Die Linke hat am 11. Juni 2015 in einer Kleinen Anfrage (BT-Drs. 18/5190) ihre Kritik an der De-Mail wiederholt und sodann in gesamt 24 Fragen die Bundesregierung zu den Kosten der Entwicklung des Systems, zur Akzeptanz bei Nutzern und Behörden, zur Ende-zu-Ende-Verschlüsselung, zum möglichen Datenzugriff durch Sicherheitsbehörden und zu vergleichbaren Projekten in anderen europäischen Ländern gelöchert. Die Antworten des Innenministeriums vom 1. Juli 2015 (BT-Drs. 18/5440) sind höchst interessant, und gut für eine ganze Reihe Blogposts.

So auch zu den Fragen rund um die Verschlüsselung der De-Mail mittels PGP:

12. Wie bewertet die Bundesregierung die zwei Jahre nach Einführung erfolgte Nachbesserung in Punkto einer ab dem 20. April 2015 möglichen Ende-zu-Ende-Verschlüsselung, und sieht sie dadurch alle früheren Datenschutzkritikpunkte an De-Mail ausgeräumt (bitte begründen)?
Schon in der Vergangenheit konnten De-Mail-Nutzer ihre Dokumente auf dem bereits verschlüsselten Transportweg zusätzlich Ende-zu-Ende verschlüsseln. Seit dem 20. April 2015 ist von den De-Mail-Diensteanbietern die Möglichkeit zur Nutzung der Ende-zu-Ende-Verschlüsselung bei De-Mail stark vereinfacht worden. Dieses De-Mail ergänzende, zusätzliche Angebot ist aus Sicht der Bundesregierung begrüßenswert. Die mit Blick auf Datenschutz und Datensicherheit in der Vergangenheit vorgebrachten Forderungen nach zusätzlicher Sicherheit wurden dadurch auf nutzerfreundliche Art und Weise erfüllt. Auch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat die Einführung der Ende-zu-Ende-Verschlüsselung bei De-Mail in ihrer Pressemitteilung
vom 9. März 2015 ausdrücklich begrüßt.

 

13. Werden die De-Mail-Server auch als PGP-Keyserver genutzt?
Bei der Bereitstellung von PGP-Diensten durch die De-Mail-Diensteanbieter wird lediglich der in die Akkreditierung bereits einbezogene Öffentliche Verzeichnisdienst (ÖVD) um entsprechende Felder erweitert. Es gibt daher in diesem Kontext keinen eigenständigen PGP-Server.

 

15. Was passiert, wenn eine verschlüsselte amtliche Nachricht bei einem De-Mail-Nutzer eintrifft, dieser sie aber aus technischen Gründen nicht öffnen kann, weil er sein PGP-Passwort vergessen hat?
Für eine erfolgreiche Ende-zu-Ende-verschlüsselte-Kommunikation müssen sich beide Kommunikationspartner über die Verschlüsselung verständigen. Insoweit ergeben sich aus einer Nutzung der Ende-zu-Ende-Verschlüsselung innerhalb einer De-Mail-Kommunikation keine Besonderheiten. Auch im Fall, dass die Entschlüsselung beim Empfänger fehlschlägt, ist für diesen der Absender und ggf. auch der Betreff erkennbar, so dass der Empfänger praktisch die Möglichkeit hat, auf die Probleme hinzuweisen und ggf. eine erneute Zusendung oder die Informationsübermittlung auf einem anderen Kommunikationskanal zu vereinbaren.

Weiterlesen →

Die Linke hat am 11. Juni 2015 in einer Kleinen Anfrage (BT-Drs. 18/5190) ihre Kritik an der De-Mail wiederholt und sodann in gesamt 24 Fragen die Bundesregierung zu den Kosten der Entwicklung des Systems, zur Akzeptanz bei Nutzern und Behörden, zur Ende-zu-Ende-Verschlüsselung, zum möglichen Datenzugriff durch Sicherheitsbehörden und zu vergleichbaren Projekten in anderen europäischen Ländern gelöchert. Die Antworten des Innenministeriums vom 1. Juli 2015 (BT-Drs. 18/5440) sind höchst interessant, und gut für eine ganze Reihe Blogposts.

Wie etwa zu den der De-Mail vergleichbaren „elektronischen Zustelldiensten“ in anderen europäischen Ländern. Wie erwähnt, normiert die (hier so genannte) Vertrauensdienste-Verordnung, im offiziellen Kontext eIDAS-Verordnung geheißen („electronic identification
and authentication services“, vgl. Erwägungsgrund 10 in der englischen Fassung der Verordnung) in Art. 43 und 44 „elektronische Zustelldienste“ als „Vertrauensdienste“ und stellt Regelungen auf für ihre Eingruppierung als „qualifiziert“ mitsamt den hieran zu knüpfenden Rechtsfolgen.

Das lenkt den Blick über den nationalen Tellerrand hinaus auf europäische Pendants der De-Mail:

17. Welche elektronischen Zustelldienste bestehen nach Kenntnis der Bundesregierung in den übrigen Mitgliedstaaten der Europäischen Union, und welche davon sind mit De-Mail kompatibel?
Die De-Mail wird bisher als geschlossenes System der akkreditierten De-Mail-Diensteanbieter betrieben. Insofern kann grundsätzlich nicht von einer „Kompatibilität“ zu anderen Diensten gesprochen werden. Allerdings wurde und wird der Austausch von Nachrichten zwischen dem De-Mail-System und Zustelldiensten u. a. aus Frankreich („Lettre Recommandée en ligne“, La Poste), Österreich („Elektronische Zustellung“), Niederlande („BerichtenBox“) und Italien („PostaCertificata“) in mehreren Projekten z. T. in Testsystemen pilotiert. Eine Prüfung auf Gleichwertigkeit eines ausländischen Dienstes gemäß § 19 Absatz 2 De-Mail-Gesetz ist bisher nicht erfolgt. Die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (eIDAS-VO) regelt „Dienste für die Zustellung elektronischer Einschreiben“; der entsprechende Teil der eIDAS-VO tritt am 1. Juli 2016 in Kraft. (Qualifizierte) Zustelldienste werden nach der eIDAS-VO in entsprechenden Vertrauenslisten geführt. Wie im Zwischenbericht der Bundesregierung dargelegt, soll De-Mail ab Geltung der Regelungen zu elektronischen Zustelldiensten den Anforderungen der eIDAS-VO entsprechen und auf dieser Grundlage mit elektronischen Zustelldiensten anderer Mitgliedstaaten interoperabel werden.

Diese Systeme sind auch hier einmal vorzustellen — ebenso wie die dänische Lösung e-Boks und die schweizer IncaMail.

Die Linke hat am 11. Juni 2015 in einer Kleinen Anfrage (BT-Drs. 18/5190) ihre Kritik an der De-Mail wiederholt und sodann in gesamt 24 Fragen die Bundesregierung zu den Kosten der Entwicklung des Systems, zur Akzeptanz bei Nutzern und Behörden, zur Ende-zu-Ende-Verschlüsselung, zum möglichen Datenzugriff durch Sicherheitsbehörden und zu vergleichbaren Projekten in anderen europäischen Ländern gelöchert. Die Antworten des Innenministeriums vom 1. Juli 2015 (BT-Drs. 18/5440) sind höchst interessant, und gut für eine ganze Reihe Blogposts.

Zum Beispiel auch zur tatsächlichen Nutzung von De-Mail. Gefühlt ist dieses Kommunikationsmittel ja eher wenig verbreitet und genutzt. Auch die Bundesregierung räumte im Evaluierungsbericht bereits ein, dass die Masse kritisch eingestellt gegenüber der De-Mail ist die kritische Masse für die Verbreitung noch nicht erreicht sei, was die Arbeitsgemeinschaft De-Mail ändern soll. Die Linke piekste ein bisschen in dieser Wunde herum und erhielt entsprechend schmallippige Antworten:

7. Wie hat sich die Nutzung in den vergangenen Jahren entwickelt, und wie viele authentifizierte De-Mail-Nutzer sind aktuell registriert?
Nach Angaben der De-Mail-Anbieter im Rahmen der Arbeitsgruppe De-Mail … haben sich seit Marktstart im September 2012 über eine Million Privatkunden, einige zehntausend Mittelstandskunden und ca. 1000 De-Mail-Großkunden aus Wirtschaft und Verwaltung authentifiziert.

 

8. Wie viele De-Mails wurden von den Nutzern bisher tatsächlich versandt?
9. Wie viele De-Mails werden derzeit durchschnittlich pro Monat versandt?
Die Fragen 8 und 9 werden wegen ihres Sachzusammenhangs gemeinsam beantwortet.
Da die De-Mail-Diensteanbieter nicht verpflichtet sind, der Bundesregierung hierüber Angaben zu machen, liegen der Bundesregierung hierzu keine Kenntnisse vor.

 

10. In welchem Jahr wird nach Auffassung der Bundesregierung die für die Entstehung von Netzwerkeffekten erforderliche „kritische Masse“ (Bundestagsdrucksache 18/4042) von De-Mail-Nutzern erreicht, und auf welche Größenordnung taxiert die Bundesregierung diese?
Die im zitierten Bericht erwähnte „kritische Masse“ gibt eine Erfahrungstatsache aus der Entwicklung von Netzwerken wider, nach der ein wirtschaftlicher und sich selbst tragender Betrieb einer solchen Infrastruktur erst dann dauerhaft möglich ist, wenn eine bestimmt Anzahl von Personen oder Institutionen eine bestimmte Technik nutzt. Wie groß diese „kritische Masse“ ist, hängt sehr stark von der jeweiligen Technik, den involvierten Geschäftsmodellen der Betreiber, externen Nutzungsanreizen o. Ä. ab. Eine pauschale Quantifizierung ist nicht möglich. Daher ist auch keine zuverlässige Prognose darüber möglich, wann diese „kritische Masse“ erreicht sein wird.

Die Linke hat am 11. Juni 2015 in einer Kleinen Anfrage (BT-Drs. 18/5190) ihre Kritik an der De-Mail wiederholt und sodann in gesamt 24 Fragen die Bundesregierung zu den Kosten der Entwicklung des Systems, zur Akzeptanz bei Nutzern und Behörden, zur Ende-zu-Ende-Verschlüsselung, zum möglichen Datenzugriff durch Sicherheitsbehörden und zu vergleichbaren Projekten in anderen europäischen Ländern gelöchert. Die Antworten des Innenministeriums vom 1. Juli 2015 (BT-Drs. 18/5440) sind höchst interessant, und gut für eine ganze Reihe Blogposts.

Etwa zu den Kosten der Entwicklung des De-Mail-Systems. Die Linke wollte zum Beispiel wissen:

1. Wie viel hat die Entwicklung von De-Mail bislang insgesamt gekostet (bitte entsprechend aufschlüsseln)?
2. Wer hat diese Kosten im Detail übernommen?
3. Welche Kosten entstanden bislang nach Kenntnis der Bundesregierung den Verwaltungen von Ländern und Kommunen bei der Einführung der De-Mail, und mit welchen Kosten wird hier insgesamt gerechnet (bitte entsprechend aufschlüsseln)?
4. Wie viele Arbeitsstunden (pro beteiligter Person und insgesamt) hat das Bundesamt für die Sicherheit in der Informationstechnik (BSI) in die Entwicklung der rund 600 Seiten umfassenden technischen Richtlinien investiert?
22. Welche Aufträge im Rahmen der Entwicklung von De-Mail wurden an private Dienstleister vergeben (bitte entsprechend nach Jahr, Auftragnehmer, Auftragsart bzw. Titel und Kosten aufschlüsseln)?

Und noch etwas interessierte die Abgeordneten — die Beteiligung des „US-amerikanischen Spionagedienstleisters Computer Sciences Corporation (CSC)„:

23. Welche Aufträge im Rahmen von De-Mail wurden an CSC oder deren deutsche Töchterfirmen vergeben (bitte nach Jahr, Auftragsart bzw. Titel und Kosten aufschlüsseln)?

Weiterlesen →

Die Linke hat am 11. Juni 2015 in einer Kleinen Anfrage (BT-Drs. 18/5190) ihre Kritik an der De-Mail wiederholt und sodann in gesamt 24 Fragen die Bundesregierung zu den Kosten der Entwicklung des Systems, zur Akzeptanz bei Nutzern und Behörden, zur Ende-zu-Ende-Verschlüsselung, zum möglichen Datenzugriff durch Sicherheitsbehörden und zu vergleichbaren Projekten in anderen europäischen Ländern gelöchert. Die Antworten des Innenministeriums vom 1. Juli 2015 (BT-Drs. 18/5440) sind höchst interessant, und gut für eine ganze Reihe Blogposts.

Etwa, was die Kritik an De-Mail angeht. In der Geschäftsordnung des Bundestages heißt es in §104 Abs. 1:

§ 104 GOBT. Kleine Anfragen

(1) In Kleinen Anfragen kann von der Bundesregierung Auskunft über bestimmt bezeichnete Bereiche verlangt werden. Die Fragen sind dem Präsidenten einzureichen; sie dürfen keine unsachlichen Feststellungen oder Wertungen enthalten. Eine kurze Begründung kann angefügt werden.

Dem entsprechend enthält die Kleine Anfrage keine unsachlichen Feststellungen oder Wertungen, sondern nur eine kurze Begründung. In dieser heißt es:

Der Zwischenbericht der Bundesregierung nach Artikel 4 des Gesetzes zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften (Bundestagsdrucksache 18/4042 vom 16. Februar 2015) bestätigte erneut die seit der Einführung bestehenden Akzeptanzprobleme…
Am 15. April 2013 hatten der Chaos Computer Club und weitere Sachverständige in einer Öffentlichen Anhörung des Rechtsausschusses des Deutschen Bundestages der De-Mail in puncto Sicherheit ein katastrophales Zeugnis ausgestellt.
Der zentrale Kritikpunkt war die fehlende Ende-zu-Ende-Verschlüsselung, die den De-Mail-Providern, Polizei, Geheimdiensten und potenziellen Angreifern Zugriff auf die unverschlüsselten Kommunikationsdaten gewähre. Trotz dieser schwerwiegenden Bedenken beschloss der Deutsche Bundestag am 18. April 2013 das Gesetz zur Förderung der elektronischen Verwaltung.

Weiterlesen →

Die Linke hat am 11. Juni 2015 in einer Kleinen Anfrage (BT-Drs. 18/5190) ihre Kritik an der De-Mail wiederholt und sodann in gesamt 24 Fragen die Bundesregierung zu den Kosten der Entwicklung des Systems, zur Akzeptanz bei Nutzern und Behörden, zur Ende-zu-Ende-Verschlüsselung, zum möglichen Datenzugriff durch Sicherheitsbehörden und zu vergleichbaren Projekten in anderen europäischen Ländern gelöchert. Die Antworten des Innenministeriums vom 1. Juli 2015 (BT-Drs. 18/5440) sind höchst interessant, und gut für eine ganze Reihe Blogposts.

Das ist nicht unbedingt zu vermuten, wenn man die Rezeption des Papiers bei den Medien zum Maßstab ninmmt. Spiegel Online etwa reduziert die zahlreichen Aussagen des BMI auf ein Detail: dass der Aufbau des zentralen De-Mail-Gateways für die Bundesverwaltung ebenso Zeit kostet wie der Anschluss der Behörden an dieses. Das ermöglicht allerdings prägnante Überschriften, wie Felix Schwenzel zu Recht lobt

— auch wenn die Aussage vielleicht etwas zu sehr verkürzt:

Soso. Keine einzige Bundesbehörde akzeptiert #DeMail laut http://t.co/4YAz5mUp0y Dann ist das #BSI wohl keine Bundesbehörde

— Detlef Borchers (@dborch) July 10, 2015

(So ist etwa die Bundesanstalt für Landwirtschaft und Ernährung BLE ebenso über De-Mail erreichbar wie das Bundesinstitut für Arzneimittel und Medizinprodukte BfArM und jedenfalls technisch auch das BSI.)

Weiterlesen →

Es gibt zu viele Vorschriften in Deutschland. Und im Kontext von E-Government: Es gibt zu viele Schriftformvorgaben. Für Verwaltungsjuristen ist ausgemacht, dass vor allem sie es sind, die der flächendeckenden Einführung des E-Government im Wege stehen. Schon 1996, das heißt vor bald 20 Jahren (!), verwies Roßnagel auf angeblich 3.907 Schriftformvorgaben in 908 Vorschriften, die den elektronischen Austausch von Erklärungen unmöglich machten, eine nicht unbestrittene Zahl. Nun ist zwar deutlich geworden, dass es nicht allein die Gesetze, sondern vorrangig praktische Probleme (nicht zuletzt: die Ausstattung der Behörden mit Computern, Systemen und Fachanwendungen und Mitarbeiter, die sie zu bedienen verstehen) sind, die es auszuräumen gibt. Richtig ist freilich, dass alle Versuche, „die Schriftform“ mit elektronischen Mitteln mühselig erfüllen zu wollen müßig sind, wenn die sie fordernde Vorschrift als unnötig gestrichen werden kann. Dann bedarf es weder der Signatur noch der De-Mail.

Aus diesem Grunde hat der Gesetzgeber bei Erlass des E-Government-Gesetzes die Bundesregierung in Art. 30 Abs. 2 Nr. 1 aufgefordert, die Gesetze nach Schriftformvorgaben zu durchforsten:

Art. 30
Evaluierung

(1) …
(2) Die Bundesregierung berichtet dem Deutschen Bundestag innerhalb von drei Jahren nach Inkrafttreten dieses Gesetzes,
1. in welchen verwaltungsrechtlichen Rechtsvorschriften des Bundes die Anordnung der Schriftform verzichtbar ist und
2. in welchen vewaltungsrechtlichen Rechtsvorschriften des Bundes auf die Anordnung des persönlichen Erscheinens zugunsten einer elektronischen Identifikation verzichtet werden kann.

Die Frist der am 1. August 2013 in Kraft getretenen Vorschrift läuft Ende Juli 2016 und damit in etwas mehr als einem Jahr ab.

Das BMI konnte bislang ziemlich genau 3.500 Schriftformvorgaben in Rechtsvorschriften des Bundes ausmachen und stellt sie in einer Datenbank zum so genannten „Normenscreening“ dar, geordnet nach Gesetz und Vorschrift und sogar dem zuständigen Ressort. Die Bundesministerien und ihre Behörden sind ebenso aufgerufen die Vorschriften durchzusehen und auf ihre Notwendigkeit zu überprüfen wie Länder, Kommunen und Verbände. In der Pressemitteilung heißt es:

Aktuell sieht das Verwaltungsrecht des Bundes noch mehrere Tausend Schriftformerfordernisse vor. Einfache digitale Erklärungen – wie E-Mail – werden durch bestehende Formanforderungen unterbunden. Das Ziel: Wo immer möglich, sollen Verwaltungsleistungen auch elektronisch angeboten werden.
Das im Jahr 2013 erlassene E-Government-Gesetz enthält Regelungen, welche die absenderbestätigte De-Mail oder die eID-Funktion des neuen Personalausweises als elektronischen Schriftformersatz zulassen. Aber auch diese neuen Lösungen setzen einen gewissen Aufwand voraus und lassen sich, gegebenenfalls durch noch einfachere Verfahren ersetzen.

Die Stellungnahmefrist läuft bis zum 21. August 2015.

Das Anfang März 2015 angekündigte Browser-Plugin, mit dem De-Mails mithilfe von PGP Ende zu Ende verschlüsselt werden können, ist heute freigeschaltet worden.

heise.de berichtet:

Die Anbieter von De-Mail haben heute die angekündigte Option für Ende-zu-Ende-Verschlüsselung mit PGP freigeschaltet. Damit können nun De-Mail-Kunden [Anbieter-unabhängig] untereinander PGP-gesicherte Mails austauschen, sofern sie im Frontend die Sicherheitsstufe „hoch“ aktiviert haben. Zu Realisierung des Angebots integrierten die Anbieter das für Firefox und Chrome verfügbare Browser-Plug-in Mailvelope in die Web-Oberfläche von De-Mail…, die die Schlüsselerstellung und Speicherung im lokalen Browser-Store ermöglicht.

Weiterlesen →

Mit der aktuellen 36. Ergänzungslieferung wird die Runderneuerung des Kommentars fortgesetzt und zugleich abgeschlossen. Das ist neu:

•  In § 9 Rdnr. 13 werden die Hinweise auf die Rechtsfolgen der Nutzung, die der De-Mail-Anbieter seinen Kunden geben muss, aktualisiert. Einbezogen ist die Frage der Zugangseröffnung gegenüber Behörden ebenso wie die Entscheidung des OLG Köln vom 3. Februar 2012 (6 U 168/11) betreffend die Werbung mit der Verbindlichkeit einer De-Mail.
• § 13 Rdnr. 9 über die Form der vom Anbieter zu führenden Dokumentation weist nun auf die TR-RESISCAN und ihre Vorschläge für das rechtssichere Scannen von Dokumenten hin, die im Anschluss zurückgegeben oder vernichtet werden können.
• Und die Kommentierung zu § 24 und zur De-Mail-Kostenverordnung schließlich berücksichtigt die Änderungen durch das Gesetz zur Strukturreform des Gebührenrechts des Bundes vom 7. August 2013.

Und wiederum erfuhr die Kommentierung der übrigen Paragraphen zahlreiche kleinere Ergänzungen und Aktualisierungen.