Es stand fast zu erwarten: Der Versuch der Bundesregierung, die Sicherheit der nicht Ende-zu-Ende verschlüsselten De-Mail im Entwurf des E-Government-Gesetzes gesetzlich herbeizufdefinieren, stößt auf Widerstand. Doch nicht nur auf Skepsis, sondern auf Hohn:
https://twitter.com/BitSortierer/status/313987750011478016
"Sichere" elektronische Kommunikation durch Behörden: kein Problem, wird gesetzlich fingiert 🙂 http://t.co/qo6J8AQKz5 #DeMail
— Prof. Dirk Heckmann (@elawprof) March 19, 2013
#DEMail per Gesetz sicher machen? Klasse Idee! Danach sichern wir per Gesetz, dass die Menschen gesund und froh und zufrieden sind! #Yeah
— Veterinärtheologe (@PorcusDivinus) March 19, 2013
Das hat ja schon was von per Gesetz bestimmen, dass immer die Sonne scheint… http://t.co/7W2W1Zi4Ca #demail
— Christian Specht (@Pego_) March 19, 2013
Gesetz erklärt De-Mail einfach für sicher. Kann die Regierung nicht auch den Winter für beendet erklären? Also per Gesetz? #winter #demail
— Florian Breitsameter (@sf_fan) March 19, 2013
können wir nicht einfach ein gesetz erlassen, dass der #ber fertig und betriebsbereit ist? bei #DEmail gehts ja auch…
— Andreas Baum (@rka) March 19, 2013
German government wants to pass a law declaring man-in-the-middle-attacks as part of safe cryptography -.- #demail
— Christoph Henkelmann (@chenkelmann) March 19, 2013
#DeMail – Ich träume schon von Gesetzen, die uns reich oder unsterblich machen! http://t.co/VHvD7vX6E5
— Tin Head (@cpubeat) March 19, 2013
#Armut? #Elend? Nicht hier. Dafür gibt es doch ein #NeuesGesetz (und wenn sie JETZT bestellen, gibt es #Frieden gratis dazu) #DEmail
— Veterinärtheologe (@PorcusDivinus) March 19, 2013
Hintergrund sind die Berichte von Netzpolitik und Spiegel Online über die morgige Anhörung zum E-Government-Gesetz. Mit diesem soll zum einen § 87a Abs. 1 AO, der derzeit lautet:
§ 87a. Elektronische Kommunikation. (1) Die Übermittlung elektronischer Dokumente ist zulässig, soweit der Empfänger hierfür einen Zugang eröffnet. Ein elektronisches Dokument ist zugegangen, sobald die für den Empfang bestimmte Einrichtung es in für den Empfänger bearbeitbarer Weise aufgezeichnet hat. Übermittelt die Finanzbehörde Daten, die dem Steuergeheimnis unterliegen, sind diese Daten mit einem geeigneten Verfahren zu verschlüsseln.
um folgenden Satz 4 ergänzt werden:
„Die kurzzeitige automatisierte Entschlüsselung, die beim Versenden einer De-Mail-Nachricht durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-
Nachricht erfolgt, verstößt nicht gegen das Verschlüsselungsgebot des Satzes 3.“
Zum anderen enthält die Gesetzesbegründung auf S. 44 den, nunja, Versuch, die De-Mail trotz des Fehlens einer Ende-zu-Ende-Verschlüsselung als sicher zu definieren. Es heißt dort:
Insbesondere im Zuge der Zulassung von De-Mail als Schriftformersatz im Verwaltungsrecht (vgl. Artikel 3, 4 und 7) sind die folgenden beiden Klarstellungen hinsichtlich des Verhältnisses der kurzzeitigen Entschlüsselung der De-Mail-Nachrichten bei den akkreditierten Diensteanbietern zu den Tatbestandsmerkmalen des „Übermittelns“ bzw. „Offenbarens“ notwendig, welche im Zusammenhang mit dem Steuer- bzw. Sozialgeheimnis oder sonstigen Geheimnissen, die bestimmten Berufsträgern wie z. B. Ärzten, sonstigen Angehörigen von Heilberufen, Rechtsanwälten, anvertraut wurden (hierzu vgl. z. B. § 203 StGB), eine Rolle spielen:
– Beim Versenden einer De-Mail-Nachricht liegt ein Übermitteln im Sinne des § 3 Absatz 4 Satz 2 Nummer 3 BDSG oder gleichlautender Rechtsvorschriften wie § 67 Absatz 6 Satz 2 Nummer 3 SGB X lediglich im Verhältnis zwischen Sender und Empfänger der De-Mail-Nachricht vor, nicht jedoch zwischen diesen und den in den Übermittlungsvorgang eingeschalteten akkreditierten Diensteanbietern.
– Das Versenden einer De-Mail-Nachricht mit Inhalten, die ein Geheimnis im Sinne des § 203 StGB darstellen, durch die dort bezeichneten Geheimnisträger ist kein unbefugtes Offenbaren im Sinne des § 203 StGB oder gleichlautender Rechtsvorschriften (z. B. § 30 AO), auch wenn eine kurzzeitige automatisierte Entschlüsselung durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware erfolgt.
Bei Netzpolitik und in den angeführten Twitter-Nachrichten ist das hierzu aus technischer Sicht Erforderliche gesagt: Was „automatisiert entschlüsselt“ werden kann, ob für eine ganze Sekunde oder eine halbe Ewigkeit, ist nicht verschlüsselt. Die Vertraulichkeit ist nicht nur „vorübergehend gestorben“.
Interessant hieran ist das wechselseitige Unverständnis. Techniker verstehen nicht, wie Juristen so etwas ernst meinen können. Und Juristen nicht, wieso das nicht gehen soll. Natürlich – und für diesen Beitrag: zum Glück! – taucht prompt auch wieder folgende Parallele auf:
Die Regierung will #DeMail per Gesetz für sicher erklären?Kommt das von @Der_Postillon?Als nächstes kommt,dass Pi ab sofort genau 3 ist.
— max_power84 (@max_power84) March 19, 2013
Das verweist auf die Geschichte, die Christoph Drösser schön für die ZEIT-Rubrik „Stimmt’s“ aufgeschrieben hat: Im Jahre 1897 wollte der Gesetzgeber von Indiana die Kreiszahl π gesetzlich auf 3,2 festlegen. Haha, lachen da die Mathematiker, die ja schon früh gelernt haben, dass π als irrationale Zahl… usw., usw. Die Juristen dagegen zucken mit den Schultern und sagen: Warum denn nicht? Auch in Deutschland ist π gesetzlich festgelegt. Zwar nicht auf 3,2 — aber auf 3,1416. In § 30b Nr. 1 StVZO. Die Vorschrift bestimmt, wie der Hubraum zu berechnen ist, an den andere Paragraphen bestimmte Folgen knüpfen. π wird also nicht für „die Wirklichkeit“, in der arme Schüler Kreisumfänge berechnen müssen, auf einen falschen Wert festgesetzt. Sondern nur für die abstrakte Welt des Gesetzes selbst. Die Vorschrift ist gewissermaßen eine Konstantendeklaration für die Funktion Hubraum() in der Klasse Straßenverkehrsvorschriften{}, mehr nicht.
Es ist eine rechtliche Fiktion, die die Wikipedia definiert als
die Anordnung des Gesetzes, tatsächliche oder rechtliche Umstände als gegeben zu behandeln, obwohl sie in Wirklichkeit nicht vorliegen. Hierbei kann die Fiktion das genaue Gegenteil der tatsächlichen Umstände als rechtlich verbindlich festlegen. Eine Fiktion kann deshalb im Prozess auch nicht widerlegt oder entkräftet werden, da sie definitionsgemäß vom tatsächlichen Sachverhalt abweicht.
So ist es auch mit der „Sicherheit“ einer Verschlüsselung oder auch nur einer Verschlüsselungsmethode. Für Techniker ist „Sicherheit“ etwas Reales, ein Zustand, eine Methode, etwas Definier- und Prüfbares. Offenbar auch für all diejenigen, die sich über die erwähnten Passagen aus dem Gesetzentwurf mokieren. Für Juristen, und für all diejenigen, die ihren Schneier gelesen haben, ist „Sicherheit“ ein Begriff, eine Verabredung, ein „trade-off“: Welche Sicherheit? Zu welchem Preis? Ein Atomkraftwerk muss anders gesichert werden als eine Keksdose, die nur den Angriffen eines hungrigen Dreijährigen standhalten muss.
Mit dem, was der Gesetzgeber unter „sicher“ versteht, will er nicht den Begriff der „Sicherheit“, zumal der mathematischen Sicherheit im Sinne einer Unkorrumpierbarkeit, industrieweit festschreiben. Er bestimmt nur, welches Maß an Sicherheit er für notwendig doch auch ausreichend erachtet, wenn etwa Steuerdaten über diesen einen Kanal übermittelt werden. Mehr nicht. Auch Osterhasen können Weihnachtsmänner im Sinne des Gesetzes sein. Und als sicher gilt dem Gesetzgeber eben nicht nur das höchst unsichere Fax, bei dem gar nichts verschlüsselt wird, sondern auch eine De-Mail.
Linus Neumann hat’s in seinem Beitrag für Netzpolitik verstanden: Die Überschrift lautet unaufgeregt „Bundesregierung will Verschlüsselungsstandards senken“.
Ob man gut findet, dass der Anbieter Zugriff auf eventuell höchst sensible Daten hat (und nehmen muss), ist indes eine ganz andere Frage.
[Nachtrag 2013-03-19] Udo Vetter im Lawblog zum gleichen Thema. [/Nachtrag]
[Nachtrag 2013-03-20] Patrick Beuth auf ZEIT online. [/Nachtrag]
[Nachtrag 2013-04-10] Michael Spehr in der FAZ mit einer bemerkenswert kritischen Note. [/Nachtrag]