> artikel5   > gesetze.html   > iukdg-bg.html

 

 

Amtliche Begründung zum Informations- und Kommunikationsdienste-Gesetz (IuKDG)

 
Weitere Informationen zum Thema:
Text des IuKDG

Staatsvertrag über Mediendienste

Amtliche Begründung zum MStV

FAQ: Rechtspflichten von Internet Service Providern

FAQ: Rechtspflichten von Nutzern

 
 

Deutscher Bundestag: Drucksache 13/7385 vom 09.04.1997

Gesetzentwurf der Bundesregierung

Begründung

A. Allgemeiner Teil

Ausgangslage

Der Gesetzentwurf trägt dem tiefgreifenden Wandel der Informations- und Kommunikationstechnologie Rechnung. Die technischen Innovationen sind aus dem Zusammenwachsen von Computer-, Telekommunikations- und audiovisueller Technik entstanden. Seit den 70er Jahren haben sich durch Digitalisierung und Komprimierung von Daten die Formen der Speicherung und Übermittlung der Wissens- bzw. Informationsbestände nachhaltig verändert und den Wandel zur Informationsgesellschaft ausgelöst ("Multimedia").

Der Markt für informationswirtschaftliche Produkte und Dienstleistungen gehört bereits heute zu einem der weltweit größten Wirtschaftszweige. Es werden in den nächsten Jahren für einzelne Marktsegmente zum Teil erhebliche Wachstumsraten erwartet. Es wird ebenfalls erwartet, daß hierdurch ein lang andauernder Wachstumsschub ausgelöst wird. Hierdurch können in Deutschland zukunftssichere und qualifizierte Arbeitsplätze geschaffen werden.

Wie die grundlegenden Innovationen der Neuzeit, z. B. der Übergang von der Handschriftenkultur zur Buchdruckkunst, bewirken auch die neuen Informations- und Kommunikationstechnologien und die hierdurch möglichen Anwendungen eine Neubewertung wirtschaftlicher Positionen. Nicht mehr die Produktion materieller Güter, sondern das Angebot von Informationen und Dienstleistungen bestimmt zunehmend das Wirtschaftsleben. Dieser Bereich hat sich zu einem eigenständigen Wirtschaftsgut entwickelt, dem im nationalen und internationalen Standortwettbewerb eine immer größere Bedeutung zukommt.

Ziel des Gesetzes

Ziel des Gesetzes ist es, im Rahmen der Bundeskompetenzen eine verläßliche Grundlage für die Gestaltung der sich dynamisch entwickelnden Angebote im Bereich der Informations- und Kommunikationsdienste zu bieten und einen Ausgleich zwischen freiem Wettbewerb, berechtigten Nutzerbedürfnissen und öffentlichen Ordnungsinteressen herbeizuführen. Den erweiterten Möglichkeiten der Individualkommunikation und den zusätzlichen Formen wirtschaftlicher Betätigung im Wege der elektronischen Informations- und Kommunikationsdienste soll Rechnung getragen werden. Dabei sollen ein funktionsfähiger Wettbewerb gewährleistet, Nutzerbedürfnisse beachtet und öffentliche Interessen gewahrt werden. Deutschland kann im internationalen Wettbewerb nur bestehen und die Wachstums- und Beschäftigungschancen nur nutzen, wenn Hemmnisse auf dem Weg in die Informationsgesellschaft beseitigt werden.

Mit dem Gesetz soll der Wandel zur Informationsgesellschaft aktiv gestaltet und die durch die neuen Informations- und Kommunikationstechnologien gegebenen Chancen für Deutschland genutzt werden. Das Gesetz stützt sich dabei auf Feststellungen und Empfehlungen des Rates für Forschung, Technologie und Innovation (Technologierat), die Vorschläge des "Petersberg-Kreis" und die Ergebnisse der Bund-Länder-Arbeitsgruppe "Multimedia". Für die Entwicklung einer leistungsfähigen und zukunftsorientierten Informationsgesellschaft in Deutschland hat der Technologierat festgestellt, daß potentielle Investoren und Diensteanbieter einheitliche und angemessene, auf das notwendige Maß beschränkte Rahmenbedingungen benötigen. Er hat daher auch einen akuten Handlungsbedarf für die Schaffung eines national einheitlichen, klaren und verläßlichen Ordnungsrahmens für Multimediadienste in Deutschland gesehen und empfohlen, Regelungen über den Datenschutz, Schutz des geistigen Eigentums, Jugend- und Verbraucherschutz sowie Strafrecht und Datensicherheitsvorschriften an die neue technologische Entwicklung anzupassen und zu präzisieren. Die Bundesregierung hat diese Empfehlungen im Bericht "Info 2000 - Deutschlands Weg in die Informationsgesellschaft" aufgegriffen und entsprechende gesetzgeberische Maßnahmen angekündigt. Mit der Vorlage des Gesetzes wird dieser Teil des Aktionsplanes umgesetzt.

Notwendigkeit eines neuen Gesetzes

Gesetzlicher Handlungsbedarf besteht in zwei Richtungen: Zum einen geht es um die Beseitigung von Hemmnissen für die freie Entfaltung der Marktkräfte im Bereich der neuen Informations- und Kommunikationsdienste und die Gewährleistung einheitlicher wirtschaftlicher Rahmenbedingungen für das Angebot und die Nutzung dieser Dienste. Zum anderen geht es um die Einführung notwendiger Regelungen im Datenschutz, in der Datensicherheit, im Urheberrecht und im Jugendschutz, die teilweise auch Änderungen in bestehenden Bundesgesetzen erforderlich machen.

Zu den einzelnen Artikeln im Informations- und Kommunikationsdienste-Gesetz:

In Artikel 1 werden einheitliche wirtschaftliche Rahmenbedingungen für das Angebot und die Nutzung von Telediensten geregelt. Hierbei ist der freie Zugang zu diesen Diensten grundlegende Bedingung und Ausprägung des deregulierenden Charakters dieses Gesetzes. Tragende Elemente sind außerdem die Schließung von Regelungslücken im Verbraucherschutz sowie die Klarstellung von Verantwortlichkeiten der Diensteanbieter.

Artikel 2 betrifft den bereichsspezifischen Datenschutz. Er gilt für alle neuen Informations- und Kommunikationsdienste und trägt den erweiterten Risiken der Erhebung, Verarbeitung und Nutzung personenbezogener Daten Rechnung.

In Artikel 3 wird eine Sicherungsinfrastruktur geregelt und damit die rechtliche Grundlage für ein zuverlässiges Verfahren der digitalen Signaturen geschaffen (Signaturgesetz). Hierdurch wird ein Beitrag zur Akzeptanz der neuen Informations- und Kommunikationstechnologien im täglichen Rechts- und Geschäftsverkehr geleistet.

Artikel 4 und 5 enthalten Klarstellungen des Schriftenbegriffs im Strafgesetzbuch und im Ordnungswidrigkeitengesetz im Hinblick auf die erweiterten Nutzungs- und Verbreitungsmöglichkeiten von rechtswidrigen Inhalten.

Artikel 6 betrifft den Kernbereich der spezifischen Jugendschutzregelungen des Informations- und Kommunikationsdienste-Gesetzes. Die Anwendung des Gesetzes über die Verbreitung jugendgefährdender Schriften ist durch die einengende Interpretation in der Rechtsprechung der Verwaltungsgerichte auf Druckwerke und andere verkörperte Darstellungsformen beschränkt worden. Diese Einschränkung wird mit dem Ziel einer umfassenden Gewährleistung des Jugendschutzes und einer einheitlichen Anwendung des Schriftenbegriffs in der Verwaltungs- und strafgerichtlichen Rechtsprechung beseitigt.

Daneben ist die Verpflichtung zur Einführung technischer Sperrvorrichtungen im Zusammenhang mit der Verbreitung indizierter Angebote sowie die Bestellung von Jugendschutzbeauftragten als Ansprechpartner für Nutzer und als Berater der Diensteanbieter vorgesehen. Zusammen mit der Änderung des Schriftenbegriffs in den Artikeln 4 und 5 wird damit ein geschlossenes, effizientes Jugendschutzkonzept vorgelegt, das zugleich den verfassungsrechtlich gebotenen Ausgleich zwischen Meinungs- und Informationsfreiheit (Artikel 5 GG) und Jugendschutzauftrag gewährleistet.

Artikel 7 setzt die Richtlinie des Europäischen Parlamentes und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken durch Änderung des Urheberrechtsgesetzes um.

Artikel 8 und 9 erstrecken den Verbraucherschutz im Preisangabengesetz und in der Preisangabenverordnung auf die neuen Nutzungsmöglichkeiten durch die Informations- und Kommunikationsdienste.

Die Anwendung bestimmter technischer Verfahren wird im Gesetz bewußt nicht vorgeschrieben; die gesetzlichen Regelungen beschränken sich auf Rahmenvorgaben, damit die verschiedenen technischen Verfahren zur Anwendung kommen und damit im Wettbewerb untereinander auf den Prüfstand gestellt werden können. Einzelne Experimentierklauseln enthält das Gesetz daher nicht; es sieht vielmehr Experimentierbereiche in diesem Sinne vor. Dabei handelt es sich um die Regelungen der digitalen Signaturen in Artikel 3.

Einordnung der neuen Informations- und Kommunikationsdienste

Das Gesetz regelt die erweiterten Formen der Individualkommunikation, d. h., die neuen, vom Benutzer individuell im Wege der neuen Informations- und Kommunikationstechnologien nutzbaren Dienste sowie die durch diese Technologien möglichen neuen Formen des Rechtsverkehrs mittels digitaler Signaturen. Die Nutzung der Informations- und Kommunikationsdienste macht neue Wege wirtschaftlicher Betätigung und eine verbilligte Geschäftskommunikation (z. B. Ergänzung / Ersatz bisheriger Vertriebsformen / "electronic commerce") möglich. Prägend für die Informations- und Kommunikationsdienste sind insbesondere die hierdurch möglichen Anwendungen im Sinne eines individuellen und frei kombinierbaren Umgangs mit digitalisierten Informationen verschiedener (interaktiv verwendbarer) Darstellungsformen (z. B. Text, Grafik, Sprache, Bild, Bildfolgen usw.). Von besonderer Wichtigkeit ist daneben der grenzüberschreitende Charakter dieser Dienste.

Aus dieser Wesensbeschreibung ergibt sich, daß Zielrichtung der Informations- und Kommunikationsdienste nicht die auf öffentliche Meinungsbildung angelegte massenmediale Versorgung ist, sondern die durch den Nutzer bestimmbare Kommunikation. Aus diesem Grunde ist der Anwendungsbereich des Rundfunks nach dem Rundfunkstaatsvertrag der Länder ausdrücklich vom Anwendungsbereich des Artikel 1 ausgenommen.

Die Informations- und Kommunikationsdienste setzen die Übermittlung von Inhalten mittels Telekommunikation im Sinne des § 3 Nr. 16 Telekommunikationsgesetz voraus. Das Informations- und Kommunikationsdienste-Gesetz regelt die Nutzung der mittels Telekommunikation übermittelten Inhalte, nicht die Telekommunikation selbst.

Gesetzgebungskompetenz des Bundes

Die Gesetzgebungskompetenz des Bundes für das Informations- und Kommunikationsdienste-Gesetz ergibt sich aus Artikel 74 Abs. 1 Nr. 11 Grundgesetz (Recht der Wirtschaft), insbesondere für die Zugangsfreiheit, Verbraucherschutz, Datenschutz und Datensicherheit sowie aus Artikel 73 Nr. 9 Grundgesetz für den gewerblichen Rechtsschutz und das Urheberrecht, aus Artikel 74 Abs. 1 Nr. 1 Grundgesetz für das Strafrecht und aus Artikel 74 Abs. 1 Nr. 7 Grundgesetz für den Jugendschutz.

Die besondere Bedeutung der Informations- und Kommunikationstechnologien für den Wirtschaftsstandort Deutschland und ihre grenzüberschreitenden Wirkungen machen einheitliche Rahmenbedingungen unabdingbar notwendig. Die Regelung durch Bundesgesetz ist deshalb zur Wahrung der Rechts- und Wirtschaftseinheit im gesamtstaatlichen Interesse erforderlich (Artikel 72 Abs. 2 GG).

Recht der Europäischen Union

Das Informations- und Kommunikationsdienste-Gesetz ist mit dem Recht der Europäischen Union vereinbar. Im Signaturgesetz ist vorgesehen, daß Signaturschlüssel-Zertifikate aus einem Mitgliedstaat der Europäischen Union digitalen Signaturen nach diesem Gesetz gleichgestellt sind. Artikel 7 setzt die Datenbankenrichtlinie der Europäischen Union um.

Das Signaturgesetz ist nach der Richtlinie der Europäischen Union über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften bei der Europäischen Kommission zu notifizieren.

Finanzielle Auswirkungen

Mit diesem Gesetz sind folgende Kosten für den Bundeshaushalt verbunden (Vollzugsaufwand):

Kosten entstehen nur im Zusammenhang mit den Aufgaben der zuständigen Behörde nach § 3 Signaturgesetz (Regulierungsbehörde nach § 66 Telekommunikationsgesetz). Der Personalaufwand in der Regulierungsbehörde, die für die Aufgaben nach dem Signaturgesetz vorgesehen ist, wird bis zu vier Planstellen für Beamte des gehobenen Dienstes oder für vergleichbare Angestellte betragen. Der bei der Regulierungsbehörde für diese Aufgabe zu erwartende Sachaufwand wird DM 200 000,- nicht übersteigen.

Für öffentliche Leistungen nach dem Signaturgesetz ist eine aufwandsbezogene Kostenerhebung (Gebühren und Auslagen) durch die Regulierungsbehörde vorgesehen. Weitere Kosten der Ausführung des Informations- und Kommunikationsdienstegesetzes sind nicht zu erwarten. Länder und Gemeinden werden mit Kosten nicht belastet.

Die Wirtschaftsverbände und Unternehmen, auch der mittelständischen Wirtschaft, sind zu den mit der Umsetzung des Gesetzes (u. a. Datenschutz, Jugendschutz, digitale Signaturen) zu erwartenden Kosten um Stellungnahme gebeten worden. Diese Kosten können im Einzelfall erheblich sein. Sie sind abhängig von der Organisationsform und dem Grad der jeweiligen Inanspruchnahme und können - auch von der betroffenen Wirtschaft - gegenwärtig nicht eindeutig beziffert werden.

Weitere Auswirkungen

Die mit dem Informations- und Kommunikationsdienste-Gesetz verbundene Schaffung einheitlicher und verläßlicher Rahmenbedingungen sowie die Beseitigung von Investitionshemmnissen für die neuen Informations- und Kommunikationsdienste läßt erwarten, daß hiervon Impulse für ein verstärktes Wachstum in diesem Wirtschaftsbereich ausgehen. Die Regelungen führen daher bei einer Gesamtbetrachtung eher zu einer Entlastung der Wirtschaft. Von der Förderung des Wettbewerbes gehen tendenziell dämpfende Einflüsse auf Einzelpreise aus. Auswirkungen auf das Preisniveau, insbesondere das Verbraucherpreisniveau, sind jedoch nicht zu erwarten. Außerdem werden zum Schutz des Verbrauchers im Informations- und Kommunikationsdienste-Gesetz Regelungslücken im Hinblick auf die erweiterten Nutzungsmöglichkeiten von Angeboten der neuen Dienste geschlossen.

Die Schaffung einheitlicher und verläßlicher wirtschaftlicher Rahmenbedingungen für das Angebot und die Nutzung der neuen Dienste wird deren breite Nutzung fördern und damit auch einen Beitrag zur Entlastung von Verkehr und Umwelt leisten, in dem zunehmend bisherige Vertriebswege und weitere Transportmöglichkeiten ersetzt oder ergänzt werden.

B. Besonderer Teil

Zu Artikel 1 (Gesetz über die Nutzung von Telediensten)

Zur Ausgangslage und zur Zielsetzung des Teledienstegesetzes vgl. unter A. Allgemeiner Teil "Ziel des Gesetzes" und nachfolgend die Begründung zu § 1 des Teledienstegesetzes. Zur Gesetzgebungskompetenz des Bundes vgl. unter A. Allgemeiner Teil "Gesetzgebungskompetenz des Bundes".

Zu § 1 (Zweck des Gesetzes)

Der freie Zugang für Diensteanbieter und Nutzer sowie die Offenheit des Marktes im Bereich der neuen Informations- und Kommunikationsdienste sind grundlegende Bedingungen, um die internationale Wettbewerbsfähigkeit Deutschlands sicherzustellen. Die Regelungen dieses Gesetzes zielen deshalb darauf ab, Wettbewerbsverzerrungen zu vermeiden und Investitionshemmnisse durch Überregulierung zu verhindern.

Gleichzeitig soll das Gesetz einen Beitrag zur Akzeptanz der neuen Informations- und Kommunikationstechnik im täglichen Rechts- und Geschäftsverkehr leisten.

Zu § 2 (Geltungsbereich)

Zu Absatz 1
In diesem Absatz wird der Begriff "Teledienste" abstrakt definiert. Zur inhaltlichen Beschreibung der Teledienste siehe Ausführungen unter A. Allgemeiner Teil, Einordnung der neuen Informations- und Kommunikationsdienste.
Zu Absatz 2
Absatz 2 zählt beispielhaft die unterschiedlichen Dienste auf, die als Teledienste im Sinne des Absatzes 1 anzusehen sind und orientiert sich an den heute bekannten Diensten. Der Begriff "insbesondere" macht deutlich, daß das Gesetz auch für künftige Entwicklungen im Bereich der neuen Dienste offen ist.
Zu Nummer 1
Bei den hier beschriebenen Diensten steht die Nutzung von Inhalten der Individualkommunikation im Vordergrund. Beispielhaft ist Telebanking für den wirtschaftlich geprägten Bereich der Individualkommunikation aufgeführt. Unter den ebenfalls genannten Datenaustausch ist ein breites Spektrum von individuell nutz- und gestaltbaren Inhalten zu subsumieren, die insbesondere Gegenstand des Angebots der neuen Dienste wie Meinungsforen oder der neuen Formen der Zusammenarbeit sind, wie beispielsweise bei den Anwendungen Telearbeit, Telemedizin, Telelernen, Telematik und anderen erweiterten Formen der Individualkommunikation.
Zu Nummer 2
Die hier erfaßten Dienste können unterschiedliche Informationen zum Inhalt haben. Beispielhaft aufgeführt sind für die individuelle Nutzung bestimmte Datendienste wie Verkehrs-, Wetter-, Umwelt- und Börsendaten; hierzu zählen aber auch Einzelwerbeangebote über Waren und Dienstleistungen sowie sonstige Angebote und Anzeigen (z. B. Homepages). Nicht erfaßt sind Datendienste, die mit dem Ziel der Meinungsbildung für die Allgemeinheit redaktionell aufbereitet sind, beispielsweise Textdienste im Rundfunk und in der elektronischen Presse.
Zu Nummer 3
Es werden die von den Zugangsvermittlern - insbesondere Online-Anbietern - bereitgestellten Angebote zur Nutzung der neuen Dienste erfaßt (z. B. Navigationshilfen). Die Zuordnung der hierdurch vermittelten Angebote richtet sich nach den Nummern 1, 2, 4 und 5.
Zu Nummer 4
Bei den Telespielen handelt es sich um eine besondere Form von Angeboten mit Bewegtbilddarstellungen (video-on-demand). Es wird

erwartet, daß mit der fortschreitenden technischen Entwicklung diesem Bereich erhebliche wirtschaftliche Bedeutung zukommt.

Zu Nummer 5
Mit dieser Regelung wird ein breites Spektrum wirtschaftlicher Betätigung mittels der neuen Dienste erfaßt. Dies betrifft sowohl die elektronischen Bestell-, Buchungs- und Maklerdienste als auch interaktiv nutzbare Bestell- und Buchungskataloge, Beratungsdienste und ähnliche Formen wirtschaftlicher Betätigung. Wesentliches Kennzeichen dieser Dienste ist, daß diese Angebote unmittelbar, d. h. ohne Medienbruch, in Anspruch genommen werden können.
Zu Absatz 3
In diesem Absatz wird klargestellt, daß es für die Anwendung dieses Gesetzes nicht darauf ankommt, ob die Teledienste entgeltlich oder unentgeltlich genutzt werden.
Zu Absatz 4
Der Absatz enthält die notwendige Abgrenzung zum Telekommunikationsgesetz sowie zum Rundfunk nach dem Rundfunkstaatsvertrag der Länder. Die Übermittlung der Teledienste setzt die Telekommunikation voraus, daher kommen sowohl das Teledienstegesetz als auch das Telekommunikationsgesetz funktionsbezogen zur Anwendung. Nummer 1 stellt klar, daß im Teledienstegesetz die inhaltlichen und nutzungsrelevanten Komponenten der bereitgestellten Angebote geregelt werden. Der technische Vorgang der Telekommunikation nach § 3 Nr. 16 Telekommunikationsgesetz, die Telekommunikationsdienstleistungen nach § 3 Nr. 18 Telekommunikationsgesetz und das geschäftsmäßige Erbringen von Telekommunikationsdiensten nach § 3 Nr. 5 Telekommunikationsgesetz bleiben unberührt.
Zu Absatz 5
Dieser Absatz hat klarstellende Funktion. Das Gesetz macht von der Rahmenkompetenz des Bundes für die Presse nach Artikel 75 Abs.1 Nr. 2 Grundgesetz keinen Gebrauch.

Zu § 3 (Begriffsbestimmungen)

Die Vorschrift definiert die Begriffe "Diensteanbieter" und "Nutzer".

Der Begriff des "Diensteanbieters" erfaßt drei wesentliche Handlungsformen. Diese drei Grundfunktionen können jeweils getrennt vorkommen, aber auch in der Person des Anbieters zusammenfallen. Hier ist bezogen auf die Rechtsfolgen jeweils aufgabenbezogen abzugrenzen (vgl. § 5). Die Vorschrift unterscheidet nicht nach der Art der Tätigkeit, die der Diensteanbieter ausübt; es ist daher unerheblich, ob er nur gelegentlich und privat oder geschäftsmäßig, also mit gewisser Nachhaltigkeit, auftritt.

Zu § 4 (Zugangsfreiheit)

Die Vorschrift stellt die Geltung der allgemeinen Handlungs- und Gewerbefreiheit (Artikel 2, 12 GG) auch für den Bereich der Teledienste klar. Eine besondere Anmeldung oder Zulassung ist deshalb nicht erforderlich. Die Einschränkung auf "besondere" macht deutlich, daß sonstige Anmelde- oder Zulassungserfordernisse des allgemeinen Rechts, etwa gewerberechtlicher oder wirtschaftsrechtlicher Art, unberührt bleiben. Hinsichtlich wettbewerbsrechtlicher Fragen gilt das Gesetz gegen Wettbewerbsbeschränkungen (GWB); ein zusätzlicher Wettbewerbsschutz durch das Teledienstegesetz ist nicht erforderlich. Anzeige oder Lizenzierungsvorschriften nach dem Telekommunikationsgesetz, soweit Anbieter von Telediensten zugleich einer Lizenz nach § 8 Telekommunikationsgesetz bedürfen, bleiben gleichfalls unberührt.

Zu § 5 (Verantwortlichkeit)

Zu Absatz 1
Absatz 1 der Vorschrift stellt den aus der allgemeinen Rechtsordnung folgenden Grundsatz der Eigenverantwortlichkeit der Diensteanbieter für die von ihnen angebotenen, eigenen Inhalte klar. Der Begriff der Verantwortlichkeit bezieht sich auf das Einstehenmüssen für eigenes Verschulden. Wer eigene Inhalte vorsätzlich oder fahrlässig so bereitstellt, daß sie über Teledienste zur Kenntnis genommen werden können, trägt die Verantwortung für diese Inhalte. Eigene Inhalte sind auch von Dritten hergestellte Inhalte, die sich der Anbieter zu eigen macht. Die Hersteller und Anbieter rechtswidriger Angebote, z. B. im Internet, sind danach für diese im Rahmen der geltenden Straf- und Zivilrechtsordnung stets verantwortlich.
Zu Absatz 2
Stellt der Diensteanbieter fremde Inhalte in sein Angebot ein, bleibt auch hier in erster Linie der Urheber für diese Inhalte verantwortlich. Dennoch hat der Diensteanbieter selbst eine Mitverantwortung zu tragen, wenn ihm der einzelne, konkrete Inhalt bekannt ist und wenn er technisch in der Lage ist, diesen einzelnen Inhalt gegen weitere Nutzung zu sperren. Die Regelung dient der Klarstellung, daß dem Diensteanbieter, der rechtswidrige Inhalte Dritter in sein Diensteangebot, z. B. seinen eigenen News-Server oder in seinen eigenen Online-Dienst übernimmt, eine Garantenstellung für die Verhinderung der Übermittlung an Dritte trifft. Diese Verpflichtung soll allerdings nur dann greifen, wenn der Diensteanbieter die fremden rechtswidrigen Inhalte bewußt zum Abruf bereit hält. Diese Eingrenzung auf vorsätzliches Handeln entspricht der derzeitigen Rechtslage im allgemeinen Straf- und Ordnungswidrigkeitenrecht: Die geltende Rechtsordnung setzt im Strafrecht und Ordnungswidrigkeitenrecht für alle Äußerungsdelikte und sonstigen im Bereich der Teledienste durch bestimmte Inhalte begehbare Straftatbestände Vorsatz, also unbedingte oder bedingte Kenntnis der objektiven Tatbestandsverwirklichung voraus.

Auch im Hinblick auf die zivilrechtliche deliktische Haftung berücksichtigt die Einschränkung der Verantwortlichkeit auf vorsätzliches Handeln die Tatsache, daß der Diensteanbieter die fremden Inhalte nicht veranlaßt hat und es ihm aufgrund der technisch bedingten Vervielfachung von Inhalten und der Unüberschaubarkeit der in ihnen gebundenen Risiken von Rechtsgutverletzungen zunehmend unmöglich ist, alle fremden Inhalte im eigenen Dienstebereich zur Kenntnis zu nehmen und auf ihre Rechtmäßigkeit zu überprüfen. Dadurch, daß für die Verantwortlichkeit im Sinne des Absatz 2 Kenntnis von den Inhalten verlangt wird, erhalten die Diensteanbieter die erforderliche Rechtssicherheit. Wie für eigene Inhalte haben sie allerdings dann für die Bereitstellung fremder Inhalte voll einzustehen, wenn sie diese als eigene anbieten, d. h. sich den jeweiligen Inhalt in ihrem Dienstangebot zu eigen machen.

Die Einschränkung der Verantwortlichkeit für fremde Inhalte durch eine Zumutbarkeitsklausel stellt klar, daß hier nicht jeder denkbare Aufwand gemeint ist, sondern daß die Bedeutung des Einzelfalles und der Aufwand sowie die Auswirkung auf andere Teile des Dienstes im Verhältnis zueinander gesehen werden müssen. Die Zumutbarkeitsklausel nimmt in Betracht, daß Teledienste, z. B. Newsgruppen-Angebote im Server des Anbieters, besonders schnelle und umfangreiche Bereitstellung von Inhalten ermöglichen, damit zugleich aber von Dritten dazu benutzt werden können, rechtswidrige Inhalte einzufügen, ohne daß der den technischen/organisatorischen Rahmen setzende Diensteanbieter davon Kenntnis hat. Je nach Art des Teledienstes kann eine gezielte Sperrung oder Löschung nicht oder nur mit unverhältnismäßigem Aufwand möglich sein. Die Einschränkung durch die Zumutbarkeitsklausel gewährleistet, daß der Diensteanbieter nicht gezwungen wird, unzumutbaren Aufwand zu betreiben; dazu zählt z. B. die Sperrung der Nutzung für ganze Dienstebereiche oder die Einstellung des gesamten Teledienstes, obwohl nur ein einziger oder vereinzelte rechtswidrige Inhalte von Dritten eingestellt worden sind.

Liegen die Voraussetzungen der Verantwortlichkeit für rechtswidrige fremde Inhalte vor, bestimmen sich die Rechtsfolgen nach der geltenden Rechtsordnung; im Bereich des Strafrechts ist dies z. B. die Strafbarkeit, im Bereich der deliktischen Haftung die Schadensersatzpflicht des Diensteanbieters. Bei Vorliegen der Voraussetzungen genügt der Verweis auf die primäre Verantwortlichkeit des Urhebers der rechtswidrigen Inhalte nicht, um die Mitverantwortung des Diensteanbieters auszuschließen.

Die automatische und zeitlich begrenzte Vorhaltung fremder Inhalte aufgrund Nutzerabfrage gilt aufgrund der Fiktion des Abs. 3 Satz 2 - unter den dort genannten Voraussetzungen - als Anwendungsfall des Abs. 3 Satz 1.

Zu Absatz 3
Absatz 3 stellt klar, daß Diensteanbieter für fremde Inhalte dann nicht verantwortlich sind, wenn sie zu diesen fremden Inhalten lediglich den Weg öffnen. Es bleibt dabei, daß der Urheber und derjenige, der Inhalte in das Netz einstellt, für diese Inhalte einzustehen hat. Die technischen Möglichkeiten und Gegebenheiten der neuen Informations- und Kommunikationsdienste führen weder zu einer Haftungsverlagerung noch zu einer Haftungsausweitung. Dem Diensteanbieter, der fremde Inhalte lediglich, ohne auf sie Einfluß nehmen zu können zum abrufenden Nutzer durchleitet, obliegt es nicht, für diese Inhalte einzutreten. Er soll nicht anders behandelt werden als ein Anbieter von Telekommunikationsdienstleistungen. Denn der bloße Zugangsvermittler leistet ebenfalls keinen eigenen Tatbeitrag.

Absatz 3 Satz 2 geht auf Eigenschaften der Zugangsvermittlung ein, die zur Kostenvermeidung und Effizienzsteigerung üblich sind und in technischen Vorgaben wurzeln. Die Vorschrift stellt in diesem Zusammenhang durch eine Fiktion klar, daß die automatische Übernahme von fremden Inhalten in den eigenen Verfügungsbereich des Zugangsvermittlers (sog. Cache) aufgrund einer Nutzeranfrage zum Vermittlungsvorgang gehört, wenn diese übernommenen Inhalte nach begrenzter Zeit wieder gelöscht werden. Dies ist bei Zwischenspeicherungen auf sog. Proxy-Cache-Servern im Internet der Fall, die automatisch durch Nutzerabruf erfolgen und vom Diensteanbieter nicht im Einzelfall gesteuert werden können. Die Einschränkung der Fiktion auf eine kurzzeitige Zwischenspeicherung trägt dem Umstand Rechnung, daß Inhalte, die auf einem Cache-Speicher des Diensteanbieters gespeichert sind, mit zunehmender Verweildauer unter den Tatbestand des Abs. 2 fallen. Wegen der Verbindung zu den Fällen des Absatzes 2 ist hier aber nur ein Zeitraum von wenigen Stunden, nicht von Tagen gemeint.

Zu Absatz 4
Während Absatz 1 bis 3 die strafrechtliche und deliktische Verantwortlichkeit der Diensteanbieter für eigenes Verschulden zum Gegenstand haben, stellt Absatz 4 klar, daß die objektiven, d. h. keine Schuld voraussetzenden Verpflichtungen der Diensteanbieter zur Unterlassung von Rechtsgutverletzungen für alle Diensteangebote davon unberührt bleiben sollen. Dies gilt auch für die Diensteanbieter, die nur den Zugang zu fremden Inhalten vermitteln und dabei rechtswidrige Inhalte in ihrem Proxy-Cache-Server zwischenspeichern. Regelmäßig setzen Unterlassungspflichten im öffentlichen Recht, aber auch im Zivilrecht nur die Rechtswidrigkeit und eine andauernde Rechtsverletzung bzw. Wiederholungsgefahr voraus, nicht aber ein Verschulden. Eine selbständige verschuldensunabhängige Verpflichtung, Störungen der öffentlichen Ordnung und rechtswidrige Verletzungen privater Rechte zu unterlassen, enthält Absatz 4 nicht; die Vorschrift verweist insoweit auf die allgemeinen Vorschriften über die Verpflichtung des Störers zur Unterlassung bzw. Beseitigung der Störung der öffentlichen Sicherheit und Ordnung oder der Verletzung privater Rechte. Die Unterlassungspflichten, hier der Sperrung rechtswidriger Inhalte gegenüber den Nutzern, sollen nicht weiterreichen, als dem Diensteanbieter rechtlich und tatsächlich möglich ist. Die ausdrückliche Bezugnahme auf das Fernmeldegeheimnis nach § 85 Telekommunikationsgesetz - das selbstverständlich auch in den Fällen des Absatzes 1 bis 3 zu beachten ist - soll besonders hervorheben, daß Diensteanbieter, die lediglich den Zugang zur Nutzung vermitteln, mit dem Teledienst zugleich Telekommunikationsdienstleistungen erbringen und durch das Fernmeldegeheimnis gehindert sind, individuell abgerufene oder sonst nicht öffentlich übermittelte Inhalte von sich aus mitzulesen und Inhalt und Umstände der Telekommunikation von sich aus Dritten zu offenbaren. Die Pflicht zur Sperrung wird daher bei solchen nichtöffentlichen Inhalten durch die zuständigen Behörden oder Dritte angestoßen werden müssen, die den Anbieter auf die Zwischenspeicherung rechtswidriger Inhalte z. B. in seinem Internet-Server hinweisen.

Die Bezugnahme auf die technische Möglichkeit und Zumutbarkeit der Sperrung stellt wie in Absatz 2 klar, daß die verschuldensunabhängige Haftung des Diensteanbieters nicht weiter gehen kann als der vertretbare Aufwand.

Zu § 6 (Anbieterkennzeichnung)

Die Vorschrift dient dem Verbraucherschutz. Sie soll für den Nutzer ein Mindestmaß an Transparenz und Information über die natürliche oder juristische Person oder Personengruppe, die ihm einen Teledienst anbietet, sicherstellen. Durch die räumliche Trennung der möglichen Vertragspartner fehlt die unmittelbare Erfahrung über die Person des Anbieters; durch die Flüchtigkeit des Mediums fehlen - soweit keine Speicherung erfolgt - dauerhaft verkörperte Anhaltspunkte über dessen Identität. Die Pflicht zur Angabe von Identität und Anschrift dient damit auch als Anknüpfungspunkt für die Rechtsverfolgung im Streitfall. Die Vorschrift gilt nur für geschäftsmäßige Angebote, die aufgrund einer nachhaltigen Tätigkeit mit oder ohne Gewinnerzielungsabsicht abgegeben werden. Sie gilt dagegen nicht für private Gelegenheitsgeschäfte. Gelegentliche An- und Verkäufe z. B. über virtuelle "Schwarze Bretter" unterfallen daher nur dem allgemeinen Recht, so daß etwa bei Vertragsschluß die nach bürgerlichem Recht erforderlichen Angaben zu machen sind.

Zu Artikel 2 (Gesetz über den Datenschutz bei Telediensten)

Ausgangslage

Bei Telediensten können personenbezogene Daten in vielfältiger Weise anfallen, beliebig kombiniert, verändert oder ausgewertet werden; Erhebung, Verarbeitung und Nutzung personenbezogener Daten findet nicht nur in einer Datenverarbeitungsanlage, sondern im Netz mit vielen Beteiligten und ohne hinreichende Kontrollmöglichkeiten des Nutzers statt.

Ziel des Gesetzes

Ziel des Gesetzes ist es, eine verläßliche Grundlage für die Gewährleistung des Datenschutzes im Bereich der Teledienste zu bieten und einen Ausgleich zwischen dem Wunsch nach freiem Wettbewerb, berechtigten Nutzerbedürfnissen und öffentlichen Ordnungsinteressen zu schaffen.

Notwendigkeit eines neuen Gesetzes

Die Bestimmungen des Teledienstedatenschutzgesetzes knüpfen an das vorhandene Instrumentarium des Datenschutzrechts an. Ausgangspunkt für die Regelungen ist das verfassungsrechtlich verbürgte Recht auf informationelle Selbstbestimmung. Das traditionelle Datenschutzkonzept wird ergänzt, soweit die Risiken der neuen Teledienste dies erforderlich machen. Dabei berücksichtigen die gesetzlichen Regelungen die erweiterten Möglichkeiten moderner Informations- und Kommunikationstechnik.

Die gesetzlichen Bestimmungen im einzelnen

Zu § 1 (Geltungsbereich)

Zu Absatz 1
Das Teledienstedatenschutzgesetz gilt für alle Teledienste im Sinne des Teledienstegesetzes (Artikel 1 IuKDG).

Der Begriff "Übermittlung" beinhaltet die Vermittlung und Übertragung der Inhalte, die durch die Teledienste ermöglicht werden. Die Übermittlung erfolgt mittels Telekommunikation im Sinne von § 3 Nr. 16 Telekommunikationsgesetz.

Zu Absatz 2
Die Vorschrift stellt klar, daß die allgemeinen datenschutzrechtlichen Vorschriften für die Verarbeitung personenbezogener Daten gelten, soweit das Teledienstedatenschutzgesetz keine besondere Regelung trifft. Das Teledienstedatenschutzgesetz gilt auch für personenbezogene Daten, die nicht in Dateien im Sinne von § 3 Abs. 2 Bundesdatenschutzgesetz verarbeitet oder genutzt werden.

Das Fernmeldegeheimnis (§ 85 Telekommunikationsgesetz) wird nicht berührt. Inhalte der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist, unterliegen dem Fernmeldegeheimnis. Zur weiteren Absicherung des Fernmeldegeheimnisses trifft das Teledienstedatenschutzgesetz in § 4 Abs. 2 Nr. 3 eine Regelung zu technischen und organisatorischen Maßnahmen der Datensicherung.

Zu § 2 (Begriffsbestimmungen)

Die Vorschrift definiert die Begriffe "Diensteanbieter" und "Nutzer".

Der Begriff des "Diensteanbieters" erfaßt die wesentlichen Handlungsformen. Diese Grundfunktionen können jeweils getrennt vorkommen, aber auch in der Person eines Anbieters zusammenfallen. Die Vorschrift unterscheidet entsprechend Artikel 1 § 2 Abs. 2 Informations- und Kommunikationsdienste-Gesetz nicht nach der Art der Tätigkeit, die der Diensteanbieter ausübt; es ist daher unerheblich, ob er nur gelegentlich und privat oder geschäftsmäßig, also mit gewisser Nachhaltigkeit, auftritt.

Der Begriff des "Nutzers" ist weit gefaßt, um die Schutzfunktionen des Gesetzes bereits im vorvertraglichen Bereich greifen zu lassen.

Zu § 3 (Grundsätze für die Verarbeitung personenbezogener Daten)

Zu Absatz 1
§ 3 Abs. 1 enthält die Befugnisnorm für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Diensteanbieter. Sie entspricht den in § 4 Abs. 1 Bundesdatenschutzgesetz festgelegten Voraussetzungen, bezieht aber auch die Erhebung in die Geltung des Gesetzesvorbehalts mit ein. Letzteres entspricht den Vorgaben der EG-Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 23. November 1995, die bis 1998 in nationales Recht umzusetzen ist.
Zu Absatz 2
Diese Bestimmung ist Ausdruck des Grundsatzes der Zweckbindung. Daten über den Nutzer dürfen grundsätzlich nur für die Erbringung von Informations- und Kommunikationsdiensten verwendet werden. Eine Verwendung von Nutzerdaten für andere Zwecke ist nur zulässig, wenn ein Gesetz oder eine andere Rechtsvorschrift diese Verwendung erlauben oder der Nutzer eingewilligt hat.
Zu Absatz 3
Durch diese Vorschrift soll verhindert werden, daß die Nutzung von Telediensten von einer Einwilligung des Nutzers in eine Verarbeitung oder Nutzung seiner Daten für andere Zwecke abhängig gemacht wird.
Zu Absatz 4
Diese Regelung verankert die Grundsätze des Systemdatenschutzes und der Datenvermeidung. Bereits durch die Gestaltung der Systemstrukturen, in denen personenbezogene Daten erhoben und verarbeitet werden können, soll die Erhebung und Verwendung personenbezogener Daten vermieden und die Selbstbestimmung der Nutzer sichergestellt werden. Dies kann durch dateneinsparende Organisation der Übermittlung, der Abrechnung und Bezahlung sowie der Abschottung von Verarbeitungsbereichen unterstützt werden.

Normadressat ist der einzelne Diensteanbieter. Er soll das Angebot seiner Teledienste an dem Ziel ausrichten, keine oder jedenfalls so wenige personenbezogene Daten wie möglich zu erheben und zu verarbeiten. Dieser Grundsatz des Systemdatenschutzes findet seine Ausprägung in § 4 Abs. 1 mit der Ermöglichung der Inanspruchnahme von Telediensten in anonymer oder pseudonymer Form.

Zu Absatz 5
Der Nutzer ist vor der Erhebung umfassend zu unterrichten. Nur so kann der Nutzer sich einen umfassenden Überblick über die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten verschaffen. Zeitpunkt, Umfang und Form der Unterrichtung ergeben sich dabei aus den besonderen Risiken der Datenverarbeitung im Netz. Der Nutzer ist daher über Art, Umfang, Ort und Zweck der Verarbeitung seiner personenbezogenen Daten zu unterrichten; die Unterrichtung ist zu protokollieren und sie muß vom Diensteanbieter so abgelegt werden, daß der Nutzer sich jederzeit über den Inhalt der Unterrichtung informieren kann. Ein Verzicht auf die Unterrichtung ist möglich, darf aber nicht als Einwilligung in eine Verarbeitung im Sinne der Absätze 1 und 2 gedeutet werden.

Es wird klargestellt, daß sich die Unterrichtungspflicht auch auf automatisierte Verfahren bezieht, die eine Erhebung, Verarbeitung oder Nutzung ermöglichen (z. B. durch Speichern einzelner Nutzungsdaten auf der Festplatte des vom Nutzer benutzten PC), bei denen der Personenbezug aber erst zu einem späteren Zeitpunkt hergestellt werden kann.

Zu Absatz 6
Der Nutzer kann seine erteilte Einwilligung jederzeit widerrufen. Darauf ist der Nutzer hinzuweisen. Die jederzeitige Abrufbarkeit muß entsprechend Absatz 5 Satz 3 gewährleistet sein.
Zu Absatz 7
Eine Verarbeitung personenbezogener Daten ist auch mit Einwilligung des Nutzers (vgl. Absätze 1 und 2) zulässig. Der Einwilligung des Betroffenen kommt im Rahmen der alltäglichen Nutzung von Telediensten eine erhebliche praktische Bedeutung zu. Für eine wirksame Einwilligung ist nach § 4 Abs. 2 Bundesdatenschutzgesetz allerdings prinzipiell Schriftform erforderlich. Dieses Schutzerfordernis soll für den Bereich der Teledienste grundsätzlich beibehalten werden; schriftlich erklärte Einwilligungen sollen weiterhin möglich sein. Daneben soll aber auch die elektronische Einwilligung ermöglicht werden.

Wegen der besonderen Risiken, denen elektronische Erklärungen mangels Verkörperung (keine Schriftform) und mangels biometrischer Kennzeichen (keine eigenhändige Unterschrift) ausgesetzt sind, bedürfen sie besonderer Verfahren, die ihre Wirksamkeit sicherstellen.

Zu Nummer 1
Diese Voraussetzung soll den Schutz der Nutzer vor einer übereilten Einwilligung sicherstellen. Dieser Schutz ist in Anbetracht der besonderen technikspezifischen Gefahren, nämlich der Anwendung eines flüchtigen Mediums (Bildschirm) und des Handelns durch einfachen Knopfdruck oder Mausklick, das nicht zwischen wichtigen und unwichtigen Handlungen unterscheidet, von Bedeutung. In diesem Sinne autorisiert ist eine Einwilligung zum Beispiel durch eine bestätigende Wiederholung des Übermittlungsbefehls, während gleichzeitig die Einwilligungserklärung mindestens auszugsweise auf dem Bildschirm dargestellt wird. Sie verpflichtet den Diensteanbieter zu entsprechenden Maßnahmen nur, soweit seine Einflußnahmemöglichkeit reicht. Für die vom Nutzer eingesetzte Technik ist er nicht verantwortlich.
Zu Nummern 2 und 3
Zum Nachweis von Authentizität und Urheberschaft der Einwilligung ist als geeignetes technisches Verfahren die Verwendung von digitalen Signaturen denkbar, die die Voraussetzung von Artikel 3 des Informations- und Kommunikationsdienste-Gesetzes erfüllt. Die Vorschrift ist aber bewußt auch für die Anwendung anderer geeigneter technischer Verfahren offen, soweit die Authentizität und Urheberschaft entsprechend sichergestellt sind.
Zu Nummern 4 und 5
Diese Anforderungen dienen der Transparenz der vom Nutzer erlaubten Datenverarbeitung seiner personenbezogenen Daten. Sie schafft Akzeptanz für die Anwendung elektronischer Einwilligungen und sichert zugleich das informationelle Selbstbestimmungsrecht des Nutzers, der nachprüfen kann, wann, wem und in welchem Umfang er eine Einwilligung in die Verarbeitung seiner personenbezogenen Daten erteilt hat.

Zu § 4 (Datenschutzrechtliche Pflichten des Diensteanbieters)

Die Vorschrift konkretisiert im einzelnen die in § 3 aufgestellten datenschutzrechtlichen Grundsätze.
Zu Absatz 1
Absatz 1 konkretisiert das Ziel der Datenvermeidung (vgl. § 3 Abs. 4): Diensteanbieter haben im Rahmen der technischen Möglichkeiten den Nutzern anonymes oder pseudonymes Handeln zu ermöglichen. Das Gebot der Datenvermeidung gilt für den gesamten Nutzungsvorgang. Welche technischen Möglichkeiten dabei in Betracht kommen, ist von einer generellen, objektiven Sichtweise abhängig. Der Diensteanbieter soll aber nicht zu jedem möglichen technischen Angebot verpflichtet sein. Die Zumutbarkeit des Angebots setzt deshalb eine Grenze, bei der z. B. Größe und Leistungsfähigkeit des Diensteanbieters berücksichtigt werden können. Bestimmte technische Verfahren werden im Hinblick auf die weitere technische Entwicklung nicht vorgeschrieben. Denkbar ist z. B. das Angebot an den Nutzer, Teledienste mit vorbezahlten Wertkarten oder Chipkarten in Anspruch nehmen zu können. In jedem Fall ist der Nutzer entsprechend zu unterrichten.

Für das Erfordernis der Anonymität ist die faktische Anonymität im Sinne von § 3 Abs. 7, 2. Alternative Bundesdatenschutzgesetz ausreichend.

Pseudonymes Handeln ermöglicht nicht anonymes, sondern quasi-anonymes Handeln. Ein Pseudonym kann ein Name oder eine Kurzbezeichnung sein, die aus sich heraus die Identität des Nutzers nicht preisgeben, aber über eine Referenzliste beim Diensteanbieter mit der Identität des Nutzers zusammengeführt werden können.

Zu Absatz 2
Dieser Absatz konkretisiert die in § 3 festgelegten Grundsätze des Systemdatenschutzes und der Datenvermeidung. Der Diensteanbieter ist verpflichtet, durch entsprechende technische und organisatorische Maßnahmen die praktische Umsetzung dieser Grundsätze sicherzustellen.
Zu Nummer 1
Durch die Anforderung nach Nummer 1 wird der Diensteanbieter verpflichtet, die technischen und organisatorischen Maßnahmen zu treffen, damit der Nutzer jederzeit seine Kommunikationsbeziehung abbrechen kann.
Zu Nummer 2
Der Diensteanbieter ist verpflichtet, die technischen und organisatorischen Vorkehrungen zu treffen, damit die personenbezogenen Daten über die Inanspruchnahme von Telediensten unmittelbar gelöscht werden. Die Anforderung nach Nummer 2 flankiert das rechtliche Löschungsgebot nach § 6 hinsichtlich der Nutzungs- und Abrechnungsdaten.
Zu Nummer 3
Der Diensteanbieter hat durch technische und organisatorische Maßnahmen sicherzustellen, daß der Nutzer Teledienste in Anspruch nehmen kann, ohne daß Dritte davon Kenntnis nehmen können. Auf diese Weise wird das Fernmeldegeheimnis im Bereich der Teledienste zusätzlich abgesichert.
Zu Nummer 4
Nummer 4 statuiert ein technisch und organisatorisch zu gewährleistendes Trennungsgebot. Mit dieser Regelung soll verhindert werden, daß der Diensteanbieter personenbezogene Daten über die Inanspruchnahme von verschiedenen Telediensten zusammenführt und auf diese Weise personenbezogene Nutzerprofile entstehen. Dem Interesse der Diensteanbieter an einer Zusammenführung der Daten für Abrechnungszwecke wird Rechnung getragen.
Zu Absatz 3
Zweck des Absatzes 3 ist es, dem Nutzer Transparenz über die Weiterschaltung zu einem weiteren Diensteanbieter zu ermöglichen. Ohne eine derartige Vorschrift können weder das Auskunftsrecht des Nutzers noch eine datenschutzrechtliche Kontrolle wirksam wahrgenommen werden.
Zu Absatz 4
Die Regelung ermöglicht einen Kompromiß zwischen dem Interesse des Nutzers an weitgehender Anonymität seines Konsumentenverhaltens und dem berechtigten wirtschaftlichen Interesse des Diensteanbieters, die Inanspruchnahme der Teledienste auszuwerten. Aus diesem Grund sind Nutzungsprofile der Nutzer pseudonym möglich.

Satz 2 soll eine Umgehung des Satzes 1 verhindern.

Zu § 5 (Bestandsdaten)

Zu Absatz 1
Absatz 1 konkretisiert die in § 3 Abs. 1 festgeschriebene Befugnis zur Erhebung und Verwendung personenbezogener Daten unter dem Gesichtspunkt der Erforderlichkeit für sogenannte Bestandsdaten. Er regelt, in welchem Umfang und für welche Zwecke der Diensteanbieter personenbezogene Daten für die Bereitstellung und Vermittlung von Telediensten erheben, verarbeiten und nutzen darf. Die Vorschrift enthält keinen Katalog der Bestandsdaten; welche Daten zu den Bestandsdaten zu rechnen sind, ergibt sich aus dem Zweck des jeweiligen Vertragsverhältnisses; als Bestandsdaten sind aber in jedem Falle nur solche anzusehen, die für die Begründung, inhaltliche Ausgestaltung oder Änderung des Vertrages über die Inanspruchnahme von Telediensten mit dem Diensteanbieter unerläßlich sind.
Zu Absatz 2
Die Vorschrift ist Ausdruck des engen Zweckbindungsgrundsatzes in § 3 Abs. 2. Absatz 2 läßt eine Verarbeitung und Nutzung der Bestandsdaten für andere Zwecke als den nach Absatz 1, insbesondere für Zwecke der Beratung, Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung technischer Einrichtungen des Diensteanbieters nur mit ausdrücklicher Einwilligung des Nutzers zu. Die Vorschrift entspricht der in § 89 Abs. 7 Telekommunikationsgesetz vorgesehenen Einwilligung.

Zu Absatz 3

Dieser Absatz entspricht der in § 89 Abs. 6 Satz 1 Telekommunikationsgesetz vorgesehenen Regel für die Übermittlung personenbezogener Daten zum Zwecke der Verfolgung von Straftaten und Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes und des Zollkriminalamtes. Der Anwendungsbereich ist auf Bestandsdaten im Sinne von Absatz 1 beschränkt. Die Vorschrift erlaubt dem Diensteanbieter eine zweckändernde Nutzung der Bestandsdaten; die Befugnisse der genannten Behörden werden davon nicht berührt.

Zu § 6 (Nutzungs- und Abrechnungsdaten)

Zu Absatz 1
Nutzungsdaten sind personenbezogene Daten, die dem Nutzer die Nachfrage nach Telediensten ermöglichen; es handelt sich dabei um Daten, die während der Nutzung eines Teledienstes, z. B. Interaktionen des Nutzers mit dem Diensteanbieter, entstehen.

Abrechnungsdaten sind Daten, die für die Abrechnung der Inanspruchnahme von Telediensten erforderlich sind.

Vom Teledienstedatenschutzgesetz nicht erfaßt werden Verbindungsdaten im Sinne von § 5 Abs. 1 der Verordnung über den Datenschutz für Unternehmen, die Telekommunikationsleistungen erbringen (Telekommunikationsdienstunternehmen-Datenschutzverordnung - TDSV), d. h. Daten, die zur Bereitstellung von Telekommunikationsdienstleistungen dienen. Nur bestimmte Verbindungsdaten dürfen nach diesen telekommunikationsrechtlichen Vorschriften erhoben und verarbeitet werden. Soweit bei der Inanspruchnahme von Telediensten Verbindungsdaten im Sinne der Telekommunikationsdienstunternehmen-Datenschutzverordnung anfallen, findet diese Anwendung.

Zu Absatz 2
Dieser Absatz schreibt Löschungspflichten für Nutzungs- und Abrechnungsdaten vor:
Zu Nummer 1
Nutzungsdaten sind nach Ende der jeweiligen Nutzung des Teledienstes zu löschen, soweit sie nicht zu Abrechnungszwecken erforderlich sind.
Zu Nummer 2
Personenbezogene Daten über Suchschritte, die im Hinblick auf das Nutzerverhalten und Konsumentenwünsche von Bedeutung sind, sind nach Beendigung der Nutzung des Teledienstes unmittelbar zu löschen. Abrechnungsdaten, die für die Erstellung von Einzelnachweisen erforderlich sind, müssen spätestens nach 80 Tagen nach Versendung der Einzelabrechnung gelöscht werden; Ausnahmen von dieser Löschungsfrist bestehen nur, wenn der Nutzer die Entgeltforderung innerhalb dieser Frist bestritten hat oder wenn der Nutzer seine Abrechnung nicht beglichen hat. Die vorgesehenen Speicherfristen sind abschließend im Teledienstedatenschutzgesetz geregelt.
Zu Absatz 3
Das Gesetz geht davon aus, daß Nutzungs- und Abrechnungsdaten aufgrund ihrer hohen Sensitivität beim jeweiligen Diensteanbieter verbleiben. Absatz 3 schließt daher eine Übermittlung von personenbezogenen Nutzungs- oder Abrechnungsdaten an andere Diensteanbieter oder Dritte grundsätzlich aus. Ausnahmen gelten nur für den Diensteanbieter, der den Zugang zur Nutzung von Telediensten vermittelt; dieser darf anderen Diensteanbietern oder Dritten Nutzungsdaten zu Zwecken der Marktforschung dieser Diensteanbieter in anonymisierter Form übermitteln, und er darf Abrechnungsdaten, soweit diese für die Einziehung einer Forderung dieses Diensteanbieters erforderlich sind, übermitteln.
Zu Absatz 4
Dem Interesse der Diensteanbieter an einer Abrechnung durch dritte Unternehmen soll dieser Absatz Rechnung tragen. Hat der Diensteanbieter mit einem Dritten einen Vertrag über die Abrechnung geschlossen, so darf er diesem Dritten Abrechnungsdaten zum Zwecke der Abrechnung übermitteln. Eine Übermittlung zu einer anderen Zweckbestimmung oder eine weitergehende Nutzung durch den Dritten sind unzulässig. Der Diensteanbieter hat den Dritten auf die Einhaltung des Fernmeldegeheimnisses (§ 85 Telekommunikationsgesetz) zu verpflichten.
Zu Absatz 5
Mit dieser Vorschrift soll verhindert werden, daß aufgrund der aufgeschlüsselten Abrechnung Nutzerprofile entstehen und von Dritten (z. B. Mitbenutzer, Betriebsangehörige) eingesehen werden können. Nur wenn der Nutzer einen Einzelentgeltnachweis verlangt, darf die Abrechnung über die Inanspruchnahme von Telediensten aufgeschlüsselt werden.

Zu § 7 (Auskunftsrecht des Nutzers)

§ 7 stellt sicher, daß der Nutzer, über das nach dem Bundesdatenschutzgesetz geltende Auskunftsrecht hinaus die über ihn oder sein Pseudonym gespeicherten Daten unentgeltlich elektronisch einsehen kann. Dies gilt in Abweichung von den hier ergänzend anwendbaren Vorschriften des Bundesdatenschutzgesetzes, auch soweit es sich um Dateien handelt, die nur kurzfristig im Sinne von §§ 34 Abs. 4, 33 Abs. 2 Nr. 5 Bundesdatenschutzgesetz vorgehalten werden. Die Gewährleistung dieses Einsichtsrechts erübrigt sich, wenn die Inanspruchnahme von Angeboten anonym - beispielsweise mit Hilfe von vorbezahlten Wertkarten - ermöglicht wird.

Zu § 8 (Datenschutzkontrolle)

Für die Überwachung der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich ist nach § 38 Bundesdatenschutzgesetz die Aufsichtsbehörde zuständig. Von dieser Regelung im Bundesdatenschutzgesetz soll nicht abgewichen werden. Die Aufsichtsbehörde soll jedoch auch ohne Anlaß tätig werden.

Zu Artikel 3 (Gesetz zur digitalen Signatur)

Allgemeines

I. Die Funktionsweise der digitalen Signatur
Eine digitale Signatur ist eine Art von Siegel zu digitalen Daten. Es wird unter Einsatz mathematischer Verfahren mit Hilfe eines privaten kryptographischen Schlüssels erzeugt. Mit Hilfe eines dazugehörigen öffentlichen Schlüssels kann die Signatur jederzeit überprüft und damit der Signaturschlüssel-Inhaber und die Unverfälschtheit der Daten festgestellt werden.

Die jeweils einmaligen Schlüsselpaare (privater und öffentlicher Schlüssel) werden durch anerkannte Stellen natürlichen Personen fest zugeordnet. Die Zuordnung wird durch ein Signaturschlüssel-Zertifikat beglaubigt. Es handelt sich dabei um ein signiertes "digitales Dokument", das den jeweiligen öffentlichen Schlüssel sowie den Namen der Person, der er zugeordnet ist, oder ein Pseudonym enthält. Das Zertifikat erhält der Signaturschlüssel-Inhaber, so daß er es signierten Daten für deren Überprüfung beifügen kann. Darüber hinaus ist es über öffentlich erreichbare Telekommunikationsverbindungen jederzeit für jedermann nachprüfbar.

Der praktische Ablauf bei Erzeugung einer digitalen Signatur ist dem Ablauf an Bankautomaten vergleichbar. Der private Schlüssel sowie die Signiertechnik ist in der Regel auf einer Chipkarte gespeichert, die erst in Verbindung mit einer Personenidentifikationsnummer (PIN) eingesetzt werden kann. Die Karte wird z. B. über einen PC mit Chipkartenleser zur Anwendung gebracht. Nachdem der Nutzer das zu signierende Dokument ausgewählt und den Steuerungsbefehl "Signieren" erteilt hat, wird die Signatur erzeugt. Die Signaturerzeugung erfolgt ohne feststellbaren Zeitverzug.

Der breite Einsatz von digitalen Signaturverfahren erfordert eine zuverlässige und effektive Sicherheitsinfrastruktur für die Zuordnung der Signaturschlüssel durch Zertifikate (Zertifizierungsstellen) sowie sichere technische Komponenten. Weiter müssen die Signaturschlüssel-Inhaber darüber unterrichtet sein, welche Maßnahmen sie in ihrem eigenen Interesse für sichere digitale Signaturen zu treffen haben.

Da die genannte Sicherheitsinfrastruktur bisher fehlt, sind digitale Signaturverfahren zur Zeit nur innerhalb geschlossener Benutzergruppen im Einsatz. Der Sicherheitswert der auf dem Markt verfügbaren technischen Komponenten ist unterschiedlich und ohne eingehende Prüfung der Komponenten nicht hinreichend zu beurteilen.

II. Bedeutung der digitalen Signatur im weltweiten Verbund moderner Informations- und Kommunikationstechnik
Die Entwicklung der Informations- und Kommunikationstechnik eröffnet neue Möglichkeiten des Informationsaustausches und der wirtschaftlichen Betätigung. Warenbestellungen, Zahlungsanweisungen an Banken, Anträge oder Einsprüche bei Behörden, die Übermittlung sensitiver Daten im medizinischen Bereich und viele andere rechtlich relevante Vorgänge, die in der Vergangenheit über Papier abgewickelt wurden, erfolgen bereits zu einem großen Teil auf elektronischem Wege. Dies gilt auch für die Dokumentation von Daten, z. B. im Hinblick auf die Produkthaftung oder im Medizinbereich. Neu hinzu kommen multimediale Anwendungen.

Elektronisch übertragene oder gespeicherte Daten können jedoch verändert werden, ohne daß dies Spuren hinterläßt und nachgewiesen werden kann.

Da sich die Dokumentenerstellung, Kommunikation und Archivierung auf der Basis digitaler Daten etabliert hat und expandiert, ergibt sich der dringende Bedarf nach einer digitalen Lösung, die den Anforderungen einer offenen Kommunikation (in der sich die Teilnehmer nicht kennen müssen) gerecht wird, bei der zuverlässig auf den Urheber geschlossen werden kann und die Daten vor unbemerkter Veränderung geschützt sind. Diese Forderungen erfüllt die gesetzliche digitale Signatur.

Schließlich wird durch digitale Signaturen allgemein eine höhere Datensicherheit erreicht (Schutz von Software und Nutzdaten vor unbemerkter Veränderung).

III. Ziel des Gesetzes
Es soll ein administrativer Rahmen vorgegeben werden, bei dessen Einhaltung digitale Signaturen möglichst eindeutig einer bestimmten Person zuzuordnen sind und die Signaturen als sicher vor Fälschung sowie signierte Daten als sicher vor Verfälschung gelten können. Er umfaßt eine bundesweite Infrastruktur für die Zuordnung der Signaturschlüssel zu natürlichen Personen, den Einsatz geeigneter technischer Komponenten und die Unterrichtung der Signaturschlüssel-Inhaber über die von ihnen in ihrem eigenen Interesse zu treffenden Maßnahmen. Der Aufbau und Betrieb der Infrastruktur soll privatwirtschaftlich im freien Wettbewerb, jedoch unter behördlicher Kontrolle erfolgen.

Die gesetzliche Regelung soll eine hohe Gesamtsicherheit, von der Erzeugung der Signaturschlüssel über deren Zuordnung durch zuverlässige Zertifizierungsstellen bis zur Darstellung der zu signierenden Daten, gewährleisten. Die Nutzung anderer Verfahren bleibt, soweit nicht in anderen Rechtsvorschriften ausdrücklich eine digitale Signatur nach dem Signaturgesetz verlangt wird, unberührt.

Die Beweisfunktion signierter digitaler Daten soll über die faktische Sicherheit gesetzlicher digitaler Signaturen erreicht werden, da davon ausgegangen werden kann, daß die Gerichte diese im Rahmen der freien Beweiswürdigung honorieren werden. In einem weiteren (gesonderten) Schritt wird geprüft, ob Änderungen im Beweisrecht geboten sind.

Soweit durch Rechtsvorschrift die Schriftform vorgegeben ist, wird geprüft, ob und in welchen Fällen es zweckmäßig erscheint, neben der Schriftform auch die "digitale Form" mit digitaler Signatur zuzulassen.

IV. Notwendigkeit gesetzlicher Regelungen

Nur durch eine gesetzliche Regelung kann ein Rahmen geschaffen werden, der zu allgemein anerkannten digitalen Signaturen führt, wie sie benötigt werden (vgl. zu II).

Nur die nachweisliche Sicherheit gesetzlicher digitaler Signaturen wird es bei verschiedenen Rechtsvorschriften erlauben, neben der papiergebundenen Schriftform auch die digitale Form zuzulassen.

Außerdem beugen die gesetzlichen Regelungen einem Wildwuchs unterschiedlicher Verfahren mit einer Vielzahl gutachterlicher Untersuchungen in Gerichtsprozessen und einer damit verbundenen Belastung der Gerichte vor.

V. Wichtige Einzelaspekte
Hohe Fälschungssicherheit
Unter den gesetzlichen Voraussetzungen weisen digitale Signaturen eine hohe Sicherheit auf (vgl. auch Begründung zu § 14).

Während die Sicherheit der Signierverfahren in hohem Maße gewährleistet werden kann, können jedoch insbesondere unter folgenden Aspekten Restrisiken verbleiben:

- Infolge eines gefälschten Ausweises oder einer sonstigen fehlerhaften Identifikation kann ein Signaturschlüssel-Zertifikat auf einen falschen Namen ausgestellt und dieses für Betrugszwecke genutzt werden.

- Ungetreue Mitarbeiter einer Zertifizierungsstelle können gefälschte Zertifikate (auf existente oder fiktive Personen) ausstellen, und diese können für Betrugszwecke genutzt werden.

- Wenn Signaturschlüssel-Inhaber die in ihrem eigenen Interesse erforderlichen Maßnahmen nicht treffen, können Signaturschlüssel z. B. für Betrugszwecke mißbraucht werden.

- Infolge technischer Manipulationen oder technischer Fehler können ungewollt Daten signiert oder andere Daten signiert werden, als angezeigt werden.

Das erste Restrisiko läßt sich im Hinblick auf das zu erwartende Massengeschäft nicht ausschließen. Durch verfahrenstechnische Maßnahmen (z. B. Abgleich von Ausweismerkmalen) kann es jedoch hinreichend minimiert werden. Das zweite Restrisiko wird durch die für Zertifizierungsstellen vorgeschriebenen Sicherheitsmaßnahmen weitgehend minimiert. In beiden Fällen ist eine Fälschung über die vorgeschriebene Dokumentation bei der Zertifizierungsstelle jederzeit nachweisbar. Das dritte Restrisiko dürfte durch die Unterrichtung der Signaturschlüssel-Inhaber über die ihrerseits erforderlichen Maßnahmen hinreichend minimiert sein. Dies gilt auch für das vierte Restrisiko, wenn geeignete technische Komponenten eingesetzt werden.

Die Vorteile einer breiten Nutzung der digitalen Signatur überwiegen die verbleibenden Risiken bei weitem.

Die eigenhändige Unterschrift und die digitale Signatur im Vergleich
Der relativ hohe Sicherheitswert der eigenhändigen Unterschrift in der Vergangenheit ist infolge der technischen Entwicklung nur noch bedingt gegeben. Unterschriften und handgeschriebene Texte können, ebenso wie gedruckte Texte oder Bilder, über Scanner erfaßt und elektronisch gespeichert werden. Danach kann damit z. B. ein (relativ leicht verfügbarer) kleiner Roboter gesteuert werden, der mit einem Füllfederhalter die Unterschrift originalgetreu nachmacht. Eine solche Fälschung ist gegebenenfalls auch kriminaltechnisch kaum mehr nachzuweisen.

Im Gegensatz dazu ist eine unbemerkte Fälschung einer digitalen Signatur oder eine unbemerkte Verfälschung signierter Daten praktisch ausgeschlossen. Möglich ist eine unbefugte Nutzung des Signaturschlüssels, wenn der Signaturschlüssel-Inhaber diesen und die zu dessen Nutzung erforderlichen Identifikationsdaten nicht ausreichend schützt, sowie - bei hoher technischer Raffinesse - ein "Unterschieben" von falschen Daten zur Signatur. In einem solchen Falle ist wie bei einer gefälschten Unterschrift ein kriminaltechnischer Beweis kaum zu führen.

Im Streit-/Verdachtsfall müssen deshalb in beiden Fällen die Gesamtumstände des Einzelfalls beurteilt werden.

Durch die künftig mögliche Nutzung biometrischer Merkmale zur Identifikation des Signaturschlüssel-Inhabers gegenüber dem Signaturschlüssel (zusätzlich zu Besitz und Wissen) und die Verwendung geeigneter technischer Komponenten zur Aufbereitung zu signierender Daten können die verbleibenden Risiken bei digitalen Signaturen weitgehend minimiert werden.

Der Faktor Zeit
Die der gesetzlichen digitalen Signatur zugrundeliegenden mathematischen Verfahren können, da sie entsprechend geprüft und ausgewählt sind, für einen langen Zeitraum als sicher angesehen werden. Infolge schnellerer Rechner und neuer wissenschaftlicher Erkenntnisse können diese jedoch an Sicherheitswert verlieren.

Bei signierten Daten, die längerfristig benötigt werden, ist deshalb in regelmäßigem Zeitabstand eine neue Signatur (mit technischen Komponenten, die dem jeweiligen Stand der Technik entsprechen) erforderlich. Regelungen dazu enthält die ergänzende Rechtsverordnung. Vorhandene Signaturen können von der neuen Signatur eingeschlossen und damit "konserviert" werden. Wer die neue Signatur anbringt, ist unerheblich. Sie kann z. B. durch einen Archivar erfolgen.

Außerdem muß bei der Archivierung digitaler Daten - unabhängig von der Signatur - sichergestellt werden, daß sie "lesbar" bleiben (z. B. durch erneute Datenaufbereitung in bestimmten Zeitabständen, um ein "Verblassen" der Daten zu verhindern, und durch Bereithalten geeigneter Hard- und Software).

Aktuelle Verläßlichkeit digitaler Signaturen
Eine digitale Signatur kann als verläßlich gelten, wenn für den öffentlichen Signaturschlüssel, mit dem sie von jedermann überprüft werden kann, zum Zeitpunkt ihrer Erzeugung ein gültiges Zertifikat einer lizenzierten Zertifizierungsstelle bestand und wenn sie zum Zeitpunkt der Prüfung eine bestimmte Zeitdauer nicht überschritten hat oder andernfalls durch eine neue Signatur rechtzeitig "konserviert" wurde. Soweit das Datum, zu dem die Daten bzw. die digitale Signatur erzeugt wurden, beweiserheblich ist, bringt ein "Zeitstempel" (Bescheinigung einer Zertifizierungsstelle in digitaler Form mit digitaler Signatur) die erforderliche Sicherheit.

Sollte sich im Einzelfall ein begründeter Verdacht ergeben, daß Zertifikate gefälscht oder nicht fälschungssicher oder für digitale Signaturen eingesetzte technische Komponenten nicht sicher sind, so kann die zuständige Behörde eine Sperrung der relevanten Zertifikate anordnen. Alle Zertifikate sind (für einen bestimmten Zeitraum) jederzeit durch jedermann öffentlich nachprüfbar.

Eine Fälschung von Zertifikaten ist über die Dokumentation der Zertifizierungsstellen jederzeit nachweisbar. Eine Fälschung von digitalen Signaturen oder eine Verfälschung signierter Daten ist bei Einhaltung der gesetzlichen Bestimmungen praktisch ausgeschlossen.

Haftungsfragen
Mögliche Haftungsfragen sind aus den jeweiligen Verantwortlichkeiten und dem allgemeinen Haftungsrecht zu beantworten (jeder haftet für sein schuldhaftes Handeln oder Unterlassen).
Anwendung der digitalen Signatur durch juristische Personen
Die Vertretungsmacht für juristische Personen ist an natürliche Personen gebunden. Ebenso werden Signaturschlüssel (und damit digitale Signaturen) an natürliche Personen gebunden.

Die Vertretungsmacht für eine juristische Person kann im Signaturschlüssel-Zertifikat oder einem Attribut-Zertifikat ausgewiesen werden. Dies gilt auch für berufsrechtliche und sonstige Zulassungen (z. B. für Ärzte oder Rechtsanwälte).

Anwendung der digitalen Signatur bei automatischem Datenaustausch
Soweit bei automatischem Datenaustausch digitale Signaturen nach dem Signaturgesetz erzeugt werden sollen, können dafür personenbezogene Signaturschlüssel eingesetzt werden (ein Signaturschlüssel-Inhaber kann bei Bedarf über mehrere unterschiedliche Signaturschlüssel verfügen).

Da letztlich immer eine natürliche Person über den Einsatz von Rechnern und die Verarbeitung von Daten sowie die jeweiligen Anwendungsprogramme entscheidet, können auch automatisch erstellte Signaturen auf eine menschliche Handlung zurückgeführt werden.

Raum für Innovation und vielfältige technische Lösungen
Der Gesetzentwurf enthält nur allgemeine Rahmenbedingungen. Er läßt Raum für unterschiedliche, innovative technische Lösungen, soweit sie das vorgegebene Sicherheitsniveau erfüllen. Es bleibt dem Markt überlassen, welche technischen Lösungen sich durchsetzen.

Die geringe Anzahl verfügbarer geeigneter mathematischer Verfahren schafft jedoch zwangsläufig eine Begrenzung der technischen Lösungen. Im übrigen können die Hauptanwendergruppen sich auf bestimmte Standardlösungen einigen, um interoperabel zu sein.

Da die mathematischen Verfahren gegenseitig nicht kompatibel sind, benötigen Nutzer, die mit mehreren Verfahren arbeiten, mehrere Chipkarten oder eine multifunktionale Chipkarte oder sie müssen für die Signaturüberprüfung im Einzelfall einen Dritten (z. B. eine Zertifizierungsstelle) in Anspruch nehmen.

Zentrale Sicherheitsfaktoren
Folgende zentrale Sicherheitsfaktoren bewirken im Verbund sichere digitale Signaturen:

- Lizenzierte Zertifizierungsstellen,

- durch die Zertifizierungsstellen unterrichtete Signaturschlüssel-Inhaber,

- sicherheitsgeprüfte geeignete technische Komponenten, insbesondere

- Signaturschlüsselgeneratoren,

- Signierkomponenten (z. B. in Form von Chipkarten),

- Sicherheitskomponenten für die kontrollierte Aufbereitung zu signierender Daten (z. B. PC-Zusatzkomponente),

- Aufsicht durch die zuständige Behörde.

Wichtige Nebeneffekte der digitalen Signatur
Digitaler Ausweis
Mit Hilfe der Signaturschlüssel ist zugleich weltweit eine sichere Identifikation und Authentisierung beim Austausch von digitalen Daten möglich, indem z. B. automatisch übermittelte Zufallsdaten automatisch signiert und zur Prüfung zurückgesandt werden. So kann der Zugriff auf Rechner und Daten davon abhängig gemacht werden, daß die betreffende Person sich entsprechend ausweist ("digitaler Ausweis") und autorisiert ist. Die Annahme elektronischer Post kann davon abhängig gemacht werden, daß der Absender sich entsprechend ausweist; sie kann absenderabhängig automatisch verweigert bzw. auf bestimmte Absender beschränkt werden.

Die automatische Feststellung der Urheberschaft elektronischer Post (über die Signatur) ermöglicht jeder natürlichen und juristischen Person einen wirksamen Selbstschutz vor unerwünschten Sendungen. Damit und durch sichere Identifikation/Authentisierung im weltweiten Verbund der Informations- und Kommunikationstechnik kann auch partiell ein praktischer Jugendschutz beim Austausch digitaler Daten erreicht werden (z. B. durch Zugangsbeschränkung bei bestimmten Informationsdienstleistungen/Datenzugängen auf Erwachsene und Beschränkung der Annahme oder Weiterleitung elektronischer Post auf signierte Sendungen).

Wirksamer Informationsschutz
Die Information hat sich zu einer entscheidenden Ressource für Unternehmen und Volkswirtschaften entwickelt. Deshalb ist - bei einem weltweiten Verbund der Informations- und Kommunikationstechnik - ein wirksamer technischer Schutz vertraulicher Informationen vor Wirtschafts-/Konkurrenzspionage Voraussetzung für die Wettbewerbsfähigkeit von Unternehmen und Volkswirtschaften.

Durch die Kombination der Sicherheitsfunktionen digitale Signatur, "digitaler Ausweis"/Zugriffskontrolle und Verschlüsselung wird ein hoher Schutz von Informationen im weltweiten Verbund moderner Informations- und Kommunikationstechnik möglich. Die genannten Sicherheitsfunktionen können z. B. über eine Chipkarte und eine PC-Zusatzkomponente kostengünstig realisiert werden.

Ob unabhängig davon unter besonderen Aspekten spezielle "Kryptoregelungen" erforderlich sind, ist nicht Gegenstand des Gesetzentwurfs. Die Funktionen Signatur und Verschlüsselung sind technisch wie rechtlich völlig eigenständig zu betrachten.

VI. Gesetzgebungs- und Verwaltungskompetenz des Bundes
Die Gesetzgebungskompetenz folgt aus Artikel 74 Abs. 1 Nr. 11 Grundgesetz. Die Verwaltungskompetenz ist auf Artikel 87 Abs. 3 Satz 1 Grundgesetz gegründet.

Im Hinblick auf die konkurrierende Kompetenz aus Artikel 74 Abs. 1 Nr. 11 Grundgesetz liegen die Voraussetzungen des Artikels 72 Abs. 2 für die Gesetzgebungskompetenz des Bundes (Wahrung der Rechtseinheit und Wirtschaftseinheit) vor. Damit die gesetzliche digitale Signatur bundesweit das erforderliche einheitliche Sicherheitsniveau aufweist, bedarf es einer gesetzlichen Regelung durch den Bund. Es ist ein bundeseinheitlicher Rahmen für die Wirtschaftsunternehmen erforderlich, die die notwendige Infrastruktur und die benötigten technischen Komponenten bereitstellen.

Die gesetzlichen Bestimmungen im einzelnen

Zu § 1 (Zweck und Anwendungsbereich)

Zu Absatz 1
Die Bestimmung beschreibt das zentrale Ziel des Gesetzes. Mit der gesetzlichen Regelung ist nicht gesagt, daß nicht auch unter anderen Rahmenbedingungen sichere digitale Signaturen erzeugt werden können.

Unter Verfälschung fällt jede Art von Veränderung, auch infolge technischer Fehler. Soweit Fälschungen oder Verfälschungen vorkommen, müssen diese zuverlässig feststellbar sein.

Zu Absatz 2
Die Bestimmung macht deutlich, daß die Anwendung von digitalen Signaturen nach dem Signaturgesetz durch dieses selbst nicht vorgeschrieben wird. Regelungen darüber, wann digitale Signaturen nach dem Signaturgesetz anzuwenden sind, bleiben den speziellen Rechtsvorschriften vorbehalten, die nach Bedarf angepaßt werden sollen.

Die Anwendung anderer Verfahren für digitale Signaturen, die nicht den Rahmenbedingungen des Gesetzes entsprechen, ist freigestellt.

Zu § 2 (Begriffsbestimmungen)

Die definierten informationstechnischen Begriffe werden erstmals in Rechtsvorschriften übernommen. Eine gesetzliche Definition ist deshalb im Interesse der Rechtssicherheit erforderlich.
Zu Absatz 1
Der Begriff "digitale Signatur" ist dem internationalen Sprachgebrauch entnommen. Er bringt den technischen Kontext des Vorgangs, der sich von der eigenhändigen Unterschrift unterscheidet, zum Ausdruck.

Das technische Verfahren zur digitalen Signatur besteht aus

Das Verfahren zur digitalen Signatur muß so beschaffen sein, daß die Authentizität und die Integrität der signierten Daten gesichert ist. Dies bedeutet im einzelnen: Eine digitale Signatur im Sinne des Gesetzes ist an die Voraussetzung gebunden, daß sie mit einem Signaturschlüssel erzeugt wurde, der durch eine Zertifizierungsstelle einer natürlichen Person zugeordnet ist. Nur bei einer Zertifizierungsstelle nach dem Gesetz ist gesetzlich sichergestellt, daß die vorgeschriebenen Sicherheitsmaßnahmen eingehalten und die Signaturschlüssel-Inhaber über die von ihnen in ihrem eigenen Interesse zu veranlassenden Maßnahmen unterrichtet sind.

Aufgrund der mit den gesetzlichen Bestimmungen vorgegebenen Kombination von Maßnahmen - Personenidentifikation, zuverlässige Schlüsselzuordnung durch ein Zertifikat, Bindung des privaten Schlüssels durch Besitz (z. B. Chipkarte) und Wissen (z. B. PIN oder Paßwort) an die Person, sichere technische Komponenten - ermöglicht die digitale Signatur einen zuverlässigen Rückschluß auf die Person, die sie erzeugte.

Damit eine digitale Signatur den Inhaber eines Signaturschlüssels erkennen läßt, muß das Signaturschlüssel-Zertifikat vorliegen. Soweit es dem Empfänger signierter Daten nicht bereits vorliegt, muß es den signierten Daten beigefügt oder andernfalls vom Empfänger angefordert werden.

Zu Absatz 2
Der Begriff "Zertifizierungsstelle" folgt weitgehend dem internationalen Sprachgebrauch (Zertifizierungsinstanz).

Der im Zusammenhang damit stehende Begriff "vertrauenswürdiger Dritter" wurde nicht in die Definition übernommen, da z. B. auch eine Bank für ihre Kunden Schlüssel zertifizieren können soll (wie schon bisher), ohne "Dritter" zu sein. Entscheidend ist die Zuverlässigkeit und Fachkunde (vgl. § 3 Abs. 1).

Die Zuordnung des Signaturschlüssels und die Bescheinigung darüber schließt alle damit zusammenhängenden Tätigkeiten (z. B. das Führen eines öffentlichen Schlüssel-Verzeichnisses) ein. Zertifizierungsstelle im Sinne des Gesetzes kann nur sein, wer eine Lizenz gemäß § 4 besitzt.

Zu Absatz 3
Mit der Zuordnung des öffentlichen Schlüssels zu einer Person ist zwangsläufig das gesamte Paar, also auch der private Signaturschlüssel, zugeordnet.

Die Zuordnung von Signaturschlüsseln soll auf natürliche Personen beschränkt werden, da auch die Vertretungsmacht für juristische Personen an natürliche Personen gebunden ist.

In Attribut-Zertifikate können z. B. Angaben über die Vertretungsmacht für eine dritte Person (vgl. § 5 Abs. 2 und § 7 Abs. 2) aufgenommen werden. Die Bezugnahme auf das Signaturschlüssel-Zertifikat kann über die Zertifikatnummer (vgl. § 7 Abs. 1 Nr. 4) erfolgen. Attribut-Zertifikate gehören zum Signaturschlüssel-Zertifikat und sind wie dieses zu behandeln.

Zu Absatz 4
Zeitstempel verhindern ein Vor- oder Rückdatieren von "digitalen Dokumenten". Dazu genügt es, bei signierten Daten die digitale Signatur mit einem Zeitstempel zu versehen, da diese einen "digitalen Fingerabdruck" der signierten Daten enthält.

Die Nutzung anderer Verfahren für Zeitstempel bleibt unberührt; § 1 Abs. 2 gilt auch hierfür. So kann z. B. eine digitalisierte Röntgenaufnahme mit einem Zeitstempel durch eine autorisierte Stelle des Krankenhauses versehen werden.

Zu § 3 (Zuständige Behörde)

Die Verwaltungskompetenz des Bundes stützt sich auf Artikel 87 Abs. 3 Satz 1 Grundgesetz (vgl. Begründung allgemeiner Teil, Abschnitt VI.). Um das erforderliche einheitliche Sicherheitsniveau zu gewährleisten und wegen der Funktion einer "Wurzelinstanz" bei der Vergabe von Signaturschlüssel-Zertifikaten (vgl. Begründung zu § 4 Abs. 5) ist es erforderlich, die Aufgaben einer Bundesbehörde zu übertragen.

Die Regulierungsbehörde nach § 66 Telekommunikationsgesetz ist bereits nach dem Telekommunikationsgesetz mit der Erteilung von Lizenzen beauftragt und verfügt über die erforderlichen Voraussetzungen für die Wahrnehmung der genannten Aufgaben oder kann diese ohne großen Aufwand schaffen.

Bis zum Inkrafttreten des § 66 Telekommunikationsgesetz am 1. Januar 1998 werden die Aufgaben der Regulierungsbehörde vom Bundesministerium für Post- und Telekommunikation wahrgenommen (vgl. § 98 Telekommunikationsgesetz).

Zu § 4 (Lizenzerteilung für Zertifizierungsstellen)

Die Dienstleistung der Zertifizierung soll im freien Wettbewerb durch private Unternehmen unter behördlicher Aufsicht erbracht werden, ohne damit eine Zertifizierung durch Behörden für behördeneigene Zwecke auszuschließen. Die Regelungen sind weitgehend kongruent mit den diesbezüglichen Regelungen im Telekommunikationsgesetz zum Betrieb von Telekommunikationsanlagen (vgl. § 71 und § 91 Telekommunikationsgesetz).
Zu den Absätzen 1 bis 4
Die Ausstellung von Zertifikaten für Signaturschlüssel ist einerseits eine private Aufgabe. Andererseits ist sie von allgemeiner Bedeutung für die Sicherheit bei Anwendung von Informations- und Kommunikationstechnik (der Signaturschlüssel kann außer für die Erzeugung von Signaturen auch als "digitaler Ausweis" im Rahmen der Zugriffskontrolle zu Rechnern und Daten eingesetzt werden). Sie soll daher einer staatlichen Lizenz bedürfen, deren Vergabe und Aufrechterhaltung an die Erfüllung der in Absatz 2 genannten Voraussetzungen geknüpft sind.

Die Vorschrift ist Anspruchsgrundlage für die Erteilung einer Lizenz. Die Lizenzvergabe soll nach einem dem Telekommunikationsgesetz vergleichbaren Verfahren erfolgen, das durch Rechtsverordnung (vgl. § 16 Nr. 1) näher geregelt wird. Im übrigen findet das Verwaltungsverfahrensgesetz Anwendung. Die Lizenz ist an den Lizenznehmer gebunden. Eine Übertragung, Überlassung oder ein anderweitiger Übergang der Lizenz auf eine andere Person ist nicht vorgesehen. In diesem Falle ist rechtzeitig eine neue Lizenz zu beantragen. Im Falle von Zeitverzug kann im Rahmen von Absatz 4 auch eine vorläufige Lizenz erteilt werden.

Der geforderten Zuverlässigkeit der Zertifizierungsstellen kommt hohe Bedeutung zu, um z. B. eine Ausstellung gefälschter Zertifikate auszuschließen.

Die geforderte Fachkunde erstreckt sich auf den juristischen sowie den technisch-administrativen Bereich und soll eine vollständige und wirksame Umsetzung der gesetzlichen Vorgaben gewährleisten.

Das Vorliegen der übrigen Voraussetzungen soll durch ein Sicherheitskonzept sowie eine Prüfung durch eine unabhängige Prüfstelle nachgewiesen werden. Die Anerkennung von Prüfstellen setzt den Nachweis der erforderlichen Fachkunde und Erfahrungen voraus und kann mit Auflagen für die Durchführung der Prüfungen verbunden werden. Bei der Anerkennung der Prüfstellen kann die zuständige Behörde auf den Sachverstand und die praktischen Erfahrungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zurückgreifen, das bereits verschiedene Prüfstellen akkreditiert hat. Die routinemäßigen Prüfungen der Zertifizierungsstellen sollen durch private Stellen erfolgen. Daneben kann die zuständige Behörde stichprobenartig oder aus gegebenem Anlaß selbst Kontrollen durchführen (vgl. § 13 und ergänzende Rechtsverordnung nach § 16 Nr. 5).

Durch Nebenbestimmungen nach Absatz 4 kann z. B. festgelegt werden, daß die Zertifizierungsstelle den Betrieb erst nach Zustimmung durch die zuständige Behörde, nachdem diese das Sicherheitskonzept und den Prüfbericht geprüft hat, aufnehmen darf.

Zu Absatz 5
Die zuständige Behörde soll auch die oberste nationale Zertifizierungsstelle ("Wurzelinstanz") bilden, die die Zertifikate für Signaturschlüssel, die zum Signieren von Zertifikaten eingesetzt werden, ausstellt. Das Zertifikat für ihren eigenen Schlüssel stellt sie selbst aus. Die Rechtsverordnung sieht vor, daß sie ihre Telekommunikationsanschlüsse, über die von ihr ausgestellte Zertifikate abgefragt werden können, im Bundesanzeiger bekanntgibt.

Die von der zuständigen Behörde ausgestellten Zertifikate können außer bei der zuständigen Behörde insbesondere auch bei den Zertifizierungsstellen abrufbar gehalten werden (als freiwillige Serviceleistung). Das "Wurzelzertifikat" kann dem jeweiligen Signaturschlüsselinhaber von der Zertifizierungsstelle zusammen mit seinem eigenen Zertifikat authentisch mitübergeben werden (Speicherung auf dem Datenträger mit dem Signaturschlüssel).

Die Zertifizierungsstellen können ihre Signaturschlüssel selbst erzeugen; die zuständige Behörde stellt nur die Zertifikate aus.

Die von der zuständigen Behörde zertifizierten Signaturschlüssel sind ausschließlich zum Signieren von Zertifikaten sowie bei Bedarf von Zeitstempeln bestimmt. Für Zeitstempel können auch andere zertifizierte Signaturschlüssel eingesetzt werden.

Die zuständige Behörde hat nach Satz 2 für ihre Zertifizierung die gleiche Sicherheit zu gewährleisten, wie sie für die lizenzierten Zertifizierungsstellen vorgeschrieben ist, und diese gemäß der ergänzenden Rechtsverordnung ebenfalls durch eine externe Stelle prüfen zu lassen.

Die flache Zertifizierungshierarchie (1 = zuständige Behörde, 2 = Zertifizierungsstellen) schafft Transparenz und genügt den praktischen Erfordernissen, da

Zu Absatz 6
Hiermit soll die Anspruchsgrundlage für die Kostenhebung durch die zuständige Behörde geschaffen werden. Das Nähere wird durch Rechtsverordnung (vgl. § 16 Nr. 2) geregelt. Für vorgesehene private Leistungen (z. B. durch Stellen nach § 4 Abs. 3 oder § 14 Abs. 4), die nicht durch die zuständige Behörde veranlaßt werden, trägt der jeweilige Veranlasser (z. B. die Zertifizierungsstelle oder der Produkthersteller) die Kosten unmittelbar.

Zu § 5 (Vergabe von Zertifikaten)

Zu Absatz 1
Das Erbringen und die Inanspruchnahme der genannten Dienstleistungen bleibt vertraglichen Vereinbarungen zwischen den Beteiligten vorbehalten. Ist ein Antragsteller nicht unbeschränkt geschäftsfähig, so richtet sich die Möglichkeit des Erwerbs und der Nutzung des Signaturschlüssels nach den Bestimmungen des BGB zur Geschäftsfähigkeit. Zur Erschwerung des Zugangs zu jugendgefährdenden Publikationen kann bei Minderjährigen auch das Geburtsdatum aufgenommen werden.

Ein Kontrahierungszwang ist nicht vorgesehen, da davon ausgegangen werden kann, daß der Markt jedem Interessenten die Möglichkeit eröffnen wird, bei einer Zertifizierungsstelle einen Signaturschlüssel zu erwerben.

Die zuverlässige Identifikation des Signaturschlüssel-Inhabers (z. B. anhand des Personalausweises) ist Voraussetzung dafür, daß zuverlässig auf den Urheber einer digitalen Signatur rückgeschlossen werden kann.

Satz 2 schafft die Voraussetzungen dafür, daß ein vorliegendes Zertifikat jederzeit (das heißt innerhalb der nach der Rechtsverordnung vorgegebenen Frist) auf seine Echtheit und Gültigkeit überprüft werden kann. Eine Veröffentlichung des Zertifikates soll jedoch nur mit ausdrücklicher Zustimmung des Signaturschlüssel-Inhabers erfolgen. Auch für den Fall, daß keine Veröffentlichung erfolgt, kann das Zertifikat signierten Daten beigefügt werden, um dem Empfänger eine Überprüfung der Signatur zu ermöglichen.

Inwieweit darüber hinaus übergreifende Service-Dienste (z. B. mit allen Zertifikaten und Sperrlisten der lizenzierten Zertifizierungsstellen sowie der zuständigen Behörde) angeboten werden, bleibt dem Markt überlassen.

Zu Absatz 2
Die Regelung soll die Möglichkeit eröffnen, die Vertretungsmacht für eine dritte Person sowie berufsrechtliche oder sonstige Zulassungen im Signaturschlüssel-Zertifikat oder einem Attribut-Zertifikat auszuweisen. Damit sollen die üblichen schriftlichen Vertretungsermächtigungen und Zulassungen auch digital dargestellt werden können. Soweit dafür jeweils gesonderte Attribut-Zertifikate erstellt werden, bleibt der Signaturschlüssel-Inhaber im Falle von deren Sperrung nach § 8 Abs. 3 in seiner Handlungsfähigkeit als Privatperson unberührt, da das Signaturschlüssel-Zertifikat selbst nicht der Verfügungsgewalt Dritter unterliegt. Im übrigen bleibt die Aufnahme entsprechender Angaben in ein Zertifikat, das er beantragen muß, seiner Entscheidung überlassen.
Zu Absatz 3
Signierte Daten in Dateien und Netzen können das Erstellen von Persönlichkeitsprofilen (z. B. bezüglich des Kaufverhaltens von Personen) erleichtern. Durch die Verwendung von Pseudonymen wird die Zuordnung signierter Daten zu einer Person verhindert oder zumindest erschwert (bei Online-Diensten ist jedoch gegebenenfalls über den Telekommunikationsanschluß eine Zuordnung möglich). Darüber hinaus können Anonymisierungsdienste (z. B. Server eines vertrauenswürdigen Dritten) genutzt werden, um gegenüber Kommunikationspartnern anonym zu bleiben.

Pseudonyme sind gemäß § 7 Abs. 1 Nr. 1 als solche kenntlich zu machen, damit Kommunikationspartner sich bei Rechtsgeschäften darauf einstellen können, daß eine Offenbarung der Identität des Signaturschlüssel-Inhabers nur in dem engen Rahmen des § 12 Abs. 2 erreicht werden kann und ein Pseudonym bei Rechtsgeschäften nur unter bestimmten Voraussetzungen (z. B. allgemein bekannter Künstlername) anerkannt wird. Im übrigen kann der Träger eines Pseudonyms in einem (gegebenenfalls verschlüsselten) "digitalen Dokument" nach eigenem Ermessen seine Identität angeben.

Zu Absatz 4
Satz 1 soll die Integrität der Signaturschlüssel und der zugeordneten Personendaten sicherstellen. Dies erfordert vor allem wiederholte interne Kontrollen (z. B. stichprobenartiger Vergleich von Zertifikaten und Zertifizierungsanträgen). Da speziell technisch bedingte Verfälschungen von Daten nicht ausgeschlossen werden können, müssen diese zumindest zwangsläufig bemerkt werden (z. B. durch Anwendung digitaler Signaturen bei der Datenspeicherung/-übermittlung). Vergleiche auch Absatz 3 der Begründung zu § 14.

Die in Satz 2 geforderte Geheimhaltung des Signaturschlüssels ist absolut. Es soll keine Person (auch nicht der Signaturschlüssel-Inhaber) Kenntnis vom privaten Signaturschlüssel erhalten, da andernfalls ein Mißbrauch des Signaturschlüssels nicht hinreichend auszuschließen ist. Die Vorkehrungen der Zertifizierungsstelle bestehen darin, daß sie, soweit die Schlüssel durch sie bereitgestellt werden, durch technische und organisatorische Maßnahmen eine Preisgabe oder Speicherung in ihrem Bereich (Satz 3) ausschließt. Soweit der Signaturschlüssel-Inhaber die Schlüssel selbst erzeugt, hat sie sich zu überzeugen, daß er ein geeignetes Verfahren benutzt, bei dem eine Schlüsselpreisgabe hinreichend ausgeschlossen ist (z. B. durch einen Schlüsselgenerator auf der Chipkarte, die den Schlüssel tragen soll, so daß der private Schlüssel diese nie verläßt).

Die Forderung in Satz 3 trägt dazu bei, daß der Signaturschlüssel nur einmal (beim Signaturschlüssel-Inhaber) vorhanden ist. Technisch unvermeidbare temporäre Zwischenspeicherungen beim gesicherten Ladevorgang sind damit nicht ausgeschlossen. Die nähere Ausgestaltung der Pflichten der Zertifizierungsstellen wird nach § 16 Nr. 3 in der ergänzenden Rechtsverordnung bestimmt.

Zu Absatz 5
Zuverlässiges Personal und sichere technische Komponenten sind Voraussetzung für sichere digitale Signaturen. Während Privatpersonen nur über das Erfordernis geeigneter technischer Komponenten nach § 14 unterrichtet werden, wird Zertifizierungsstellen deren Verwendung vorgeschrieben.

Zu § 6 (Unterrichtungspflicht)

Um zu sicheren digitalen Signaturen zu gelangen, müssen Signaturschlüssel-Inhaber über die von ihnen in ihrem eigenen Interesse zu veranlassenden Maßnahmen sowie über geeignete technische Komponenten unterrichtet sein. Die ergänzende Rechtsverordnung sieht vor, daß die zuständige Behörde die geeigneten technischen Komponenten öffentlich bekanntgibt. Die Zertifizierungsstelle braucht nur eine aktuelle Liste der technischen Komponenten auszuhändigen und kann damit ein Beratungsgespräch verbinden.

Darüber hinaus sollen die Signaturschlüssel-Inhaber auch darüber unterrichtet werden, daß ihnen mit ihrem Signaturschlüssel erzeugte Signaturen aufgrund der gesetzlich vorgegebenen Kombination von Maßnahmen (vgl. Begründung zu § 2 Abs. 1) zugerechnet werden können; es sei denn, das Signaturschlüssel-Zertifikat war zum Zeitpunkt der Signaturerzeugung gesperrt oder die Frist, nach der eine neue Signatur geboten ist (das Nähere regelt die Rechtsverordnung nach § 16 Nr. 7), ist in sicherheitsrelevantem Maße überschritten oder andere Fakten stehen entgegen. Ist die Nutzung des Signaturschlüssels laut Signaturschlüssel-Zertifikat gemäß § 7 Abs. 1 Nr. 7 auf bestimmte Anwendungen nach Art und Umfang beschränkt, so erstreckt sich die Zurechnung nur auf den vorgegebenen Rahmen.

Die Rechtsverordnung bestimmt den Zeitraum sowie das Verfahren, nach dem eine neue digitale Signatur angebracht werden sollte.

Zu § 7 (Inhalt von Zertifikaten)

Zu Absatz 1
Die für ein Signaturschlüssel-Zertifikat geforderten Mindestangaben nach den Nummern 1 bis 6 werden benötigt, um den Urheber einer digitalen Signatur feststellen und die digitale Signatur prüfen zu können. Sie entsprechen internationalen Normen.

Die Regelung in Nummer 1 soll gewährleisten, daß jeder Signaturschlüssel-Inhaber im Verzeichnis einer Zertifizierungsstelle einen einmaligen Namen trägt. Soweit neben dem Namen die Adresse angegeben wird, ist ein weiterer Zusatz (z. B. Ziffer) nur in Ausnahmefällen erforderlich. Bezüglich der Verwendung von Pseudonymen vgl. Begründung zu § 5 Abs. 3.

Durch die Regelung in Nummer 7 soll erreicht werden, daß im Interesse des Signaturschlüssel-Inhabers im Signaturschlüssel-Zertifikat eine Aussage darüber erfolgt, ob die mit seinem Signaturschlüssel erzeugten digitalen Signaturen unbeschränkt oder z. B. nur für bestimmte Rechtsgeschäfte oder nur bis zu einem bestimmten Wert gelten. Ob eine Beschränkung besteht, muß ausdrücklich im Signaturschlüssel-Zertifikat selbst ausgesagt sein. Nähere Aussagen über die Beschränkungen können auch in einem Attribut-Zertifikat erfolgen.

Zu Absatz 2
Die Regelung trägt in Ergänzung zu § 5 Absatz 2 der Bedeutung, die der Darstellung der Vertretungsmacht für juristische Personen sowie von berufsrechtlichen oder sonstigen Zulassungen bei Anwendung digitaler Signaturen zukommt, Rechnung. In den Zertifikaten kann grundsätzlich jede Vertretungsmacht und Zulassung in digitaler Form wiedergegeben werden, so daß die betreffende Person sich über die Kommunikationsnetze weltweit entsprechend ausweisen kann.

Es kann wahlweise ein eigenständiges Zertifikat oder ein Attribut-Zertifikat mit entsprechenden Angaben einer dritten Person erteilt werden. Es können für denselben Signaturschlüssel auch mehrere Signaturschlüssel-Zertifikate und Attribut-Zertifikate durch unterschiedliche Zertifizierungsstellen ausgestellt werden. Der Aufnahme weitergehender Angaben in ein Zertifikat (z. B. bei Minderjährigen das Geburtsdatum) im Rahmen vertraglicher Vereinbarungen steht nichts entgegen.

Zu § 8 (Sperrung von Zertifikaten)

Mit der Sperrung eines Signaturschlüssel-Zertifikates sind auch alle zugehörigen Attribut-Zertifikate gesperrt. Attribut-Zertifikate können gesondert gesperrt werden. Vergleiche auch Begründung zu § 5 Absatz 2.

Die Gültigkeit der digitalen Signaturen, die vor dem Zeitpunkt der Sperrung erzeugt wurden, wird durch die Sperrung nicht tangiert. Sicherheit darüber, ob eine Signatur vor oder nach der Sperrung erzeugt wurde, gibt im Zweifelsfalle ein Zeitstempel (vgl. § 9).

Zu Absatz 1
Die Regelung ist notwendig, um bei Verlust eines Signaturschlüssels einen möglichen Mißbrauch zu verhindern. Außerdem sollen sich Signaturschlüssel-Inhaber durch Sperrung des Zertifikates nach eigenem Ermessen jederzeit aus dem "elektronischen Rechtsverkehr" zurückziehen können. Weitergehende vertragliche Vereinbarungen, nach denen auch andere Personen eine Sperrung veranlassen können, bleiben unbenommen.

Soweit ein Signaturschlüssel im Zusammenhang mit Straftaten eingesetzt wird, kann nach § 74 ff. Strafgesetzbuch eine Sperrung verfügt werden.

Der Zeitpunkt der Sperrung umfaßt das Datum und die Uhrzeit. Das Verbot einer rückwirkenden Sperrung nach Satz 3 schließt die Fälle nach Absatz 2 und 3 sowie nach § 13 Abs. 5 ein.

Durch die Sperrung kann nicht verhindert werden, daß danach noch digitale Signaturen für rückdatierte Daten erzeugt werden. Dies verhindert ein Zeitstempel. Die Rechtsverordnung sieht eine Unterrichtung der Signaturschlüssel-Inhaber darüber vor, wann ein Zeitstempel geboten ist. Die signierten Signaturschlüssel-Zertifikate selbst enthalten Angaben über Beginn und Ende ihrer Gültigkeit (vgl. § 7 Abs. 1 Nr. 5). Außerdem sieht die ergänzende Rechtsverordnung vor, daß der Zeitpunkt der Ausstellung und Übergabe der Zertifikate durch die Zertifizierungsstelle zu dokumentieren ist.

Zu Absatz 2
Ein Signaturschlüssel-Zertifikat oder ein Attribut-Zertifikat kann nach § 5 Abs. 2 in Verbindung mit § 7 Abs. 2 auch Angaben einer dritten Person enthalten. Falls sich bezüglich dieser Angaben Änderungen ergeben (z. B. eine Zulassung entzogen wird), muß auch die dritte Person eine Sperrung des jeweiligen Zertifikates veranlassen können.
Zu Absatz 3
Nach § 4 Abs. 5 Satz 2 gelten die Regelungen in Absatz 1 für die Sperrung der von der zuständigen Behörde ausgestellten Zertifikate entsprechend. Darüber hinaus hat sie in den in Absatz 3 genannten Fällen eine Sperrung vorzunehmen.

Zu § 9 (Zeitstempel)

Die Vergabe von Zeitstempeln (vgl. § 2 Abs. 4) soll als Pflichtdienstleistung für Zertifizierungsstellen vorgegeben werden, da Zeitstempel bei Anwendung digitaler Signaturen zwingend benötigt werden, soweit beweiserheblich werden kann, ob Daten zu einem bestimmten Zeitpunkt vorgelegen haben. Einen Zeitstempel kann jedermann verlangen, der Daten erzeugt oder dem fremde Daten vorliegen, bei denen er aus Beweisgründen ein Interesse daran hat. Bei signierten Daten genügt es, für die digitale Signatur einen Zeitstempel einzuholen, da diese die gesamten signierten Daten repräsentiert.

Durch die Regelung in Satz 2 soll für das Erstellen von Zeitstempeln die gleiche personelle und technische Sicherheit vorgegeben werden, wie für das Erstellen von Zertifikaten.

Zu § 10 (Dokumentation)

Die Dokumentation der Sicherheitsmaßnahmen soll vor allem dazu beitragen, daß wirksame Kontrollen durchgeführt und mögliche (gegebenenfalls auch haftungsrelevante) Pflichtverletzungen festgestellt werden können. Die Dokumentation der Zertifikate ist erforderlich, um digitale Signaturen jederzeit zuverlässig überprüfen zu können. Die Aufbewahrungsdauer wird nach § 16 Nr. 3 in der ergänzenden Rechtsverordnung bestimmt.

Zu § 11 (Einstellung der Tätigkeit)

Die Regelungen soll der Wahrung der Interessen der Signaturschlüssel-Inhaber dienen. Es soll in Verbindung mit § 13 Abs. 4 sichergestellt werden, daß bereits erzeugte digitale Signaturen auch nach Beendigung der Tätigkeit einer Zertifizierungsstelle zuverlässig überprüft werden können.

Zu § 12 (Datenschutz)

Zu Absatz 1
Die Regelung soll die Erhebung personenbezogener Daten für Zwecke der digitalen Signatur auf das Notwendige begrenzen. Sie soll grundsätzlich beim Betroffenen erfolgen und bei Dritten nur mit seiner Einwilligung zulässig sein. Die Verwendung der erhobenen personenbezogenen Daten unterliegt einer engen Zweckbindung.
Zu Absatz 2
Aufgrund der engen Zweckbindung nach Absatz 1 ist eine Regelung für den Fall erforderlich, daß die genannten Stellen in den genannten Fällen die Identität eines Signaturschlüssel-Inhabers benötigen. Die Regelung ist in den Formulierungen weitgehend kongruent mit § 89 Abs. 6 Telekommunikationsgesetz, jedoch beschränkt auf die Übermittlung von Daten zur Feststellung der Identität einer Person bei Verwendung eines Pseudonyms. Andernfalls ist die Identität bereits aus dem Signaturschlüssel-Zertifikat ersichtlich. Die Dokumentation der Auskünfte soll Kontrollen im Rahmen des Datenschutzes erleichtern.
Zu Absatz 3
Die Regelung soll ermöglichen, daß die für den Datenschutz zuständigen Aufsichtsbehörden auch ohne konkreten Anlaß kontrollieren können. Zugleich soll klargestellt werden, daß die datenschutzrechtlichen Kontrollen nicht der Behörde nach § 3, sondern den für den Datenschutz zuständigen Aufsichtsbehörden obliegt.

Zu § 13 (Kontrolle und Durchsetzung von Verpflichtungen)

Die Vorschrift regelt die Kontroll- und Anordnungsbefugnisse der zuständigen Behörde zur Durchsetzung der Verpflichtungen, die Zertifizierungsstellen nach dem Gesetz und der ergänzenden Rechtsverordnung obliegen. Damit erhält die zuständige Behörde die Möglichkeit, angemessen zu reagieren. Die Regelungen sind weitgehend kongruent mit den Regelungen in § 91 Abs. 1 und 3 Telekommunikationsgesetz.
Zu Absatz 1
Hier wird die zuständige Behörde in allgemeiner Form ermächtigt, alle geeigneten Maßnahmen und Anordnungen zu treffen, um die Einhaltung der Rechtsvorschriften durch die Zertifizierungsstellen sicherzustellen. Die Untersagungsverfügung nach Satz 2 gibt die Möglichkeit, ein rechtswidriges Verhalten abzustellen oder zu verhindern. Sie ist für eine befristete Zeit bis zur Beseitigung des rechtswidrigen Verhaltens bestimmt. Die Untersagung der Tätigkeit nach Satz 2 oder 3 bildet die ultima ratio, wenn andere Maßnahmen (z. B. Untersagung unlauterer Werbemethoden in Fällen nach Satz 3) nicht greifen. Eine teilweise Untersagung der Tätigkeit kann z. B. darin bestehen, daß zunächst keine weiteren Zertifikate ausgestellt werden dürfen.
Zu Absatz 2
Hier werden der zuständigen Behörde die zur Überwachung nach Absatz 1 notwendigen prozessualen Eingriffsbefugnisse (Auskunfts-, Betretungs- und Besichtigungsrechte) verliehen.
Zu Absatz 3
Wird ein rechtswidriges Verhalten nicht beseitigt oder ist damit nicht zu rechnen, ist der Entzug der Lizenz vorgesehen, der - anders als beim Telekommunikationsgesetz - nur vollständig möglich ist.
Zu Absatz 4
Im Hinblick auf die Bedeutung der kontinuierlichen Überprüfbarkeit digitaler Signaturen soll für die genannten Fälle die Pflicht der zuständigen Behörde konstituiert werden, eine Übernahme der Tätigkeit durch eine andere Zertifizierungsstelle oder eine sonstige Abwicklung sicherzustellen. Zunächst ist allerdings die betreffende Zertifizierungsstelle in der Pflicht (vgl. § 11). Die zuständige Behörde greift nur ein, falls die Zertifizierungsstelle ihren Pflichten nicht nachkommt. In diesem Falle kann die Behörde im Rahmen ihrer Befugnisse nach Absatz 1 und 4 z. B. die nach § 10 Abs. 1 vorgesehene Sperrung von Signaturschlüssel-Zertifikaten anordnen.
Zu Absatz 5
Die Regelung in Satz 1 dient der Klarstellung. Satz 2 stellt die Entscheidung, ob in den dort genannten Fällen eine Sperrung von Zertifikaten geboten ist, in das pflichtgemäße Ermessen der zuständigen Behörde.

Zu § 14 (Technische Komponenten)

Die Regelung enthält die Zielvorgaben, die durch die technischen Komponenten erreicht werden müssen. Näheres regelt die ergänzende Rechtsverordnung (vgl. § 16 Nr. 6).

Zertifizierungsstellen sind verpflichtet, geeignete technische Komponenten (vgl. § 5 Abs. 5 Satz 2 und 3 und § 9) einzusetzen.

Signaturschlüssel-Inhaber werden über das Erfordernis, geeignete technische Komponenten einzusetzen, sowie über infrage kommende technische Komponenten unterrichtet. Bezüglich des Signaturschlüssels und der damit verbundenen Signierkomponente (beides kann sich z. B. zusammen auf einer Chipkart