Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
86 Kapitel 4. Konzept für eine Zertifizierungsstelle (“plan”)<br />
ursachenden Mitarbeiter durch leitende Mitarbeiter gewährleistet ist. In diesen Fällen hat ein Geschädigter<br />
jedoch gr<strong>und</strong>sätzlich nur einen Ersatzanspruch bei Beeinträchtigung sogenannter „absoluter<br />
Rechte <strong>und</strong> Rechtsgüter“ (Leib, Leben, Ges<strong>und</strong>heit, Persönlichkeitsrecht, Eigentum) – solche<br />
Arten von Schäden dürften bei der typischen Tätigkeit <strong>einer</strong> Zertifizierungsstelle relativ selten sein<br />
[Tim97] –, jedoch nicht bei Vermögensschäden [Roß97, S. 79].<br />
Sollte der Dritte jedoch durch Mitarbeiter der Zertifizierungsstelle auf betrügerische Weise oder<br />
sittenwidrig geschädigt worden sein, so haftet die Zertifizierungsstelle auch für Vermögensschäden<br />
(§§ 823 Abs. 2, 826 BGB). Da in beiden Fällen jedoch eine vorsätzliche Schädigung Voraussetzung<br />
ist, folgt aus lediglich fahrlässigem Verhalten keine Haftung der Zertifizierungsstelle für Vermögensschäden<br />
[Hil98].<br />
Haftung für Schäden durch fehlerhafte Software<br />
Bietet eine Zertifizierungsstelle nicht nur die direkten Zertifizierungsdienste an, sondern hält darüber<br />
hinaus, wie beispielsweise die <strong>DFN</strong>-PCA, auch Software auf ihrem WWW- oder FTP-Server<br />
zum Download bereit, so kann sie unter Umständen auch für Fehler oder Viren in diesen Programmen<br />
haftbar gemacht werden [Hoe97, S. 81–91].<br />
Bei kostenlos verteilter Software ist die Sicherheitserwartung der Nutzer gering, entsprechend niedrig<br />
sind die Sorgfaltspflichten des Anbieters hinsichtlich Stichprobenkontrollen anzusetzen (insbesondere<br />
dann, wenn beispielsweise auf das Risiko des Virenbefalls hingewiesen wird oder Anti-<br />
Viren-Programme auf dem Server angeboten werden). Werden allerdings spezielle Programmpakete<br />
für den Anwender bereitgestellt, so kann dies gehobene Sicherheitserwartungen beim Nutzer<br />
wecken – insbesondere, wenn eine Zertifizierungsstelle dies tut –, die wiederum zu höheren Sorgfaltspflichten<br />
seitens des Anbieters führen. Er hat Produktbeobachtungspflichten <strong>und</strong> für Software,<br />
die über die Einrichtung lizensiert wird <strong>und</strong> für die Support o.ä. von ihm angeboten wird, eine Instruktionspflicht,<br />
d.h. eine Pflicht zur Einweisung in den Umgang mit dem Programm, wozu auch<br />
der Hinweis auf mögliche Gefahren zählen kann [Hoe97, S. 86 f.].<br />
4.19.3 Versicherungsschutz<br />
Wie im vorigen Abschnitt dargelegt, haftet eine Zertifizierungsstelle, auch eine, die unentgeltlich<br />
tätig ist, in bestimmten Situationen für Schäden, die aus ihrer Arbeit resultieren [Tim97]. Das Fazit<br />
in <strong>einer</strong> entsprechenden Stellungnahme für den Individual Network e.V. [Hil98] lautete daher:<br />
„Es ist ratsam, wenn die Zertifizierungsstellen entsprechende Haftpflichtversicherungen ab-<br />
schließen. Ansonsten haftet allein die Organisation, die die Zertifizierungsstelle trägt, mit ihrem<br />
gesamten Vermögen.“<br />
Ein solcher Versicherungsschutz ist allerdings nicht so einfach zu bekommen: Der Gerling-<br />
Versicherungskonzern, an neuen Geschäftsfeldern sonst durchaus interessiert <strong>und</strong> eher aufgeschlossen<br />
gegenüber neuen Ideen, lehnte es beispielsweise bislang aus gr<strong>und</strong>sätzlichen Erwägungen ab,<br />
eine entsprechende Police abzuschließen. Nach Auskunft von LUTZ DONNERHACKE, Mitarbeiter<br />
der bei Gerling anfragenden <strong>und</strong> auf dem Gebiet der Zertifizierung kommerziell tätigen IKS GmbH: