Das am vergangenen Donnerstag abgenickte E-Government-Gesetz sieht auch Änderungen des De-Mail-Gesetzes vor:

1. In § 2 werden die Wörter „und der Rechtsverordnung nach § 24“ gestrichen.

Diese „Änderung ist redaktioneller Art“ (BT-Drs. 17/11473 S. 71). Sie bereinigt ein Versehen des Gesetzgebers. Das ursprüngliche „Bürgerportalgesetz“ (BT-Drs. 16/12598) sah noch eine dieses ergänzende materielle Rechtsverordnung vor. Das wurde beim De-Mail-Gesetz aufgegeben, das nunmehr nur noch durch die kurze (und bald obsolete) De-Mail-Kostenverordnung ergänzt wird. Da diese keine Befugnisse der „zuständigen Behörde“ begründet, bedarf es der entsprechenden Verweisung in §2 nicht, die derzeit lautet:

§ 2. Zuständige Behörde. Zuständige Behörde nach diesem Gesetz und der Rechtsverordnung nach § 24 ist das Bundesamt für Sicherheit in der Informationstechnik.

Weiterlesen →

Der Bundestag hat in seiner 234. Sitzung am 18. April 2013 den von der Bundesregierung eingebrachten Entwurf eines Gesetzes zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften (BT-Drs. 17/11473) in der Fassung der Empfehlung des Innenausschusses (BT-Drs. 17/13139) mit den Stimmen der Koalition gegen die gesammelten Stimmen der Opposition abgenickt. Die vergleichsweise Eile – der Bericht des Innenausschusses datiert erst vom Vortag; die Debatte fand spätabends statt – erklärt sich mit dem nahenden Ende der Legislaturperiode und der damit drohenden Diskontinuität. Nun aber kann das Gesetz alsbald dem Bundesrat zugeleitet werden, der etwa am 3. Mai 2013 darüber beraten kann.

Großer Widerstand dürfte dort kaum noch zu erwarten sein, nachdem das Gesetz nun die größten Bedenken der Länder aufgegriffen hat. Die Änderungen durch den Innenausschuss gehen auf einen sicherlich zwischen dem BMI und den Ländern abgestimmten Antrag der Koalitionsfraktionen (Ausschussdrucksache 17–4–714) zurück. So wurde die vom Bundesrat geforderte offene Formulierung zu den „sicheren Übertragungswegen“ in § 3a Abs. 2 VwVfG wie halb in Aussicht gestellt und zu erwarten durch eine zusätzliche Verordnungsgermächtigung realisiert. Nunmehr soll es heißen:

„(2) Eine durch Rechtsvorschrift angeordnete Schriftform kann, soweit nicht durch Rechtsvorschrift etwas anderes bestimmt ist, durch die elektronische Form ersetzt werden. Der elektronischen Form genügt ein elektronisches Dokument, das mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen ist. Die Signierung mit einem Pseudonym, das die Identifizierung der Person des Signaturschlüsselinhabers nicht unmittelbar durch die Behörde ermöglicht, ist nicht zulässig. Die Schriftform kann auch ersetzt werden
1. durch unmittelbare Abgabe der Erklärung in einem elektronischen Formular, das von der Behörde in einem Eingabegerät oder über öffentlich zugängliche Netze zur Verfügung gestellt wird;
2. bei Anträgen und Anzeigen durch Versendung eines elektronischen Dokuments an die Behörde mit der Versandart nach § 5 Absatz 5 des De-Mail-Gesetzes;
3. bei elektronischen Verwaltungsakten oder sonstigen elektronischen Dokumenten der Behörden durch Versendung einer De-Mail-Nachricht nach § 5 Absatz 5 des De-Mail-Gesetzes, bei der die Bestätigung des akkreditierten Diensteanbieters die erlassende Behörde als Nutzer des De-Mail-Kontos erkennen lässt;
4. durch sonstige sichere Verfahren, die durch Rechtsverordnung der Bundesregierung mit Zustimmung des Bundesrates festgelegt werden, welche den Datenübermittler (Absender der Daten) authentifizieren und die Integrität des elektronisch übermittelten Datensatzes sowie die Barrierefreiheit gewährleisten; der IT-Planungsrat gibt Empfehlungen zu geeigneten Verfahren ab.
In den Fällen des Satzes 4 Nummer 1 muss bei einer Eingabe über öffentlich zugängliche Netze ein sicherer Identitätsnachweis nach § 18 des Personalausweisgesetzes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes erfolgen.“

Weiterlesen →

Wegen Zeitmangels vorerst nur Schnipsel:

* * *

Note to self: Das hier müsste auch mal jemand analysieren und nicht nur aufschreiben:

Die Gesetzentwürfe des Bundesrates (BT-Drs. 17/11691 = BR-Drs. 503/12) wie der Bundesregierung (BT-Drs. 17/12634 = BR-Drs. 818/12) sind in Bundestag und Bundesrat beraten worden, zuletzt am vergangenen Montag im Rechtsausschuss des Bundestages.

Der Bundesrat beriet zunächst am 21. September 2012 in seiner 900. Sitzung über den Antrag der Länder Baden-Württemberg, Bayern, Berlin, Hessen, Niedersachsen und Sachsen (BR-Drs. 503/12) und verwies ihn an den Rechtssauschuss (sowie den für Finanzen und Inneres) des Bundesrates (BR-Prot. 900). Dieser empfahl Änderungen (BR-Drs. 503/1/12), die das Plenum des Bundesrates am 12. Oktober 2012 (BR-Prot. 901) beschloss (BR-Drs. 503/12 B). Der Entwurf wurde mit der Stellungnahme der Bundesregierung als BT-Drs. 17/11691 dem Bundestag zugeleitet.

Am 21. Dezember 2012 leitete sodann die Bundesregierung den Entwurf des BMJ (BR-Drs. 818/12) dem Bundesrat zu. Dessen Rechtsausschuss (mit dem Finanzausschuss) empfahl, in der Stellungnahme Änderungen anzuregen (BR-Drs. 818/1/12), was das Plenum des Bundesrates am 1. Februar 2013 beschloss (BR-Prot. 906). Der Entwurf wurde im Folgenden als BT-Drs. 17/12634 dem Bundestag zugeleitet.

Dieser beriet am 14. März 2013 beide Entwürfe zusammen und überwies sie an den Rechtsausschuss (mit dem Innenausschuss) des Bundestages (BT-Prot. 17/228). Dieser führte am 15. April 2013 eine öffentliche Anhörung durch. Die Sachverständigen äußerten sich weit überwiegend lobend bis euphorisch.

* * *

Nur mal wieder der Chaos Computer Club nicht. Wer lädt den eigentlich immer ein? Dass er Gesetzesvorhaben stets an der technischen Realität misst, stört doch nur den reibungslosen Ablauf solch ambitionierter Gesesetzgebungsvorhaben. Dass der CCC sich wiederum vehement für eine zwingende Ende-zu-Ende-Verschlüsselung sowie die elektronische Signatur ausspricht, dürfte aber letztlich nur höflich als interessant aufgefasst werden.

* * *

Sascha Lobo wettert wortmächtig gegen die De-Mail („Vorzeigemisserfolg“, „De-Bakel“, „digitaler Hauptstadtflughafen“). Das Beste ist aber das „tl;dr“ am Ende des Artikels, das hier einmal in voller Länge wiedergegeben werden soll:

tl;dr

De-Fail.

Es stand fast zu erwarten: Der Versuch der Bundesregierung, die Sicherheit der nicht Ende-zu-Ende verschlüsselten De-Mail im Entwurf des E-Government-Gesetzes gesetzlich herbeizufdefinieren, stößt auf Widerstand. Doch nicht nur auf Skepsis, sondern auf Hohn:

https://twitter.com/BitSortierer/status/313987750011478016

"Sichere" elektronische Kommunikation durch Behörden: kein Problem, wird gesetzlich fingiert 🙂 http://t.co/qo6J8AQKz5 #DeMail

— Prof. Dirk Heckmann (@elawprof) March 19, 2013

#DEMail per Gesetz sicher machen? Klasse Idee! Danach sichern wir per Gesetz, dass die Menschen gesund und froh und zufrieden sind! #Yeah

— Veterinärtheologe (@PorcusDivinus) March 19, 2013

Das hat ja schon was von per Gesetz bestimmen, dass immer die Sonne scheint… http://t.co/7W2W1Zi4Ca #demail

— Christian Specht (@Pego_) March 19, 2013

Gesetz erklärt De-Mail einfach für sicher. Kann die Regierung nicht auch den Winter für beendet erklären? Also per Gesetz? #winter #demail

— Florian Breitsameter (@sf_fan) March 19, 2013

können wir nicht einfach ein gesetz erlassen, dass der #ber fertig und betriebsbereit ist? bei #DEmail gehts ja auch…

— Andreas Baum (@rka) March 19, 2013

German government wants to pass a law declaring man-in-the-middle-attacks as part of safe cryptography -.- #demail

— Christoph Henkelmann (@chenkelmann) March 19, 2013

#DeMail – Ich träume schon von Gesetzen, die uns reich oder unsterblich machen! http://t.co/VHvD7vX6E5

— Tin Head (@cpubeat) March 19, 2013

#Armut? #Elend? Nicht hier. Dafür gibt es doch ein #NeuesGesetz (und wenn sie JETZT bestellen, gibt es #Frieden gratis dazu) #DEmail

— Veterinärtheologe (@PorcusDivinus) March 19, 2013

Weiterlesen →

Der Entwurf des E-Government-Gesetz des Bundes wurde wie berichtet am 21. Februar nach der ersten Lesung im Plenum des Bundestags in die Ausschüsse verwiesen. Der federführende Innenausschuss hat nun für den kommenden Mittwoch zur ersten öffentlichen Anhörung des Gesetzes geladen – auf 12:00 Uhr ins Paul-Löbe-Haus, Sitzungssaal 4.400.

Nach der Tagesordnung sind als Sachverständige geladen der Landesbeauftragte für den Datenschutz Mecklenburg-Vorpommern Reinhard Dankert, Dr. Helmut Vogt vom Deutschen Städtetag, Prof. Dr. Ralf Müller-Terpitz der Universität Passau (siehe hier und hier), Dr. Bernhard Rohleder der BITKOM sowie Dirk Stocksmeier, Vorstandsvorsitzender der ]init[ AG, die seiner Selbstbeschreibung nach „heute zu den führenden E-Government Unternehmen Deutschlands gehört“, aber vor allem wohl durch den kreativen Gebrauch eckiger Klammern auffällt.

Die Dokumente der Sachverständigen sind bislang leider nicht veröffentlicht. [Nachtrag 2013-03-20] inzwischen veröffentlicht.

• Die Stellungnahme des Sachverständigen Nr. 6, Linus Neumann, Chaos Conputer Club und Netzpolitik.org, findet sich in der Ausschussdrucksache 17(4)695 B. Der CCC rät in der auf seiner Homepage veröffentlichten Stellungnahme dazu, das gescheiterte Projekt De-Mail ersatzlos zu streichen. Die Sicherheit des Systems sei „ein schlechter Witz“. Die Bundesregierung – erwartbar – widerspricht.
• Der Industrie- und Handelskammertag begrüßt das Projekt, fordert aber die Integration in das Verwaltungsverfahrensgesetz und den deutlichen Abbau von Formvorschriften. D’accord!
• BITKOM liegt auf der gleichen Linie.
• Der Datenschutzbeauftragter M-V fordert die Ende-zu-Ende-Verschlüsselung sensibler Daten.
• Auch Müller-Terpitz spricht sich für die Integration in das VwVfG aus, begrüßt aber die zwangsweise Zugangseröffnung, fordert indes Technikoffenheit.
• Dirk Stocksmeier als Vertreter der von dem Projekt profitierenden IT-Branche schreibt:

Schätzungsweise 18 Milliarden Euro investiert die Deutsche Verwaltung jährlich in Informations- und Kommunikationstechnologien. Sie tut dies, um Ihre Aufgaben effektiv und kostengünstig zu erfüllen und für Bürger und Wirtschaft gute Leistungen zu erbringen.

Nur wer kauft, kann sparen!

[/Nachtrag]

Das derzeit im Gesetzgebungsprozess befindliche E-Government-Gesetz des Bundes wird von nicht wenigen De-Mail-Anbietern und -Fürsprechern als der erforderliche Schub erhofft, der dieser Technik die notwendige Durchsetzung in der Breite der Bevölkerung verschafft. Schließlich soll dieses Gesetz die Behörden zwingen, den Zugang via De-Mail zu eröffnen. So bekäme diese ausdrückliche Insellösung gleich einen großen und vor allem relevanten Kreis an Anwendern. Der Netzwerkeffekt soll dann für den Rest sorgen.

Diese offenbare Bevorzugung einer Technologie sehen viele kritisch, neben Müller-Terpitz/Rauchhaus auch das Bundesjustizministerium und der Bundesrat. Dem schließen sich nun mit Prof. Dr. Dirk Heckmann der Universität Passau und Florian Albrecht zwei ausgewiesene Experten des „E-Government“ an. In einem Beitrag für die Zeitschrift für Rechtspolitik ZRP 2/2013 S. 42 befassen sie sich kritisch mit dem geplanten E-Government-Gesetz des Bundes und vor allem desssen Fokussierung auf die De-Mail. Sie stellen dem einen technikneutralen Ansatz entgegen, wie er auch vom BMJ und Bundesrat präferiert wird.

Sie fürchten:

[Mit  § 2 II EGovG-E und § 3 a II VwVfG-E] wird De-Mail als gesetzliche Kommunikationsform für elektronische Verwaltungsverfahren verankert und gegenüber anderen Kommunikationstechnologien (wie etwa dem E-Postbrief) privilegiert. Obwohl diese durch § 2 II EGovG-E nicht direkt ausgeschlossen werden, ist nicht damit zu rechnen, dass sich die betroffenen Behörden auch gegenüber anderen sicheren elektronischen Kommunikationstechniken öffnen werden. Die damit einhergehenden Kosten und der mit jedem weiteren Verfahren steigende Bürokratieaufwand werden die Möglichkeit einer Verbesserung der Bürgerkommunikation in den Hintergrund treten lassen.

Weiterlesen →

Der Bundesdatenschutzbeauftragte hat auf seiner Internetseite eine „Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail“  veröffentlicht. In der Sache enthalten die acht Seiten wenig Überraschendes: Erneut fordert er die Ende-zu-Ende-Verschlüsselung sensibler Daten.

Die Handreichung soll die Nutzer von De-Mail für die datenschutzrechtlichen Aspekte bei der Versendung besonders schützenswerter Daten mittels De-Mail sensibilisieren. Sie soll Hinweise für einen datenschutzgerechten Versand dieser Daten mittels De-
Mail unter Berücksichtigung der Möglichkeit einer Ende-zu-Ende-Verschlüsselung geben, um damit zu einer rechtssicheren und weiten Verbreitung von De-Mail-
Diensten beizutragen.

Am Interessantesten ist hierbei vielleicht noch die graphische Erläuterung des § 5 Abs. 3 De-Mail-Gesetz. Dieser lautet:

§ 5. Postfach- und Versanddienst. (…) (3) Der Postfach- und Versanddienst hat die Vertraulichkeit, die Integrität und die Authentizität der Nachrichten zu gewährleisten. Hierzu gewährleistet der akkreditierte Diensteanbieter, dass

1. die Kommunikation von einem akkreditierten Diensteanbieter zu jedem anderen akkreditierten Diensteanbieter über einen verschlüsselten gegenseitig authentisierten Kanal erfolgt (Transportverschlüsselung) und

2. der Inhalt einer De-Mail-Nachricht vom akkreditierten Diensteanbieter des Senders zum akkreditierten Diensteanbieter des Empfängers verschlüsselt übertragen wird.

Der Einsatz einer durchgängigen Verschlüsselung zwischen Sender und Empfänger (Ende-zu-Ende-Verschlüsselung) bleibt hiervon unberührt.

Die Vorschrift ermöglicht also in Satz 2 die vielfach geforderte Ende-zu-Ende-Verschlüsselung (bzw. erklärt, dass sie ihr nicht im Wege steht). Und fordert in Satz 1 Nr. 1 eine Transport- und in Nr. 2 eine zusätzliche Inhaltsverschlüsselung. Die Handreichung erläutert, dass die (auch von § 4 Abs. 3 De-Mail geforderte) Transportverschlüsselung mittels TLS/SSL realisiert werden soll und die zusätzliche Inhaltsverschlüsselung mittels S/MIME.

Weiterlesen →

Groß-ar-tig. Felix @diplix Schwenzel macht das einzig Richtige und verlacht Telekoms De-Mail-Werbung. Zu der war @sebaso nur eins eingefallen:

ROTFLBTC #demail #telekom twitter.com/sebaso/status/…

— Sebastian (@sebaso) 6. März 2013

Schwenzel lässt die offenbar einfallslosen – doch sicher nicht schlecht bezahlten – Werber von Philipp und Keuntje De-Mail als „dieses nutzlose und überteuerte witzprodukt“ bezeichnen, und sagt:

die frage ob die schauspieler in der werbung wirklich de-mailer sind, hat mir die telekom noch nicht beantwortet. auch meine frage, ob die tatsache dass der FC bayern münchen de-mail vielleicht deshalb benutzt, weil er werbepartner der telekom ist und nicht weil er einen bedarf oder nutzen davon hat.

Weiterlesen →

Großartig:

@svensonsan fragte auf Twitter:

Gibt es De-Mail auch in echt? Nutzt das jemand? Oder existiert das nur in der Theorie?

— Sven Dietrich (@svensonsan) 7. März 2013

Zunächst ohne Erfolg. Stattdessen kam Defätistisches:

@svensonsan Die De-Mail will keiner, braucht keiner, nutzt keiner.

— Georg Konjovic (@GeorgKonjovic) 7. März 2013

@georgkonjovic @svensonsan … und hat auch keiner

— Jörg-M. Dienemann (@klarekante) 7. März 2013

Weiterlesen →

Bei heise.de heißt es:

Ralph Wiegand, CEO von E-Postbrief, erklärte dazu, man habe alle Zertifizierungen als De-Mail-Anbieter bestanden, sei aber mit dem eigenen PostIdent-Verfahren am Widerstand der Datenschützer gescheitert. Weil bei PostIdent die Ausweisnummer nach den Bestimmungen des Geldwäschegesetzes gespeichert wird, sei man nicht De-Mail-konform. Das PostIdent-Verfahren will die Post auf keinen Fall ändern.

[Update 2013-03-07 23:53] Ein Storify von Andreas Schumann beleuchtet die Hintergründe. [/Update]

Das erstaunt mich, wurde doch einerseits PostIdent bislang allgemein als Mittel der Identifizierung mit Hilfe Dritter angesehen (Skrobotz, in: Manssen, K § 3 Rdnr. 22; Roßnagel, NJW 2011, 1473/1474; LG Köln, MMR 2011, 555; dem folgend OLG Köln, VI-U (Kart) 14/11 (BeckRS 2012, 01666). Und andererseits sehe ich keinen so wesentlichen Unterschied zwischendem De-Mail-Gesetz und dem Geldwäschegsetz, dass nicht PostIdent nach beiden zulässig sein könnte.

Zunächst zur Identifizierung: Nach sowohl § 4 Abs. 3 und 4 des Geldwäschegesetzes auf der einen wie nach § 3 Abs. 2 und 3 des De-Mail-Gesetzes auf der anderen Seite

erhebt und speichert [der Verpflichtete / der Anbieter] folgende Angaben:
1. bei einer natürlichen Person Name, Geburtsort, Geburtsdatum und Anschrift;

und verifiziert er diese Angaben etwa mittels eines Personalausweises:

anhand eines gültigen amtlichen Ausweises, der ein Lichtbild des Inhabers enthält und mit dem die Pass- und Ausweispflicht im Inland erfüllt wird, insbesondere anhand eines inländischen oder nach ausländerrechtlichen Bestimmungen anerkannten oder zugelassenen Passes, Personalausweises oder Pass- oder Ausweisersatzes…

Weiterlesen →