Der Bundestag hat in seiner 234. Sitzung am 18. April 2013 den von der Bundesregierung eingebrachten Entwurf eines Gesetzes zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften (BT-Drs. 17/11473) in der Fassung der Empfehlung des Innenausschusses (BT-Drs. 17/13139) mit den Stimmen der Koalition gegen die gesammelten Stimmen der Opposition abgenickt. Die vergleichsweise Eile – der Bericht des Innenausschusses datiert erst vom Vortag; die Debatte fand spätabends statt – erklärt sich mit dem nahenden Ende der Legislaturperiode und der damit drohenden Diskontinuität. Nun aber kann das Gesetz alsbald dem Bundesrat zugeleitet werden, der etwa am 3. Mai 2013 darüber beraten kann.

Großer Widerstand dürfte dort kaum noch zu erwarten sein, nachdem das Gesetz nun die größten Bedenken der Länder aufgegriffen hat. Die Änderungen durch den Innenausschuss gehen auf einen sicherlich zwischen dem BMI und den Ländern abgestimmten Antrag der Koalitionsfraktionen (Ausschussdrucksache 17–4–714) zurück. So wurde die vom Bundesrat geforderte offene Formulierung zu den „sicheren Übertragungswegen“ in § 3a Abs. 2 VwVfG wie halb in Aussicht gestellt und zu erwarten durch eine zusätzliche Verordnungsgermächtigung realisiert. Nunmehr soll es heißen:

„(2) Eine durch Rechtsvorschrift angeordnete Schriftform kann, soweit nicht durch Rechtsvorschrift etwas anderes bestimmt ist, durch die elektronische Form ersetzt werden. Der elektronischen Form genügt ein elektronisches Dokument, das mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen ist. Die Signierung mit einem Pseudonym, das die Identifizierung der Person des Signaturschlüsselinhabers nicht unmittelbar durch die Behörde ermöglicht, ist nicht zulässig. Die Schriftform kann auch ersetzt werden
1. durch unmittelbare Abgabe der Erklärung in einem elektronischen Formular, das von der Behörde in einem Eingabegerät oder über öffentlich zugängliche Netze zur Verfügung gestellt wird;
2. bei Anträgen und Anzeigen durch Versendung eines elektronischen Dokuments an die Behörde mit der Versandart nach § 5 Absatz 5 des De-Mail-Gesetzes;
3. bei elektronischen Verwaltungsakten oder sonstigen elektronischen Dokumenten der Behörden durch Versendung einer De-Mail-Nachricht nach § 5 Absatz 5 des De-Mail-Gesetzes, bei der die Bestätigung des akkreditierten Diensteanbieters die erlassende Behörde als Nutzer des De-Mail-Kontos erkennen lässt;
4. durch sonstige sichere Verfahren, die durch Rechtsverordnung der Bundesregierung mit Zustimmung des Bundesrates festgelegt werden, welche den Datenübermittler (Absender der Daten) authentifizieren und die Integrität des elektronisch übermittelten Datensatzes sowie die Barrierefreiheit gewährleisten; der IT-Planungsrat gibt Empfehlungen zu geeigneten Verfahren ab.
In den Fällen des Satzes 4 Nummer 1 muss bei einer Eingabe über öffentlich zugängliche Netze ein sicherer Identitätsnachweis nach § 18 des Personalausweisgesetzes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes erfolgen.“

Allerdings wurde der Geltungsbereich des E-Government-Gesetzes (§ 1 Abs. 2) erweitert; es erfasst nun auch unmittelbar die Tätigkeit der Gemeinden und Gemeindeverbände, soweit sie Bundesrecht ausführen. Das aber wohl nur aus rechtstechnischen Gründen (BT-Drs.17/13139 S. 23). Auch bleibt es bei der von den Ländern gerügten Verpflichtung aller Behörden, den elektronischen Zugang zu eröffnen. Die vom Bundesrat befürchteten erheblichen Kosten sieht der Innenausschuss aber wohl nicht auf die Länder zukommen. Hierbei kann er sich auf die Einschätzung des Deutschen Städtetages stützen:

Für die Opposition überraschend, waren die sehr klaren Aussagen von Dr. Helmut Fogt vom Deutschen Städtetag zu den zu erwartenden Kosten für die Kommunen durch die Umsetzung des Gesetzes. „Die Anforderungen durch das Gesetz haben wir längst erfüllt oder sind dabei sie zu erfüllen“, so der Beigeordnete des Kommunalen Spitzenverbandes. Das Gesetz würde lediglich verpflichten, eine E-Mail-Adresse einzurichten und auf einer Internetseite über Kontaktdaten und Verfahrensangaben zu informieren, dies hätten alle Kommunen bereits. Für die zu schaffende Möglichkeit der elektronischen Bezahlung genüge die Angabe der Kontodaten, außerdem arbeiten die Länder bereits an einer E-Pay-Lösung, die dann auch für die Kommunen gelten könnte. Das Einrichten einer De-Mail-Adresse würde im Bereich von einigen tausend Euro liegen und wäre von den Kosten her vernachlässigbar, so Fogt. Auch auf die Nachfrage von Gerold Reichenbach (SPD) zu den Kosten der elektronischen Archivierung reagierte Fogt entspannt und verwies darauf, dass die digitale Aufbewahrung sehr viel kostengünstiger sei als die papierene.

Entsprechend konzentrierte sich die Debatte im Innenausschuss wie im Plenum auf die vom CCC wieder aufgeworfene Frage der Datensicherheit von De-Mail. Seine Stellungnahme, die Sicherheit De-Mail sei „ein schlechter Witz“, auch wegen der Signierung der Nachrichten durch den Diensteanbieter anstelle des Bürgers, beherrschte die (elektronischen) Medien samt FAZ, BR und Spiegel Online. Die Opposition griff das auf: Der Grüne Konstantin von Notz zitierte genüsslich („Ich zitiere jetzt einmal Sascha Lobo – ich wollte das schon immer einmal machen –, …“) Sascha Lobos SPON-Kolumne über De-Mail als „De-Bakel“, „De-Fail“ und „digitaler Hauptstadtflughafen.“ Und Gerold Reichenbach von der SPD erinnerte daran, dass der auch von Innenstaatssekretär Schröder wie vom CDU-Berichterstatter Binninger wiederum gezogene Vergleich mit dem Fax hinke. Denn Faxe würden dezentral versandt, derweil alle De-Mails über ganz wenige, letztlich vier zentrale Server der Anbieter liefen. Das mache diese Server zu perfekten Angriffszielen für Hacker (BT-Prot. 17/234 S. 29329).

Gerade diesem Argument suchen die De-Mail-Anbieter entgegenzutreten. Just in dieser Woche lud die Telekom in ihren De-Mail-Serverpark. Detlef Borchers nahm für heise.de gern an und berichtet höchst informativ und umfangreich bebildert über die implementieren technischen Sicherheitsvorkehrungen:

In einem Frankfurter Vorort gibt es für De-Mail ein ganz besonderes Rechenzentrum. Das Gelände ist mit Zäunen abgesperrt, dahinter der Perimeterschutz gegen angreifende Bulldozer. Wer als Mensch die Gebäude betreten will, muss drei Sicherheitszonen über Vereinzelungsschleusen durchqueren, ehe er in die Serverräume kommt, in denen in langen Reihen von Racks die Server, Switches und Router stehen (die Hardware kommt von HP und Cisco). In einem von ihnen, noch einmal durch einen Drahtkäfig gesichert, stehen die De-Mail-Server der Deutschen Telekom (für Privatkunden), von T-Systems (für Geschäftskunden) und eine Plattform, auf der Entwickler neue Ideen rund um De-Mail ausprobieren. Wer den Käfig betreten will, braucht einen Begleiter: Der alleinige Aufenthalt einer Person ist untersagt und führt zum Alarm. Wenn ein Techniker eine defekte Hardware austauschen muss, soll er dies nur unter Aufsicht tun.

Unbill könnte dem Gesetz freilich noch von ganz anderer Seite drohen: aus Europa. Die Post hat sich nach ihrem Ausstieg aus der De-Mail wegen vermeintlicher Inkompatibilitäten ihres Post-Ident-Verfahrens an die Europäische Kommission gewandt. Sie sieht, wie E-Government-Computing berichtet, in der Protektion der De-Mail in den Regelungen zur elektronischen Schriftform und zur produktorientierten Standardisierung der elektronischen Behördenpost einen klaren Verstoß gegen europäisches Recht. Anbieter wie die Post, doch auch und vor allem ausländische Anbieter, würden benachteiligt. Die Bundesregierung habe die Notifizierungspflicht nach der Richtlinie 98/34/EG verletzt.Das greift die hier bereits dargestellten Bedenken von Heckmann und Albrecht auf.

* * *

Siehe auch den wie stets lesenswerten Wochenrückblick von Hal Faber.

* * *

[Nachtrag 2013-05.22] Der Gesetzentwurf wird voraussichtlich am 22. Mai 2013 Thema im Innenausschuss des Bundesrates sein (BR-Drs 356/13). [/Nachtrag]