1&1 und GMX identifizieren schon vor der Akkreditierung

Veröffentlicht am von

United Internet hat zur IFA nicht nur die Preise der der De-Mail-Angebote von 1&1 und GMX vorgestellt. Sie haben auch bereits – ebenso wie die Telekom – mit der Registrierung erster Kunden begonnen.

Der „Vorstand Portal“ von United Internet, Jan Oetjen, erklärt dem Magazin CIO:

Die Registrierung ist am Freitag zur IFA gestartet. Sie können sich also ihre De-Mail-Adresse verbindlich sichern. Wenn sie einen Nachnamen haben, der häufiger vorkommt, würde ich Ihnen raten, sich schnell zu registrieren, da die beliebten Kombinationen schnell weg sind. Wer schon registriert ist, kann seine Daten nun auf Vollregistrierung umstellen und ab sofort werden Termine zur Identifizierung gemacht. Sie können dann einen Termin vereinbaren. Der Identifizierungsservice kommt kostenlos zu Ihnen, fragt nach ihrem Ausweis und schaut, ob sie [sic] auch der sind, der sie  [sic] angeben haben zu sein.

Und wirklich: Teltarif.de hat’s ausprobiert:

Am Freitag beantragten wir eine nicht vorregistrierte De-Mail-Adresse bei GMX und erhielten prompt die Bestätigung … Schon am Samstag rief uns ID 8 vormittags erstmals wegen eines Termins an, doch wir waren nicht erreichbar und ID 8 hinterließ keine Nachricht… Der nächste Anruf kam am darauffolgenden Montag… Der freundliche Mitarbeiter erklärte uns das Prozedere und bot uns an, die Identifizierung an einer von uns vorgegebenen frei wählbaren Adresse in Deutschland durchzuführen. Wir entschieden uns für die Identifizierung zuhause und der Berater teilte uns einen Termin zwei Tage später im Slot zwischen 8:00 und 10:00 Uhr zu. Am vereinbarten Mittwoch stand der Bote um 08:30 Uhr mit allen notwendigen Papieren, aber ohne Kugelschreiber vor der Haustür….

(Bei der Telekom war’s nicht so kundenfreundlich, schreibt teltarif.de. Da muss man in die Filiale oder den nächsten Hermes-Shop. Auch online hakt’s da wohl. Die c’t hat die Identifizierung mittels elektronischem Personalausweis bei der Telekom und Mentana Claimsoft getestet, und kritisiert den bei der Telekom eingebauten Medienbruch.)

Aus juristischer Sicht ist interessant ein Detail, das teltarif.de im Schlussatz des Artikels bringt:

Eine sofortige Nutzung des Dienstes ist momentan nur bei der Telekom möglich, da bei GMX und Web.de noch die Akkreditierung des Dienstes fehlt.

Jan Oetjen erklärt das CIO wie folgt:

Wir befinden uns noch im Akkreditierungsprozess. Wir können heute nicht zeitlich genau auf den Tag sagen wann es losgeht. Wir gehen aber davon aus, dass wir in den nächsten Monaten unsere Urkunde erhalten. … Der Prozess dauert zwischen drei und vier Monaten. Wenn das so ist, dann sind wir im vierten Quartal damit durch und können spätestens Ende des Jahres starten… Es hakt nicht an der technischen Fertigstellung. Damit sind wir fertig. Wir durchlaufen gerade die Stufen der recht aufwändigen Akkreditierung, und dieser Prozess dauert halt einige Monate.

Ja, geht denn das? Registrierung und Identifizierung vor der Akkreditierung? In § 3 Abs. 2 De-Mail-Gesetz heißt es:

(2) Der akkreditierte Diensteanbieter hat die Identität des Nutzers und bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen zusätzlich die Identität ihrer gesetzlichen Vertreter oder Organmitglieder zuverlässig festzustellen.

Und in Absatz 3 der Vorschrift:

(3) Der akkreditierte Diensteanbieter hat die Angaben nach Absatz 2 vor Freischaltung des De-Mail-Kontos des Nutzers zu überprüfen.

Erforderlich ist damit eine Identifizierung durch den akkreditierten Anbieter. Er kann hiermit Dritte beauftragen, wenn und soweit er dies in sein Sicherheitskonzept aufnimmt, das der Akkreditierung zugrunde liegt. Hier identifiziert aber weder ein akkreditierter Anbieter noch ein von einem akkreditierten Anbieter Beauftragter. Die Akkreditierung steht ja gerade noch aus.

Macht aber nix. United Internet wird sich auf § 3 Abs. 3 Satz 4 De-Mail-Gesetz stützen können, der besagt:

Der akkreditierte Diensteanbieter darf zur Identitätsfeststellung und -überprüfung mit Einwilligung des Nutzers auch personenbezogene Daten verarbeiten oder nutzen, die er zu einem früheren Zeitpunkt erhoben hat, sofern diese Daten die zuverlässige Identitätsfeststellung des Nutzers gewährleisten.

Wenn die konkrete Form der Identifizierung sicher genug für den akkreditierten Anbieter ist, muss sie auch als zuverlässig in diesem Sinne angesehen werden.

Im Kommentar: Zur Identifizierung siehe K § 3 Rdnr. 15 ff., zur Beauftragung Dritter K § 3 Rdnr. 22 und K § 1 Rdnr. 71, zur Nutzung vorhandener Daten K § 3 Rdnr. 24.