Der bereits hier vorgestellte Kommissions-Entwurf einer „Verordnung des Europäischen Parlaments und des Rates über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ – KOM (2012) 238 – ist in erster Lesung im wesentlichen vom Europäischen Parlament gebilligt worden. Mit großer Mehrheit (534 zu 76 bei 17 Enthaltungen) billigten die Angeordneten einen mit der Kommission abgestimmten, gegenüber der ersten Fassung erheblich ergänzten und modifizierten Verordnungsentwurf.

Die in der Zusammenfassung des Parlamentes aufgelisteten Änderungen erfassen De-Mail bzw. „elektronische Zustelldienste“ nicht explizit. Sie nennt vielmehr nur Zweck und Anwendungsbereich, gegenseitige Anerkennung, Notifizierung, Sicherheitslücken, Haftung, Interoperabilität, Drittstaatenregelung, Barrierefreiheit, Aufsicht sowie ein neu angedachtes Gütesiegel für die Vertrauensdienste-Anbieter.

Ein paar Änderungen sieht der Entwurf aber auch zur De-Mail vor. So heißt es nun in Erwägungsgrund 66:

Es ist von wesentlicher Bedeutung, dass ein Rechtsrahmen geschaffen wird, um die grenzüberschreitende Anerkennung zwischen den bestehenden nationalen rechtlichen Regelungen in Bezug auf elektronische Einschreib-Zustelldienste zu erleichtern. Dieser Rahmen könnte Vertrauensdiensteanbietern der Union außerdem neue Marktchancen eröffnen, denn sie werden europaweit neue elektronische Einschreib-Zustelldienste anbieten können.

Der neue Begriff des „elektronischen Einschreib-Zustelldienstes“ findet sich auch in Art. 1 (Zweck der Verordnung) sowie in der Begrifsbestimmung des Art. 3 Abs. 16. Diese Vorschrift soll lauten:

Artikel 3
Begriffsbestimmungen

Für die Zwecke dieser Verordnung gelten die folgenden Begriffsbestimmungen: (…)
(16) „Vertrauensdienst“ ist ein elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird und Folgendes umfasst:
a) Erstellung, Überprüfung und Validierung von elektronischen Signaturen , elektronischen Siegeln oder elektronischen Zeitstempeln, und elektronischen Einschreib-Zustelldiensten sowie von diese Dienste betreffenden Zertifikaten oder
b) Erstellung, Überprüfung und Validierung von Zertifikaten für die Website-Authentifizierung oder
c) die Bewahrung von diese Dienste betreffenden elektronischen Signaturen, Siegeln oder Zertifikaten;

Heißt das, dass Vertrauensdienst im Sinne dieser Verordnung nur ist, wer all die in a) genannten Dienstleistungen anbietet, also Signaturen (bzw. Siegel bzw. Zeitstempel) und „Zustelldienste“ und Zertfikatsdienste? Die in b) und c) genannten anderen Dienste sind hiermit mit einem „oder“ verbunden.
Art. 3 Abs. 36 definiert den hier verwendeten Begriff des „elektronischen Einschreib-Zustelldienstes“, Abs. 37 den des qualifizierten:

(36) „elektronischer Einschreib-Zustelldienst“ ist ein Dienst, der die Übermittlung von Daten zwischen Dritten mit elektronischen Mitteln ermöglicht und einen Nachweis der Handhabung der übermittelten Daten erbringt, darunter den Nachweis der Absendung und des Empfangs der Daten, und der die übertragenen Daten vor Verlust, Diebstahl, Beschädigung oder unbefugter Veränderung schützt;
(37) „qualifizierter elektronischer Einschreib-Zustelldienst“ ist ein elektronischer Einschreib-Zustelldienst, der die Anforderungen des Artikels 42 erfüllt;

Was uns zwanglos zu den materiellen Anforderungen der Verordnung an solche Dienste einfacher bzw. qualifizierter Art bringt:

Elektronischer Einschreib-Zustelldienst

Artikel 41
Rechtswirkung eines elektronischen Einschreib-Zustelldiensts

1. Daten, die mittels eines elektronischen Einschreib-Zustelldiensts abgesendet und empfangen werden, darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegen oder weil nicht die Anforderungen an qualifizierte elektronische Einschreibe-Zustelldienste erfüllt sind.
2. Für Daten, die mittels eines qualifizierten elektronischen Einschreib-Zustelldiensts abgesendet und empfangen werden, gilt die rechtliche Vermutung der Unversehrtheit der Daten, der Absendung der Daten durch den identifizierten Absender und des Empfangs der Daten durch den identifizierten Empfänger und der Korrektheit des Datums und der Uhrzeit der Absendung und des Empfangs, wie sie von dem qualifizierten elektronischen Einschreib-Zustelldienst angegeben werden.

Der Entwurf sieht in Art. 41 Abs. 2 also anders als der zum 1. Juli 2014 in Kraft tretende § 371a Abs. 2 ZPO nicht nur einen Anscheinsbeweis vor für „Daten, die mittels eines qualifizierten elektronischen Einschreib-Zustelldiensts abgesendet und empfangen werden“. Es soll vielmehr die stärkere rechtliche Vermutung gelten, dass die Daten unversehrt angekommen sind, dass sie durch genau diesen Absender versandt und genau durch diesen Empfänger erhalten wurden, und dass die vom Anbieter zu Versand und Empfang genannten Zeit-Angaben zutreffen. Diese Vermutung ist nicht nur ein Schein, der erschüttert werden kann. Sie müsste vielmehr widerlegt werden. Es genügt also nicht, den Anschein dadurch zu entkräften, dass eine andere Gestaltung möglich erscheint. Vielmehr müsste das Gegenteil der Vermutung bewiesen werden.

Artikel 42
Anforderungen an qualifizierte elektronische Einschreib-Zustelldienste

1.  Qualifizierte elektronische Einschreib -Zustelldienste müssen folgende Anforderungen erfüllen:
a) Sie müssen von einem oder mehreren qualifizierten Vertrauensdiensteanbietern erbracht werden;
b) sie müssen die Identifizierung des Absenders mit einem hohen Maß an Vertrauen gewährleisten;
c) sie müssen die Identifizierung des Empfängers vor der Zustellung der Daten gewährleisten;
d) das Absenden und Empfangen der Daten muss durch eine fortgeschrittene elektronische Signatur oder ein fortgeschrittenes elektronisches Siegel eines qualifizierten Vertrauensdiensteanbieters auf eine Weise gesichert sein, die jede Möglichkeit einer unbemerkten Veränderung der Daten ausschließt;
e) jede Veränderung der Daten, die zum Absenden oder Empfangen der Daten nötig ist, muss dem Absender und dem Empfänger der Daten deutlich angezeigt werden;
f) das Datum und die Zeit des Absendens, Empfangens oder einer Änderung der Daten muss durch einen qualifizierten elektronischen Zeitstempel angezeigt werden;
g) im Fall der Weiterleitung der Daten zwischen zwei oder mehreren qualifizierten Vertrauensdiensteanbietern gelten die Anforderungen der Buchstaben a bis f für alle beteiligten qualifizierten Vertrauensdiensteanbieter.
2.  Die Kommission kann im Wege von Durchführungsrechtsakten Verweise auf Normen für Prozesse des Absendens und Empfangens von Daten festlegen. Bei Prozessen des Absendens und Empfangens von Daten, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen des Absatzes 1 erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 46 Absatz 2 genannten Prüfverfahren erlassen.

Die Anforderungen an „qualifizierte elektronische Einschreib-Zustelldienste“ entsprechen im Wesentlichen denen des § 5 De-Mail-Gesetzes an den Postfach- und Versanddienst der De-Mail-Anbieter. Interessant ist hier vor allem die Forderung nach einem qualifizierten elektronischen Zeitstempel in Abs. 1 lit. f. Das sieht die deutsche Regelung bislang nicht vor. Danach ist nur die Angabe der (korrekten, gesetzlichen) Zeit in der qualifiziert signierten Bestätigung vor. Hierbei handelt es sich aber nur um eine Eigenangabe des De-Mail-Anbieters und nicht um eine Bestätigung eines hiervon unabhängigen Zertifizierungsdienste-Anbieters, wie es die gesetzliche Definition des Zeitstempels in § 2 Nr. 14 SigG derzeit voraussetzt: „elektronische Bescheinigungen eines [qualifizierten] Zertifizierungsdiensteanbieters […] darüber, dass ihm bestimmte elektronische Daten zu einem bestimmten Zeitpunkt vorgelegen haben“.

Die Verordnung sieht dagegen die Möglichkeit vor, dass alle Dienstleistungen aus einer Hand erbracht werden, vgl. Art. 3 Nr. 16 lit. a: „Erstellung, Überprüfung und Validierung von elektronischen Signaturen, elektronischen Siegeln oder elektro­nischen Zeitstempeln, und Diensten für die Zustellung elektronischer Einschreiben sowie von diese Dienste
betreffenden Zertifikaten“. Damit kann auch die entsprechende Angabe eines Vertrauensdiensteanbieters der Verordnung genügen, der im Übrigen (nur) Zustelldienste anbietet.

Erfordert also letztlich die Umsetzung der Verordnung die Vereinheitlichung von Signatur- und De-Mail-Gesetz? Bislang unterliegen die jeweiligen Anbieter vergleichbaren doch nicht gleichen Anforderungen, bis hin zur Aufsichtsbehörde: die Bundesnetzagentur bei den Signaturen und das BSI bei der De-Mail. So offensichtlich auch die technische Nähe des BSI zu den regulierten Sachverhalten ist, so sehr wurde gerade die Einschaltung dieser Behörde in den Aufbau einer verlässlichen Kommunikationsinfrastruktur kritisiert. Mit dem pauschalen Vorwurf einer „allgemeinen Schnüffelbehörde im virtuellen Raum“ wurde die Nähe der Behörde zum BMI und den ihm unterstehenden Geheimdiensten besonders kritisch angesprochen, namentlich ihre parallele Aufgabe der Kommunikationsüberwachung nach § 5 BSIG (vgl. Skrobotz K § 2 Rdnr. 3). Es ist daher nicht verwunderlich, dass Verschwörungstheorien zur strikten Verweigerung einer Ende-zu-Ende-Verschlüsselung der De-Mail (trotz offenbarer Einsicht der Politik) nicht zum Erliegen kommen.

Bei einer Vereinheitlichung der Aufsicht dürfte es sich daher empfehlen, auch die De-Mail-Anbieter der Aufsicht der BNetzA zu unterstellen. Diese muss auch bei der Signatur auf den technischen Sachverstand des BSI zurückgreifen.

[Anm. 2016-06-11: Der viertletzte Absatz wurde klarstellend geändert dahingehend, dass Zeitstempeldienste nur derzeit Zertifizierungsdiensteanbietern vorbehalten sind. Der drittletzte Absatz wurde neu eingefügt; er stellt die Rechtslage nach der Verordnung dar. Der vorletzte Absatz wurde sprachlich geringfügig angepasst. /]