Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
4.19. Rechtliche Aspekte des CA-<strong>Betrieb</strong>s 85<br />
Noch sind sie in Deutschland zwar nicht geltendes Recht, die Gerichte werden sich aber in entsprechenden<br />
Streitfällen – ähnlich wie beim Datenschutzrecht, wo eine Umsetzung der EU-Richtlinie<br />
in deutsches Recht (trotz Fristablauf!) ebenfalls noch nicht erfolgt ist (vgl. 3.5.4) – bereits an den<br />
Bestimmungen der EU-Richtlinie orientieren, solange diese noch nicht ihren Niederschlag in Form<br />
von nationalen Gesetzen gef<strong>und</strong>en hat.<br />
Haftung für Schäden aus der Zertifizierung<br />
Nach der momentanen Rechtslage spielt es für die Frage der Haftung der Zertifizierungsstellen keine<br />
Rolle, ob es sich um eine Stelle im Sinne des § 2 SigG handelt oder nicht. Der Gesetzgeber hat bei<br />
Erlaß des Signaturgesetzes auf eine eigene Haftungsregelung sowie auf eine Haftungsbegrenzung –<br />
entgegen teilweise anderer Erwägungen im Gesetzgebungsverfahren – letztendlich doch verzichtet<br />
(s. 3.5.1). Somit gelten sowohl für Zertifizierungsstellen i.S.d. SigG als auch für sonstige Zertifizierungsstellen<br />
die allgemeinen zivilrechtlichen Haftungsregelungen:<br />
Wenn aufgr<strong>und</strong> von technischen Defekten, betrügerischen Manipulationen oder fahrlässigem Fehlverhalten<br />
von Mitarbeitern der Zertifizierungsstelle bei der Ausgabe oder Verwaltung von Zertifikaten<br />
Schäden entweder beim Zertifikatnehmer oder bei einem am Zertifizierungsvorgang nicht<br />
beteiligten Dritten entstehen, haftet die Zertifizierungsstelle dafür.<br />
Zwischen der Zertifizierungsstelle (bzw. der Institution, die die Stelle betreibt) <strong>und</strong> dem Inhaber des<br />
von dieser Stelle erteilten Zertifikates besteht ein vertragliches Schuldverhältnis, aus dem für jede<br />
der beteiligten Parteien entsprechende Haupt-, Schutz- <strong>und</strong> Nebenpflichten gegenüber der anderen<br />
Partei folgen. Seitens der Zertifizierungsstelle zählen hierzu im allgemeinen die ordnungsgemäße<br />
Schlüsselzuordnung <strong>und</strong> -verwaltung, die Ausstellung eines gültigen Zertifikates, in entsprechenden<br />
Fällen auch dessen Sperrung, die Einrichtung ausreichender Sicherheitsvorkehrungen, die zutreffende<br />
Auskunftserteilung bei Zertifikatsabfragen sowie ggf. auch die geeignete Generierung von<br />
Schlüsseln. Verstößt die Zertifizierungsstelle bzw. <strong>einer</strong> ihrer Mitarbeiter schuldhaft (auch fahrlässig)<br />
gegen eine der vorgenannten Pflichten, so hat die Zertifizierungsstelle hierfür gegenüber dem<br />
Vertragspartner einzustehen. Die Haftung der Zertifizierungsstelle umfaßt den Ersatz von Vermögensschäden<br />
ebenso wie den Gewinn, der dem Vertragspartner durch die Pflichtverletzung entgeht<br />
[Tim97].<br />
Ein Haftungsausschluß in den Nutzungs-/Geschäftsbedingungen der Zertifizierungsstelle ist dabei<br />
nur möglich für den Fall fahrlässigen Verschuldens. Die Haftung für Schäden bei grob fahrlässigem<br />
<strong>und</strong> vorsätzlichem Verhalten ist nicht ausschließbar. Ebenso ist eine Haftungsbegrenzung auf eine<br />
bestimmte Schadenssumme nicht möglich. Diese Regelungen gelten auch dann, wenn die Zertifizierungsstelle<br />
ihre Leistungen unentgeltlich anbietet. Die Unentgeltlichkeit <strong>einer</strong> Leistung führt mithin<br />
nicht zu einem generellen Haftungsausschluß [Hil98].<br />
Zwischen einem geschädigten Dritten <strong>und</strong> der Zertifizierungsstelle klafft hingegen eine Haftungslücke:<br />
Hier bestehen keine vertraglichen Beziehungen, das Produkthaftungsgesetz greift nur bei<br />
privater Nutzung von Produkten <strong>und</strong> gilt nicht für Dienstleistungen. Nach § 831 BGB haftet die<br />
Zertifizierungsstelle zwar für Schäden, die ihre Mitarbeiter als sog. Verrichtungsgehilfen bei Dritten<br />
verursachen. Die Zertifizierungsstelle haftet außerdem nach § 823 BGB, wenn sie ihre inneren<br />
<strong>Betrieb</strong>sabläufe nicht so organisiert hat, daß die Anleitung <strong>und</strong> Überwachung der den Schaden ver-