Update 27.11.2019:
Der Bundesrat hat die Resultate der Vernehmlassung zum „Bundesgesetz zur Anpassung des Bundesrechts an Entwicklungen der Technik verteilter elektronischer Register“ publiziert. Fazit: Ein Fass von Widersprüchen ohne klares Konzept, keine Technologieneutralität aber auch ungenügende Kontroll- oder Mindestvorgaben, kurzum ein Flickwerk. Interessanterweise hat sich die Security-Community nicht eingebracht, offenbar hat sie das leider übersehen, da wäre sonst noch viel stärker kritisiert worden.
Wenigstens ist das Zugangsrecht zu Daten im Konkurs Bestandteil. https://www.newsd.admin.ch/newsd/message/attachments/59307.pdf
Diese Artikel enthält meine Stellungnahme zum DLT Entwurf („Blockchain Gesetz“ des Bundesrates vom 22.3.2019)
Management Summary
Dieser Mantelerlass ist in der vorliegenden Form abzulehnen. Der Vorschlag des Bundesrats ist nicht geeignet, die angestrebten Ziele zu erreichen. Er hat elementare Mängel, die offenbar auf einem fehlenden Verständnis oder einer falschen Einschätzung der zu Grunde liegenden Technologie beruhen.
Dies sind die wesentlichen Mängel:
- Der Vorschlag ist nicht technologieneutral.
- Das Gesetz ist nicht geeignet, Vertrauen in eine komplexe Technologie zu schaffen.
- Die Risiken der DLT sind nicht ausreichend adressiert und die Haftungsregeln ungenügend.
- Art. 242b SchKG sollte auf jeden Fall eingeführt werden.
Technologieneutralität
Es hat wohl in der Schweiz noch nie eine ähnliche Vorlage gegeben, die eine Technologie zu regeln versucht, welche noch nicht einmal den Kinderschuhen entwachsen ist. Während der Gesetzgeber ansonsten den Grundsatz hochgehalten halt, dass möglichst technologieneutral legiferiert wird (man vergleiche die bis heute gültigen Anforderungen zur elektronischen Aufbewahrung in Art. 957a ff OR und der GeBüV [1]), ist im vorliegenden Fall genau das Gegenteil passiert. Der Gesetzgeber sieht sich genötigt, eine bekanntermassen neue Technologie (die erst vor 10 Jahren umfassend konzeptionell beschrieben beschrieben wurde) als Massstab und Standard in einem Gesetz festzuschreiben. Dieses Vorgehen ist befremdlich, wird doch in keiner Art und Weise beschrieben, wie die DLT (Blockchain Verfahren) überhaupt funktioniert und wo ihre Schwachstellen liegen und welches die damit verbundenen Risiken sind. Man gewinnt den Eindruck, dass weder die Verfasser der Grundlagenstudie nach die Autoren des Gesetzes wirklich verstanden haben, warum es bei der DLT wirklich geht und dass diese auch elementare Risiken aufweist. Der Gesetzesentwurf liest sich eigentlich mehr wie eine Werbebroschüre für Blockchain Protagonisten oder für Investoren von DLT basierenden Systemen, insbesondere von ICO Goldgräbern.
In den letzten 50 Jahren Informationstechnologie haben sich sehr wichtige Entwicklungen ereignet, die bis jetzt keinen Niederschlag im Gesetz fanden. Stellt nun die DLT Technologie tatsächlich eine so bahnbrechende Neuentwicklung dar, dass sie gesetzlich geregelt werden müsste? Die Antwort lautet klar: Nein!
Auf welchem Niveau bewegt sich nun der aktuelle Vorschlag? Dazu ein konkreter Vergleich: Angenommen, im Jahre 1810 wäre dem Schweizer Gesetzgeber vorgeschlagen worden, man brauche ein Gesetz, um die Einführung so genannter „Züge“ zu ermöglichen. Das Konzept „Zug“ wird geschildert und es wird damit argumentiert, dass man damit eine grosse Menge von Personen in hölzernen Wagen auf Rädern von A nach B sicher und schnell transportieren könne. Dies zudem mit nie dagewesener Geschwindigkeit und auch sehr hoher Sicherheit (Schutz vor Wetter und Strassenräubern). Verschiedene Geldgeber (deren Vorfahren schon Im Tulpenhandel mitgemischt hatten), würden bereits wesentliche Teile ihres Kapitals in die neue Technologie investieren. Im nahen Ausland würden ähnliche Pläne existieren. Die Schweiz müsse unbedingt einen rechtlichen Rahmen beschaffen, damit der Wettbewerbsvorteil behauptet werden könne. Die Geldgeber drängen folglich darauf, den rechtlichen Rahmen zu schaffen um solche „Züge“ so rasch als möglich einzuführen. Bei der Beschreibung des Konzepts „Zug“ fehlte nur eine, allerdings nicht unbedeutende Kleinigkeit, nämlich das Schienennetz (man beachte die Definition des Begriffs „Eisenbahn“ aus dem Brockhaus von 1837):
„Eisenbahnen, Riegel oder Schienenwege sind fahrbare Straßen mit festen Gleisen von Eisenschienen oder von mit Eisen beschlagenem Holz und Steinen, auf denen die Räder der Wagen laufen, wodurch der Widerstand, welchen sie auf gewöhnlichen Wegen am Umfange erleiden, so weit aufgehoben wird, dass beinahe nur die Reibung an der Achse noch zu überwinden bleibt und ihre Fortbewegung durchschnittlich wenigstens zehnfach erleichtert ist.“
– Stichwort „Eisenbahn“ im „Brockhaus-Bilder-Conversations-Lexikon“ (1837)
Der DLT Gesetzesvorschlag versucht im übertragenen Sinn zu beschreiben, was ein Zug ist und wie er Personen befördert, die Rolle des Schienennetzes wird indes geflissentlich ignoriert. Damit fehlen aber auch umfassende Überlegungen zu Fragen der Risiken und zur Haftung im Gesamtsystem.
Die Grundfrage müsste doch lauten: Wie schaffen wir das Vertrauen, damit die Leute wirklich in den Zug DLT einsteigen und mit ihm fahren wollen?
Vertrauen und Haftung
Heute hat man sich von der Vorstellung gelöst, nur das Wertpapier in seiner klassischen Form könne einen Wert verkörpern. Milliardenumsätze werden basierend auf elektronischen Daten gehandelt, dies seit Jahren erfolgreich – auch ohne DLT. Grundsätzlich ist es heute so, dass die Vertrauensbildung in Handelssystemen über den rechtlichen Rahmen, die Parteien und über die eingesetzte Technologie erfolgt. Handelssystem sind so hoch reguliert und kontrolliert, dass die Teilnehmer an diesem Markt davon ausgehen können, dass ihre Werte sicher sind.
Wann vertraut der Nutzer in ein System, in welchem (seine) Millionenwerte verwaltet werden? Entscheidend ist NICHT die eingesetzte Technologie, um ein Handelssystem vertrauenswürdig zu machen. Letztlich entscheidend ist die gesamte Umgebung, d.h. technisch gesprochen, die Parteien, die Systemlandschaft, die rechtlichen Rahmenbedingungen sowie die Organisation und die Personen. Ausführliche Erhebungen dazu wurden in den neunziger Jahren von uns im Rahmen von EU Forschungsprojekten im Kontext von Zertifizierungsdiensten angestellt.
Vertrauen basiert nur zu einem sehr geringen Teil auf Technologie. Doch DLT Protagonisten vermitteln permanent dieses falsche Bild. Gerne wird unterschlagen, dass ein solches System mehrere Schichten hat: Von der Versorgungs-Infrastruktur über die Kommunikationsnetzwerke, das Internet bis zur Betreiberin der DLT-Plattform. Letztere sind die Anbieter des Schienennetzes gemäss unserem Beispiel. Es wird tunlichst unterschlagen oder kaum erwähnt, dass die zu Grunde liegende Infrastruktur und damit deren Betreiber für die Sicherheit und die damit verbundenen Risiken von mindestens gleich grosser Bedeutung sind wie der Zug selbst. Im Gesetzesvorschlag werden die Betreiber der Basissysteme, auf welcher die DLT laufen, so gut wie nicht berücksichtigt. Dass man sich wenig tiefgreifende Gedanken darübergemacht hat, wie die Risikoverteilung in der Praxis aussehen wird, ergibt sich schon aus Art. 973h OR. Da wird nämlich dem Schuldner auferlegt, er müsse sich um die grundsätzliche Funktionsfähigkeit und Sicherheit des Registers bemühen, bzw. er soll Funktionsweise und Sicherheitsmassnahmen offenlegen. Damit solle dann der Gläubiger in der Lage sein, darüber zu entscheiden, ob er sich diesem anvertrauen wolle. Was würde in der Praxis geschehen? Der Gläubiger wird Allgemeine Geschäftsbedingungen gegenzeichnen müssen, in welchem mehr oder weniger ausführlich beschrieben wird, wie der Schuldner die Sicherheit zu gewährleisten gedenkt. Natürlich mit anschliessender Freizeichnung durch den Gläubiger, der keine Chance hat, die tatsächliche Sicherheit der Plattform noch seine Risiken zu bewerten. Das hier weder der Betreiber (d.h. derjenige, welcher die Schienen legt und das Trassee betreibt) explizit eingebunden wird, noch der Schuldner eine explizite Haftung übernehmen soll, sind elementare Mängel dieses Gesetzesentwurfs. Während zum Beispiel im Bundesgesetz über die elektronische Signatur, ZertES, ausdrücklich geregelt wird, welche Haftung die Zertifizierungsinstanz auf sich zu nehmen hat, wird im DLT Fall völlig fahrlässig mit diesem Thema umgegangen.
Die Anmerkungen im Kommentar weisen eindeutig darauf hin, dass man diese Situation nicht richtig einschätzen konnte, bzw. sich nie ernsthafte Gedanken zur Risikosituation gemacht hat, Zitat:
“Der Bundesrat ist der Ansicht, dass eine Freizeichnungsmöglichkeit den Schuldner von dieser Verantwortung ungebührlich entlasten würde. Selbstverständlich bleibt es dem Schuldner aber unbenommen, sich bei dem Betreiber eines Registers oder sonstigen beigezogenen Dritten schadlos zu halten und die Haftung allenfalls vertraglich auf diese zu überwälzen. Im Rahmen der Privatautonomie können vielfältige Abreden getroffen werden, um eine gerechte Risikoverteilung zu bewirken.“
Was heisst denn hier „gerecht“? Das Risiko wird deshalb wohl vollumfänglich auf den Endkunden geschoben werden. Das ist in der heutigen Zeit schlicht am Markt vorbeigeschossen. In Zeiten tagtäglicher Sicherheitsbedrohungen und aufkommender Technologieskepsis (die Diskussionen um das E-Voting und die Digitale ID haben das eindrücklich gezeigt), verweigert sich immer mehr Nutzer neuen Technologien mit unbekannten Risiken.
Risiken der DLT
Die so genannte „Trust Machine=Synonym für Blockchain)“ ist ein interessantes Konzept, welche auf dem Schreibtisch bzw. in den Köpfen von Kryptologen durchaus interessant daherkommt, in der realen Welt jedoch immer Schwachstellen hat [1]. Das hat damit zu tun, dass die kryptografischen Algorithmen per se sicher sein mögen, ihre Implementierung dies jedoch nie sein wird. Hinzu kommen Probleme, die sich aus den Augenblicken selbst ergeben. So widersprechen sich zum Beispiel Nachvollziehbarkeit und Vertraulichkeit: Eine vollständig transparente Buchhaltung ermöglicht keine Vertraulichkeit gegenüber den Teilnehmern im System. Das kann gewünscht sein, Alternativen müssen jedoch ermöglicht werden. In der Praxis hat jedoch die DLT eine ganz andere, grundlegende Fehlkonzeption. Während in jedem Buchhaltungs- oder Handelssystem Transaktionen storniert werden können, ist dies im DLT System per se nicht möglich. Dies wird zwar von den DLT-Protagonisten immer wieder auf grosse Stärke hervorgehoben, hat aber mindestens so viele Nach- wie Vorteile. Insbesondere im Zusammenhang mit so genannten Smart Contracts (Smart Contracts sind automatisch ausgeführte Programme) die per Definition nicht rückgängig gemacht werden können, entstehen potentielle Zeitbomben. Solche Fälle sind bereits eingetreten und es ist damit zu rechnen, dass dies in Zukunft regelmässig passieren wird. Der Plan B in einem solchen System ist elementar für das Vertrauen der Teilnehmenden – hier fehlt er völlig. Diesen Umständen wurde im Gesetzentwurf in keiner Art und Weise Rechnung getragen.
SchKG Art. 242b
Unbedingt einzuführen ist Art. 242b SchKG. Die Tatsache, dass an elektronischen Daten bis heute keine Eigentumsrechte geltend gemacht werden können, stellt das grösste Rechtsrisiko für die Nutzer von Cloud-Diensten dar. Mit dem Zugriff auf Daten im Konkurs können zumindest die gesetzlichen Pflichten, wie der jederzeitige Zugriff auf Archivdaten, gewährleistet werden. Ohne diese Grundlage sind Clouddienste in der Schweiz eigentlich nur nutzbar, wenn teure, weil redundante Datenhaltungen betrieben werden.
Literaturverzeichnis
[1] | B. Wildhaber, Information Governance, KRM, Hrsg., Zollikon, ZH: KRM, 2015. |
[2] | B. Wildhaber, Kann man Blockchains vertrauen?, D. Burgwinkel, Hrsg., Berlin: De Gruyter, 2016. |