|
|
MMR
|
Ein E-Kommerz-Gesetz für LuxemburgDie Regierung des Großherzogtums Luxemburg hat Ende März 1999 den Entwurf eines Gesetzes zum elektronischen Kommerz vorgelegt. Hauptpunkte des Entwurfs sind die Regelung der Kryptographie und der digitalen Signatur, Anpassungen des Zivilrechts an den elektronischen Rechtsverkehr sowie Bestimmungen zum Verbraucher- und Datenschutz. Vorbilder des Gesetzesentwurfs sind die EU-Richtlinien bzw. Richtlinienentwürfe zum E-Kommerz (Vorschlag Nù 98/0325 COD/COM (1998) 586), zum Fernabsatz (Richtlinie 97/7/EG), zum Verbraucherschutz (Richtlinie 93/13/EWG des Rates v. 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen), zum Datenschutz (Richtlinie 97/66/EG) und zur digitalen Signatur (Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über gemeinsame Rahmenbedingungen für elektronische Signaturen Nù 9708/98 ECO 233 CODEC). Die Verwendung der Kryptographie zur Vertraulichkeitssicherung wird zunächst denkbar einfach geregelt: Sie ist explizit frei. Bei der digitalen Signatur orientiert sich der Gesetzesentwurf im wesentlichen an den Entwürfen zur EU-Richtlinie zur elektronischen Signatur (RLeS). Die Unterschrift, die zur Vollendung einer privatschriftlichen Urkunde ("acte sous seing privé") benötigt wird, kann nach der geplanten Änderung des luxemburgischen Code Civil manuell oder elektronisch geleistet werden. Das Gesetz sieht vor, daß eine automatische Gleichstellung von elektronischer und handschriftlicher Unterschrift dann erfolgen soll, wenn die elektronische Unterschrift auf einem qualifizierten Zertifikat ("certificat agréé") beruht, das von einer akkreditierten Zertifizierungsstelle ausgestellt wurde. Liegt ein qualifiziertes Zertifikat einer nicht akkreditierten Zertifizierungsstelle vor, so muß vor Gericht bewiesen werden, daß die Zertifizierungsstelle die Bedingungen, die zur Akkreditierung nötig wären, erfüllt. Diese Bedingungen sind dem Entwurf zur RLeS entnommen. Elektronische Signaturen auf Grund nicht qualifizierter Zertifikate können anerkannt werden, wenn der Beweis erbracht wird, daß die elektronische Signatur untrennbar mit dem signierten Dokument verbunden ist, seine Integrität garantiert, den Unterzeichnenden identifiziert und sicherstellt, daß er sich die unterzeichnete Erklärung zu eigen macht. Neugefaßt wird im luxemburgischen Zivilrecht der Begriff des Originals: Eine privatschriftliche Urkunde gilt als Original, wenn ihre Authentizität zuverlässig gewährleistet ist. Es ist unklar, welche Auswirkungen diese Bestimmung auf andere Regeln hat, die die Existenz höchstens eines Originals voraussetzen. Bei den Pflichten, die den Zertifizierungsstellen auferlegt werden, geht der Gesetzesentwurf über den von dem Entwurf der RLeS verlangten Rahmen hinaus. So haften alle Zertifizierungsstellen für die Richtigkeit der von ihnen zertifizierten Angaben. Allen Zertifizierungsstellen werden Informationspflichten und die Pflicht zum Betrieb von Verzeichnisdiensten und Zertifikatsrückruflisten auferlegt. Sie werden zusätzlich einem Berufsgeheimnis unterworfen, das dem des luxemburgischen Banksektors nachempfunden ist. Die Zertifizierungsstellen dienen nicht der Hinterlegung privater Schlüssel. Ein "key escrow" ist von der Luxemburger Regierung nicht erwünscht. Zwecks Strafverfolgung können elektronische Aufzeichnungen beschlagnahmt werden. Sind die Aufzeichnungen nur in verschlüsselter Form vorhanden, kann der Untersuchungsrichter von jedermann, der den privaten Schlüssel des Beschuldigten kennt, mit Ausnahme des Beschuldigten selbst, Zugang zu den verschlüsselten Daten verlangen. Kreativ ist die Einführung eines "elektronischen Einschreibens" unter Beteiligung einer Zertifizierungsstelle, dessen Detaills aber noch nicht geklärt sind. Als Überwachungs- und Akkreditierungsbehörde für Zertifizierungsstellen fungiert das großherzogliche Wirtschaftsministerium. Im Bereich des Verbraucherschutzes wird die Fernabsatzrichlinie umgesetzt. Dies bedeutet die Auferlegung von Informationspflichten der Anbieter, und die Gewährung eines Rücktrittsrechts des Verbrauchers. Der Zeitpunkt des Vertragsschlusses bei elektronischen Rechtsgeschäften wird - entsprechend dem Kommissionsentwurf zur E-Kommerz-Richtlinie - festgelegt: Erhält ein Anbieter die Bestellung eines Kunden, so schickt er diesem eine Bestätigung zu. Der Vertrag kommt in dem Moment zustande, in dem der Kunde diese Bestätigung dem Anbieter gegenüber genehmigt. Von diesen Regelungen ist der Finanzsektor nach dem derzeitigen Entwurfsstand ausgeschlossen. Als bemerkenswerte Ausnahme wird die Haftung bei elektronischen Zahlungsmitteln wie z.B. Kredit- oder EC-Karten geregelt: Den Verbraucher trifft eine Haftung für den Mißbrauch eines derartigen Zahlungsmittels nur so lange, bis er den Aussteller über die Möglichkeit des Mißbrauchs informiert hat. Diese Haftung wird durch großherzogliches Reglement in ihrem Umfang beschränkt. Wird ein elektronisches Zahlungsmittel nicht sicher identifiziert oder vorgewiesen, so trifft den Inhaber keine Haftung. Dies dürfte bei der Verwendung von Kreditkarten(nummern) per Internet eine deutliche Erleichterung für den Verbraucher darstellen. Der zweite Entwurf des Gesetzes, der für September erwartet wird, soll weitergehende Bestimmungen zum Verbraucherschutz bei Finanzgeschäften im Fernabsatz enthalten. Ebenfalls erst im nächsten Entwurf soll die Haftung von Internet Service Providern behandelt werden. Das letzte Kapitel des Gesetzesentwurfs befaßt sich mit dem Datenschutz. Hierzu wird zunächst für den Bereich des elektronischen Kommerz der Begriff der personenbezogenen Daten demjenigen der europäischen Datenschutzrichtlinie angepaßt, bei deren Umsetzung Luxemburg ansonsten säumig ist. Das Gesetz beruht i.ü. auf den bekannten Grundsätzen der Datenvermeidung und der Zweckbindung von Datenerhebung und -verarbeitung. Als Vorbild diente hier das deutsche TDDSG. Bei der unverlangten Zustellung von Werbe-E-Mail (Spam, UCE) schließt sich der luxemburgische Gesetzesentwurf dem Entwurf der europäischen Richtlinie zum elektronischen Kommerz an: Werbe-E-Mail ist eindeutig zu kennzeichnen, die Zustellung an solche Nutzer, die dem Empfang widersprochen haben, ist unzulässig. Eine zentrale Robinsonliste soll bei der Überwachungsbehörde für den Datenschutz geführt werden. Abrundend werden die Bestimmungen des Strafrechts dem elektronischen Rechtsverkehr angepaßt. Hiervon betroffen sind vor allem die Tatbestände der Urkundenfälschung, des Betruges, des Diebstahls (hier wird das Ausspähen von Daten subsumiert), und der Erpressung (von Daten). Dr. Helene Boriths Müller, Luxemburg / Thomas Roessler, Bonn. |