Am 17.1.2000 ist die sogenannte E-Commerce-Richtlinie [Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt „Richtlinie über den elektronischen Geschäftsverkehr“); Abl. L 178 vom 17.7.2000, S. 1-16] in Kraft gereten. Infolge dessen ist die Bundesrepublik Deutschland nach dem EG-Vertrag verpflichtet, deren Bestimmungen binnen 18 Monaten in nationales Recht umzusetzen.
Die sogenannte Signatur-Richtlinie [Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13.12.1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen; ABl. L 13 vom 19.1.2000, S. 12-20], die ebenfalls in engem Zusammenhang zum elektronischen Handel steht, ist bereits am 19.01.2000 auf EU-Ebene in Kraft getreten. Der deutsche Gesetzgeber wird, zur Umsetzung der Bestimmungen der Richtlinie in geltendes Recht, das Signaturgesetz entsprechend anpassen müssen.

E-Commerce-Richtlinie

Das äußerst starke Wachstum des elektronischen Geschäftsverkehrs wird zur Zeit durch Unsicherheiten hinsichtlich der beim E-commerce anzuwendenden nationalen Regelungen und durch die Unterscheide der innerstaatlichen Rechtsvorschriften gehemmt. Mit Erlass der E-Commerce-Richtlinie sollen diese Hindernisse durch die Schaffung eines einheitlichen Rechtsrahmens innerhalb des EU-Binnenmarktes abgebaut werden. Die Richtlinie will erreichen, dass für Dienste der Informationsgesellschaft die Binnenmarktgrundsätze der Dienstleistungs- und Niederlassungsfreiheit gelten.

Die Richtlinie erfasst alle Dienstleistungen wirtschaftlichen Charakters der Informationsgesellschaft. Über das Internet erbrachte Leistungen von Unternehmen für Unternehmen oder von Unternehmen für Verbraucher, wie der Online-Verkauf von Waren oder Diensten, kostenlose Dienste, die z.B. durch Anzeigen oder Sponsoren finanziert werden, aber auch die Tätigkeit von Access- und Service-Providern fallen unter die Regelungen der Richtlinie. Dagegen werden nicht-kommerzielle Dienste, wie z.B. Universitäts-Provider oder private Homepages, sowie das Versenden privater E-mails von der Richtlinie nicht erfasst.
Zu den von der Richtlinie betroffenen Sektoren und Tätigkeiten gehören u.a. Online-Zeitungen, Online-Datenbanken, Online-Finanzdienste, Online-Dienstleistungen der freien Berufe (Rechtsanwälte, Ärzte, Wirtschaftsprüfer, Steuerberater, Immobilienmakler usw.), Online-Unterhaltungsdienste wie Video auf Abruf, Online-Direktvertrieb, Online Werbung und Internet-Zugangsdienste.

Niederlassung/Beaufsichtigung/Transparenz

Die Richtlinie gilt nur für Dienstanbieter, die in der EU niedergelassen sind, nicht für Anbieter aus Drittländern. Der Ort der Niederlassung eines Dienstanbieters wird als der Ort definiert, an dem er mittels einer festen Einrichtung eine Wirtschaftstätigkeit tatsächlich ausübt, unabhängig davon, wo Websites, Server und Mailbox installiert sind.
In engem Zusammenhang hierzu steht das Herkunftslandsprinzip. Nach diesem bereits aus anderen Richtlinien bekannten Prinzip müssen Dienstanbieter grundsätzlich nur die Vorschriften beachten, die am Ort ihrer Niederlassung gelten. Für Dienstanbieter, die gemeinschaftsweit tätig werden, bedeutet das, dass sie sich nicht über sämtliche in der Gemeinschaft geltende nationale Rechtsvorschriften informieren und diese berücksichtigen müssen. Mit anderen Worten: EU-Anbieter unterliegen keinen Beschränkungen im EU-Abrufstaat.

Weiterhin übernimmt die E-Commerce-Richtlinie den bereits aus dem deutschen Teledienstgesetz und Mediendienste-Staatsvertrag bekannten Grundsatz der Zulassungsfreiheit von Diensten der Informationsgesellschaft. Aufnahme und Ausübung der Tätigkeit der Dienstanbieter dürfen somit keiner behördlichen Zulassung unterliegen, die nicht auch für nicht über elektronische Medien angebotene Dienste gleicher Art gelten.

Darüber hinaus müssen die Mitgliedstaaten die Anbieter von Diensten verpflichten, Informationen über sich und ihre Tätigkeit, wie Name, Anschrift, E-mail-Adresse, gegebenenfalls Handelsregister-, Umsatzsteuernummer, Mitgliedschaft in Berufsverbänden und Kammern, für ihre Nutzer und zuständige Behörden ständig und leicht zugänglich zur Verfügung zu stellen. Erweiterte Informationspflichten treffen die reglementierten Berufe, wie z.B. Rechtsanwälte, Ärzte, Wirtschaftsprüfer. Die E-Commerce-Richtlinie wird von den weiteren Informationspflichten der sogenannten Fernabsatz-Richtlinie die den Verbraucherschutz im Fernabsatz (z.B. Internet-Handel) regelt, ergänzt.

Kommerzielle Kommunikation

Regelungsgegenstand der Richtlinie sind auch Informationspflichten hinsichtlich der kommerziellen Kommunikation, wie Werbung, Sponsoring und Direktmarketing. Deren Auftraggeber müssen klar als solche zu erkennen sein. Damit soll den Verbrauchern Sicherheit gegeben und unlauteren Geschäftspraktiken entgegengewirkt werden. Darüber hinaus muss ungebeten übermittelte E-Mail-Werbung, das sogenannte „Spamming“, soweit sie von den nationalen Rechtsordnungen der Mitgliedstaaten überhaupt zugelassen wird, als solche klar und unzweideutig gekennzeichnet sein. Außerdem sieht die Richtlinie vor, dass die Dienstanbieter regelmäßig sogenannte Robinson-Listen zu konsultieren haben, in denen sich Personen eintragen können, die keine ungebetene E-Mail-Werbung erhalten wollen. Nach der Richtlinie bleibt es den deutschen Gerichten weiterhin möglich „Spamming“ als wettbewerbsrechtlich unlauter anzusehen und zu untersagen.
Für reglementierte Berufe gilt, dass sie Dienstleistungen auch online erbringen dürfen und auch dann Websites betreiben dürfen, wenn ihnen ihr nationales Recht Werbung verbietet. Sie müssen sich dabei aber an berufsethische Regeln halten, die von den Berufsverbänden und Standesorganisationen in Verhaltenkodizes niedergelegt werden sollen.

Online-Verträge

Die Mitgliedstaaten werden nach der Richtlinie verpflichtet, alle Verbote und Beschränkungen der Verwendung elektronisch abgeschlossener Verträge, wie z.B. Online-Bestellungen, aufzuheben. Nach der Richtlinie werden Online-Verträge in 3 Schritten abgeschlossen. Der Dienstanbieter gibt durch das Offerieren seiner Produkte oder Dienstleistungen auf seinem Website ein Angebot im rechtlichen Sinne ab. Der Nutzer nimmt das Angebot, z.B. durch das Anklicken eines „OK“-Buttons auf einer Webseite, an. Das Geschäft kommt aber erst zustande, wenn der Kunde vom Dienstanbieter die Empfangsbestätigung seiner Annahme erhalten hat, d.h. dann, wenn der Kunde die Bestätigung seiner Bestellung abrufen kann.
Infolgedessen werden für die deutschen Regelungen zum Vertragsschluss wesentliche Anpassungen erforderlich. Das BGB betrachtet das Offerieren von Waren bzw. Dienstleistungen auf einem Website lediglich als Aufforderung zur Abgabe eines Angebots (invitatio ad offerendum). Das Angebot im rechtlichen Sinne wird durch den Nutzer gemacht. Die Annahme erfolgt durch den Anbieter. Damit ist der Vertrag geschlossen. Einer zusätzlichen Bestätigung bedarf es nicht.
Nach der Richtlinie hat der Dienstanbieter dem Verbraucher über die erforderlichen Schritte zu informieren, die zum Abschluss elektronischer Verträge führen. Zudem hat der Dienstanbieter dem Nutzer vor Vertragsschluss die Möglichkeit zu geben, Eingabefehler und versehentliche Vorgänge festzustellen und zu korrigieren. Außerdem müssen die Vertragsbestimmungen und allgemeinen Geschäftsbedingungen dem Nutzer so zur Verfügung gestellt werden, dass er sie speichern und reproduzieren kann.
Es bleibt den nationalen Gesetzgebern überlassen, bestimmte Geschäfte, bei denen z.B. persönliche Anwesenheit (Eheschließung, Bürgschaften, Immobiliengeschäfte usw.) erforderlich ist, vom elektronischen Geschäftsverkehr auszuschließen. Für gewerbliche Vertragsparteien besteht die Option von sämtlichen den Vertragsabschluss betreffenden Regelungen abweichende Vereinbarungen zu treffen.

Verantwortlichkeit

Die Richtlinie regelt auch die Verantwortlichkeit von Dienstanbietern. Sie sieht eine abgestufte Verantwortlichkeit vor. Sie unterscheidet zwischen Durchleitung, Zwischenspeicherung und Speicherung von Informationen. Den Regelungen ist gemeinsam, dass die Dienstanbieter für fremde rechtswidrige Inhalte nur ausnahmsweise verantwortlich sind. Bei der reinen Durchleitung von Informationen ist der Dienstanbieter nicht verantwortlich, wenn er eine rein passive Rolle spielt, die in der bloßen Weiterleitung der Informationen besteht. Auch die Verantwortlichkeit für die Informationsspeicherung ist begrenzt. Beim sogenannten „Caching“, der automatischen, zeitlich begrenzten Speicherung zwecks Effizienzsteigerung der Kommunikationsnetze, ist der Dienstanbieter haftungsfrei, wenn er in keiner Weise mit der übermittelten Information in Verbindung steht. Von besonderem Interesse für die Internetzugangsanbieter ist, dass das „Hosting“, das Bereitstellen von Speicherplatz für die Daten von Nutzern, für den Dienstanbieter grundsätzlich keine Haftung begründet. Er haftet nicht, sofern er keine Kenntnis von der rechtswidrigen Tätigkeit oder Information des Nutzers hat. Im Hinblick auf Schadensersatzansprüche dürfen ihm zudem keine Hinweise auf eine rechtswidrige Tätigkeit vorliegen. Hat er erfahren oder ist ihm bewusst geworden, dass die von ihm gespeicherte Informationen illegal sind, haftet er ebenfalls nicht, sofern er unverzüglich tätig wird, um die Informationen zu entfernen oder deren Zugang zu sperren. Den Gerichten und Verwaltungsbehörden der Mitgliedstaaten bleibt es aber unbenommen nach ihren nationalen Rechtsnormen zu verlangen, dass die Rechtsverletzung durch den Dienstanbieter angezeigt, und abgestellt oder verhindert wird. Konsequenterweise wird den Dienstanbietern durch die Richtlinie auch keine allgemeine Überwachungspflicht hinsichtlich der von ihnen übermittelten und gespeicherten Informationen auferlegt.

Signatur-Richtlinie

Eine weitere wesentliche Bedingung für den Erfolg des elektronischen Geschäftsverkehrs ist, dass elektronische Dokumente in funktionsäquivalenterweise Papierdokumente ersetzten können. Die Schwierigkeit hierbei liegt in der leichten Manipulierbarkeit elektronischer Daten. Um die Urheberschaft und Unverfälschtheit elektronischer Dokumente zu sichern, bedient man sich elektronischer Signaturen. Solche bestehen aus elektronischen Daten, die dem zu sichernden Dokument hinzugefügt werden und dieses verschlüsseln. In technischer Hinsicht verlangt die elektronische Signatur ein asymmetrisches Schlüsselpaar: einen sicheren Träger des geheimen Signaturschlüssels und Verzeichnisdienste, sogenannte Zertifizierungsdienstanbieter, für den öffentlichen Prüfschlüssel.
Wie die bereits erwähnte E-Commerce-Richtlinie will auch die Signatur-Richtlinie durch unterschiedliche nationale Regelungen der Mitgliedstaaten bedingte Hindernisse und Unsicherheiten beseitigen. Die Richtlinie soll einen einheitlichen Rechtsrahmen für elektronische Signaturen und die Zulassung von Zertifizierungsdienstanbietern schaffen. Durch einen Mindeststandard an Sicherheit soll die Akzeptanz und das Vertrauen in elektronische Signaturen gestärkt werden. Die Richtlinie zielt darauf ab, die Dienstleistungs- und Niederlassungsfreiheit für Zertifizierungsdienstanbieter und ihre Dienste zu verwirklichen.

Dabei findet die Richtlinie keine Anwendung auf elektronische Signaturen, die ausschließlich in Systemen verwendet werden, die auf freiwilligen privatrechtlichen Vereinbarungen beruhen, wie z.B. Intranetsystemen von Unternehmen oder Banksystemen.

Rechtliche Anerkennung

Die Richtlinie sieht vor, dass elektronische Signaturen im EU-Binnenmarkt grenzüberschreitend rechtlich anerkannt werden. Deshalb muss jede elektronische Signatur, unabhängig davon in welchem Mitgliedstaat sie erstellt wurde, vor Gericht als Beweismittel zugelassen werden. Das deutsche Signaturgesetz sieht lediglich eine Sicherheitsvermutung bei digitalen Signaturen vor, geschweige denn eine Anerkennung ausländischer Signaturen und ist diesbezüglich anzupassen. Unter bestimmten Voraussetzungen wird eine elektronische Signatur von der Richtlinie sogar rechtlich mit einer handschriftlichen Unterschrift gleichgestellt: Das gilt unter bestimmten Voraussetzungen für eine „fortgeschrittene elektronische Signatur“, die mit einer sicheren Signaturerstellungseinheit, d.h. konfigurierte Software oder Hardware, die bestimmten Anforderungen entspricht, erzeugt wurde und auf einem qualifizierten Zertifikat beruht. Letzteres bezeichnet eine elektronische Bescheinigung, mit der elektronische Signaturprüfdaten einer bestimmten Person zugeordnet werden und die Identität dieser Person bestätigen. Der Zertifizierungsdienstanbieter, der qualifizierte Zertifikate herausgibt, muss bestimmten Anforderungen der Richtlinie gerecht werden. Eine solche rechtliche Gleichstellung zwischen elektronischer Signatur und handschriftlicher Unterschrift sieht das deutsche Signaturgesetz nicht vor. Die Regelungen des Signaturgesetzes werden entsprechend geändert werden müssen. Zur Steigerung des Sicherheitsniveaus sieht die Richtlinie vor, dass die Mitgliedstaaten freiwillige Akkreditierungssysteme etablieren und an Signaturen im öffentlichen Bereich besondere Anforderungen stellen können.

Zulassungsfreiheit/Verantwortlichkeit

Zertifizierungsdienstanbieter unterliegen keiner behördlichen Genehmigungspflicht. Sie müssen aber den innerstaatlichen Bestimmungen entsprechen, die aufgrund der Signatur-Richtlinie vom Mitgliedstaat ihrer Niederlassung erlassen wurden. Zertifizierungsstellen, die qualifizierte Zertifikate anbieten, unterliegen außerdem einem Überwachungssystem.
Die Richtlinie sieht für qualifizierte Zertifikate eine verschuldensabhängige Haftung der Zertifizierungsdienstanbieters mit einer Umkehr der Beweislast vor. Er haftet dafür, dass die Angaben im Zertifikat zum Zeitpunkt seiner Ausstellung richtig und vollständig waren. Ferner auch dafür, dass der Unterzeichner die Signaturerstellungsdaten, d.h. dem privaten Schlüssel, erhalten hat. Zudem haftet der Zertifizierungsdienstanbieter dafür, dass die von ihm erzeugten Signaturerstellungsdaten und -verifikationsdaten, also das Schlüsselpaar, auch funktioniert. Schließlich haftet er dafür, dass der Widerruf des Zertifkats rechtzeitig eingetragen wird. Die Mitgliedstaaten können über diese Mindestregelungen der Richtlinie hinausgehen und strengere Maßstäbe vorsehen.
Das qualifizierte Zertifikat kann in seiner Verwendung beschränkt werden und eine Grenze für den Wert der Transaktion enthalten. Eine Haftung für Schäden, die sich aus einem Überschreiten dieser Beschränkung ergeben, ist ausgeschlossen.