert mit dem privaten Schlüssel des Absenders verschlüsselt, was dann eben die digitale Signatur ergibt. Diese wird zusammen mit der - meist unverschlüsselten - Meldung an den Empfänger versandt.

Der Empfänger der Meldung kann die digitale Signatur anschliessend überprüfen, indem er unter Verwendung des öffentlichen Schlüssels des Absenders die Signatur "entschlüsselt". Gleichzeitig wird damit aus der Meldung wiederum ein Hash-Wert errechnet und geprüft, ob dieser Wert mit demjenigen, welchen der Absender geliefert hat, übereinstimmt. Trifft dies zu, befindet sich das Dokument noch im Originalzustand.

Demzufolge kann bei der Verwendung einer digitalen Signatur nicht nur der Ersteller der Meldung eindeutig identifiziert werden, sondern auch festgestellt werden, ob die Meldung in irgendeiner Form manipuliert worden ist.

Wie wird nun aber sicher gestellt, dass der Benutzer einer digitalen Signatur auch wirklich diejenige Person ist, für welche sie sich ausgibt? Oder anders gefragt: Wer identifiziert den Verwender eines privaten Schlüssels?

Hierzu bedarf es der Hilfe einer dritten Instanz, der sogenannten Zertifizierungsstelle. Diese bestätigt durch ein Zertifikat, dass ein bestimmter öffentlicher Schlüssel zu einer bestimmten Person (oder Organisation) gehört, welche im Besitze des korrespondierenden privaten Schlüssels ist. Selbstverständlich muss sich diese Stelle vorgängig der Identität der Person eindeutig versichern (z.B. durch Vorlage des Passes, der Identitätskarte etc.).

Der Zertifizierungsstelle kommt demzufolge auch entscheidende Bedeutung für die Verwendung und den Nutzen von digitalen Signaturen zu. Nur wenn sie vertrauenswürdig ist, besteht Gewähr, dass die verwendete Signatur tatsächliche einem bestimmten Absender zugeordnet werden kann. Deshalb bedarf es auch einer gesetzlichen Regelung für die Errichtung derartiger Stellen.

Die europäischen Ansätze zur Regelung der digitalen Signaturen beschränken sich vorwiegend darauf, Bestimmungen über eine vertrauenswürdige Public Key Infrastruktur zu erlassen. Wegweisend war in dieser Hinsicht Deutschland, welches bereits 1997 ein Gesetz zur digitalen Signatur, mit entsprechender Verordnung, in Kraft gesetzt hat. Darin werden jedoch lediglich die Organisation und die technischen Komponenten für die Zertifizierungsstellen geregelt.

Der nächste Schritt, mit welchem auch die Wirkung der Verwendung einer digitalen Signatur - wie z.B. die Gleichstellung mit einer handschriftlichen Unterschrift - festgelegt wird, haben die meisten Gesetzgeber in Europa einstweilen unterlassen.

Das Bundesamt für Kommuniktion (BAKOM) will dem Vorbild aus Deutschland folgen und vorerst nur Bestimmungen über eine Public Key Infrastruktur ("Verordnung über eine PKI in der Schweiz") in Kraft setzen. Dies obwohl der Bundesrat bereits 1994 in einer Motion Spoerry eingeladen worden war, auch die Rechtsverbindlichkeit der digitalen Signatur in der Schweiz zu regeln.

Das BAKOM hatte schon 1998, primär gestützt auf Art. 28 des im gleichen Jahr in Kraft getretenen Fernmeldegesetzes - welcher nota bene dem BAKOM lediglich die Kompetenz zum Erlass von Ausführungsbestimmungen zu den sogenannten Addressierungselementen in der Telekommunikation gibt - einen 1. Entwurf für die Regelung der digitalen Signatur in die kleine Vernehmlassung geschickt. Dieser Entwurf beschränkte sich im wesentlichen auf die Regelung der Zertifizierungsinstanzen. Er stiess auf grosse Zurückhaltung von Seiten der konsultierten Kreise.

Im Juni 1999 wurde ein vollständig neuer Entwurf dieser Verordnung präsentiert und wiederum in die Vernehmlassung geschickt. Die neue Verordnung ("Verordnung über eine PKI in der Schweiz") soll bereits per 1. Januar 2000 in Kraft treten.

Ziel der Verordnung ist es, "die technischen und administrativen Voraussetzungen zur Sicherstellung qualitativ hochstehender Zertifizierungsdienste festzulegen und damit die Entwicklung des elektronischen Geschäftsverkehrs in der Schweiz zu fördern". Nach der Verordnung soll sich die Aufgabe des BAKOM grundsätzlich auf die Registrierung der Zertifizierungsdiensteanbieter beschränken. Alternativ wird im Entwurf vorgeschlagen, dass das BAKOM als Behörde für die Primärzertifizierung der Zertifizierungsstellen dienen soll. Damit würde das BAKOM seinerseits die öffentlichen Schlüssel der Zertifizierungsstellen zertifizieren.

Hauptkritikpunkt am präsentierten Entwurf ist der Umstand, dass die alleinige Regelung der Public Key Infrastrukur nicht genügt. Zusätzlich muss sich der Gesetzgeber zur rechtlichen Wirkung der digitalen Signatur äussern, damit diese im E-Commerce mit der gewünschten Sicherheit verwendet werden kann. Dazu wäre eine Anpassung auf Gesetzesstufe (ein eigenständiges Gesetz oder eine Ergänzung des Obligationenrechtes) notwendig, welche aber noch längere Zeit auf sich warten lassen dürfte.

Ein weiterer Kritikpunkt ist der, dass die Verordnung zu technologiebehaftet ist, weil sie einzig die digitale Signatur (welche auf der Technik der asymetrischen Kryptologie aufbaut) reguliert und dabei "vergisst", dass noch andere Formen der elektronischen Signatur existieren oder in naher Zukunft entwickelt werden.

Betrachtet man die regulatorischen Ansätze in Amerika - wo inzwischen, mit einer einzigen Ausnahme, jeder der fünfzig Staaten eine gesetzliche Regelung, welche die elektronischen Signaturen in irgend einer Form regeln, kennt - stellt man eine andere Tendenz fest. Die Mehrheit der amerikanischen Staaten (ca. 2/3) regelt die elektronische Signatur dabei unabhängig von der verwendeten Technik. Nur ein Minderheit beschränkt sich hingegen auf das technologiebehaftete Konzept der digitalen Signatur, welches in der Schweiz zur Anwendung gelangen soll.

Im übrigen ist sich das BAKOM durchaus bewusst, dass auch die formelle gesetzliche Grundlage, auf welche sie sich beim Erlass der PKI Verordnung stützt (neben dem bereits erwähnten Fernmeldegesetz wird dazu das Bundesgesetz über die techni- schen Handelshemmnisse angeführt), relativ schwach ist. Es vertritt jedoch die Meinung, dass die geplante Verordnung zeitlich begrenzt sei und deshalb die angeführten Rechtsgrundlagen ausreichend sein dürften.

© Copyright by Gondini A. Fravi, Zürich, 28. Oktober 1999