Begriff und Definition: Zugangsfaktor
Der Zugangsfaktor ist ein rechtlicher Fachbegriff, der insbesondere im Zusammenhang mit der sicheren Authentifizierung und dem Nachweis der Zugangsberechtigung bei digitalen Prozessen verwendet wird. Im deutschen und europäischen Recht ist der Zugangsfaktor ein wesentliches Element zur Bestimmung der Authentizität und Integrität elektronischer Handlungen, etwa bei der Nutzung elektronischer Identitäten, digitalen Identitäten, Online-Banking oder im elektronischen Rechtsverkehr. Der Zugangsfaktor dient somit als Nachweis für die Identität einer Person beim Zugang zu geschützten Systemen, Plattformen oder vertraulichen Informationen.
Rechtliche Grundlagen des Zugangsfaktors
Europäische Rechtsakte
Verordnung (EU) Nr. 910/2014 (eIDAS-Verordnung)
Die eIDAS-Verordnung schafft einen EU-weiten Rechtsrahmen für elektronische Identifizierung und Vertrauensdienste. In Artikel 4 wird die Sicherheit der Authentifizierung betont. Zugangsfaktoren finden hierbei Anwendung als Instrumente zur garantiert sicheren Feststellung der Identität und zum Schutz vor unbefugtem Zugriff.
Zweite Zahlungsdiensterichtlinie (PSD2)
PSD2 sieht für das Online-Banking und Zahlungsdienste eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) vor. Hierfür müssen mindestens zwei der folgenden Zugangsfaktoren (sog. Zwei-Faktor-Authentifizierung) genutzt werden:
- Wissen (z.B. Passwort, PIN),
- Besitz (z.B. Mobiltelefon, Token),
- Inhärenz (biometrische Merkmale wie Fingerabdruck, Gesichtserkennung).
Nationales Recht in Deutschland
Bürgerliches Gesetzbuch (BGB) und Fernabsatzrecht
Während das BGB den Begriff „Zugangsfaktor“ nicht ausdrücklich verwendet, sind Zugangsnachweise beispielsweise im elektronischen Rechtsverkehr und beim Zugang von Willenserklärungen in § 130 BGB von zentraler Bedeutung. Zugangsfaktoren können hier als Hilfsmittel fungieren, um den Zugang zu Willenserklärungen rechtssicher nachzuweisen.
Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten (ERV)
Im ERV regelt § 130a ZPO die Anforderungen an die Einreichung elektronischer Dokumente, wobei Zugangsfaktoren zum Schutz vor Missbrauch eingesetzt werden.
Technische und rechtliche Ausgestaltung
Arten von Zugangsfaktoren
Zugangsfaktoren werden klassischerweise nach drei Kategorien unterschieden:
- Wissensbasierte Faktoren: Etwas, das nur der Berechtigte weiß, wie ein Passwort oder eine PIN.
- Besitzbasierte Faktoren: Etwas, das nur der Berechtigte besitzt, etwa ein Authentifikationstoken, eine Smartcard oder ein Mobilgerät.
- Inhärenzbasierte Faktoren: Merkmale, die eine Person ausmachen (biometrische Faktoren), beispielsweise Fingerabdruck, Stimme oder Iris-Scan.
Anforderungen an Zugangsfaktoren
Sicherheit
Zugangsfaktoren müssen ein angemessenes Sicherheitsniveau bieten, insbesondere bei hochsensiblen Anwendungen wie Online-Banking, Behördenportalen oder der Justizkommunikation. Dies erfordert die regelmäßige technische und organisatorische Prüfung auf Manipulations- und Missbrauchsrisiken.
Datenschutz
Bei allen Zugangsfaktoren, insbesondere bei biometrischen Verfahren, ist die Vereinbarkeit mit den Vorgaben der Datenschutz-Grundverordnung (DSGVO) sicherzustellen. Der Grundsatz der Datensparsamkeit und die Sicherheit der Verarbeitung spielen eine zentrale Rolle.
Nachweisbarkeit und Beweiswert
Insbesondere im Zivilprozess und in digitalen Vertragsabschlüssen ist es häufig entscheidend, den Berechtigten eindeutig zu authentifizieren und den Zugangsvorgang beweissicher zu dokumentieren. Zugangsfaktoren müssen so ausgestaltet sein, dass sie im Streitfall einen hohen Beweiswert besitzen.
Zugangsfaktor im Kontext der Zwei-Faktor-Authentifizierung
Rechtlicher Stellenwert
Die Zwei-Faktor-Authentifizierung (2FA) basiert auf mindestens zwei unabhängigen Zugangsfaktoren. Dieser Standard wird in zahlreichen rechtlichen Regelwerken – etwa durch die eIDAS-Verordnung, die PSD2 und das IT-Sicherheitsgesetz – als Mindestanforderung für die Authentisierung in sensiblen Anwendungen festgelegt.
Beispiele für rechtlich relevante Anwendungsfälle
- Elektronische Identifizierung bei Verwaltungsportalen
- Zugriff auf Gesundheitsinformationen nach § 291a SGB V
- Elektronische Aktenführung im Rechtsverkehr
- Digitale Signaturen und qualifizierte elektronische Signaturen (§ 2 SigG)
Haftung und Missbrauchsrisiken im Zusammenhang mit Zugangsfaktoren
Verantwortlichkeit
Die Verantwortlichkeit für den Schutz und die sichere Verwahrung von Zugangsfaktoren liegt in der Regel beim jeweiligen Berechtigten, sofern nicht eine gesetzliche Pflicht zur besonderen Sicherung durch den Betreiber besteht (z.B. bei Banken im Rahmen der Zwei-Faktor-Authentifizierung nach PSD2).
Risiken
- Missbrauch durch Dritte: Bei Verlust oder Kompromittierung eines Zugangsfaktors kann ein erheblicher Schaden entstehen.
- Phishing und Social Engineering: Besonders Wissensfaktoren sind anfällig für Angriffe und sollten immer durch weitere Faktoren ergänzt werden.
Maßnahmen zur Verhinderung von Missbrauch
Dies umfasst regelmäßige Aktualisierung der Faktoren, Einsatz von Mehr-Faktor-Authentifizierung, Sicherheitsbewusstsein sowie technische Maßnahmen (z.B. Verschlüsselung, Sperrmechanismen).
Zugangsfaktor im Beweisrecht
Zugangsfaktoren besitzen vor Gericht insbesondere im digitalen Rechtsverkehr einen hohen Beweiswert. Sie ermöglichen es, die Identität des Handelnden und den Zugang einer Erklärung oder Handlung nachzuweisen. Damit kommt ihnen bei der Bestimmung der Wirksamkeit von Rechtsgeschäften im Online-Bereich besondere Bedeutung zu.
Fazit
Der Zugangsfaktor ist ein zentrales rechtliches Instrument zur Sicherstellung der Identität und Integrität im digitalen Rechtsverkehr. Er erfüllt neben der Sicherheit und Nachweisbarkeit auch wichtige Datenschutzanforderungen. Nationale und europäische Normen verlangen seinen Einsatz in zahlreichen Rechtsbereichen, wobei Missbrauchsrisiken und Haftungsfragen zu beachten sind. Die fortschreitende Digitalisierung macht den Zugangsfaktor zu einer unverzichtbaren Komponente im modernen Rechtssystem.
Häufig gestellte Fragen
Welche rechtlichen Grundlagen regeln die Verwendung von Zugangsfaktoren in Deutschland?
Der rechtliche Rahmen für Zugangsfaktoren wird primär durch das Bürgerliche Gesetzbuch (BGB) sowie durch spezialgesetzliche Regelungen, wie etwa das Telemediengesetz (TMG), das Telekommunikationsgesetz (TKG) und den Zahlungsdiensteaufsichtsgesetz (ZAG), bestimmt. Zugangsfaktoren finden insbesondere im Zusammenhang mit Willenserklärungen sowie bei Vertragsabschlüssen im elektronischen Rechtsverkehr Anwendung. Eine zentrale Rolle spielt hierbei die Feststellung und Sicherstellung der Authentizität und Integrität elektronischer Erklärungen und Identitäten, etwa durch die Nutzung von Nutzername, Passwort, biometrischen Daten oder zusätzlichen Authentifizierungsverfahren (z. B. Zwei-Faktor-Authentisierung). Zudem greifen Datenschutzbestimmungen wie die Datenschutz-Grundverordnung (DSGVO), wenn der Zugangsfaktor personenbezogene Daten darstellt. Spezifisch beim Online-Banking und Zahlungsdiensten ist zudem die Zweite Zahlungsdiensterichtlinie (PSD2) der EU relevant, welche durch das ZAG in nationales Recht umgesetzt wurde und zusätzliche Anforderungen in Bezug auf starke Kundenauthentifizierung formuliert.
Welche Haftungsfragen ergeben sich für Anbieter beim Verlust eines Zugangsfaktors?
Tritt der Verlust eines Zugangsfaktors – z. B. durch Diebstahl, Phishing oder fahrlässige Weitergabe – ein, stellt sich für Anbieter und Nutzer die Frage nach der Haftungsverteilung. Grundsätzlich haftet der Anbieter zunächst für die Sicherheit der bereitgestellten Zugangssysteme sowie für die Einhaltung einschlägiger technischer und organisatorischer Maßnahmen zum Schutz der Zugangsdaten. Wird jedoch nachgewiesen, dass der Nutzer grob fahrlässig gehandelt hat, indem er beispielsweise seinen Zugangsfaktor unverschlüsselt weitergegeben, aufgeschrieben oder an Dritte weitergeleitet hat, kann die Haftung auf ihn übergehen. Speziell bei elektronischen Zahlungsvorgängen sieht das ZAG vor, dass Nutzer bei grober Fahrlässigkeit mit bis zu 50 Euro für vor dem Zugangsanbieter gemeldeten Missbrauch haften, außer sie haben diesen unverzüglich gemeldet oder gehandelt wurde betrügerisch. Die genaue Ausgestaltung der Haftung kann durch vertragliche Vereinbarungen zwischen Anbieter und Nutzer weiter konkretisiert werden, wobei Klauseln nach § 309 BGB sowie AGB-rechtliche Vorschriften zu beachten sind.
Gibt es gesetzliche Vorgaben zur Gestaltung und zum Schutz von Zugangsfaktoren?
Sowohl national als auch auf europäischer Ebene bestehen verbindliche Vorgaben zur Ausgestaltung und zum Schutz von Zugangsfaktoren. Dazu gehören die Anforderungen an sichere Passwörter, die verschlüsselte Speicherung sowie der Zwang zu regelmäßigen Änderungen oder die Vermeidung einfacher Standardpasswörter. Die PSD2 verpflichtet Zahlungsdienstleister zur Implementierung einer „starken Kundenauthentifizierung“, wobei mindestens zwei aus drei möglichen Faktoren (Wissen, Besitz, Inhärenz) verlangt werden. Die Datenschutz-Grundverordnung (DSGVO) verlangt im Rahmen der „technischen und organisatorischen Maßnahmen“ nach Art. 32 DSGVO die Ergreifung angemessener Schutzmaßnahmen, um Zugangsfaktoren und damit verbundene personenbezogene Daten vor unbefugtem Zugriff zu bewahren. Verstöße gegen diese Vorgaben, etwa durch fahrlässigen Umgang oder die mangelhafte Sicherung von Zugangscodes, können bußgeldbewährt sein und zivilrechtliche Schadensersatzansprüche nach sich ziehen.
Welche Nachweispflichten bestehen im Streitfall rund um die Verwendung eines Zugangsfaktors?
Im Streitfall, beispielsweise bei unautorisierten Transaktionen oder missbräuchlichen Vertragsabschlüssen unter Verwendung eines Zugangsfaktors, stellt sich die Frage der Beweislast. Grundsätzlich liegt die Darlegungs- und Beweislast für die Authentizität der Handlung beim Anbieter. Er muss technisch und dokumentarisch nachweisen, dass und wie der Zugangsfaktor eingesetzt wurde, etwa durch Protokolle, Logfiles oder Authentifizierungsnachweise (z. B. TAN, OTP, biometrische Prüfung). Kann der Anbieter nachweisen, dass der Zugangsfaktor korrekt eingegeben und verwendet wurde, wird zu Lasten des Nutzers vermutet, dass er die Transaktion oder Handlung vorgenommen hat, es sei denn, der Nutzer kann glaubhaft machen, dass ein technischer Fehler oder eine unbefugte Nutzung vorlag. Das Prozessrecht, insbesondere nach Beweislastregeln im BGB sowie ergänzend nach § 286 ZPO, regelt die Beweisführung im Einzelnen.
Wie lange ist ein Zugangsfaktor rechtlich wirksam und kann dieser zeitlich befristet werden?
Die rechtliche Wirksamkeit eines Zugangsfaktors ist grundsätzlich an die vereinbarte oder technisch vorgegebene Nutzungsdauer gebunden. Die Gültigkeitsdauer einzelner Zugangsfaktoren (z. B. TAN, temporäres Passwort) kann durch den Anbieter oder den Gesetzgeber zeitlich limitiert werden. Beispielsweise sind TANs im Online-Banking meist nur wenige Minuten oder für eine bestimmte Transaktion gültig. Allgemeine Zugangscodes oder Passwörter sind in ihrer Wirksamkeit an die Laufzeit des Nutzerkontos und technische Sicherheitsstandards gebunden, wobei Anbieter durch AGB und vertragliche Regelungen Vorgaben zu regelmäßigen Änderungen oder Deaktivierungen treffen dürfen. Rechtlich bedingt eine Änderung oder der Ablauf eines Zugangsfaktors – etwa durch Kündigung oder Sperrung des Nutzerkontos – automatisch das Ende seiner Wirksamkeit. Die Verbindlichkeit einer über einen Zugangsfaktor abgegebenen Willenserklärung bleibt rechtlich jedoch auch nach Ablauf des Faktors erhalten, solange der Zugang zum Zeitpunkt der Erklärung bestand.
Welche Rolle spielen Zugangsfaktoren im Sinne der Datenschutz-Grundverordnung (DSGVO)?
Zugangsfaktoren können personenbezogene Daten im Sinne der DSGVO sein, wenn sie direkt oder indirekt auf eine Person bezogen sind (z.B. E-Mail-Adresse, Benutzername, biometrische Zugangsdaten). Unternehmen, die Zugangsfaktoren verarbeiten, unterliegen somit den datenschutzrechtlichen Pflichten der DSGVO, insbesondere hinsichtlich Rechtmäßigkeit, Transparenz und Datensicherheit. Art. 32 DSGVO verpflichtet Verantwortliche, Zugangsfaktoren durch geeignete Sicherheitsmaßnahmen gegen unbefugten Zugriff, Verlust oder Missbrauch zu schützen. Darüber hinaus ist eine Datenminimierung anzustreben; d.h. es sollen nicht mehr Zugangsfaktoren erhoben und gespeichert werden, als für den konkreten Zweck erforderlich. Verstöße gegen die datenschutzrechtlichen Anforderungen, insbesondere unzureichende technische und organisatorische Maßnahmen, können als Datenschutzverletzungen gewertet und mit Bußgeldern gemäß Art. 83 DSGVO geahndet werden.
Können Zugangsfaktoren Gegenstand eines Rechtsstreits oder Beweisverfahrens werden?
Zugangsfaktoren spielen zunehmend eine Rolle in zivil- und strafrechtlichen Streitigkeiten, beispielsweise bei der Bestreitung einer angeblich vorgenommenen Handlung (z.B. Abschluss eines Vertrags, Kontozugriff oder Transaktion). Im Zivilprozess werden Zugangsfaktoren – beispielsweise Logindaten oder Authentifizierungshistorien – regelmäßig als Beweismittel herangezogen, etwa in Form elektronischer Protokolle oder Systemauswertungen. Sie müssen dabei den formellen Anforderungen an den Urkunds-, Sachverständigen- oder Augenscheinbeweis genügen (vgl. § 371a ZPO). Voraussetzung ist regelmäßig die nachprüfbare Dokumentation und Sicherstellung der Integrität der Daten. Bei strafrechtlich relevanten Vorgängen (z. B. Computerbetrug nach § 263a StGB, Ausspähen von Daten nach § 202a StGB) dienen Zugangsfaktoren als Beweismittel zur Täterermittlung und Tatnachweis. Dabei ist stets das Recht auf informationelle Selbstbestimmung sowie die datenschutzrechtliche Zulässigkeit der Beweiserhebung zu beachten.
