Zur Haftung der E-ID-Nutzerin (Art. 32 Abs. 1 BGEID)

Die Frage der Haftung gemäss Regelung im BGEID wird kritisch diskutiert. Dazu kann man Folgendes sagen:

Gesetzliche Regelung

Das BGEID schreibt zur Haftung von Privatpersonen (Inhaberin der E-ID) Folgendes:

Die Haftung der Inhaberinnen und Inhaber einer E-ID, der Betreiberin von E-ID-verwendenden Diensten sowie des IdP richtet sich nach dem Obligationenrecht.

Art. 32 Abs. 1 BGEID

Was könnte schiefgehen?

Hier diskutiere ich, was die Folgen der Verletzung von Sorgfaltspflichten der Nutzerin sein könnten (siehe dazu den Beitrag in diesem Blog): Fehler in den Personenidentifizierungsdaten, Missbrauch der E-ID, Zugriffsmittel in den falschen Händen.

Fehler in den Personenidentifizierungsdaten:

  • Die Qualität der E-ID würde beeinträchtigt, da eben das Ziel derjenigen Relying Party, die sich auf die E-ID verlassen will, darin besteht, einen Nachweis über persönliche Eigenschaften der E-ID-Nutzerin zu erhalten (siehe den Beitrag Identität – Was ist das?, wo die Nachweisfunktion der E-ID genauer beschrieben wird). Dies wäre ein Nachteil. Aber einen finanziellen Schaden erleidet direkt dadurch noch niemand.
  • Man könnte aber den Gedanken weiterspinnen, z.B. auf Basis des Use Case Jugendschutz. Wenn eine Jugendliche im Alter von 17 Jahren Alkohol kauft und diesen mit einer Kollegin trinkt, welche anschliessend in alkoholisiertem Zustand mit ihrem Fahrrad gegen ein parkiertes Auto prallt, dann entsteht der Eigentümerin des Autos ein Schaden. Und irgendwie hängt der Schaden mit dem Fehler in den Personenidentifizierungsdaten der E-ID-Nutzerin zusammen (unten dann die Diskussion zur Kausalkette).

Wenn die Zugriffsmittel einer Person ausspioniert werden, könnte z.B. ein Identitätsdiebstahl stattfinden. Der Identitätsdiebstahl könnte sich z.B. wie folgt auswirken:

  • Ein unbefugter Dritter könnte sich z.B. bei Abschluss eines Handy-Abonnements als die falsche Person ausgeben. Direkt dadurch würde finanziell niemand geschädigt. Die Telekommunikationsanbieterin könnte aber ihre Pflichten gemäss Art. 20 Abs. 1 VÜPF nicht erfüllen (siehe dazu den Use Case Handy Abonnement). Der Dritte, der das Mobilfunkabonnement beantragt, würde die Handy Rechnung erhalten und bezahlen. Finanziell würde namentlich die Nutzerin nicht geschädigt. Auch eine finanzielle Schädigung der Mobilfunkanbieterin ist nicht die Folge. Aber die Ziele der Gesetzgebung (z.B. Terrorismusbekämpfung) würden vereitelt.
  • Eine Bank könnte die Identität der Nutzerin im Rahmen der Kontoeröffnung nicht korrekt prüfen. Direkt dadurch würde finanziell niemand geschädigt. Niemand könnte auf vermögensmässig fremdes Geld zugreifen. Aber die Bank könnte ihre Pflichten z.B. aus der Geldwäschereigesetzgebung nicht erfüllen (siehe Use Case Digitales Onboarding).

Neues Haftungskonzept mit dem BGEID?

Die Haftung der E-ID-Nutzerin richtet sich nach dem allgemeinen Haftungskonzept des Schweizerischen Obligationenrechts (OR), namentlich nach Art. 41 OR. Wenn die Gegner des BGEID sagen, dass das BGEID einen neuen Haftungsmechanismus einführe, ist dies nicht korrekt.

Voraussetzung der Haftung im Allgemeinen

Für die Haftung einer E-ID-Nutzerin wird Verschiedenes von Bedeutung werden:

  • Schaden (ist überhaupt einer eingetreten?)
  • Kausalität (hat die Inhaberin der E-ID den Schaden verursacht?)
  • Verschulden (hat sie den Schaden verschuldet?)
  • Widerrechtlichkeit (liegt sog. Widerrechtlichkeit vor? Falls es um blosse Vermögensschäden geht, ist Art. 12 Abs. 1 BGEID relevant (zur Sorgfaltspflicht der E-ID-Nutzerin)
  • Sinnhaftigkeit der Rechtsverfolgung (ist es überhaupt sinnvoll, zur Deckung des allfälligen Schadens auf die Inhaberin der E-ID zuzugehen?)
  • Beweislast (in jeder Lösung hätte eine der vorstehenden Tatsachen zu beweisen, wer aus ihr Rechte ableiten will)

Automatische oder verschuldensabhängige Haftung?

Bei der Haftung muss man unterscheiden, wer wofür haften soll. Analysiert man die Haftungsfrage sachlich, kommt man zu ganz unaufgeregten Schlüssen:

  • Die E-ID-Nutzerin haftet im obigen Beispiel Verkehrsunfall durch alkoholisierte Jugendliche nur für eigenes Fehlverhalten. Grundsätzlich hat die Kollegin, die tatsächlich Fahrrad gefahren ist, den Schaden verursacht und ist deswegen auch jene, die haften muss. Die Haftung der E-ID-Nutzerin wegen Sorgfaltspflichtverletzung (Verletzung von Art. 12 Abs. 1 BGEID) wäre extrem weit weg vom Schaden. Näher dran, aber immer noch weit weg, wäre der Umstand, dass die E-ID-Nutzerin wissentlich beim Online-Einkauf von Alkohol falsche Angaben gemacht hat. Juristisch heisst dies abschliessend: Man kann zwar die Nutzung der E-ID nicht wegdenken, ohne dass der Unfall entfiele (natürliche Kausalität), aber die entsprechende Nutzung der E-ID führt nach der allgemeinen Lebenserfahrung und dem gewöhnlichen Lauf der Dinge nicht zu einen Lackschaden an einem Auto (keine adäquate Kausalität).
  • Die Analyse ist beim Missbrauch von Angaben Dritter zum Abschluss eines Handy-Abonnements ähnlich. Die E-ID-Nutzerin ist nicht verantwortlich für schädigende Aktionen, die ein Dritter mit Verwendung des Handy-Abonnements koordiniert (siehe oben).
  • Ein Szenario, in welchem die E-ID-Nutzerin hingegen haften würde, wäre wie folgt: Sie lässt alle Geräte, welche für den Zugang zum E-Banking nötig sind völlig ungesichert und alle Passwörter auf einen Zettel notiert im Tram liegen. Nachdem sie den Verlust bemerkt, wartet sie noch 3 Tage, um diesen der Bank zu melden. In der Zwischenzeit loggt sich jemand ein und tätigt Überweisungen. Die Bank würde eine Haftung ablehnen, da das Eigenverschulden der E-ID-Nutzerin (Sorgfaltspflichtverletzung i.S.v. Art. 12 Abs. 1 BGEID) hier im Vordergrund steht.

Auch beim BGEID gilt folglich: Es haftet, wer den Schaden verschuldet hat. Eine automatische Haftung der E-ID-Nutzerin besteht nicht.

Keine Beweislastumkehr

Die BGEID-Gegner sehen in der Regelung von Art. 32 Abs. 1 BGEID eine Beweislastumkehr. Dies würde bedeuten, dass die E-ID-Nutzerin immer haften würde, solange sie nicht das Gegenteil beweisen könnte.

Eine solche Beweislastumkehr kann man im BGEID aber nicht erkennen. Es muss unter dem BGEID nach der üblichen Formel i.S.v. Art. 8 ZGB stets derjenige sämtliche Tatsachen beweisen, der aus ihnen Rechte ableiten will:

  • Wenn ein Merchant beispielsweise fordert, dass die E-ID-Nutzerin für einen Schaden aufkommen soll, den er erlitten hat, dann muss er – neben all den oben genannten Voraussetzungen – zusätzlich beweisen, dass die E-ID-Nutzerin unsorgfältig mit ihrer E-ID umgegangen ist und diese Unsorgfalt für den Schaden ursächlich sei.
  • Mit den Klärungen in der Botschaft hat die E-ID-Nutzerin gegenüber den anderen Teilnehmern aber gerade den Vorteil, dass sie von Anfang weiss, wie sie ihre Sorgfaltspflichten erfüllen kann.

Was bleibt?

Es bleibt abschliessend v.a. eine Frage: Wo ist jetzt also genau das Problem von Art. 32 Abs. 1 BGEID?

Das könnte Dich auch interessieren...

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.