Pläne der Großen Koalition für De-Mail?

Zeit Online zitiert aus dem Ergebnispapier „Digitale Agenda für Deutschland 2013“ der Verhandlungen der Großkoalitionäre:

Stichwort E-Government: Im Koalitionsvertrag soll der Satz stehen: „Die Identifizierungsfunktion des neuen Personalausweises, die sichere Kommunikation über De-Mail und die Nutzung von Ende-zu-Ende-Verschlüsselung sind deshalb anzuwenden.“

und erläutert:

Damit erklärt auch die Große Koalition die De-Mail kurzerhand für „sicher“, wie es schon Schwarz-Gelb mit dem E-Government-Gesetz getan hat. Darin heißt es, die kurzzeitige Entschlüsselung einer De-Mail beim Provider zur Abwehr von Spam widerspreche nicht dem Verschlüsselungsgebot. Der Chaos Computer Club hatte das in der Debatte im Frühjahr als „Witz“ bezeichnet und darauf hingewiesen, dass nur echte Ende-zu-Ende-Verschlüsselung sicher sei.

Das Neue daran wird mir ohne Blick in „das 13-seitige Papier“, das sicher „noch gekürzt wird“ nicht klar. Schon jetzt erlaubt § 3a Abs. 2 Satz 4 Nr. 1 mit Satz 5 VwVfG es, die Unterschrift unter einem Formular durch die Identifizierungsfunktion des neuen Personalausweises zu ersetzen. Und auch die De-Mail ist als Schriftformersatz schon im Gesetz angelegt, auch wenn der entsprechende § 3a Abs. 2 Satz 4 Nr. 2 und 3 VwVfG erst im nächsten Juli in Kraft tritt. Dass die De-Mail nicht Ende u Ende verschlüsselt ist, und dem BMI das auch bewusst ist, macht übrigens auch der zitierte Satz deutlich. Er nennt „die Nutzung von Ende-zu-Ende-Verschlüsselung“ eben gerade als dritten Punkt nach dem neuen Personalausweis und der De-Mail. Im Gesetzentwurf zum De-Mail-Gesetz heißt es (Bundestags-Drucksache 17/11473 S. 34):

Außerdem ist die Behörde nicht verpflichtet, per De-Mail zu antworten, wenn sie wegen der Versendung von Daten, z. B. Sozialdaten, mit sehr hohem Schutzbedarf verpflichtet ist, weitere Sicherungsmaßnahmen, z. B. eine Ende-zu-Ende-Verschlüsselung, einzusetzen.

Richtig aber ist, dass das E-Government-Gesetz dem § 30 der Abgabenordnung einen neuen Absatz 7 angefügt hat, in dem es wie in § 87a Abs. 1 AO nun heißt:

(7) Werden dem Steuergeheimnis unterliegende Daten durch einen Amtsträger oder diesem nach Absatz 3 gleichgestellte Personen nach Maßgabe des § 87a Absatz 4 über De-Mail-Dienste im Sinne des § 1 des De-Mail-Gesetzes versendet, liegt keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten vor, wenn beim Versenden eine kurzzeitige automatisierte Entschlüsselung durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht stattfindet.

Das unglückliche Wegdefinieren von Sicherheitsbedenken ist auf viel Kritik in der Fachwelt wie im Bundestag gestoßen. Falsch aber, liebe Zeit, ist die offenbar weiter als angenommen verbreitete Annahme, die De-Mail-Anbieter dürften Maßnahmen „zur Abwehr von Spam“ treffen. Die angeführte Vorschrift wie  § 3 Abs. 4 Nr. 3 De-Mail-Gesetz erlauben nur “die Prüfung der Nachrichten auf Schadsoftware”, das heißt auf Viren. Eine Kontrolle auf sonst unliebsame – selbst kriminelle – Inhalte darf damit nicht verbunden sein.

[Nachtrag 2013-11-19]

Die Linke hat das 9-seitige Papier veröffentlicht. Darin heißt es auf Seite 4 tatsächlich:

Voraussetzung für die Akzeptanz elektronischer Behördendienste sind Datenschutz und Sicherheit der Angebote. Die Identifizierungsfunktion des neuen Personalausweises, die sichere Kommunikation über DE-Mail und die Nutzung von Ende-zu-Ende-Verschlüsselung sind deshalb anzuwenden. Die öffentliche Verwaltung soll ihre Daten nur in vertrauenswürdigen Infrastrukturen in Deutschland speichern.

Das klingt für mich weiterhin nicht sehr spektakulär. Es liegt vielmehr auf der bisherigen Linie des BMI. Der letzte Satz kann als Reaktion auf die NSA/GCHG-Enthüllungen Snowdens verstanden werden. Er entspricht den Einschätzungen und Ideen des IT-Planungsrates.

Auch die weiteren Bekundungen bergen wenig Überraschendes:

Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) wird als nationale IT-Sicherheitsbehörde in seinen Aufgaben, Kompetenzen und Ressourcen gestärkt…

Wir streben eine Zertifizierung für Cloud-Infrastrukturen und andere sicherheitsrelevante Systeme und Dienste an. Wir wollen das vom Bundesverfassungsgericht entwickelte Recht auf Schutz und Gewährleistung der Integrität und Vertraulichkeit der IT mit Leben füllen. Die Nutzung von Methoden zur Anonymisierung, Pseudonymisierung und Datensparsamkeit müssen zu verbindlichen Regelwerken werden. Die Weiterentwicklung und Verbreitung von Chipkartenlesegeräten, Kryptographie, DE-Mail und anderen sicheren Ende-zu-Ende-Verschlüsselungen sowie vertrauenswürdiger Software gilt es erheblich auszubauen.

Das BSI steht hinter der Entwicklung von De-Mail, macht die relevanten technischen Vorgaben und überwacht die Anbieter. Das De-Mail-Gesetz legt den Grundstein für eine „deutsche Cloud“. Die Sicherheitsanforderungen wie die Datenschutzanforderungen an die Anbieter sind tatsächlich hoch – lassen aber die deutliche Lücke für den (gesetzlich vorgesehenen) Zugriff der Sicherheitsbehörden.

Fazit auch jetzt: Nichts weltbewegend Neues.

[/Nachtrag]