Das VG Köln hat in einer jedenfalls unter TK-Juristen vielbeachteten Entscheidung Googles GMail-Dienst als „Telekommunikationsdienst“ im Sinne des § 6 Abs.1 TKG bewertet mit der Folge, dass Google als Anbieter den Betrieb des Dienstes bei der Bundesnetzagentur als Aufsichtsbehörde anzeigen muss (VG Köln, Urteil vom 11. November 2015 – 21 K 450/15).

Da die Entscheidung E-Mail-Anbieter im allgemeinen trifft, sind ihre Aussagen auch relevant für De-Mail-Anbieter.

Weiterlesen →

Zum Jahreswechsel 2015/16 machte die Entscheidung des Landgerichts Berlin im Verfahren 20 O 172/15 vom 17. Dezember 2015 die Runde in den Nachrichten und Blogs: Das Landgericht verurteilte Facebook zur Herausgabe der Account-Daten an die Erben, hier: die Eltern des verunfallten Kindes. Es qualifizierte den Vertrag mit Facebook als „schuldrechtlichen Vertrag mit miet-, werk-und dienstvertraglichen Elementen“ und lehnte es ab, „nur die vermögensrechtlichen Teile des digitalen Nachlasses, nicht hingegen die nicht-vermögensrechtlichen“ als vererblich anzusehen. Das sei praktisch nicht durchführbar und verstoße zudem gegen die Praxis in der Papierwelt: „Briefe und Tagebücher sind unabhängig von ihrem Inhalt vererblich.“

Die Entscheidung klärt Fragen, die sich unabhängig von Facebook allgemein stellen. Sie zitiert denn auch an zentraler Stelle den Aufsatz von Klaus Brisch und Marco Müller-ter Jung aus der CR 7/2013 (CR 2013, 446) mit dem Titel „Digitaler Nachlass – Das Schicksal von E-Mail- und De-Mail-Accounts sowie Mediencenter-Inhalten“. Ein guter Anlass, den Aufsatz hier vorzustellen.

Die Gedanken der Autoren zur Vererblichkeit von De-Mail-Konten und zum Zugriff der Erben auf diese sind höchst interessant. Sie begründen zunächst, wie ausgeführt, das Recht des Erben zum Zugriff auf den Account des Verstorbenen, das nicht anders zu regeln sei als bei anderen Schuldverhältnissen. Fehlten vorrangige Abreden, sei der Anbieter verpflichtet, den Zugang zu gewähren. Dem stehe insbesondere Datenschutzrecht nicht entgegen. Der Anbieter sei mit einem Vermieter zu vergleichen, der “ Erben Zugang zu der Mietwohnung des Verstorbenen gewährt. Er hat nicht die Obliegenheit, in der Wohnung befindliche Gegenstände nach solchen vermögensrechtlicher und solchen nichtvermögensrechtlicher Natur zu sortieren.“

Bei De-Mail-Konten bestehe aber die Besonderheit, dass das De-Mail-Gesetz zum erklärten Ziel habe, den Zugang zum De-Mail-Konto von einer eindeutigen Identifizierung des Kontoinhabers abhängig zu machen. Hieran würden zahlreiche Rechtsfolgen geknüpft. Das werde unterlaufen, wenn statt des namentlich bekannten Kontoinhabers — womöglich auch nur: eventuell — ein Dritter Zugriff erhalte und etwa im Namen des Inhabers Nachrichten versenden könne, ohne seine besondere Stellung deutlich machen zu müssen.

Brisch und Müller-ter Jung lösen diesen Konflikt durch einen nur eingeschränkten Zugriff auf das Konto. Sie schlagen vor, dass Erben nur lesenden Zugriff auf das Konto erhalten. So können sie einen Überblick über die eingegangenen und noch während der Vertragsdauer eingehenden De-Mails erhalten und den Nachlass geordnet abwickeln, ohne aber nach außen „als Kontoinhaber“ auftreten zu können. De-Mails, die eine sichere Anmeldung des Empfängers voraussetzen (§ 5 Abs. 4 De-Mail-Gesetz), könnten nicht zugestellt werden.

Die Lösung überzeugt mich. Die Technische Richtlinie De-Mail sollte entsprechend ergänzt werden.

Klaus Brisch und Marco Müller-ter Jung, „Digitaler Nachlass – Das Schicksal von E-Mail- und De-Mail-Accounts sowie Mediencenter-Inhalten“, CR 2013, 446.
[Bezahl-Link]

Fürs größere Bild: Antonia Kutscher, Der digitale Nachlass, Vandenhoeck & Ruprecht, 2015

[Update 2017-06-12: Das Kammergericht hat die Entscheidung des Landgerichts gekippt: Kammergericht zum digitalen Nachlass]

Der Gesetzgeber pfeift laut im Walde: Die De-Mail ist sicher!

§ 30 Abs. 7 Abgabenordnung

Werden dem Steuergeheimnis unterliegende Daten durch einen Amtsträger oder diesem nach Absatz 3 gleichgestellte Personen nach Maßgabe des § 87a Absatz 4 über De-Mail-Dienste im Sinne des § 1 des De-Mail-Gesetzes versendet, liegt keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten vor, wenn beim Versenden eine kurzzeitige automatisierte Entschlüsselung durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht stattfindet.

Den Steuerrechtler graust’s. Im „bekanntestesn und wichtigsten Standardwerk auf dem Gebiet des deutschen Steuerverfahrensrechts“, dem Tipke/Kruse, äußert Prof. Drüen der Universität München in Rdnr. 146d seiner Kommentierung zu § 30 Abgabenordnung ungewöhnlich deutliche Kritik an der gesetzlichen Fiktion:

§ 30 VII AO betrifft dabei den sensiblen finanzbehördlichen Informationsausgangsverkehr. Im Lichte jüngster Datenabschöpfung durch ausländische Geheimdienste ist die Regelung keineswegs Ausdruck einer besonderen legislatorischen Schutzmaßnahme für Steuerdaten. Das Vertrauen auf das Akkreditierungsverfahren scheint trotz einer nicht sicher auszuschließenden Kooperation der Betreiber mit ausländischen Informationssammelstellen ungebrochen. …  [Es] bedarf … eines qualifizierten Schutzes [von Steuerdaten], den eine Rechtsfiktion allein nicht gewährleistet. … Jede Relativierung des Steuerdatenschutzes [erscheint] angesichts des Schutzzweckes und der doppelten Schutzrichtung … verfehlt. Solange abstrakt bestehende Sicherheitsbedenken nicht ausgeräumt sind, muss die [Finanzbehörde] diese bei ihrer Ermessensentscheidung („kann“) nach § 87a IV 4 AO berücksichtigen.

Drüen fordert im Weiteren zurecht, dass die vom Gesetz gezogenen engen Grenzen eingehalten werden: die Entschlüsselung auf Anbieterseite dürfe wirklich nur zur Überprüfung auf Schadsoftware stattfinden. (Für die Weiterleitung an den Adressaten der De-Mail-Nachricht bedarf es nicht des Blickes auf ihren Inhalt, es genügt ihren Umschlag auszuwerten, den envelope).Wo ein anderweitiger Datenzugriff nicht „sicher auszuschließen“ sei und wo zudem „faktisch Sicherheitslücken aufgedeckt werden“, fehle der gesetzlichen Fiktion die gesetzliche Grundlage mit der Folge einer unbefugten Offenbarung von Steuerdaten durch die Finanzbehörde.

Diesem Risiko sollten sich Amtsträger nicht unbedacht aussetzen.

Entsprechend der Handreichung des Bundesdatenschutzbeauftragten sollte die Finanzbehörde die Inhaltsdaten daher lieber von vornherein Ende zu Ende verschlüsseln, wenn sie auf De-Mail anstelle von ELSTER setzt.

Drüen in: Tipke/Kruse, AO/FGO, 142. Lieferung Oktober 2015, § 30 AO Rdnr. 146d.

Im Rahmen des nationalen IT-Gipfels haben heute Vertreter der Regierung und der deutschen IT-Wirtschaft die „Charta zur Stärkung der vertrauenswürdigen Kommunikation“ unterschrieben, mit der sie sich klar für die Förderung der „Ende-zu-Ende-Verschlüsselung (im Sinne einer Verschlüsselung übertragener Daten über alle Übertragungsstationen hinweg)“ aussprechen. Neben Bundesinnenminister de Maizière sowie den Präsidenten des BSI, des Lobbyvereins „Deutschland sicher im Netz“, des Fraunhofer SIT und der Gesellschaft für Informatik sind die Chefs der folgenden fünf IT-Unternehmen beteiligt: die Bundesdruckerei (vor allem mit ihrer Tochter D-Trust), 1&1 Mail&Media als Anbieter von web.de und gmx.de, der Sicherheitsanbieter genua, die im Bereich E-Government und E-Justiz umtriebige Governikus KG und schließlich die Telekom.

Die Charta greift den Anspruch der Digitalen Agenda auf, Deutschland zum „Verschlüsselungs-Standort Nr. 1 auf der Welt“ zu machen, und nennt acht Bekenntnisse, die helfen sollen, dieses Ziel zu erreichen: das Bekenntnnis zur Bedeutung des Themas, zur Schaffung des notwendigen Bewusstseins, zur Einfachheit, zur Technologieneutralität  / Aktualität / Standardkonformität, zu Transparenz und Vertrauenswürdigkeit, zur Innovation, zu Security made in Germany/Europe sowie zur Offenheit.

Golem weist in seinem Beitrag zutreffend darauf hin, dass dieses deutliche Engagement de Maizières in einem gewissen Widerspruch stehe zu seinem bisherigen Bemühen, starke Verschlüsselung zugunsten seiner so genannten Sicherheitsbehörden zu schwächen. Das sind auch diejenigen, die zusammen mit dem BSI eine Ende-zu-Ende-Verschlüsselung der De-Mail verhindert haben, mit dem Argument, eine solche sei nicht nutzerfreundlich zu implementieren. (Was nicht stimmt.) Denn sie verhindert eine flächendeckende Überwachung der elektronischen Kommunikation – bzw. zwingt die so genannten Sicherheitsbehörden, auf den „Bundestrojaner“ und andere Hacking-Methoden auszuweichen, genannt „Quellen-TKÜ“.

Weiterlesen →

Die Transportverschlüsselung der Mogelpackung „sicheren Variante der E-Mail“ namens „E-Mail made in Germany“ ist offenbar fehlerhaft implementiert. Das berichtete Zeit Online am 3. November:

Doch auch die Transportverschlüsselung alleine wäre schon ein großer Fortschritt, wenn sie korrekt umgesetzt würde. Allerdings gibt es dabei ein Problem: Für Logins auf den Websites der jeweiligen Anbieter gilt der Verschlüsselungsschutz nur eingeschränkt, und das kann den ganzen Sicherheitsansatz ins Leere laufen lassen.

Wer die Websites von GMX, Web.de oder T-Online aufruft, landet zunächst auf einer unverschlüsselten Seite [(„http://“) mit einem]  Formular, mit dem man sich in seinen E-Mail-Account einloggen kann. […] [Dessen Daten werden] im Normalfall verschlüsselt verschickt – aber nur, solange die Verbindung, über die das Formular übertragen wird, nicht manipuliert wurde. Ein Angreifer – das könnte beispielsweise jemand sein, der gerade im selben WLAN eingeloggt ist oder jemand beim Internetprovider – kann aber genau das tun und die Verschlüsselung einfach abschalten. Anschließend ist das Mitlesen des Passworts für ihn kein Problem mehr. Derartige Angriffe sind unter dem Namen SSL-Stripping lange bekannt….

Nicht betroffen ist der Datenabruf über Mailprogramme.

Ganz kurzer Nachtrag zu „De-Mail-Gateway ist gestartet„: Das BMI hat unter der Adresse poststelle@bmi-bund.de-mail.de den Zugang über De-Mail eröffnet. Die Pressemitteilung nutzt die Gelegenheit, das vor vier Jahren gesetzlich eingeführte Kommunikationsmedium noch einmal in aller Ausführlichkeit zu erläutern, denn:

Die Möglichkeit, per De-Mail zu kommunizieren, bieten immer mehr Unternehmen und Behörden in Deutschland an. Die Behörden des Bundes sind gesetzlich verpflichtet, ab 24. März 2016 einen Zugang für De-Mail zur Verfügung zu stellen. Um dieser Verpflichtung nachzukommen, werden die Bundesbehörden gegenwärtig schrittweise an das zentral betriebene De-Mail-Gateway des Bundes angeschlossen.

Die Euphorie des BMI wirkt aber etwas gedämpft, wenn es abschließend mitteilt:

Im Frühjahr 2016 ist eine Evaluierung der heute begonnenen Erprobungsphase vorgesehen, nach der über den weiteren Ausbau des De-Mail-Systems im BMI entschieden wird.

Die Linke hat am 11. Juni 2015 in einer Kleinen Anfrage (BT-Drs. 18/5190) ihre Kritik an der De-Mail wiederholt und sodann in gesamt 24 Fragen die Bundesregierung zu den Kosten der Entwicklung des Systems, zur Akzeptanz bei Nutzern und Behörden, zur Ende-zu-Ende-Verschlüsselung, zum möglichen Datenzugriff durch Sicherheitsbehörden und zu vergleichbaren Projekten in anderen europäischen Ländern gelöchert. Die Antworten des Innenministeriums vom 1. Juli 2015 (BT-Drs. 18/5440) sind höchst interessant, und gut für eine ganze Reihe Blogposts.

So auch zu den Möglichkeiten der „Sicherheitsbehörden“, die De-Mail-Kommunikation der Nutzer zu überwachen.

18. Wird das automatisierte Auskunftsverfahren nach § 112 des Telekommunikationsgesetzes (TKG) von Sicherheits- und Strafverfolgungsbehörden sowie sonstigen berechtigten Stellen auch zum Abruf von Kundendaten von De-Mail-Konten genutzt?
Wenn ja, in welchem Umfang (bitte entsprechend nach Jahr, Anzahl der Abrufe und Sicherheits- und Strafverfolgungsbehörden aufschlüsseln)?
Über das automatisierte Auskunftsverfahren nach § 112 des TKG werden derzeit keinerlei E-Mail-Dienstekennungen, mithin auch keine von DE-Mail-Anbietern, beauskunftet.

 

19. In welchem Umfang gelang bislang § 16 des De-Mail-Gesetzes zur Anwendung, nach dem Dritte von akkreditierten Dienstanbietern Auskunft über Namen und Anschrift von De-Mail-Nutzern beanspruchen können?
Da die De-Mail-Diensteanbieter nicht verpflichtet sind, der Bundesregierung hierüber Angaben zu machen, liegen der Bundesregierung hierzu keine Kenntnisse vor.

 

21. Wie soll eine Vorratsspeicherung aller De-Mail-Briefwechsel (vergleiche § 100 TKG und Leitlinien des Bundesministeriums der Justiz und für Verbraucherschutz zur Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten vom 15. April 2015) künftig normenklar und technisch ausgeschlossen werden?
Der Gesetzentwurf zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten [BT-Drs. 18/5171] sieht keine Erfassung von Daten zu E-Mail-Kommunikation vor. Der E-Mail-Dienst De-Mail wird also entsprechend auch nicht erfasst.

 

24. Haben die De-Mail-Provider auch eine Schnittstelle zum Bundesnachrichtendienst oder anderen Sicherheitsbehörden eingerichtet, bzw. wurden sie dazu aufgefordert, entsprechende Zugänge zu ermöglichen?
Zwei der drei genannten De-Mail-Provider haben aufgrund ihrer Verpflichtung nach § 110 TKG und der Telekommunikations-Überwachungsverordnung eine Schnittstelle zu den berechtigten Stellen eingerichtet.

De-Mail-Anbieter sind Telekommunikationsdiensteanbieter. Sie betreiben „eine Telekommunikationsanlage, mit der öffentlich zugängliche Telekommunikationsdienste erbracht werden“, und haben als solche „ab dem Zeitpunkt der Betriebsaufnahme auf eigene Kosten technische Einrichtungen zur Umsetzung gesetzlich vorgesehener Maßnahmen zur Überwachung der Telekommunikation vorzuhalten und organisatorische Vorkehrungen für deren unverzügliche Umsetzung zu treffen“, § 110 Abs. 1 Nr. 1 TKG. Jeder De-Mail-Anbieter muss, mit anderen Worten, die Überwachung der von ihm abgewickelten Kommunikation durch die „Sicherheitsbehörden“ ermöglichen.

Der Kriterienkatalog des Bundesdatenschutzbeauftragten, den zu erfüllen nach § 18 Abs. 1 Nr. 4 und Abs. 3 Nr. 4 De-Mail-Gesetz Voraussetzung der Zulassung ist, formuliert es so:

Auf Anordnung der zuständigen Stellen darf der Diensteanbieter im Einzelfall Auskunft über Bestandsdaten erteilen … (§ 113 TKG, § 14 Absatz 2 TMG). Dies muss dem Diensteanbieter möglich sein.
Weitere behördliche Auskunftsanordnungen bzw. Überwachungsanordnungen nach TKG, TKÜV, TMG und StPO müssen nach angemessener Prüfung zeitnah umgesetzt werden können.

Wie die Antwort der Bundesregierung deutlich macht, haben zwei der drei Anbieter „eine Schnittstelle zu den berechtigten Stellen eingerichtet“, die eine automatisierte Abfrage von Daten ermöglicht.