I.C.E.-Protokoll

---

PRÄAMBEL#

Das ICE-Protokoll (In Case of Emergency) bildet das verbindliche und konstitutionelle Regelwerk für alle Beteiligten des emna-Systems. Es definiert Rechte, Pflichten, Ansprüche und deren Grenzen für die sichere Verwahrung und kontrollierte Freigabe sensibler Daten im Notfall- oder Todesfall.

Dieses Protokoll ist die Verfassung des emna-Systems. Es steht über allen Einzelvereinbarungen und bindet alle Parteien gleichermaßen. Wer am emna-System teilnimmt, erkennt dieses Protokoll als verbindlich an.

Drei Grundsätze#

1. Selbstbestimmung: Der Ersteller behält bis zum Eintritt des definierten Ereignisses die vollständige Kontrolle über seine Daten und deren Freigabebedingungen. Niemand kann ohne sein Einverständnis auf die Daten zugreifen.

2. Vertrauensminimierung: Durch die M.I.A.-Architektur (Mathematical Immutable Access) hat keine einzelne Partei Zugriff auf die vollständigen Daten. Erst das Zusammenwirken mehrerer Parteien ermöglicht die Freigabe. Dieses System ist patentiert und mathematisch garantiert.

3. Rechtssicherheit: Klare Verfahren und Nachweispflichten gewährleisten, dass Freigaben nur bei tatsächlichem Vorliegen der definierten Voraussetzungen erfolgen. Das Protokoll schafft einen rechtlichen Rahmen, der für alle Beteiligten verbindlich und durchsetzbar ist.

Vorsorgewille und Rolle des Treuhänders#

Die in diesem Protokoll geregelten Freigabevoraussetzungen sind Ausdruck des Vorsorgewillens des Erstellers (Art. 20a). Wer dem Protokoll beitritt, erklärt diese Voraussetzungen verbindlich zum Maßstab seiner Vorsorge für Notfall und Nachlass.

Der Treuhänder ist in diesem System weder Sachverhaltsermittler noch Schiedsrichter. Seine Aufgabe ist die formale und sachliche Prüfung der nach diesem Protokoll erforderlichen Nachweise (Art. 25a). Damit ähnelt seine Funktion strukturell der eines anwaltlichen Anderkontoinhabers oder einer notariellen Tatsachenfeststellung: Er bescheinigt, dass die formellen Voraussetzungen vorliegen, ohne in die inhaltliche Wahrheit der zugrundeliegenden Sachverhalte einzutreten. Die inhaltliche Verantwortung trägt jeweils die Stelle, die das Dokument ausgestellt hat (Standesamt, Gericht, Facharzt, Polizei). Diese strukturelle Auslagerung ist Voraussetzung dafür, dass das emna-System mit treuhänderischer Schlüsselverwahrung funktioniert.

Hierarchie der Regelwerke#

Die folgenden Regelwerke gelten in absteigender Rangfolge:

1. Zwingendes deutsches Recht (insbesondere BGB, DSGVO, StGB)
2. Dieses ICE-Protokoll (Verfassung des emna-Systems)
3. Spezielle Allgemeine Geschäftsbedingungen (AGB für einzelne Dienste)
4. Individuelle Vereinbarungen (nur soweit protokollkonform)

Bei Widersprüchen zwischen Regelwerken gilt das jeweils höherrangige. Bestimmungen niedrigerer Stufe, die höherrangigem Recht widersprechen, sind nichtig.

---

Abschnitt I: Definitionen#

Artikel 1 Parteien#

(1) Ersteller

Eine natürliche Person, die eine Datenbank im emna-System anlegt, Inhalte hinterlegt und Berechtigte sowie Freigabebedingungen definiert. Der Ersteller ist der zentrale Akteur und Inhaber aller Rechte an seinen Daten.

(2) Berechtigter

Eine natürliche oder juristische Person, die vom Ersteller als Empfänger der Daten oder Teilen davon bestimmt wurde und bei Eintritt des Freigabeereignisses Zugang erhält. Der Berechtigte hat ein bedingtes Anwartschaftsrecht auf die Daten.

(3) Betreiber

Die Sacom EDV GmbH mit Sitz in Hanau oder ein von ihr autorisierter Rechtsnachfolger. Der Betreiber stellt die technische Infrastruktur bereit und verwahrt die verschlüsselten Datenbanken. Der Betreiber ist Treuhänder der verschlüsselten Daten, nicht jedoch deren Eigentümer oder Berechtigter.

(4) Treuhänder

Ein im emna-Partnernetzwerk registrierter Rechtsanwalt oder Notar, der das Treuhänder-Paket mit den Situationsschlüsseln verwahrt und das Prüfverfahren nach diesem Protokoll durchführt. Subsidiär: die vom Betreiber benannte Auffangtreuhänderin.

Artikel 2 Technische Begriffe#

(1) Datenbank

Die vom Ersteller angelegte, verschlüsselte Sammlung von Daten, Dokumenten, Zugangsinformationen und Nachrichten. Die Datenbank ist ohne die zugehörigen Schlüssel nicht lesbar.

(2) M.I.A.-Schlüssel

Die kryptographischen Schlüssel, die zur Entschlüsselung der Datenbank erforderlich sind:

• Benutzerschlüssel (technisch: USS – User Shared Secret): 32 Byte langer, einem Berechtigten zugeordneter Schlüssel.
• Situationsschlüssel (technisch: SSS – Situation Shared Secret): 32 Byte langer, einer Situation zugeordneter Schlüssel; beim Treuhänder verwahrt.

(3) M.I.A.-Verfahren

Das patentierte Verschlüsselungsverfahren (Mathematical Immutable Access), das die Trennung von Datenbank und Schlüssel technisch erzwingt. Das Verfahren garantiert mathematisch, dass:

• Der Betreiber die Daten nicht entschlüsseln kann.
• Der Treuhänder die Daten nicht ohne die Datenbank entschlüsseln kann.
• Nur das Zusammenwirken von Benutzerschlüssel (beim Berechtigten) und Situationsschlüssel (beim Treuhänder) die Entschlüsselung ermöglicht.

(4) Notfallbereich

Der Teil der Datenbank, der ohne Entschlüsselung zugänglich ist und vom Ersteller für Notfallinformationen (z.B. Blutgruppe, Allergien, Notfallkontakte) vorgesehen werden kann.

(5) Recovery-Partition

Optionaler verschlüsselter Bereich der Datenbank, der alle M.I.A.-Schlüssel enthält und nur unter den vom Ersteller definierten Bedingungen entschlüsselt werden kann. Die Recovery-Partition ist das "Sicherheitsnetz" für den Fall, dass das reguläre Freigabeverfahren scheitert.

(6) EID (emna-ID)

Die eindeutige, vom Server generierte Kennung einer Datenbank. Format: EID-XXXX-XXXX-XXXX-X. Die EID identifiziert die Datenbank, nicht den Ersteller.

(7) Treuhänder-Paket

Ein vom Ersteller im Rahmen der Einlagerung erzeugtes, kryptographisch geschütztes Paket, das die Situationsschlüssel aller Situationen einer Datenbank sowie die zu jeder Situation benannten Berechtigten samt ihrer Kontaktdaten enthält. Es enthält keinen Benutzerschlüssel. Das Treuhänder-Paket ist ausschließlich für den vom Ersteller benannten Treuhänder lesbar; weder der Betreiber noch Dritte können es entschlüsseln.

(8) Freigabepaket

Ein vom Treuhänder bei positiver Prüfung einer Notfallmeldung erzeugtes, signiertes Paket an den Betreiber. Es enthält die Bestätigung des Eintritts der Freigabevoraussetzungen, die Bezeichnung der betroffenen Situation und die Kontaktdaten der zu benachrichtigenden Berechtigten. Das Freigabepaket enthält keine Schlüssel.

(9) Master-Passwort

Das vom Ersteller frei gewählte Passwort, mit dem die lokale Inhalts-Verschlüsselung der Datenbank vor ihrer Kompilierung geschützt ist. Das Master-Passwort wird ausschließlich beim Ersteller verwahrt und ist technisch nicht wiederherstellbar.

(10) Sidecar

Eine lokale Schlüsseldatei beim Ersteller, die die zur Verwaltung seiner eigenen Datenbank erforderlichen Schlüssel und Metadaten – insbesondere die Berechtigten-Liste mit Kontaktdaten – enthält. Der Sidecar verbleibt ausschließlich beim Ersteller.

(11) Situation

Eine vom Ersteller definierte Konstellation, bei deren Eintritt eine bestimmte Auswahl von Inhalten an eine bestimmte Auswahl von Berechtigten freigegeben wird. Jede Situation hat einen eigenen Situationsschlüssel und kann eigene Berechtigte und eigene Inhalte umfassen.

(12) Einlagerung

Der Vorgang, durch den der Ersteller seine kompilierte verschlüsselte Datenbank an den Betreiber sowie das Treuhänder-Paket an den Treuhänder übermittelt. Mit der Einlagerung wird die jeweilige Version der Datenbank Bestandteil des emna-Systems.

(13) Download-Code

Eine vom Betreiber im Freigabefall erzeugte, einmalige und zeitlich begrenzte Berechtigung, mit der ein Berechtigter die für ihn bestimmten Datenbankbestandteile beim Betreiber abrufen kann. Format und Gültigkeitsdauer richten sich nach Art. 26 Abs. 3.

Artikel 3 Ereignisse#

(1) Freigabeereignis

Ein im Auslösekatalog (Art. 21) definiertes oder vom Ersteller individuell festgelegtes Ereignis, dessen Eintritt die Freigabe der Daten auslöst. Freigabeereignisse sind objektiv feststellbar und erfordern dokumentierte Nachweise.

(2) Notfallmeldung

Die förmliche Mitteilung an den Treuhänder, dass ein Freigabeereignis möglicherweise eingetreten ist. Die Notfallmeldung löst das Prüfverfahren aus.

---

Abschnitt II: Beitritt und Geltung#

Artikel 4 Beitritt zum ICE-Protokoll#

(1) Der Beitritt zum ICE-Protokoll erfolgt durch:

a) Für Ersteller: Registrierung im emna-System und ausdrückliche Zustimmung zu diesem Protokoll. Die Zustimmung kann digital erfolgen und ist der schriftlichen gleichgestellt.

b) Für Berechtigte: Annahme der Berechtigung nach Benachrichtigung durch das System oder den Ersteller. Die Annahme kann stillschweigend durch Entgegennahme des Benutzerschlüssels erfolgen.

c) Für Treuhänder: Abschluss des Partnervertrags mit dem Betreiber und Anerkennung dieses Protokolls. Die Beitrittserklärung (Anlage 3) ist Voraussetzung.

d) Für den Betreiber: Mit Inkrafttreten dieses Protokolls und fortlaufend durch dessen Veröffentlichung und Einhaltung.

(2) Mit dem Beitritt erkennen alle Parteien die Bestimmungen dieses Protokolls als verbindlich an.

(3) Abweichende Vereinbarungen bedürfen der Schriftform und sind nur wirksam, soweit sie diesem Protokoll nicht widersprechen und vom Betreiber als protokollkonform genehmigt wurden.

Artikel 5 Rangfolge#

(1) Das ICE-Protokoll steht über allen Einzelvereinbarungen zwischen den Parteien.

(2) Bei Widersprüchen zwischen diesem Protokoll und Einzelvereinbarungen gilt das Protokoll, es sei denn: a) Die Abweichung ist ausdrücklich als protokollkonform gekennzeichnet, b) Die Abweichung ist vom Betreiber schriftlich genehmigt, und c) Die Abweichung verstößt nicht gegen höherrangiges Recht.

(3) Bestimmungen, die gegen zwingendes deutsches Recht verstoßen, sind nichtig. Die Wirksamkeit der übrigen Bestimmungen bleibt unberührt.

Artikel 6 Änderungen des Protokolls#

(1) Der Betreiber kann das Protokoll mit einer Ankündigungsfrist von 30 Tagen ändern. Die Änderung wird den Parteien in Textform mitgeteilt.

(2) Wesentliche Änderungen, die die Rechte der Ersteller oder Berechtigten einschränken, bedürfen der ausdrücklichen Zustimmung der betroffenen Parteien. Als wesentlich gelten insbesondere: a) Änderungen am Zero-Knowledge-Prinzip, b) Erweiterung der Zugriffsrechte des Betreibers, c) Einschränkung der Recovery-Optionen, d) Änderungen am Prüfverfahren.

(3) Die jeweils gültige Fassung ist unter emna.app/ice-protokoll abrufbar. Frühere Fassungen werden archiviert und bleiben zugänglich.

(4) Widerspricht eine Partei einer Änderung innerhalb von 30 Tagen nach Mitteilung, kann sie das Nutzungsverhältnis zum Zeitpunkt des Inkrafttretens der Änderung kündigen.

---

Abschnitt III: Rechte und Pflichten der Parteien#

Kapitel 1: Der Ersteller#

Artikel 7 Rechte des Erstellers#

(1) Der Ersteller hat das Recht:

a) Inhaltshoheit: Inhalte seiner Datenbank jederzeit zu erstellen, zu ändern oder zu löschen. Der Ersteller allein bestimmt, was in seiner Datenbank gespeichert wird.

b) Berechtigtenhoheit: Berechtigte zu benennen, zu ändern oder zu entziehen. Der Ersteller allein bestimmt, wer im Freigabefall Zugang erhält.

c) Freigabehoheit: Freigabebedingungen im Rahmen des Auslösekatalogs oder als individuelle Bedingungen festzulegen. Der Ersteller allein bestimmt, wann Daten freigegeben werden.

d) Widerrufsrecht: Die Datenbank jederzeit vollständig zu widerrufen (Revoke), wodurch alle Daten beim Betreiber und alle Schlüssel beim Treuhänder unwiederbringlich gelöscht werden.

e) Treuhänderwahl: Den Treuhänder frei zu wählen und jederzeit zu wechseln. Ein Wechsel kann mit Kosten verbunden sein, die der Ersteller trägt.

f) Recovery-Entscheidung: Eine Recovery-Partition einzurichten oder nicht einzurichten. Diese Entscheidung liegt ausschließlich beim Ersteller.

g) Auskunft: Jederzeit Auskunft über den Status seiner Datenbank, der letzten Einlagerung und des Treuhänder-Pakets zu erhalten.

(2) Diese Rechte sind unveräußerlich und können nicht durch Vereinbarung eingeschränkt werden.

Artikel 8 Pflichten des Erstellers#

(1) Der Ersteller ist verpflichtet:

a) Wahrheitspflicht: Wahrheitsgemäße Angaben zu seiner Person zu machen, insbesondere zur Identitätsfeststellung.

b) Benachrichtigungspflicht: Die Berechtigten über ihre Benennung zu informieren oder dies dem System zu überlassen. Der Berechtigte muss von seiner Berechtigung Kenntnis erlangen können.

c) Objektivierungspflicht: Die Freigabebedingungen so zu definieren, dass sie objektiv prüfbar sind. Vage oder nicht nachweisbare Bedingungen sind unzulässig.

d) Zahlungspflicht: Die vereinbarte Nutzungsgebühr fristgerecht zu entrichten.

e) Rechtmäßigkeitspflicht: Keine rechtswidrigen Inhalte zu hinterlegen. Der Ersteller trägt die alleinige Verantwortung für die Rechtmäßigkeit und Vollständigkeit der hinterlegten Inhalte.

f) Schlüsselverwahrungspflicht: Die Benutzerschlüssel sicher an die Berechtigten zu übergeben oder selbst sicher zu verwahren.

g) Master-Passwort-Pflicht: Sein Master-Passwort sicher zu verwahren. Ein vergessenes Master-Passwort kann nicht wiederhergestellt werden.

h) Aktualisierungspflicht: Die im Treuhänder-Paket hinterlegten Kontaktdaten der Berechtigten aktuell zu halten. Geänderte Berechtigten-Daten werden durch eine Neueinlagerung wirksam. Unterbleibt die Aktualisierung, trägt der Ersteller die Folgen einer Nicht- oder Fehlbenachrichtigung der Berechtigten im Freigabefall.

(2) Verstöße gegen die Pflichten nach Absatz 1 lit. e) können zum Ausschluss aus dem System führen.

Artikel 9 Keine Ansprüche des Erstellers#

(1) Der Ersteller hat keinen Anspruch auf:

a) Wiederherstellung eines vergessenen Master-Passworts; das Master-Passwort ist technisch nicht wiederherstellbar. Bei aktivierter Recovery-Partition kann aus dem Backup eine neue Datenbank mit neuem Master-Passwort eingerichtet werden; das ursprüngliche Master-Passwort bleibt dauerhaft unwiederbringlich.

b) Wiederherstellung verlorener Benutzerschlüssel oder Situationsschlüssel (außer bei aktivierter Recovery-Partition).

c) Rückgängigmachung eines erklärten Widerrufs.

d) Zugriff auf oder Herausgabe der beim Betreiber eingelagerten Datenbank, unabhängig vom Vorliegen eines gültigen Master-Passworts.

e) Änderung von Daten nach erfolgter Freigabe an Berechtigte.

f) Verhinderung einer rechtmäßig erteilten Freigabe.

(2) Diese Ausschlüsse sind systemimmanent und keine Einschränkung durch den Betreiber.

---

Kapitel 2: Der Berechtigte#

Artikel 10 Rechte des Berechtigten#

(1) Der Berechtigte hat das Recht:

a) Zugriffsrecht: Nach positiver Prüfung der Freigabevoraussetzungen durch den Treuhänder die für ihn bestimmten Daten zu erhalten. Das Recht entsteht mit der Bestätigung des Eintritts des Freigabeereignisses durch den Treuhänder, nicht bereits mit dem Ereignis selbst.

b) Melderecht: Eine Notfallmeldung an den Treuhänder zu richten.

c) Auskunftsrecht: Auskunft über den Status des Prüfverfahrens zu verlangen.

d) Ablehnungsrecht: Die Berechtigung abzulehnen.

e) Datenschutzrecht: Dass seine Kontaktdaten vertraulich behandelt werden.

(2) Das Zugriffsrecht nach Absatz 1 lit. a) ist ein bedingtes Anwartschaftsrecht, das erst mit der positiven Prüfung des Freigabeereignisses durch den Treuhänder entsteht.

(3) Der Berechtigte hat sich der Prüfungsentscheidung des Treuhänders zu unterwerfen. Bei offensichtlich fehlerhafter oder vorsätzlicher Verweigerung der Freigabe kann der Berechtigte die Auffangtreuhänderin (Art. 14 Abs. 1 lit. i) anrufen oder gerichtliche Hilfe in Anspruch nehmen.

Artikel 11 Pflichten des Berechtigten#

(1) Der Berechtigte ist verpflichtet:

a) Vertraulichkeitspflicht: Die erhaltenen Daten vertraulich zu behandeln, soweit der Ersteller nichts anderes bestimmt hat.

b) Rechtmäßigkeitspflicht: Die Daten nicht für rechtswidrige Zwecke zu verwenden.

c) Wahrheitspflicht: Bei der Notfallmeldung wahrheitsgemäße Angaben zu machen.

d) Nachweispflicht: Die erforderlichen Nachweise nach bestem Wissen und Gewissen beizubringen.

e) Schlüsselverwahrungspflicht: Den erhaltenen Benutzerschlüssel sicher und vertraulich zu verwahren. Der Benutzerschlüssel ist ein ausschließlich dem Berechtigten zugängliches Geheimnis; dies ist der ausdrückliche Wille des Erstellers, dem der Berechtigte zu folgen hat.

f) Mitwirkungspflicht: Auf Anforderung des Treuhänders oder Betreibers die eigene Identität und Berechtigung in geeigneter Form nachzuweisen, insbesondere durch Vorlage eines amtlichen Lichtbildausweises.

(2) Falsche Angaben in einer Notfallmeldung können strafrechtliche Konsequenzen haben.

Artikel 12 Keine Ansprüche des Berechtigten#

(1) Der Berechtigte hat keinen Anspruch auf:

a) Zugang zu Daten vor positiver Prüfung des Freigabeereignisses durch den Treuhänder.

b) Änderung der Freigabebedingungen.

c) Information über den konkreten Inhalt der für ihn bestimmten Daten vor der Freigabe.

d) Ersatz des Benutzerschlüssels bei Verlust (außer bei aktivierter Recovery-Partition durch den Ersteller).

e) Freigabe, wenn die Nachweisvoraussetzungen nicht erfüllt sind.

f) Zugang zu Daten, die nicht für ihn bestimmt sind.

(2) Der Berechtigte hat kein Recht, den Ersteller zur Änderung von Inhalten oder Freigabebedingungen zu bewegen.

---

Kapitel 3: Der Betreiber#

Artikel 13 Rechte des Betreibers#

(1) Der Betreiber hat das Recht:

a) Entgeltrecht: Nutzungsgebühren zu erheben und bei Zahlungsverzug den Zugang zu sperren.

b) Ausschlussrecht: Bei schwerwiegenden Verstößen gegen dieses Protokoll Nutzer auszuschließen.

c) Änderungsrecht: Technische Änderungen am System vorzunehmen, soweit diese die Kernfunktionalität nicht beeinträchtigen.

d) Protokolländerungsrecht: Dieses Protokoll nach Art. 6 zu ändern.

(2) Die Rechte nach Absatz 1 sind an die Pflichten nach Art. 14 gebunden.

Artikel 14 Pflichten des Betreibers#

(1) Der Betreiber ist verpflichtet:

a) Betriebspflicht: Die technische Infrastruktur nach dem Stand der Technik zu betreiben und zu sichern.

b) Integritätspflicht: Die verschlüsselten Datenbanken integer und verfügbar zu halten.

c) Freigabepflicht: Bei signierter Freigabeanweisung des Treuhänders die Datenbank unverzüglich an die Berechtigten zu übermitteln.

d) M.I.A.-Pflicht: Die M.I.A.-Architektur aufrechtzuerhalten, insbesondere keine Möglichkeit zu schaffen, Datenbanken ohne den zugehörigen Schlüssel zu entschlüsseln. Diese Pflicht ist absolut.

e) Übergabepflicht: Bei Beendigung des Geschäftsbetriebs für eine geordnete Übertragung aller Datenbanken und zugehörigen Schlüssel an einen Nachfolger oder die Ersteller zu sorgen.

f) Veröffentlichungspflicht: Dieses Protokoll zu veröffentlichen und einzuhalten.

g) Transparenzpflicht: Über wesentliche Änderungen am System rechtzeitig zu informieren.

h) Datenschutzpflicht: Die DSGVO und andere Datenschutzvorschriften einzuhalten.

i) Auffangtreuhänderpflicht: Eine oder mehrere Auffangtreuhänderinnen oder Auffangtreuhänder öffentlich zu benennen, die bei Ausfall eines primären Treuhänders dessen Funktion übernehmen. Die benannten Personen müssen die Voraussetzungen nach Art. 1 Abs. 4 erfüllen. Die aktuelle Benennung ist über emna.app einsehbar. Das Verfahren der Übernahme richtet sich nach Art. 18a.

(2) Verstöße gegen die Pflicht nach Absatz 1 lit. d) sind schwerwiegende Pflichtverletzungen, die zur außerordentlichen Kündigung durch jede Partei berechtigen.

Artikel 15 Keine Rechte und Ansprüche des Betreibers#

(1) Der Betreiber hat kein Recht auf:

a) Zugriff auf unverschlüsselte Inhalte der Datenbanken.

b) Einsichtnahme in die M.I.A.-Schlüssel (außer bei Recovery nach Art. 19).

c) Eigenständige Auslösung einer Freigabe ohne Freigabeanweisung des Treuhänders.

d) Verwendung der Daten für eigene Zwecke.

e) Weitergabe von Daten an Dritte (außer an Berechtigte nach Freigabe).

(2) Der Betreiber ist kein Treuhänder im Sinne des bürgerlichen Rechts für die unverschlüsselten Inhalte. Er verwahrt ausschließlich verschlüsselte Daten, die er selbst nicht lesen kann.

---

Kapitel 4: Der Treuhänder#

Artikel 16 Rechte des Treuhänders#

(1) Der Treuhänder hat das Recht:

a) Ablehnungsrecht: Die Prüfung abzulehnen, wenn offensichtlich keine Freigabevoraussetzungen vorliegen oder die Meldung missbräuchlich erscheint.

b) Nachforderungsrecht: Bei Zweifeln weitere Nachweise anzufordern.

c) Niederlegungsrecht: Seine Treuhänderschaft mit angemessener Frist (mindestens 3 Monate) niederzulegen.

(2) Das Niederlegungsrecht nach Absatz 1 lit. c) ist an die Pflicht zur ordnungsgemäßen Übergabe nach Art. 17 Abs. 1 lit. f) gebunden.

Artikel 17 Pflichten des Treuhänders#

(1) Der Treuhänder ist verpflichtet:

a) Verwahrungspflicht: Das Treuhänder-Paket mit den Situationsschlüsseln sicher und vertraulich zu verwahren. Die Verwahrung muss den berufsrechtlichen Anforderungen genügen.

b) Bearbeitungspflicht: Notfallmeldungen unverzüglich, spätestens aber innerhalb von 5 Werktagen zu bearbeiten.

c) Prüfungspflicht: Das Prüfverfahren nach Abschnitt V dieses Protokolls gewissenhaft durchzuführen.

d) Freigabepflicht: Bei positiver Prüfung die Schlüssel an die Berechtigten und die Freigabeanweisung an den Betreiber unverzüglich zu übermitteln.

e) Verschwiegenheitspflicht: Über alle Vorgänge Stillschweigen zu bewahren, soweit nicht die Freigabe dies erfordert.

f) Übergabepflicht: Bei Beendigung seiner Tätigkeit die Schlüssel vollständig an einen Nachfolger oder die Auffangtreuhänderin zu übergeben.

g) Aufbewahrungspflicht: Prüfprotokolle für die Dauer von 10 Jahren aufzubewahren.

h) Erreichbarkeitspflicht: Eine geeignete Erreichbarkeit für Notfallmeldungen sicherzustellen, insbesondere durch eine kanzleiübliche Vertretungsregelung im Falle von Urlaub, Krankheit oder sonstiger Verhinderung. Die Bearbeitungsfrist nach lit. b) bleibt davon unberührt.

(2) Der Treuhänder unterliegt zusätzlich seinem Berufsrecht (BRAO, BNotO).

Artikel 18 Unabhängigkeit des Treuhänders#

(1) Der Treuhänder handelt unabhängig und ist nur diesem Protokoll sowie seinem Berufsrecht verpflichtet.

(2) Weisungen des Betreibers, des Erstellers oder anderer Parteien, die diesem Protokoll widersprechen, sind unbeachtlich.

(3) Der Treuhänder ist insbesondere nicht an Weisungen gebunden, die: a) Eine Freigabe ohne ordnungsgemäße Prüfung verlangen, b) Eine Verweigerung der Freigabe trotz vorliegender Voraussetzungen verlangen, oder c) Die Herausgabe von Schlüsseln an Unbefugte verlangen.

(4) Entbindung von Schweigepflichten

Der Ersteller entbindet den Treuhänder mit dem Beitritt zum Protokoll und mit der Beauftragung insoweit von beruflichen und gesetzlichen Schweigepflichten (insbesondere § 43a BRAO, § 203 StGB), als die Erfüllung der Pflichten des Treuhänders nach diesem Protokoll dies erfordert; dies umfasst insbesondere die Übermittlung des Situationsschlüssels an die Berechtigten und die Übermittlung des Freigabepakets an den Betreiber. Im Übrigen bleibt die berufsrechtliche Verschwiegenheitspflicht des Treuhänders unberührt.

Artikel 18a Auffangtreuhänderschaft#

(1) Automatische Übernahme

Verliert ein Ersteller seinen primären Treuhänder, ohne dass dieser seine Funktion ordnungsgemäß auf einen Nachfolger übertragen hat – insbesondere durch Tod, dauerhafte Berufsunfähigkeit, Verlust der berufsrechtlichen Zulassung oder unangezeigtes Niederlegen –, übernimmt ohne weiteres Zutun des Erstellers oder Berechtigten eine vom Betreiber benannte Auffangtreuhänderin oder ein vom Betreiber benannter Auffangtreuhänder dessen Funktion.

(2) Mehrere Auffangtreuhänderinnen

Der Betreiber kann mehrere Auffangtreuhänderinnen oder Auffangtreuhänder benennen, etwa zur regionalen oder fachlichen Aufteilung. Die Zuordnung zu einem konkreten Ersteller erfolgt durch den Betreiber nach sachgerechten Kriterien.

(3) Funktion

Die Auffangtreuhänderin oder der Auffangtreuhänder tritt an die Stelle des primären Treuhänders und übernimmt sämtliche Rechte und Pflichten des Treuhänders nach diesem Protokoll, insbesondere die Verwahrung des Treuhänder-Pakets, das Prüfverfahren (Art. 25) und die Entscheidung (Art. 26).

(4) Anzeige

Die Übernahme wird vom Betreiber den betroffenen Erstellern in Textform angezeigt. Der Ersteller kann jederzeit einen neuen primären Treuhänder benennen (Art. 7 Abs. 1 lit. e); bis dahin bleibt die Auffangtreuhänderin oder der Auffangtreuhänder zuständig.

(5) Haftung und Berufsrecht

Für Auffangtreuhänderinnen und Auffangtreuhänder gelten die Bestimmungen über den Treuhänder (insbesondere Art. 17, Art. 18 und Art. 29) entsprechend.

---

Abschnitt IV: Zero-Knowledge und Recovery#

Artikel 19 Zero-Knowledge-Prinzip#

(1) Grundsatz

Das emna-System basiert auf dem Grundsatz, dass keine einzelne Partei allein Zugriff auf die vollständigen Daten eines Erstellers hat. Dieses Prinzip ist das Fundament des Systems und darf nicht aufgeweicht werden.

(2) Technische Umsetzung

Die Trennung wird wie folgt gewährleistet:

Partei	Verfügt über	Verfügt nicht über
Betreiber	Verschlüsselte Datenbank	M.I.A.-Schlüssel
Treuhänder	Treuhänder-Paket mit den Situationsschlüsseln und den Berechtigten-Kontaktdaten	Datenbank, Benutzerschlüssel
Berechtigter	Benutzerschlüssel	Datenbank, Situationsschlüssel
Ersteller	Lokale Kopie (optional)	Schlüssel nach Einlagerung

(3) Schlüsselverteilung bei Einlagerung

Die Verteilung der Schlüssel und Daten erfolgt ausschließlich durch den Ersteller im Rahmen der Einlagerung:

a) Die verschlüsselte Datenbank wird an den Betreiber übermittelt. Sie enthält keine Schlüssel.

b) Der Benutzerschlüssel jedes Berechtigten wird vom Ersteller unmittelbar an den jeweiligen Berechtigten übergeben. Eine Übermittlung über die Infrastruktur des Betreibers oder des Treuhänders findet nicht statt.

c) Mit der Einlagerung wird ein Treuhänder-Paket erzeugt. Es enthält die Situationsschlüssel aller Situationen sowie die zu jeder Situation benannten Berechtigten samt ihrer Kontaktdaten, jedoch keinen Benutzerschlüssel. Das Treuhänder-Paket wird dem Treuhänder zugeleitet und ist ausschließlich für diesen lesbar.

(4) Entschlüsselungsvoraussetzungen

Eine Entschlüsselung ist nur möglich, wenn: a) Die verschlüsselte Datenbank vorliegt (vom Betreiber), und b) Der Benutzerschlüssel vorliegt (vom Berechtigten), und c) Der Situationsschlüssel vorliegt (vom Treuhänder).

(5) Garantie

Der Betreiber garantiert, dass er außerhalb der vom Ersteller ausdrücklich gewählten Recovery-Optionen (Art. 20) keine technische Möglichkeit hat oder schafft, die Datenbank ohne die zugehörigen Schlüssel zu entschlüsseln. Diese Garantie ist Kernbestandteil dieses Protokolls.

Artikel 20 Recovery-Partition#

(1) Optionalität

Die Einrichtung einer Recovery-Partition ist optional und liegt ausschließlich im Ermessen des Erstellers. Der Betreiber darf die Einrichtung nicht zur Bedingung machen.

(2) Zweck

Die Recovery-Partition dient ausschließlich der Wiederherstellung bei: a) Verlust des Sidecars (lokale Schlüsseldatei) durch den Ersteller, b) Ausfall des Treuhänders ohne ordnungsgemäße Schlüsselübergabe, c) Verlust des Benutzerschlüssels durch den Berechtigten.

(3) Varianten

Der Ersteller kann zwischen folgenden Varianten wählen:

Variante A – Kein Recovery: Der Ersteller verzichtet auf Recovery. Bei Verlust der Schlüssel ist kein Zugriff mehr möglich. Dies ist die sicherste, aber auch risikoreichste Option.

Variante B – Recovery ohne Passwort: Der Betreiber kann im Recovery-Fall mit seinem privaten Schlüssel die Recovery-Partition entschlüsseln. Der Ersteller vertraut darauf, dass der Betreiber diese Möglichkeit nur im berechtigten Recovery-Fall nutzt. Diese Variante ermöglicht dem Ersteller jederzeit ohne Mitwirkung Dritter an seine Daten zu gelangen.

Variante C – Recovery mit Passwort (empfohlen): Die Entschlüsselung der Recovery-Partition erfordert zusätzlich ein vom Ersteller gesetztes Recovery-Passwort (RP). Dieses Passwort sollte:

• Mindestens 16 Zeichen lang sein,
• Sicher und redundant verwahrt werden (z.B. in Testament, Patientenverfügung, Bankschließfach),
• Dem Betreiber bei Bedarf mitgeteilt werden können.

(4) Verfahren bei Recovery

a) Der Antragsteller (Berechtigter, Angehöriger) stellt einen schriftlichen Recovery-Antrag beim Betreiber.

b) Der Betreiber prüft:

• Identität des Antragstellers,
• Nachweis des Freigabeereignisses (wie beim regulären Prüfverfahren),
• Berechtigung des Antragstellers.

c) Bei Variante C: Der Antragsteller nennt das Recovery-Passwort.

d) Der Betreiber entschlüsselt die Recovery-Partition im auditierten Verfahren (HSM).

e) Der Betreiber gibt an jeden Berechtigten einzeln nur dessen Benutzerschlüssel und den relevanten Situationsschlüssel heraus.

f) Jeder Schritt wird protokolliert und aufbewahrt.

(5) Pflichten des Betreibers bei Recovery

Der Betreiber verpflichtet sich:

a) Die Recovery-Möglichkeit nur im berechtigten Notfall zu nutzen,

b) Niemals eigenständig und ohne Antrag Recovery durchzuführen,

c) Niemals alle Schlüssel an eine einzelne Person herauszugeben,

d) Jeden Recovery-Vorgang zu protokollieren und 10 Jahre aufzubewahren,

e) Den Ersteller (soweit erreichbar) über einen Recovery-Vorgang zu informieren.

(6) Akzeptiertes Restrisiko

Bei Variante B (ohne Passwort) besteht das theoretische Risiko, dass der Betreiber die Recovery-Möglichkeit missbräuchlich nutzt. Der Ersteller nimmt dieses Risiko in Kauf, wenn er diese Variante wählt. Schutzmaßnahmen sind:

• Auditiertes HSM-Verfahren,
• Rechtliche Bindung des Betreibers,
• Protokollierungspflichten,
• Reputationsrisiko des Betreibers.

(7) Keine Umgehung

Die Recovery-Option darf nicht zur Umgehung des regulären Freigabeverfahrens genutzt werden. Sie ist nur zulässig, wenn das reguläre Verfahren gescheitert ist oder nicht möglich ist.

---

Abschnitt V: Freigabeverfahren#

Artikel 20a Vorsorgewille des Erstellers#

(1) Anerkennung als Vorsorgewille

Die in diesem Protokoll geregelten Freigabevoraussetzungen sind Ausdruck des Vorsorgewillens des Erstellers. Mit dem Beitritt nach Art. 4 erklärt der Ersteller ausdrücklich, dass die in Art. 21 (Auslösekatalog) und Art. 22 (individuelle Freigabebedingungen) festgelegten Voraussetzungen seinem freien, vorausschauenden Willen für Notfall und Nachlass entsprechen.

(2) Ermächtigung und Anweisung

Mit dieser Erklärung ermächtigt und beauftragt der Ersteller den Treuhänder, den Betreiber und die jeweils benannten Berechtigten ausdrücklich, beim Eintritt der Freigabevoraussetzungen nach diesem Protokoll zu verfahren. Die in der Folge erfolgende Freigabe und der Datenzugriff der Berechtigten entsprechen dem ausdrücklich erklärten Willen des Erstellers; sie sind keine Maßnahme gegen oder ohne den Willen des Erstellers, sondern Vollzug seines Vorsorgewillens.

(3) Fortbestand bei Wegfall der Geschäftsfähigkeit

Der Vorsorgewille bleibt wirksam, auch wenn der Ersteller infolge eines Freigabeereignisses nach Art. 21 nicht mehr widerrufen kann. Eine Änderung oder ein Widerruf des Vorsorgewillens ist nur unter den Voraussetzungen der Art. 33 und Art. 34 möglich und setzt die Geschäftsfähigkeit des Erstellers im Zeitpunkt der Erklärung voraus.

(4) Verhältnis zu anderen Vorsorgeverfügungen

Dieses Protokoll und die Erklärungen des Erstellers nach Absatz 1 sind als eigenständige Vorsorgeregelung für den digitalen Notfall- und Nachlassbereich ausgestaltet. Bestehende Vorsorgevollmachten, Patientenverfügungen oder testamentarische Verfügungen werden hierdurch weder ersetzt noch eingeschränkt. Bei Widersprüchen zwischen diesem Protokoll und einer notariell beurkundeten Vorsorgevollmacht oder Patientenverfügung des Erstellers gehen die formellen Verfügungen vor, soweit sie denselben Regelungsbereich abdecken.

Artikel 21 Auslösekatalog#

(1) Katalogtatbestände

Die folgenden Ereignisse sind als Standardfreigabeereignisse definiert:

Nr.	Ereignis	Definition	Erforderlicher Nachweis
1	Tod	Feststellung des Todes durch einen Arzt oder eine Behörde	Sterbeurkunde oder ärztliche Todesbescheinigung
2	Koma	Andauernde Bewusstlosigkeit von mindestens 14 Tagen ohne Aussicht auf baldige Besserung	Schriftliches Attest eines Facharztes für Neurologie, für Anästhesiologie oder für Innere Medizin (Schwerpunkt Intensivmedizin), das Beginn, Dauer und Prognose ausdrücklich benennt; das Attest darf bei Vorlage nicht älter als 30 Tage sein
3	Gerichtliche Betreuung	Rechtskräftig angeordnete Betreuung mit Aufgabenkreis Vermögenssorge nach §§ 1814 ff. BGB	Ausfertigung oder beglaubigte Abschrift des Betreuungsbeschlusses mit Rechtskraftvermerk
4	Dauerhafte Geschäftsunfähigkeit	Krankhafte Störung der Geistestätigkeit i.S.v. § 104 Nr. 2 BGB von voraussichtlich dauerhafter Natur	Schriftliches Gutachten eines Facharztes für Neurologie, für Psychiatrie und Psychotherapie, für Geriatrie oder für Psychosomatische Medizin und Psychotherapie, das die Dauerhaftigkeit der Geschäftsunfähigkeit ausdrücklich feststellt; das Gutachten darf bei Vorlage nicht älter als sechs Monate sein
5	Verschollenheit	Eine seit mindestens 30 Tagen bei einer zuständigen Polizeibehörde bestehende und aufrecht erhaltene Vermisstmeldung des Erstellers	Schriftliche Bestätigung der zuständigen Polizeibehörde mit Aktenzeichen, dass der Ersteller dort als vermisst geführt wird, die Vermisstmeldung seit mindestens 30 Tagen besteht und derzeit aufrecht erhalten ist; bei Verschollenheit im Ausland ersatzweise eine entsprechende Bestätigung des Auswärtigen Amtes oder der zuständigen deutschen Auslandsvertretung; zusätzlich vor einem Notar abgegebene Versicherung an Eides statt einer dem Ersteller nahestehenden Person über den Zeitpunkt des letzten Kontakts
6	Inhaftierung	Strafrechtlich bedingte Freiheitsentziehung aufgrund einer rechtskräftigen Anordnung oder im aktuellen Vollzug	(a) bei rechtskräftiger Verurteilung zu Freiheitsstrafe, Jugendstrafe oder Sicherungsverwahrung, soweit die Strafe nicht zur Bewährung ausgesetzt ist: beglaubigte Ausfertigung des Urteils mit Rechtskraftvermerk; bei bereits angetretener Haft zusätzlich Bestätigung der vollstreckenden Justizvollzugsanstalt; (b) bei Untersuchungshaft im aktuellen Vollzug: beglaubigte Ausfertigung des Haftbefehls sowie schriftliche Bestätigung des Strafverteidigers oder der Justizvollzugsanstalt, dass die Untersuchungshaft aktuell vollzogen wird
7	Unterbringung in geschlossener Einrichtung	Zwangsweise Unterbringung in einer geschlossenen Einrichtung aufgrund einer rechtskräftigen Anordnung oder im aktuellen Vollzug	(a) bei rechtskräftiger Unterbringungsanordnung (insbesondere nach § 1831 BGB, §§ 63, 64 StGB oder dem jeweils einschlägigen Landesrecht – PsychKG, Maßregelvollzugsgesetze): beglaubigte Ausfertigung des Beschlusses mit Rechtskraftvermerk; (b) bei vorläufiger Unterbringung mit Sofortvollziehung: beglaubigte Ausfertigung des Beschlusses mit Vermerk über die Anordnung der sofortigen Vollziehung und schriftliche Bestätigung der Einrichtung, des Betreuers oder eines im Unterbringungsverfahren tätigen Rechtsanwalts, dass die Unterbringung aktuell vollzogen wird

(2) Bindungswirkung

Bei Katalogtatbeständen ist der Treuhänder an die definierten Nachweisanforderungen gebunden:

• Liegen die Nachweise vor → Freigabe ist zu erteilen.
• Liegen die Nachweise nicht vor → Freigabe ist zu verweigern.

Der Treuhänder hat bei Katalogtatbeständen keinen Ermessensspielraum bezüglich der Nachweisart.

Artikel 22 Individuelle Freigabebedingungen#

(1) Zulässigkeit

Der Ersteller kann zusätzlich zu den Katalogtatbeständen individuelle Freigabebedingungen definieren.

(2) Anforderungen

Individuelle Bedingungen müssen: a) Objektiv prüfbar sein, b) Einen angemessenen Nachweis definieren, c) Nicht gegen geltendes Recht oder die guten Sitten verstoßen, d) Eindeutig formuliert sein.

(3) Prüfung

Bei individuellen Bedingungen prüft der Treuhänder nach bestem Wissen und Gewissen im Sinne dieses Protokolls. Seine Entscheidung ist endgültig, sofern nicht offensichtlich fehlerhaft.

(4) Beispiele für zulässige individuelle Bedingungen

• "Meine schwere Erkrankung an Krebs" (Nachweis: Diagnose eines Facharztes)
• "Mein dauerhafter Umzug ins Pflegeheim" (Nachweis: Meldebescheinigung + Pflegeheimvertrag)
• "Verkauf meines Unternehmens" (Nachweis: Notarieller Kaufvertrag)

(5) Beispiele für unzulässige individuelle Bedingungen

• "Wenn ich es mir anders überlege" (nicht objektiv prüfbar)
• "Wenn mein Sohn heiratet" (keine Verbindung zum Ersteller-Notfall)
• "Nach meinem Tod – aber nur wenn meine Frau vor mir stirbt" (zu komplex)

Artikel 23 Teilfreigaben#

(1) Der Ersteller kann für verschiedene Berechtigte oder Datenbereiche unterschiedliche Freigabebedingungen festlegen.

(2) Eine Teilfreigabe berührt nicht die übrigen Bereiche der Datenbank.

(3) Jede Situation kann eigene Berechtigte und eigene Inhalte haben.

Artikel 24 Notfallmeldung#

(1) Melderecht

Jede Person kann beim Treuhänder eine Notfallmeldung einreichen. Die Meldung muss nicht vom Berechtigten selbst stammen.

(2) Inhalt

Die Notfallmeldung muss enthalten: a) Name und Kontaktdaten des Meldenden, b) Name des Erstellers, c) emna-Nutzer-ID (soweit bekannt), d) Art des behaupteten Freigabeereignisses, e) Soweit vorhanden: erste Nachweise, f) Erklärung über die Wahrheit der Angaben.

(3) Form

Die Notfallmeldung kann in Textform (auch elektronisch) eingereicht werden. Das Formular gemäß Anlage 1 sollte verwendet werden.

(4) Eingang

Die Notfallmeldung gilt als eingegangen, wenn sie dem Treuhänder in lesbarer Form zugegangen ist.

Artikel 25 Prüfverfahren#

(1) Frist

Der Treuhänder prüft innerhalb von 5 Werktagen nach Eingang einer vollständigen Notfallmeldung: a) Ob ein Freigabeereignis nach Art. 21 oder Art. 22 vorliegt, b) Ob die erforderlichen Nachweise erbracht sind, c) Ob der Meldende zur Meldung berechtigt war.

(2) Nachforderung

Der Treuhänder kann weitere Nachweise anfordern. In diesem Fall beginnt die Frist nach Absatz 1 mit Eingang der nachgeforderten Unterlagen neu.

(3) Ablehnung

Bei offensichtlich unbegründeten oder missbräuchlichen Meldungen kann der Treuhänder die Prüfung ablehnen. Die Ablehnung ist zu begründen.

(4) Dokumentation

Der Treuhänder dokumentiert das Prüfverfahren im Prüfprotokoll gemäß Anlage 2.

Artikel 25a Prüfungsmaßstab#

(1) Dokumentenprüfung

Der Treuhänder prüft die nach diesem Protokoll erforderlichen Nachweise auf formale Vollständigkeit und sachliche Schlüssigkeit anhand der vorgelegten Dokumente. Eine Pflicht zur Ermittlung des den Dokumenten zugrundeliegenden Sachverhalts besteht nicht.

(2) Vermutung der Richtigkeit

Ein formal ordnungsgemäßes Dokument einer zuständigen öffentlichen Stelle (insbesondere Standesamt, Gericht, Behörde, Polizei) oder einer berufsrechtlich qualifizierten Stelle (insbesondere approbierter Arzt, Notar, Rechtsanwalt) begründet die widerlegbare Vermutung der inhaltlichen Richtigkeit. Eine eigene Recherche oder Plausibilitätsprüfung jenseits des Dokuments schuldet der Treuhänder nicht.

(3) Begründete Zweifel

Die Vermutung nach Absatz 2 ist nur erschüttert, wenn dem Dokument selbst objektive Anhaltspunkte für eine Fälschung, Manipulation oder offensichtliche inhaltliche Unrichtigkeit zu entnehmen sind, insbesondere:

a) erkennbare Spuren mechanischer oder digitaler Manipulation, b) innere Widersprüche im Dokument selbst, c) Abweichungen von typischen Formmerkmalen (z. B. fehlende Unterschrift, fehlender Dienststempel, fehlende Approbationsangabe, fehlendes Aktenzeichen), d) Unstimmigkeit mit anderen im selben Verfahren vorgelegten Nachweisen.

Bei begründeten Zweifeln nach Satz 1 hat der Treuhänder das Recht und die Pflicht, weitere Nachweise nach Art. 16 Abs. 1 lit. b und Art. 25 Abs. 2 anzufordern oder die Prüfung nach Art. 25 Abs. 3 abzulehnen.

(4) Keine Wahrheitsermittlungspflicht

Eine über Absatz 1 bis 3 hinausgehende Pflicht zur Ermittlung der materiellen Wahrheit besteht nicht. Insbesondere ist der Treuhänder nicht verpflichtet:

a) die inhaltliche Richtigkeit medizinischer Diagnosen, behördlicher Feststellungen oder gerichtlicher Entscheidungen zu überprüfen, b) den Gesundheitszustand oder die Erreichbarkeit des Erstellers persönlich oder durch Dritte feststellen zu lassen, c) Motive, Erbinteressen oder mögliche Konflikte des Meldenden oder der Berechtigten zu erforschen, d) Anhaltspunkten für eine Manipulation außerhalb der vorgelegten Dokumente nachzugehen.

(5) Verhältnis zur Haftungsregelung

Hat der Treuhänder die Prüfung nach diesem Artikel ordnungsgemäß durchgeführt, gilt eine darauf gestützte Freigabe als gutgläubige Entscheidung im Sinne von Art. 29 Abs. 2. Eine darüber hinausgehende Haftungserweiterung oder -beschränkung wird durch diesen Artikel nicht begründet.

Artikel 26 Entscheidung#

(1) Positive Prüfung

Bei positiver Prüfung verfährt der Treuhänder wie folgt:

a) Er übermittelt dem jeweiligen Berechtigten den für die Situation erforderlichen Situationsschlüssel auf einem von der Übermittlung des Download-Codes getrennten Übermittlungsweg.

b) Er übermittelt dem Betreiber ein Freigabepaket (Art. 2 Abs. 8). Dieses enthält die Bestätigung des Eintritts der Freigabevoraussetzungen sowie die Kontaktdaten der zu benachrichtigenden Berechtigten, die ihm aus dem Treuhänder-Paket bekannt sind. Es enthält keinen Situationsschlüssel.

c) Der Betreiber liest das Freigabepaket aus, generiert einen Download-Code (7 Tage gültig) und übermittelt diesen unmittelbar an die im Freigabepaket benannten Berechtigten.

d) Der Berechtigte ruft mit dem Download-Code die für ihn bestimmten Datenbankbestandteile beim Betreiber ab und entschlüsselt sie lokal mit Benutzer- und Situationsschlüssel.

Der Treuhänder erhält zu keinem Zeitpunkt den Download-Code oder den Benutzerschlüssel; der Betreiber erhält zu keinem Zeitpunkt den Benutzer- oder den Situationsschlüssel. Damit liegt zu keinem Zeitpunkt eine vollständige Kombination aus verschlüsselter Datenbank, Benutzerschlüssel und Situationsschlüssel bei einer einzelnen Partei vor.

(2) Negative Prüfung

Bei negativer Prüfung: a) Der Treuhänder teilt dem Meldenden die Ablehnung mit Begründung mit, b) Eine erneute Meldung ist bei Vorlage neuer Nachweise möglich.

(3) Download-Code

Der Download-Code hat das Format XXXX-XXXX-XXXX (12 Zeichen, Base32) und ist 7 Tage gültig. Nach Ablauf kann ein neuer Code angefordert werden.

Artikel 27 Fristen#

(1) Die Gesamtdauer von Notfallmeldung bis Freigabe soll 10 Werktage nicht überschreiten, sofern alle Nachweise vollständig vorliegen.

(2) In dringenden Fällen (z.B. laufende Geschäftsbetriebe, zeitkritische medizinische Entscheidungen) kann der Treuhänder ein beschleunigtes Verfahren durchführen.

(3) Bei Überschreitung der Fristen ohne sachlichen Grund kann der Meldende beim Betreiber Beschwerde einlegen.

---

Abschnitt VI: Haftung#

Artikel 28 Haftung des Betreibers#

(1) Grundsatz

Der Betreiber haftet für Schäden aus der Verletzung seiner Pflichten nach Art. 14 nur bei Vorsatz und grober Fahrlässigkeit.

(2) Haftungsausschluss

Die Haftung für Datenverlust ist ausgeschlossen, wenn: a) Der Verlust durch höhere Gewalt verursacht wurde, b) Trotz angemessener Sicherheitsvorkehrungen ein Cyberangriff erfolgreich war, c) Der Ersteller keine Recovery-Option aktiviert hatte und der Treuhänder ausgefallen ist.

(3) Haftungsbegrenzung

Die Haftung ist der Höhe nach begrenzt auf den dreifachen Jahresbeitrag des Erstellers, außer bei Vorsatz oder Verletzung des Lebens, des Körpers oder der Gesundheit.

(4) M.I.A.-Verstoß

Bei Verletzung der M.I.A.-Pflicht (Art. 14 Abs. 1 lit. d) haftet der Betreiber unbeschränkt für alle daraus entstehenden Schäden.

Artikel 29 Haftung des Treuhänders#

(1) Grundsatz

Der Treuhänder haftet für Schäden aus fehlerhafter Freigabe nur bei Vorsatz und grober Fahrlässigkeit.

(2) Gutgläubige Freigabe

Eine gutgläubige Freigabe auf Basis gefälschter Dokumente begründet keine Haftung, wenn der Treuhänder die Prüfung nach Art. 25 ordnungsgemäß durchgeführt hat.

(3) Verzögerung

Für Verzögerungen haftet der Treuhänder nur, wenn er die Fristen nach Art. 27 ohne sachlichen Grund erheblich überschreitet.

(4) Berufsrecht

Die berufsrechtliche Haftung des Treuhänders nach BRAO oder BNotO bleibt unberührt.

Artikel 30 Haftung des Erstellers#

(1) Der Ersteller haftet für Schäden, die Berechtigten oder Dritten durch rechtswidrige Inhalte seiner Datenbank entstehen.

(2) Der Ersteller stellt den Betreiber und den Treuhänder von Ansprüchen Dritter frei, die auf rechtswidrigen Inhalten der Datenbank beruhen.

Artikel 31 Haftung des Berechtigten#

(1) Der Berechtigte haftet für Schäden, die durch missbräuchliche Verwendung der erhaltenen Daten entstehen.

(2) Der Berechtigte haftet für Schäden, die durch falsche Angaben in einer Notfallmeldung entstehen.

Artikel 32 Allgemeiner Haftungsausschluss#

(1) Keine Partei haftet für Schäden, die durch Nichtverfügbarkeit des Systems aufgrund von Wartungsarbeiten, technischen Störungen oder Umständen außerhalb ihrer Kontrolle entstehen.

(2) Keine Partei haftet für mittelbare Schäden, entgangenen Gewinn oder immaterielle Schäden, außer bei Vorsatz.

---

Abschnitt VII: Änderung, Widerruf, Beendigung#

Artikel 33 Änderungen durch den Ersteller#

(1) Der Ersteller kann jederzeit: a) Inhalte seiner Datenbank ändern durch Neueinlagerung, b) Berechtigte hinzufügen, ändern oder entfernen, c) Freigabebedingungen anpassen, d) Den Treuhänder wechseln, e) Die Recovery-Option aktivieren, deaktivieren oder ändern.

(2) Änderungen werden wirksam mit erfolgreicher Einlagerung der neuen Version.

(3) Bei Änderung des Treuhänders werden die Situationsschlüssel vom alten Treuhänder an den neuen übertragen.

(4) Wirkung der Neueinlagerung

Mit erfolgreicher Neueinlagerung tritt die neue Version der Datenbank vollständig an die Stelle der vorherigen Version. Bei jeder Neueinlagerung werden neue Situationsschlüssel erzeugt; das bisherige Treuhänder-Paket und die ihm zugeordneten Situationsschlüssel verlieren ihre Wirksamkeit. Die zuvor an die Berechtigten ausgegebenen Benutzerschlüssel bleiben unverändert gültig.

(5) Rotation der Benutzerschlüssel

Der Ersteller kann einzelne oder alle Benutzerschlüssel jederzeit rotieren. Eine Rotation wird wirksam mit der erfolgreichen Neueinlagerung der Datenbank, in deren Rahmen die Datenbank mit den neuen Benutzerschlüsseln kompiliert wird. Der Ersteller trägt die Verantwortung dafür, die neuen Benutzerschlüssel den betroffenen Berechtigten zu übergeben; unterbleibt dies, kann der jeweilige Berechtigte im Freigabefall keinen Zugriff auf die für ihn bestimmten Inhalte erhalten.

Artikel 34 Widerruf (Revoke)#

(1) Der Ersteller kann seine Datenbank jederzeit vollständig widerrufen.

(2) Der Widerruf bewirkt: a) Die unwiederbringliche Löschung der Datenbank beim Betreiber, b) Die unwiederbringliche Löschung der Situationsschlüssel beim Treuhänder, c) Die Aufhebung aller Berechtigungen.

(3) Ein Widerruf kann nicht rückgängig gemacht werden. Der Ersteller wird vor Ausführung auf diese Konsequenz hingewiesen und muss die Absicht bestätigen.

(4) Der Widerruf wird innerhalb von 24 Stunden nach Bestätigung ausgeführt.

Artikel 35 Beendigung des Nutzungsverhältnisses#

(1) Das Nutzungsverhältnis endet: a) Durch Widerruf nach Art. 34, b) Durch vollständige Freigabe an alle Berechtigten, c) Durch Kündigung mit einer Frist von 30 Tagen zum Monatsende, d) Durch außerordentliche Kündigung bei schwerwiegenden Pflichtverletzungen.

(2) Bei Beendigung durch Kündigung kann der Ersteller einen Widerruf erklären.

(3) Bei Tod des Erstellers endet das Nutzungsverhältnis nicht automatisch. Die Datenbank bleibt bis zur vollständigen Freigabe oder bis zum Ablauf der Aufbewahrungsfrist (10 Jahre nach letzter Einlagerung) gespeichert.

Artikel 35a Erbrecht#

(1) Eintritt der Erben

Mit dem Tod des Erstellers tritt der Erbe nach Maßgabe des bürgerlichen Rechts in das Nutzungsverhältnis ein. Er kann das Nutzungsverhältnis fortführen oder kündigen.

(2) Höchstpersönliche Rechte

Höchstpersönliche Rechte des Erstellers, insbesondere die Inhalts-, Berechtigten- und Freigabehoheit (Art. 7 Abs. 1 lit. a–c), gehen nicht auf den Erben über.

(3) Kein Zugriff auf eingelagerte Datenbank

Der Erbe hat keinen Anspruch auf Zugriff auf oder Herausgabe der beim Betreiber eingelagerten Datenbank, auf Wiederherstellung des Master-Passworts oder auf Aushändigung der Schlüssel; die Ausschlüsse nach Art. 9 gelten entsprechend.

(4) Erbe als Berechtigter

Soweit der Erbe vom Ersteller zugleich als Berechtigter im Sinne von Art. 1 Abs. 2 benannt wurde, bleibt diese Stellung von der Erbfolge unberührt; er macht seine Rechte als Berechtigter im Rahmen des regulären Freigabeverfahrens (Abschnitt V) geltend.

Artikel 36 Treuhänderwechsel#

(1) Bei Beendigung der Treuhändertätigkeit werden die Situationsschlüssel übertragen an: a) Einen vom Ersteller benannten neuen Treuhänder, oder b) Eine vom Betreiber benannte Auffangtreuhänderin oder einen Auffangtreuhänder nach Art. 18a.

(2) Der bisherige Treuhänder ist zur Mitwirkung an der Übergabe verpflichtet.

(3) Die Übergabe erfolgt in einem dokumentierten Verfahren.

Artikel 37 Insolvenz des Betreibers#

(1) Bei Insolvenz des Betreibers gehen alle Pflichten auf den Insolvenzverwalter über.

(2) Der Betreiber hat Vorsorge zu treffen, dass die Datenbanken auch im Insolvenzfall an die Ersteller oder einen Nachfolger übergeben werden können.

(3) Konkrete Vorsorgemaßnahmen

Die Vorsorge nach Absatz 2 umfasst insbesondere:

a) die Hinterlegung der zum Fortbetrieb des Systems erforderlichen technischen Unterlagen bei einer unabhängigen Stelle (Software-Escrow);

b) eine vorab geregelte Übergabe der eingelagerten Datenbanken an einen Rechtsnachfolger;

c) die Sicherstellung, dass die Auffangtreuhänderinnen und Auffangtreuhänder (Art. 18a) auch nach Eintritt der Insolvenz die ihnen anvertrauten Treuhänder-Pakete weiter verwalten können.

(4) Die verschlüsselten Datenbanken sind kein Bestandteil der Insolvenzmasse im Sinne von Vermögenswerten. Sie stehen im Eigentum der Ersteller.

---

Abschnitt VIII: Datenschutz#

Artikel 38 Verantwortlichkeit#

(1) Verantwortlicher im Sinne der DSGVO für die Verarbeitung personenbezogener Daten ist der Betreiber.

(2) Der Treuhänder ist unabhängiger Verantwortlicher für die von ihm verarbeiteten Daten.

Artikel 39 Verarbeitungszwecke#

(1) Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zur: a) Durchführung des Nutzungsverhältnisses, b) Durchführung des Freigabeverfahrens, c) Erfüllung rechtlicher Pflichten.

(2) Eine Verarbeitung zu anderen Zwecken (insbesondere Werbung) findet nicht statt.

Artikel 40 Besonderheit des Zero-Knowledge#

(1) Aufgrund der Zero-Knowledge-Architektur hat der Betreiber keinen Zugang zu den Inhalten der Datenbank.

(2) Die unverschlüsselten Inhalte der Datenbank unterliegen nicht der Verarbeitung durch den Betreiber.

(3) Der Betreiber verarbeitet lediglich: a) Accountdaten (E-Mail, Name), b) Verschlüsselte Datenbankdateien, c) Metadaten (Einlagerungszeitpunkte, Größen, EID).

Artikel 41 Betroffenenrechte#

(1) Betroffene (Ersteller, Berechtigte) haben die Rechte nach Art. 15-22 DSGVO.

(2) Das Recht auf Löschung wird durch den Widerruf (Art. 34) umgesetzt.

(3) Das Recht auf Datenübertragbarkeit wird durch die Export-Funktion umgesetzt.

---

Abschnitt IX: Schlussbestimmungen#

Artikel 42 Anwendbares Recht#

(1) Dieses Protokoll unterliegt deutschem Recht.

(2) Die Anwendung des UN-Kaufrechts ist ausgeschlossen.

(3) Geltung in Österreich und der Schweiz

Für Beteiligte mit Sitz oder gewöhnlichem Aufenthalt in der Republik Österreich oder der Schweizerischen Eidgenossenschaft gelten ergänzend die jeweiligen Annexe (Annex AT, Annex CH) der einschlägigen Allgemeinen Geschäftsbedingungen. Die Bestimmungen dieses Protokolls bleiben im Übrigen unberührt.

(4) Verbraucherschutz innerhalb der Europäischen Union

Bei Verbrauchern mit gewöhnlichem Aufenthalt in einem Mitgliedstaat der Europäischen Union bleiben die zwingenden verbraucherschützenden Vorschriften ihres Wohnsitzstaates nach Art. 6 der Verordnung (EG) Nr. 593/2008 (Rom I) unberührt.

Artikel 43 Gerichtsstand#

(1) Für Streitigkeiten aus diesem Protokoll sind die Gerichte am Sitz des Betreibers (Hanau) zuständig, sofern: a) Der Kläger Kaufmann ist, oder b) Der Kläger keinen allgemeinen Gerichtsstand in Deutschland hat.

(2) Die Zuständigkeit nach Absatz 1 gilt nicht für Verbraucher mit Wohnsitz in der EU.

Artikel 44 Streitbeilegung#

(1) Vor Anrufung der Gerichte sollen die Parteien versuchen, Streitigkeiten gütlich beizulegen.

(2) Der Betreiber ist nicht verpflichtet und nicht bereit, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.

Artikel 45 Salvatorische Klausel#

(1) Sollten einzelne Bestimmungen dieses Protokolls unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

(2) An die Stelle der unwirksamen Bestimmung tritt eine Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(3) Gleiches gilt für etwaige Regelungslücken.

Artikel 46 Schriftform#

(1) Änderungen dieses Protokolls bedürfen der Textform (§ 126b BGB).

(2) Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses.

(3) Mündliche Nebenabreden bestehen nicht.

Artikel 47 Sprache#

(1) Die verbindliche Fassung dieses Protokolls ist die deutsche Fassung.

(2) Übersetzungen dienen nur zur Information und sind nicht verbindlich.

Artikel 48 Inkrafttreten#

(1) Dieses Protokoll tritt am 01. Februar 2026 in Kraft.

(2) Es gilt für alle ab diesem Zeitpunkt begründeten Nutzungsverhältnisse.

(3) Für bestehende Nutzungsverhältnisse gilt dieses Protokoll ab Inkrafttreten, soweit die Parteien nicht innerhalb von 30 Tagen widersprechen.

---

ANLAGEN#

Anlage	Titel	Beschreibung
Anlage 1	Notfallmeldung	Formular zur Einreichung einer Notfallmeldung gemäß Art. 24
Anlage 2	Prüfprotokoll	Dokumentation des Prüfverfahrens gemäß Art. 25 (nur für Treuhänder)
Anlage 3	Beitrittserklärung	Formular zur Beitrittserklärung gemäß Art. 4

---

emna – Emergency Navigator Ein Produkt der Sacom EDV GmbH www.emna.app

---

Dieses Dokument ist urheberrechtlich geschützt. © 2026 Sacom EDV GmbH. Alle Rechte vorbehalten.