Kryptologie in Frankreich : Welche Anforderungen gelten in Frankreich bei der Vermarktung eines IT-Produkts mit Datenverschlüsselung?
In Frankreich unterliegt die Kryptologie einer besonderen Gesetzgebung. Im französischen Recht muss Hardware, Software sowie mobile Apps, die Verschlüsselungsmethoden einsetzen, an die französische IT-Sicherheitsbehörde ANSSI („Agence nationale de la sécurité des systèmes d’information“) gemeldet werden.
Diese Gesetzgebung ist eine französische Besonderheit, die oft dann zu Tage tritt, wenn der Anbieter einer mobilen App mit Verschlüsselungsverfahren diese im französischen App Store von Apple veröffentlichen will. In der Tat fordert der französische App Store einen Nachweis der französischen IT-Sicherheitsbehörde darüber, dass der Anbieter seiner Meldepflicht nachgekommen ist.
Der rechtliche Rahmen der Meldepflicht von Verschlüsselungsverfahren in Frankreich
In Frankreich ist die Nutzung und die Vermarktung von Verschlüsselungsmethoden vom Gesetzt zum Vertrauen in die digitale Wirtschaft („Loi sur la confiance en l’économie numérique „LCEN“) vom 21.06.2004 geregelt.
Die Nutzung von Verschlüsselungsverfahren ist grundsätzlich frei, allerdings können die Lieferung, der Import, die innergemeinschaftliche Übertragung und der Export von Verschlüsselungsverfahren einer Meldepflicht an die französische Behörde ANSSI unterliegen. In manchen Fällen ist sogar eine ausdrückliche Genehmigung der Behörde erforderlich.
Die Formalitäten, die für die Vermarktung eines Verschlüsselungsalgorithmus in Frankreich durchgeführt werden müssen, hängen sowohl von der eingesetzten Technologie als auch vom beabsichtigten Vermarktungskanal ab. Seit dem obgenannten Gesetz LCEN besteht in den meisten Fällen eine einfache Meldepflicht an die französische Behörde. Dies gilt insbesondere für den Import oder die Lieferung eines Verschlüsselungsverfahrens in Frankreich. Eine ausdrückliche Genehmigung der französischen Behörde ANSSI bleibt hingegen für den Export einer Verschlüsselungsmethode in bestimmte Drittländer (Nicht-EU-Länder) erforderlich.
Welche Verschlüsselungsalgorithmen sind von der Meldepflicht an die französische Behörde ANSSI betroffen?
Die Meldepflicht, oder in gewissen Fällen die erforderliche Genehmigung, für ein IT-Produkt mit einem Verschlüsselungsalgorithmus betrifft „jede Hardware oder Software die entworfen oder auf eine solche Art geändert wurde, um Daten, seien es Informationen oder Signale, mit Hilfe von Geheimschlüsseln umzuwandeln oder um den umgekehrten Vorgang durchzuführen“, so die Legaldefinition.
Betroffen sind somit insbesondere Verschlüsselungsmethoden, die die Vertraulichkeit von mobilen Chat-Apps gewähren sollen. Auch die Verschlüsselung von Informationen durch einen QR-Code kann betroffen sein.
Um die Formalitäten für die Hersteller von Software, Hardware und mobilen Apps mit Verschlüsselungsmethoden zu vereinfachen, hat die Gesetzgebung die gängigsten Verschlüsselungsalgorithmen von der Meldepflicht freigestellt.
Dabei handelt es sich insbesondere um Produkte, die ausschließlich zur der Zugangs- und Integritätskontrolle dienen, Chipkarten für die breite Öffentlichkeit wie etwa in Bankkarten, SIM-Karten oder TV-Decoder, sowie symmetrische Algorithmen mit einem 56-bit-Schlüssel.
Wie muss ein Verschlüsselungsverfahren an die französische Behörde gemeldet werden?
Die Meldung eines Verschlüsselungsverfahrens kann auf elektronischem Wege bei der französischen Behörde ANSSI eingereicht werden. Dazu muss ein Meldeformular mit unterschiedlichen Anlagen eingereicht werden, was per E-Mail geschehen kann.
Als Anlage sollen insbesondere eine Beschreibung der kryptologischen Methode, gegebenenfalls der Quellcode der Software, sowie eine Beschreibung der beabsichtigten Vermarktung beigefügt werden.
Dabei können Informationsbroschüren sowie Gebrauchsanweisungen grundsätzlich auf Englisch übermittelt werden. Das Formular sowie die Beschreibung des Verschlüsselungsalgorithmus müssen allerdings auf Französisch eingereicht werden.
Diese Meldepflicht an die französische Behörde ANSSI gilt grundsätzlich für jedes IT-Produkt, das eine Verschlüsselungsmethode enthält. Allerdings wird diese gesetzliche Verpflichtung den meisten Herstellern erst bewusst, wenn sie eine mobile App im französischen App Store von Apple veröffentlichen wollen. In der Tat besteht der französische App Store von Apple (im Unterschied zu anderen Plattformen) auf die Übermittlung einer Bescheinigung der französischen Behörde ANSSI, aus der hervorgeht, dass der Hersteller seiner Meldepflicht gerecht wurde.
Die Meldepflicht für eine Verschlüsselungsmethode in Frankreich besteht natürlich grundsätzlich, selbst wenn (anderer) App Stores nicht immer ausdrücklich einen entsprechenden Nachweis anfordern.
Unsere Anwaltskanzlei steht Ihnen beratend zur Seite um zu analysieren, ob für die Hardware, Software oder mobile App Ihres Unternehmens Formalitäten für die Vermarktung in Frankreich durchgeführt werden müssen und hat Erfahrung im Umgang mit den französischen Behörden.
Mehr zu unseren Leistungen im französischen IT-Recht finden Sie hier.
