IfG.CC - The Institute for eGovernment

Technisch übermittelte Bits und Bytes sollen unverfälschte Dokumente und unbestreitbare Willenserklärungen desjenigen repräsentieren, in dessen Namen sie auf den Weg gebracht worden sind. Unstrittig ist und war seit jeher, dass die eindeutige Identität der beteiligten Partner in allen elektronischen Verwaltungs- und Geschäftsprozessen eine der wesentlichen Grundlagen darstellt. Trotz aller Widrigkeiten der digitalen Halbwelt (Internet) möchte man sich auf Bürgerauskünfte, Anträge und Erklärungen, Gebühren- und Steuerbescheide, Bewilligungen oder Ablehnungen etc. auch in der wirklichen Wirklichkeit verlassen können. Akademisch interessant - und vielleicht teuer - kann es ansonsten im Streitfall werden. Kurz gesagt, es geht um Rechtsverbindlichkeit und letztlich auch Beweisbarkeit. Lösung ZertES

Haben wir nicht in der Schweiz seit dem 1.1.2005 ein geltendes ZertES in Verbindung mit der VZertES sowie den TAV (SR 942.032.1), in denen alles gesagt ist, was Sie schon immer wissen wollten? Wer allein die Titel der verschiedenen CH-, ETSI-, IETF- und EU-Regularien stolperfrei lesen oder gar zitieren kann, darf sich schon zu den Experten zählen. Über Details des ZertES mag man unterschiedlicher Auffassung sein - das Gesetz schafft verbindliche Grundlagen. Und das ist gut so. Möge der Funke nun überspringen auf das eGovernment, denn lustvoll gejammert wurde hierzu schon bis zur Schmerzgrenze. Üben wir uns daher kurz in der freien Assoziation zu einigen Problemzonen, die sich im eGovernment so hartnäckig halten, wie an anderen Stellen die Cellulite.

1. Rechtsrahmen Was unterscheidet die Online-Bestellung der Fussball-WM Karten von der Online-Steuereinreichung? Im B2B und B2C gelten u.a. das Obligationen- und Vertragsrecht mit weitgehender Gestaltungsfreiheit. Gemäss öffentlichem Recht können z.B. Baubewilligungen jedoch nicht im Hinterzimmer per Handschlag besiegelt werden - von bedauerlichen Ausnahmen vielleicht abgesehen. Gesetze und Verordnungen regeln hier alles und jeden. Für beide Bereich gilt, dass nur in ausgesuchten Fällen tatsächlich die Schriftlichkeit« oder «notarielle Beurkundung» gesetzlich vorgeschrieben ist.

2. Fristen 1: Insbesondere im Prozessrecht können Fristen von geradezu schicksalhafter Bedeutung sein. Aber reicht die termingerechte Absendung einer qualifiziert signierten eMail an das Gericht zur Wahrung der Einspruchsfrist? Was, wenn z.B. durch technische Probleme die Zustellung verzögert oder gar nicht erfolgt? Ohne dass dies für die Beteiligten auch nur erkennbar wäre - bevor es zu spät ist.

3. Fristen 2: Umgekehrt: der Bescheid zur Steuernachzahlung (wegen exorbitanter Kapitalgewinne) per qualifiziert signierter eMail. Leider hat Ihre Frau das Passwort geändert und Sie können erst reagieren, nachdem die Liebste aus dem 3-monatigen Wellness-Urlaub zurück ist. Auch dies nur ein plakatives Beispiel für das Problem der sog. Zumutbarkeit der Kenntnisnahme».

4. Zeitpunkte: Für manche Geschäftsprozesse ist der präzise tatsächliche Zeitpunkt relevant, zu dem eine Vereinbarung geschlossen oder ein Antrag gestellt worden ist. Einen «amtlichen Zeitstempeldienst» könnte man sich z.B. von der METAS gut vorstellen, die bereits heute NTP-Services anbieten.

5. Zustellung: Was für die Briefpost Alltag ist, gilt für digitale Medien noch nicht. Oder sollten die Bürger zum täglichen Abruf der eMails verpflichtet werden, zwecks Prüfung, ob nicht ein amtliches Dokument darunter ist, auf das fristgerecht zu reagieren sich zur Vermeidung einer allfälligen Verhaftung empfiehlt?

6. Massenverarbeitung 1: Es bedarf keiner grossen Erleuchtung für die Erkenntnis, dass vor allem regelmässige und standardisierte G2G und G2B eGeschäftsprozesse das grösste Rationalisierungspotential aufweisen. Bürger, die nur selten überhaupt mit Behörden oder Computern zu tun haben, werden trotz Warteschlangen weiterhin das physische Rathaus bevorzugen.

7. Massenverarbeitung 2: Bei automatisierten Prozessen sind die Akteure Maschinen, die im Namen einer juristischen Person Transaktionen digital signieren. Gerade diese Fälle sind wirtschaftlich besonders attraktiv, jedoch rechtlich durch das ZertES nicht abgedeckt.

8. Beweislast: Auch mit dem qualifizierten Zertifikat gibt es die ersehnte gesetzliche Garantie für die abschliessende Gültigkeit der Signatur nicht. Der Inhaber hat im Zweifelsfalle lediglich hinreichend «glaubhaft» zu machen, dass alle geforderten Sicherheitsmassnahmen zum Schutz des Signaturschlüssels getroffen wurden. Mit Spannung dürfen die ersten Musterprozesse hierzu erwartet werden.

9. Haftung: Die halbwegs erschöpfende Behandlung der Haftungs-Killerfrage würde für sich schon die Ausgabe dieses Heftes sprengen. Daher nur einige Stichworte:
   1. Der auf die Signatur vertrauende Dritte muss lediglich eine u.U. im Zertifikat enthaltene Nutzungs- oder Betragseinschränkung (ZertES Art. 7 Abs. 2) berücksichtigen. Er haftet quasi nur sich selbst gegenüber.
   2. Der Inhaber des Zertifikates haftet gegenüber dem Dritten in Höhe der o.g. Einschränkung und im Rahmen seiner Sorgfaltspflichten.
   3. Der gemäss ZertES anerkannte Aussteller qualifizierter Zertifikate schliesslich sieht sich möglichen Ansprüchen des Zertifikatsinhabers sowie des Dritten gegenüber. Zur Abdeckung direkter und mittelbarer Schäden hat er Vorsorge zu treffen in Höhe von 2 Mio Fr je Schadensfall und 8 Mio Fr pro Jahr (ZertES Art. 3 f. und 13; VzertES Art. 2). Ein Geschäft also vorwiegend für jene, die sich ohnehin siebenstellig orientieren. Gleichzeitig darf nicht aus dem Blick geraten, dass Nicht-ZertES-anerkannte Anbieter keinesfalls frei sind von jeglicher Haftung, die sich hier jedoch nach den allgemeinen gesetzlichen Bestimmungen richtet - die sich bislang gut bewährt haben.

Autor: Gerold H. Werner

Quelle: InfoWeek, 12.09.2005