Es steht schon fast überall, drum sei es auch hier kurz vermeldet:

Auf der CeBIT hat das Unternehmen 1&1 (Halle 7, Stand B50) mit den Marken Web.de und GMX am Dienstag die De-Mail-Zertifizierungsurkunde des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten.

Auf der Webseite des BSI ist die Akkreditierung hingegen noch nicht vermerkt.

[Update 6.März 2013, 21:57] Das BSI hat seine Liste Akkreditierter De-Mail Diensteanbieter aktualisiert und um die Akkreditierung der 1&1 De-Mail GmbH ergänzt.[/Update]

Das Unternehmen will eigenen Aussagen zufolge „in Rundfunk und Fernsehen eine große Werbekampagne starten, die rechtssichere Kommunikation in Deutschland mit zu etablieren. Die Chancen seien sehr gut, meinte Romeo, weil das Misstrauen gegenüber US-Anbietern ständig wachse.“ Zur Identifizierung nutzt 1&1 das Angebot des Paketversenders Hermes, berichtet nun auch die Wirtschaftswoche.

Der aktuelle Stand von Verschlüsselung und Signatur in einem Bild:

Vor etwa 20 Jahren schrieb Philip Zimmermann PGP, das erste recht massenkompatible Programm zur Nutzung asymmetrischer Verschlüsselungstechnik. Etwa zur gleichen Zeit entwickelten die Ersten Ideen zur Nutzung dieser Technik zur Realisierung einer „elektronischen Unterschrift“. Vor 15 Jahren trat das Signaturgesetz in Kraft, von dem sich der Gesetzgeber wie Anbieter einen kräftigen Schub für den „sicheren“ E-Commerce versprachen, der so wohl erst später genannt wurde.
Und heute? Ist eine E-Mail „probably“ sicher bzw. authentisch, wenn sie mit der PGP-Kennung beginnt. Also wenn sie so aussieht, als ob. (XKCDs Tip: „If you want to be extra safe, check that there’s a big block of jumbled characters at the bottom.“) Es macht sich keiner die Mühe, das zu überprüfen. Die wenigsten haben PGP oder nutzen etwas Entsprechendes. Und dafür erst installieren? Eine gewisse „Probability“ genügt für den Alltag doch.

„Wenn keiner mit den Zug fahren will, braucht man auch keine Lokomotive“ wie das Signaturgesetz (Bizer).

Mit dem De-Mail-Gesetz könnte es ganz ähnlich sein.

In der 222. Sitzung des 17. Deutschen Bundestages am – leider! – 21. 2. fand die erste Lesung des E-Government-Gesetzes statt. Entsprechend §§ 79 und 80 der Geschäftsordnung gab es keine Aussprache –

§ 79 Erste Beratung von Gesetzentwürfen

In der ersten Beratung findet eine allgemeine Aussprache nur statt, wenn es vom Ältestenrat empfohlen, bis zum Aufruf des betreffenden Punktes der Tagesordnung von einer Fraktion oder von anwesenden fünf vom Hundert der Mitglieder des Bundestages verlangt oder gemäß §80 Abs. 4 beschlossen wird. In der Aussprache werden nur die Grundsätze der Vorlagen besprochen. Sachanträge dürfen nicht gestellt werden.

sondern wurden die Reden zu Protokoll gegeben. Im Anschluss wurde der Gesetzentwurf an die Ausschüsse verwiesen –

§ 80 Überweisung an einen Ausschuß

(1) Am Schluß der ersten Beratung wird der Gesetzentwurf … einem Ausschuß überwiesen; er kann nur in besonderen Fällen gleichzeitig mehreren Ausschüssen überwiesen werden, wobei der federführende Ausschuß zu bestimmen ist. Weitere Ausschüsse können sich im Benehmen mit dem federführenden Ausschuß an der Beratung bestimmter Fragen der Vorlage gutachtlich beteiligen.

namentlich an die Ausschüsse für Inneres (federführend); Recht; Wirtschaft und Technologie; Verkehr, Bau und Stadtentwicklung; Umwelt, Naturschutz und Reaktorsicherheit sowie an den Haushaltsausschuss. (Die von der Geschäftsordnung noch als Besonderheit aufgefasste Überweisung an mehrere Ausschüsse ist nicht nur bei einem Querschnittsthema wie hier inzwischen üblich.)

Weiterlesen →

Der Bundesdatenschutzbeauftragte Peter Schaar hat für den „Behörden Spiegel“ einen Beitrag unter der Überschrift „De-Mail bietet viele Vorteile“ verfasst, in dem er die De-Mail vorstellt. Er zeigt hierbei Möglichkeiten und Risiken aus Sicht des Datenschutzes auf, und setzt sich en passant mit dem geplanten E-Government-Gesetz auseinander. Er fordert wiederum die Ende-zu-Ende-Verschlüsselung sensibler Daten.

Zunächst aber beschreibt er seine Rolle bei der Akkreditierung der Anbieter – er ist nach § 18 Abs. 3 Nr. 4 De-Mail-Gesetz zuständig für die Erteilung eines Datenschutz-Zertifikates –, und ergänzt:

Die Einhaltung der im Datenschutzzertifikat genannten Standards werde ich zukünftig auch kontrollieren.

Warum er, also der Bundesbeauftragte? Zunächst: Die Datenschutzaufsicht ist nicht Aufgabe des BSI als sonst zuständiger Aufsichtsbehörde (K § 2 Rdnr. 11; BT-Drs. 17/3630 S. 41, zu § 20). Das obliegt vielmehr den Datenschutz-Aufsichtsbehörden. Das sind grundsätzlich die jeweiligen nach § 38 Abs. 5 BDSG bestimmten Landesbehörden. Bei (D)E-Mail-Diensten besteht aber eine Sonderzuständigkeit des Bundesbeauftragten aus § 115 Abs. 4 TKG. Danach tritt,

soweit für die geschäftsmäßige Erbringung von Telekommunikationsdiensten Daten von natürlichen oder juristischen Personen erhoben, verarbeitet oder genutzt werden, [….] bei den Unternehmen an die Stelle der Kontrolle nach § 38 des Bundesdatenschutzgesetzes eine Kontrolle durch den Bundesbeauftragten für den Datenschutz[…].

Dass es sich beim Transport von E-Mails um Telekommunikationsdienste im Sinne des TKG handelt, wird deutlich aus § 11 Abs. 3 TMG und § 3 Nr. 24 TKG. Denn das ist eine Leistung, „die überwiegend in der Übertragung von Signalen über Telekommunikationsnetze“ besteht. Zu beachten ist aber, dass die Ermächtigung des Bundesbeauftragten begrenzt ist auf die Verwendung der personenbezogenen Daten „für die geschäftsmäßige Erbringung von Telekommunikationsdiensten“. Gegen eine unzulässige Datenverwendung etwa für Marketingzwecke müsste die jeweilige Landesbehörde einschreiten (vgl. Petri, in: Simitis, Bundesdatenschutzgesetz, § 38 BDSG Rdnr. 18).

Weiterlesen →

Der Journalist Sebastian Knoppik bietet „Saubere Recherche und brillante Texte„. Einer seiner Texte war offenbar so sauber recherchiert und brilliant geschrieben, dass er ihn zweimal bei der Saarbrücker Zeitung unterbringen konnte: Mitte Dezember im „Computer-Internet-Recht-Ratgeber„, und Mitte Januar gar als „Aufmacher„. Letzterem hat die Redaktion dann noch eine wunderbare Überschrift verpasst:

Geschäftliche Dokumente lassen sich auch elektronisch per Internet übertragen

Nein, dieses Internet! Was die sich auch immer wieder einfallen lassen! Bald werden amerikanische Wissenschaftler noch einen Apparat erfinden, in den man seine Nachrichten nicht schreibt, sondern spricht. Und am anderen Ende der Welt kann man das dann nicht lesen, sondern sogar hören! In der Stimme des Absenders! Fast zeitgleich!

Lieber Saarbrücker, lasst euch nichts vormachen. Das kann man schon länger! In Brandenburg sogar in Strafverfahren. Das heißt SMS.

Im Ernst: Der Die Artikel stellt stellen De-Mail einem breiteren Publikum vor. Knoppik hat viele kompetente O-Töne gesammelt, die juristisch wie technisch sogar jeder für sich stimmen. Er hat es aber geschafft, die rechtlichen Dinge ein bisschen durcheinanderzubringen, und den die Artikel mit einer ganz wunderbaren Perle zu schließen.

Weiterlesen →

Prof. Dr. Ralf Müller-Terpitz und seine wissenschaftliche Mitarbeiterin Alexandra Rauchhaus kommentieren nach ihrem Beitrag in der JurPC 96/2012 zum Referentenentwurf nun in der MMR 1/2013 auf S. 10 den im Kabinett beschlossenen Entwurf eines E-Government-Gesetzes mitsamt der Kritik des Bundesrates und der Erwiderung der Bundesregierung.

Ihre im vorigen Beitrag noch deutliche Kritik an der De-Mail wiederholen Müller-Terpitz und Rauchhaus nicht. Sie setzen sich vielmehr mit der auch vom Bundesrat thematisierten problematisierten Zugangseröffnung für De-Mail auf Seiten der Bürger auseinander. Sie begrüßen den Vorschlag, dass De-Mail-Nutzer ihre Entscheidung über die Zugangseröffnung sowohl in positiver (Eröffnung) wie negativer Hinsicht (Schließung) im Verzeichnis nach § 7 des De-Mail-Gesetzes bekannt geben können sollen, fordern aber mehr:

Insbesondere die Möglichkeit, jederzeit den Zugang wieder schließen zu können, trägt dem Prinzip der Freiwilligkeit Rechnung. Dennoch sollte insofern weiter darüber nachgedacht werden, die Zugangseröffnung kraft Verzeichniseintrags auch verfahrensbeschränkt und/oder befristet zuzulassen. So würde verhindert, dass der Bürger von Behördenkommunikation überrascht wird, z.B. wenn er es versehentlich unterlässt, den Zugang für künftige Verfahren wieder zu schließen.

Dem – für mich plausiblen – Vorschlag des Bundesrates, eine Regelung zur „konkludente[n] Zugangseröffnung für den ‚Rückkanal‘ mittels De-Mail im Einzelfall“ zu schaffen, lehnen Müller-Terpitz und Rauchhaus ab:

Zwar mag vieles dafür sprechen, dass der Bürger pro futuro den elektronischen Zugang für ein Verwaltungsverfahren eröffnen bzw. beibehalten möchte, wenn er einmal auf diesem Wege mit der Verwaltung kommuniziert hat. Dem Bedürfnis des Bürgers, genau zu wissen, wann er einen Zugang für welche Angelegenheit eröffnet hat, ist jedoch Vorrang einzuräumen. Namentlich würde die Gestattung einer konkludenten Zugangseröffnung erneut Bewertungsfragen hervorrufen, wie sie derzeit im Hinblick auf eine konkludente Zugangseröffnung nach § 3a VwVfG diskutiert werden. Diese zu Rechtsunsicherheit führenden Problemlagen sollten nicht in das EGovG-E hineingetragen werden.

Mich überzeugt das nicht. Es geht doch nur um den „Rückkanal“, also die Antwort der Behörde auf eine per De-Mail gestellte Anfrage des Bürgers. Unsicherheit über die „Angelegenheit“ kann also recht eigentlich nicht entstehen. Die angesprochenen „Bewertungsfragen“ stellen sich bei jeder Zugangseröffnung. Die befürchtete „Rechtsunsicherheit“ finde ich daher hinnehmbar.

Ralf Müller-Terpitz / Alexandra Rauchhaus: Das E-Government-Gesetz des Bundes – ein Schritt in Richtung „Verwaltung 2.0”. Geplante Regelungen und Problembereiche, MMR 2013 S. 10.

Das Beste zum Schluss des Jahres: Andreas Schumann von der internetPost AG fasst den gegenwärtigen Stand der De-Mail zusammen und kommt zu dem meiner Meinung nach zutreffenden Ergebnis: Es ist weiterhin ein Projekt und (noch) kein funktionierendes Produkt. Oder, noch etwas düsterer: Die Anbieter haben schwach angefangen, scheinen dafür aber stärker nachzulassen. Zwar stellt sich Francotyp Postalia der Kritik der Stiftung Warentest. Die Telekom aber sei auf Tauchstation gegangen, ebenso United Internet. Zudem bringe der angekündigte Wechsel an der Telekom-Spitze weitere Unsicherheit für die De-Mail, die derzeit nicht als natürlicher Geldbringer erscheine. Auch das Publikum sei skeptisch, Firmen wie die ERGO prüften derzeit erst den Einsatz auch von De-Mail.

Ernüchternd ist auch, dass sich 9 bzw. 4 Monat nach Start der Angebote bisher nur 10 – 15 Unternehmen einen Eintrag im DE-Mail Adressbuch freigeschaltet haben. Und besonders überraschend, die Telekom selbst ist bisher NICHT im Adressbuch zu finden (gibt jedoch auf der De-Mail Seite eine De-Mail Adresse an). Ich denke, erst wenn sich hier einige hundert große Unternehmen freischalten lassen, wird das System funktionieren. Sofern die aktuelle Geschwindigkeit beibehalten wird, werden die ersten 100 Unternehmen in 2 Jahren verzeichnet sein 🙁

Andreas Schumann: De-Mail 2012 – Momentaufnahme und Zukunftsprognose zum Jahreswechsel.

Ceterum Censeo: Ein weiterer weißer Elefant.

Guten Rutsch!

Wie bereits erwähnt, wird das De-Mail-Gesetz auch auszugsweise kommentiert in  Bauer/Heckmann/Ruge/Schallbruch (Hrsg.), Verwaltungsverfahrensgesetz (VwVfG) mit rechtlichen Aspekten des E-Government, Wiesbaden 2012. Das Buch soll

eine kompetente Arbeitshilfe für die gesamte Verwaltung, die Verwaltungsgerichtsbarkeit sowie für (alle anderen)

bieten, und hier insbesondere auf die Besonderheiten des E-Government eingehen. Weiter im Klappentext:

Der Einsatz von Informations- und Kommunikationstechniken und die Umsetzung von E-Government in der Verwaltung ist längst Alltag. … Dies greift der neue Kommentar zum VwVfG in bisher nicht dagewesener Weise auf. Der Bezug zum E-Government wird für sämtliche Vorschriften des VwVfG vorgestellt.

Neben den Vorschriften des Verwaltungsverfahrensgesetzes (von denen ich die §§ 22 und 23, 29 und 30, 33 und 34 VwVfG kommentiert habe) beinhaltet das Werk auch auszugsweise Kommentierungen benachbarter Gesetze (darunter die von mir kommentierten §§ 55a und 55b VwGO über den elektronischen Zugang zur Verwaltungsgerichtsbarkeit und zur elektronischen Aktenführung ebenda):

Um einen umfassenden Überblick zu ermöglichen, werden zudem die weiteren wichtigen gesetzlichen Regelungen mit Relevanz für E-Government wie das Verwaltungszustellungsgesetz, die Verwaltungsgerichtsordnung, das Personalausweisgesetz, das Signaturgesetz und das De-Mail-Gesetz auszugsweise kommentiert. Der Nutzer erhält also ein in sich geschlossenes Kompendium zum E-Government im Verwaltungsverfahren.

Die auszugsweise Kommentierung des De-Mail-Gesetzes stammt von Jutta Keller-Herder, die sechsseitige Einleitung von ihr und Martin Schallbruch. Keller-Herder ist Referentin in Schallbruchs IT-Stab des BMI. Das Werk ist dem entsprechend ein typischer Referentenkommentar. Man merkt ihm an, dass die Beteiligten den Gesetzentwurf und die amtliche Begründung zumindest wesentlich mitverfasst haben. Der Kommentar übernimmt in großen Teilen die Gedanken der amtlichen Begründung bis hin in die Formulierungen. Er erklärt den Gesetzesinhalt weitgehend unkritisch und verteidigt ihn gegen Bedenken der Literatur. Das wird deutlich etwa bei den besonders umstrittenen Regelungen zur De-Mail-Adresse und der daraus folgenden mangelnden Portierbarkeit (§ 5 Rdnr. 4) und zur fehlenden Ende-zu-Ende-Verschlüsselung (§ 5 Rdnr. 13). Der Mehrwert gegenüber der (kostenlosen) amtlichen Begründung liegt in der Auseinandersetzung mit der umfassend dokumentierten – auch kritischen – Literatur.

Weiterlesen →

Die Bundesregierung hat den Entwurf des E-Government-Gesetzes in den Bundestag eingebracht und hierbei auf die Bedenken und Änderungswünsche des Bundesrates reagiert.

Den hier bereits angesprochenen Vorbehalten des Bundesrates tritt die Bundesregierung so gut wie vollständig entgegen.

So lehnt der Bundesrat eine weitergehende Verpflichtung der Länder und Kommunen ab, den elektronischen Rechtsverkehr zuzulassen. Seine Forderung, aus dem „muss“ des § 2 Abs. 1 E-GovG ein „kann“ zu machen (Nr. 8 a), weist die Bundesregierung zurück: Eine solche Regelung sei angesichts von § 3a Abs. 1 VwVfG entbehrlich, nach dem die Behörden schon jetzt können, wenn sie wollen. Die koordinierte Zulassung im Bund wie in den Ländern ermögliche eine ebenenübergreifende Behördenkommunikation.

Für die Forderung des Bundesrates, der Bund möge die Länder und Kommunen wenigstens für die Mehrkosten entschädigen (Nr. 8 b), sieht die Bundesregierung keine Grundlage in der Finanzverfassung des Grundgesetzes. Danach trägt jede Verwaltungseinheit ihre eigenen Kosten selbst, Art. 104a Abs. 5 GG.

Sodann fordert der Bundesrat eine Vorschrift, die die Behörden verpflichten soll, die Bürger über die technischen Eigenarten von De-Mail aufzuklären. Es müsse darauf hingewiesen werden, „dass das von der Behörde übersandte elektronische Dokument nicht aus dem Zusammenhang mit der De-Mail-Nachricht, mit der es versandt wurde, herausgelöst werden darf, weil ansonsten die Signierfunktion verloren geht“ (Nr. 16).

Die Bundesregierung sieht hierfür keine Notwendigkeit. Zum einen sei der De-Mail-Anbieter aus § 9 De-Mail-Gesetz zur Aufklärung der Nutzer verpflichtet. Dabei müsse er auch hierauf hinweisen. Zum anderen könnten die Behörden, die das für notwendig erachteten, auch ohne eine solche Vorschrift auf alles Mögliche hinweisen.

Auch der Forderung des Bundesrates nach einer technikneutralen Formulierung in § 3a Abs. 2 VwVfG (Nr. 17) weist die Bundesregierung zurück. Es sei notwendig, jedenfalls aber vorzugswüdrig, die sicheren Techniken in den Gesetzestext aufzunehmen. Andere sichere als die derzeit bekannten Techniken seien nicht bekannt. Falls sich das ändern sollte, könne hierauf bei der Evaulierung des Gesetzes reagiert werden. Nur hilfsweise schlägt sie eine Verordnungsermächtigung vor.

Lediglich die Forderung des Bundesrates, Behörden müssten auf einen per De-Mail gestellten Antrag auf gleichem Wege antworten können, verspricht die Bundesregierung zu prüfen (Nr. 15).

Bundestags-Drucksache 17/11473 mit Stellungnahme des Bundesrates und Erwiderung der Bundesregierung.

Im Kommentar: Zum Inhalt der Aufklärungspflicht des De-Mail-Anbieters nach § 9 De-Mail-G siehe K § 9 Rdnr. 12 ff.

Kurze Durchsage: Die Stiftung Warentest hat die De-Mail-Angebote von Telekom und Mentana-Claimsoft als (noch) nicht ausgereift befunden. Der Anfang entspricht dem Test von teltarif.de: Die gesetzlich vorgesehene Identifizierung ist dermaßen aufwendig, kompliziert und langwierig, wies es heute niemand bei E-Mail für möglich erachtet.

Die Telekom prüft die Identität ihrer De-Mail-Nutzer in Telekom Shops. Im Test vergingen sieben Tage von der Identifizierung im Shop bis zur Ankunft des Zugangs­pass­worts. Noch länger dauerte es bei Franco­typ-Postalia: Der Tester wartete einen Monat. Das Unternehmen betreibt keine Läden, in denen sich Nutzer identifizieren können. Statt­dessen schickt es einen Dienst­leister nach Hause, der die Anmelde­daten mit dem Ausweis abgleicht. Der Tester rief drei Mal die Hotline an, bis der Dienst­leister kam.

Auch die Bedienung aber ist wunderbar problematisch und unkomfortabel, wie es nur deutsche Technik sein kann.

Die Internet­seiten der De-Mail-Anbieter sind teil­weise umständlich aufgebaut. Beispiel Telekom: Zum Lesen einer De-Mail ist die Betreff­zeile zu markieren und anschließend der Knopf „Lesen“ zu drücken. Beispiel: Franco­typ-Postalia: Ins Adress­feld einge­tragene Adressen müssen per Knopf­druck in die De-Mail einge­fügt werden. Viel Platz für Fehlbedienungen. Außerdem stürzt die Nutz­eroberfläche der Franco­typ-Postalia häufig ab oder lädt Seiten nerv­tötend lang­sam. Bei der Telekom-De-Mail funk­tioniert die Bedienung flüssiger.

Und natürlich gibt es Interoperabilitäts-Probleme:

Die De-Mail der Telekom kann keine Formate wie kursiv oder fett anzeigen. Bei Franco­typ-Postalia lassen sich Formate in den Brief einfügen, formatierte De-Mails an eine Telekom-Adresse kommen jedoch kaum lesbar als HTML-Code an.

Noch mehr Gegenwind für die De-Mail.