Das Bundeskabinett beschloss am 19. September 2012 den vom BMI eingebrachten Entwurf eines E-Government-Gesetzes. Das Gesetz soll dem

„Gebot der Bürgernähe [nachkommen], dass staatliche Verwaltungen Bürgerinnen und Bürgern im privaten, ehrenamtlichen und wirtschaftlichen Alltag die Möglichkeiten zur Nutzung elektronischer Dienste erleichtern.“

Denn:

„Elektronische Verwaltungsdienste können einen bedeutenden Beitrag zur Verwaltungsmodernisierung und zum Bürokratieabbau sowie zur Schonung der natürlichen Ressourcen leisten. Ungeachtet bestehender Zuständigkeiten ist es möglich, nutzerfreundliche, ebenenübergreifende Verwaltungsdienstleistungen unter einer gemeinsamen Oberfläche anzubieten und sich dabei an den Lebenslagen der Bürgerinnen und Bürger sowie an den Bedarfslagen der Unternehmen zu orientieren. Hierbei kann auch die Verwaltung zu schlankeren und effizienteren Verfahren gelangen. Voraussetzung ist allerdings, dass vor einer Digitalisierung die Prozesse analysiert und gegebenenfalls neu strukturiert werden und nicht lediglich die Papierwelt elektronisch abgebildet wird. Elektronische Verwaltungsdienste können bei der Bewältigung der Herausforderungen helfen, die der demographische Wandel mit sich bringt. Sie tragen dazu bei, auch künftig in ländlichen Räumen eine für alle Bürgerinnen und Bürger leicht zugängliche Verwaltungsinfrastruktur anbieten zu können, sei es über öffentlich zugängliche Netze (das Internet oder mobile Anwendungen), sei es durch mobile Bürgerbüros, in denen Verwaltungsmitarbeiterinnen oder Verwaltungsmitarbeiter zeitweise vor Ort anwesend sind.

Zu diesem Zweck

soll die elektronische Kommunikation mit der Verwaltung erleichtert werden, indem die Schriftform neben der qualifizierten elektronischen Signatur auch durch zwei andere sichere Verfahren ersetzt werden kann. Das erste dieser zugelassenen Verfahren betrifft von der Verwaltung zur Verfügung gestellte Formulare, welche in Verbindung mit sicherer elektronischer Identifizierung der oder des Erklärenden übermittelt werden; eine sichere elektronische Identifizierung wird insbesondere durch die Online-Ausweisfunktion (oder eID-Funktion, im Folgenden: eID-Funktion) des neuen Personalausweises gewährleistet. Das zweite dieser zugelassenen Verfahren ist De-Mail in Ausgestaltung der Versandoption nach § 5 Absatz 5 des De-Mail-Gesetzes (De-Mail-G), welche eine „sichere Anmeldung“ (§ 4 Absatz 1 Satz 2 De-Mail-G) des Erklärenden voraussetzt. …

Gedanklicher und gesetzlicher Ausgangspunkt des Gesetzes ist § 3a Abs. 1 VwVfG. Danach ist „die Übermittlung elektronischer Dokumente [nur] zulässig, soweit der Empfänger hierfür einen Zugang eröffnet.“ Das gilt gleichermaßen für den Büger wie für die Behörden: Der jeweilige Empfänger muss ausdrücklich oder konkludent den Zugang für elektronische Nachrichten eröffnet haben. Nach § 2 E-Government-Gesetz sollen die Behörden nun zur Zugangseröffnung verpflichtet werden, Behörden des Bundes einschließlich der De-Mail:

§ 2. Elektronischer Zugang zur Verwaltung. (1) Jede Behörde ist verpflichtet, auch einen Zugang für die Übermittlung elektronischer Dokumente, auch soweit sie mit einer qualifizierten elektronischen Signatur versehen sind, zu eröffnen.

(2) Jede Behörde des Bundes ist verpflichtet, den elektronischen Zugang zusätzlich durch eine De-Mail-Adresse im Sinne des De-Mail-Gesetzes zu eröffnen, es sei denn, die Behörde des Bundes hat keinen Zugang zu dem zentral für die Bundesverwaltung angebotenen IT-Verfahren, über das De-Mail-Dienste für Bundesbehörden angeboten werden.

(3) Jede Behörde des Bundes ist verpflichtet, in Verwaltungsverfahren, in denen sie die Identität einer Person aufgrund einer Rechtsvorschrift festzustellen hat oder aus anderen Gründen eine Identifizierung für notwendig erachtet, einen elektronischen Identitätsnachweis nach § 18 des Personalausweisgesetzes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes anzubieten.

Die Behörden informieren nach § 3 des Entwurfs im Internet über ihre Tätigkeit, ihre Aufgaben und nicht zuletzt ihre elektronsiche Erreichbarkeit. Sie ermöglichen die Online-Bezahlung etwaiger Gebühren (§ 4) und soweit möglich die elektronische Einreichung erforderlicher Nachweise, auch durch Hinweis auf bei anderen Behörden vorliegende Informationen (§ 5). Die Behörden des Bundes sollen ihre Akten möglichst elektronisch führen (§ 6) und entsprechend Einsicht in diese Akten gewähren (§ 8). Mitteilungs- und Verkündungsblätter können in elektronischer Form erscheinen (§ 15).

Zum in Kraft Treten des § 2 Abs. 2 des E-Government-Gesetzes bestimmt Artikel 30 Absatz 4 des Entwurfs:

(4) In Artikel 1 tritt § 2 Absatz 2 des E-Government-Gesetzes ein Kalenderjahr nach Aufnahme des Betriebes des zentral für die Bundesverwaltung angebotenen IT- Verfahrens, über das De-Mail-Dienste für Bundesbehörden angeboten werden, in Kraft.

Es dauert also noch mindestens ein Jahr, ehe das Alleinstellungsmerkmal der De-Mail wirksam wird.

Auch das De-Mail-Gesetz soll geändert werden. Zum einen soll der inzwischen leerlaufende Verweis in § 2 auf die zunächst noch vorgesehene Fachverordnung gestrichen werden.

Zum anderen modifiziert der Entwurf die „Absenderbestätigung“ des § 5 Abs. 5 De-Mail-Gesetz. Bislang lautet die Vorschrift wie folgt:

„(5) Der akkreditierte Diensteanbieter muss dem Nutzer ermöglichen, seine sichere Anmeldung im Sinne von § 4 in der Nachricht so bestätigen zu lassen, dass die Unverfälschtheit der Bestätigung jederzeit nachprüfbar ist. Um dieses dem Empfänger der Nachricht kenntlich zu machen, bestätigt der akkreditierte Diensteanbieter des Senders die Verwendung der sicheren Anmeldung nach § 4 durch eine qualifizierte elektronische Signatur.“

Die praktische Umsetzung beschreibt die maßgebliche Technische Richtlinie TR 01201 des BSI. Danach setzt der Anbieter des Absenders im Falle von dessen „sicherer“ Anmeldung nach § 4 De-Mail-Gesetz das Metadatum Nr. 4 „absenderbestätigt“ auf „ja“, das Metadatum Nr. 11 „Authentisierungsniveau“ auf „hoch“ und benennt im Metadatum Nr. 12 den „Authentisierungs-Mechanismus“. Sodann signiert er den im Metadatum Nr. 17 gespeicherten Hashwert der Nachricht und fügt die Signatur als Metadatum Nr. 18 der Nachricht hinzu.

Nunmehr soll § 5 Abs. 5 wie folgt lauten:

„Der akkreditierte Diensteanbieter muss dem Nutzer ermöglichen, seine sichere Anmeldung im Sinne von § 4 in der Nachricht so bestätigen zu lassen, dass die Unverfälschtheit der Bestätigung jederzeit nachprüfbar ist. Um dieses dem Empfänger der Nachricht kenntlich zu machen, bestätigt der akkreditierte Diensteanbieter des Senders die Verwendung der sicheren Anmeldung nach § 4. Hierzu versieht er im Auftrag des Senders die Nachricht mit einer qualifizierten elektronischen Signatur; sind der Nachricht ein oder mehrere Dateien beigefügt, bezieht sich die qualifizierte elektronische Signatur auch auf diese. Die Bestätigung enthält bei natürlichen Personen den Namen und die Vornamen, bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen die Firma, den Namen oder die Bezeichnung des Senders in der Form, in der diese nach § 3 Absatz 2 hinterlegt sind. Verwaltet eine öffentliche Stelle für andere öffentliche Stellen ein oder mehrere De-Mail-Konten und sind lediglich die Daten der verwaltenden öffentliche Stelle nach § 3 Absatz 2 hinterlegt, so hat der akkreditierte Diensteanbieter dafür Sorge zu tragen, dass anstelle der Bezeichnung nach § 3 Absatz 2 die Bezeichnung der absendenden öffentlichen Stelle verwendet wird. Die Tatsache, dass der Absender diese Versandart genutzt hat, muss sich aus der Nachricht in der Form, wie sie beim Empfänger ankommt, ergeben. Die Bestätigung nach Satz 1 ist nicht zulässig bei Verwendung einer pseudonymen De-Mail-Adresse nach Absatz 2.“

Der Entwurf sieht also eine Ergänzung der bisher schon notwendigen Informationen um die eindeutige Bezeichnung des Absenders vor, beim Bürger: um seinen Namen. Nach der Entwurfsbegründung werden die entsprechenden „Informationen […] der De-Mail-Nachricht als Metadatum hinzugefügt. Dieses Metadatum wird von der vom Provider aufgesetzten [qualifizierten elektronischen Signatur] mit umfasst.“ Dier Technische Richtlinie muss hierfür geändert werden.

Und zum dritten soll der jeweilige Anbieter im Verzeichnis nach § 7 De-Mail-Gesetz auch kenntlich machen können und müssen, ob der Nutzer den Zugang für Verwaltungsverfahren eröffent hat. Die Veröffentlichung im Verzeichnis gilt als Zugangseröffnung etwa nach § 3a Abs. 1 VwVfG.

Von größter Bedeutung für die De-Mail ist indes der Teil der Entwurfsbegründung, der sich gar nicht mit den geplanten Änderungen befasst: Der Entwurf nimmt sich eine ganze Seite (S. 48 im verlinkten PDF), um auf die immer wieder erhobene Kritik am Fehlen der Ende-zu-Ende-Verschlüsselung einzugehen. Er definiert die Probleme einfach weg. Zum einen sieht er keine „Übermittlung“ der geschützten Daten an den De-Mail-Anbieter nach § 3 Abs. 4 Satz 2 Nr. 3 BDSG, obgleich dieser die Nachenricht entschlüsselt, prüft und wieder verschlüsselt, er also direkten Lesezugriff auf die Nachrichten hat. Ihm würden die Inhalte auch nicht offenbart im Sinne des § 203 StGB. Denn:

„Bei den De-Mail-Providern werden die Daten im Rahmen eines automatisierten Prozesses ohne menschliche Mitwirkung kurzzeitig umgeschlüsselt. Diese Umschlüsselung erfolgt in einer vom BSI zertifizierten Sicherheitsumgebung, für die die De-Mail-Provider im Rahmen des im De-Mail-G geregelten Akkreditierungsprozesses umfangreiche organisatorische und technische Sicherheitskriterien erfüllen müssen. Eine Speicherung der Inhaltsdaten beim Provider erfolgt ausschließlich in verschlüsseltem Zustand.“

Ich befürchte, das genügt nicht. Das Publikum wird skeptisch bleiben.

Bei den De-Mail-News: Müller-Terpitz und Rauchhaus zum Entwurf eines E-Government-Gesetzes, unter Hinweis auf: Ralf Müller-Terpitz / Alexandra Rauchhaus: Das geplante E-Government-Gesetz des Bundes, JurPC Web-Dok. 96/2012.

Siehe auch: Heckmann, in:  Bauer/Heckmann/Ruge/Schallbruch (Hrsg.), Verwaltungsverfahrensgesetz (VwVfG) mit rechtlichen Aspekten des E-Government, Einführung Rdnr. 80 ff. (Zur Kommentierung des De-Mail-Gesetzes in diesem Werk durch Schallbruch und Keller-Herder später.)

Im Kommentar: Zur „Absenderbestätigung“ des § 5 Abs. 5 De-Mail-G siehe K § 5 Rdnr. 30 f., zur Zugangseröffnung im Zusammenhang mit dem Verzeichnisdienst siehe K § 7 Rdnr. 10 und K § 1 Rdnr. 56; zur Kritik am Fehlen der Ende-zu-Ende-Verschlüsselung siehe K § 1 Rdnr. 35 ff. und 69 sowie K § 5 Rdnr. 25.