Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.08.2000 - 

Safe Harbor und digitale Signatur sind nur Beispiele

Regeln für interkontinentale Geschäfte via Internet

MÜNCHEN (CW) - Echte Internet-Freaks wehren sich gegen jede Reglementierung im Web. Doch der grenzüberschreitende Online-Handel braucht verlässliche Rahmenbedingungen. In diesem Sinne jagen sich derzeit Steuer-, Datenschutz- und Signaturrichtlinien. Insbesondere die Interessen der USA und Europas prallen hart aufeinander.

Das Internet treibt die Globalisierung in einer Weise voran, die in das Leben vieler Menschen und Unternehmen eingreift, die bislang vom Außenhandel nicht direkt betroffen waren. So ist es heute normal, dass sich Surfer ihren Internet-Provider irgendwo in der Welt suchen. Leicht digitalisierbare Produkte wie Text, Musik, Software oder Finanz- und Versicherungs-Dienstleistungen lassen sich nicht am Zoll kontrollieren und besteuern. Vielen ist dabei nicht bewusst, welchem Recht sie bei ihren Online-Geschäften unterliegen. Im Falle einer Klage kann das zu großen Problemen führen.

Doch die Rechtsprechung ist auf die globale Wirtschaft besser vorbereitet, als üblicherweise wahrgenommen wird. Zu den schlimmsten Szenarien gehört, dass auf einem Marktplatz komplexe Prozessketten mit Firmen aus verschiedenen Ländern mit unterschiedlichen Rechtssystemen gebildet werden. In solchen Fällen wäre es fast unmöglich, zu klären, wessen Recht gilt. Allerdings gibt es die Möglichkeit, den Marktplatz auf ein bestimmtes Recht festzulegen. Als gemeinsamer Nenner bietet sich dabei das internationale UN-Kaufrecht (International Trade Law www.un.org./law) an, weil es anders als etwa das US-Recht in fast allen UNO-Mitgliedsländern anerkannt und von den Juristen verstanden wird. Außerdem lässt sich dann der Gerichtsort, an dem nach diesem Recht verhandelt wird, freier wählen. So gelten etwa die deutschen Gerichte als besonders schnell und kostengünstig. Insgesam fehlt es weniger an rechtlichen Rahmenbedingungen als an Marktplätzen, mit denen sich komplette B-to-B-Prozessketten aufbauen lassen.

Im B-to-C-Bereich stellt sich die Sachlage etwas anders dar, weil Händler wie Kunden es dort mit ständig wechselnden Partnern zu tun haben, die sich selten kennen. Zu den Eigenschaften des Internet gehört es zudem, dass Surfer auch dann anonym bleiben können, wenn sie Geschäfte abschließen. Das ermöglicht es Betrügern, sich unter falschem Namen Produkte zu erschwindeln oder Geld für nicht existente Dienste zu erschleichen.

Bislang haben sich Händler dadurch geholfen, dass sie entweder Vorauskasse per Kreditkarte gefordert haben oder - zumindest in den USA - Software eingesetzt haben, die potenzielle Käufer unter anderem durch Abgleich mit frei gehandelten schwarzen Listen auf Vertrauenswürdigkeit und Zahlungskräftigkeit prüft. Letzteres ist in Europa aus datenschutzrechtlichen Gründen nur bedingt möglich. Als eleganteste Lösung, Rechtssicherheit zu schaffen, gilt die digitale Signatur, die der eigenhändigen Unterschrift rechtlich gleichgestellt ist.

Dabei garantiert dort eine unabhängige Stelle, bei der die Signatur hinterlegt ist, den beteiligten Geschäftspartnern, dass der Absender ist, wer er zu sein vorgibt.

Deutschland galt mit seinem bereits 1997 verabschiedeten Signaturgesetz als Vorreiter, hat diesen Vorsprung aber verspielt, weil versäumt wurde, die davon betroffenen Gesetze insbesondere im Bürgerlichen Gesetzbuch anzupassen. Während das in den USA gerade unterzeichnete Gesetz für die digitale Signatur bereits im Oktober dieses Jahres in Kraft treten soll, müssen die deutschen Unternehmen darauf noch bis nächstes Jahr warten. Bis dahin setzen auch die anderen EU-Länder die EU-Richtlinie zur digitalen Signatur um.

Im Prinzip ließen sich die Vorteile der digitalen Signatur schon jetzt nutzen. Technik und Infrastruktur sind vorhanden. Juristen gehen davon aus, dass der Signatur vor Gericht zumindest eine hohe Glaubwürdigkeit eingeräumt würde. Wenn sie dennoch so gut wie nicht verwendet wird, liegt das daran, dass insbesondere die deutsche Variante nicht technikneutral formuliert wurde und zudem besonders hohe Sicherheitsanforderungen stellt. Dadurch wird das Verfahren aufwändig. Außerdem blieben rein softwaregestützte Authentifizierungsverfahren oder moderne Techniken wie Biometrik außen vor.

Sicherer Hafen ohne GesetzeDas ist in den USA anders. Dort treffen die Unternehmen selbst die Wahl, wie viel Sicherheit sie brauchen und ob sie einen digital übermittelten Daumenabdruck, eine Spracherkennungssoftware, das Messen der Iris verwenden oder eine Kombination solcher Möglichkeiten. Insgesamt wird dort die digitale Signatur als Möglichkeit gesehen im Handel viel Geld zu sparen, weil es einfacher wird, einen betrügerischen Kunden dingfest zu machen. Wie kompliziert insbesondere der Handel mit den USA werden kann, zeigen die schwierigen Verhandlungen um den Schutz von Daten europäischer Bürger jenseits des Atlantiks, die sich über mehrere Jahre erstreckten und jetzt in das genannte Safe-Harbor-Abkommen mündeten. Dabei geht es im Wesentlichen darum, für welche Zwecke Daten von EU-Bürgen verwendet und unter welchen Umständen sie weitergegeben werden dürfen (siehe Kasten "Die Safe-Harbor-Regeln"). Obwohl die Regelung bereits am 1. November dieses Jahres in Kraft tritt, ist sie im EU-Parlament nach wie vor umstritten. Das zentrale Problem ist, dass ein Europäer seine Rechte nicht bei einem US-Gericht geltend machen kann. Der einzig zuständige Ansprechpartner ist die Federal Trade Commission (FTC), mit der die US-Unternehmen das Abkommen abschließen. FTC-Mitarbeiter fürchten schon jetzt, dass sie einer möglichen Klagewelle aus Europa nicht gewachsen sein könnten.

Beschlossene Sache ist der Safe-Harbor-Beitritt für den Online-Dienstleister AOL. Dort handelt es sich im Wesentlichen um eine Marketing-Aktion, weil das Unternehmen nach eigenen Aussagen schon jetzt alle Bedingungen erfüllt. Anders verhält sich die Sachlage beim Data-Warehouse-Anbieter NCR, der ebenfalls baldmöglichst beitreten will. Das Unternehmen erwartet davon insbesondere in Europa eine wachsende Akzeptanz der von Datenschützern bislang mit Misstrauen beäugten Systeme für Customer-Relationship-Management (CRM) und damit für Data Warehousing, das dafür gebraucht wird. Anders als klassische Datenbanksysteme sind die Warehouses von Haus aus darauf ausgelegt, Daten in einer Weise für eine mögliche Weitergabe oder Überprüfung aufzubereiten, wie sie das Safe-Harbor-Abkommen verlangt.

Aber auch für andere Firmen lohnt sich der Beitritt nach Ansicht von Werner Sülzer, Vice President von NCR für Europa, Mittlerer Osten und Afrika. Europa sei als Absatzmarkt viel zu wichtig, um den Handel durch mögliche rechtliche Probleme zu behindern. Unternehmen, die nicht beitreten, riskieren, verklagt zu werden, wer mitmacht, kann mit dem Safe-Harbor-Etikett werben und im Zweifelsfall trotzdem nur unter großen Schwierigkeiten belangt werden. Im Übrigen könnte es auch für europäische Unternehmen unangenehme rechtliche Folgen haben, sollten sie Daten an US-Unternehmen weitergeben, die sich dem Safe-Harbor-Prinzipien verweigern. Dann nämlich sind sie es, die gegen die europäischen Datenschutzrichtlinien verstoßen.

Weitere Maßnahmen zur rechtlichen Absicherung des Geschäfts im Internet laufen im Rahmen einer Vereinfachung der EU-Richtlinie zur Liberalisierung der Telekommunikationsmarkts, der geplanten Internet-Steuer für digitale Güter und in einer Reihe weiterer Projekte. Doch es bleibt noch einiges zu tun. Der Deutsche Industrie- und Handelstag (DIHT) mahnt zu Recht europaweit einheitliche Regelungen für Online-Geschäfte an. Einiges davon ist allerdings längst auf dem Weg. Das gilt zum Beispiel für die Forderung, die Einführung der digitalen Signatur zu beschleunigen, oder für die Gewährleistung, die mit dem Fernabsatzgesetz geregelt wird, das auf einer EU-Richtlinie von 1997 beruht und seit 1. Juli in Kraft ist.

Auch für die vom DIHT geforderte steuerliche Gleichbehandlung von Online-Händlern für digitale Güter in Europa und in den USA liegt bereits ein Richtlinien-vorschlag vor, der derzeit von den EU-Ländern beraten wird (siehe CW 25/00 vom 23. Juni 2000, Seite 27: "Heftige Diskussion um Steuern auf Online-Handel"). Dort sollte die DIHT-Kritik an der ungenügendenden Umsetzbarkeit und Kontrollierbarkeit der Richtlinie Gehör finden. Ob es jedoch ein EU-einheitliches Vertragsrecht braucht, wenn es für den Handel bereits ein weltweit gültiges UN-Kaufrecht gibt, ist fraglich.

Die Safe-Harbor-Regeln1. US-Unternehmen müssen die betroffenen EU-Bürger informieren, für welche Zwecke sie persönliche Informationen sammeln, welche Organisationen die Daten möglicherweise noch zu Gesicht bekommen und wo die Grenzen der Nutzung sind. Außerdem muss ihnen eine Kontaktadresse für Rückfragen und Beschwerden mitgeteilt werden. Alle den Datenschutz betreffenden Informationen müssen den Betroffenen bei der ersten Abfrage in klar verständlicher Form mitgeteilt werden.

2. Die Betroffenen müssen die einfache Möglichkeit erhalten, ihre Daten jederzeit zurückzuziehen (opt out) und mitzubestimmen, ob und in welcher Form ihre Daten an Dritte weitergegeben werden. Das gilt insbesondere für den Fall, dass die Daten zu Zwecken weitergegeben werden, die ursprünglich nicht vorgesehen waren und die dem Betroffenen nicht bekannt sind.

3. Findet die Weitergabe der Daten im Rahmen der vereinbarten Nutzung statt, dann darf das geschehen, falls der Empfänger der Daten ebenfalls dem Safe-Harbor-Abkommen beigetreten ist oder eine schriftliche Erklärung abgibt, mit denen er sich diesen Regeln unterwirft.

4. Die Organisationen müssen durch Schulung und technische Maßnahmen dafür sorgen, dass die Daten nicht verloren gehen, missbraucht werden oder unautorisierten Personen in die Hände fallen.

5. Außerdem dürfen nur solche Daten übermittelt werden, die für den vorgesehenen Zweck nötig sind.

6. Die Betroffenen müssen die Möglichkeit haben, ihre Daten einzusehen und zu korrigieren.

7. Die betroffenen Personen haben ein Regressrecht für den Fall, dass ihre Daten nicht in Übereinstimmung mit den Regeln verwendet werden. Dazu müssen die Organisationen folgende Minimalanforderungen erfüllen:

a) Es muss unabhängige und bezahlbare Mechanismen geben, die es ermöglichen, den Beschwerden rechtswirksam nachzugehen.

b) Es muss nachprüfbar sein, inwieweit die Datenschutzpraktiken eingehalten werden.

c) Die Unternehmen sind verpflichtet, Probleme, die sich durch Fehler beim Umgang mit den Richtlinien ergeben, zu beheben und die Konsequenzen zu tragen. Die Sanktionen etwa gegenüber Mitarbeitern müssen so streng sein, dass die Einhaltung der Richtlinien garantiert werden kann.

Das Safe-Harbor-Abkommen muss jährlich bei der Federal Trade Commission (FTC) erneuert werden, die auch die Einhaltung der Richtlinien überwacht.