(Schallbruch und) Keller-Herder zum De-Mail-Gesetz

Wie bereits erwähnt, wird das De-Mail-Gesetz auch auszugsweise kommentiert in  Bauer/Heckmann/Ruge/Schallbruch (Hrsg.), Verwaltungsverfahrensgesetz (VwVfG) mit rechtlichen Aspekten des E-Government, Wiesbaden 2012. Das Buch soll

eine kompetente Arbeitshilfe für die gesamte Verwaltung, die Verwaltungsgerichtsbarkeit sowie für (alle anderen)

bieten, und hier insbesondere auf die Besonderheiten des E-Government eingehen. Weiter im Klappentext:

Der Einsatz von Informations- und Kommunikationstechniken und die Umsetzung von E-Government in der Verwaltung ist längst Alltag. … Dies greift der neue Kommentar zum VwVfG in bisher nicht dagewesener Weise auf. Der Bezug zum E-Government wird für sämtliche Vorschriften des VwVfG vorgestellt.

Neben den Vorschriften des Verwaltungsverfahrensgesetzes (von denen ich die §§ 22 und 23, 29 und 30, 33 und 34 VwVfG kommentiert habe) beinhaltet das Werk auch auszugsweise Kommentierungen benachbarter Gesetze (darunter die von mir kommentierten §§ 55a und 55b VwGO über den elektronischen Zugang zur Verwaltungsgerichtsbarkeit und zur elektronischen Aktenführung ebenda):

Um einen umfassenden Überblick zu ermöglichen, werden zudem die weiteren wichtigen gesetzlichen Regelungen mit Relevanz für E-Government wie das Verwaltungszustellungsgesetz, die Verwaltungsgerichtsordnung, das Personalausweisgesetz, das Signaturgesetz und das De-Mail-Gesetz auszugsweise kommentiert. Der Nutzer erhält also ein in sich geschlossenes Kompendium zum E-Government im Verwaltungsverfahren.

Die auszugsweise Kommentierung des De-Mail-Gesetzes stammt von Jutta Keller-Herder, die sechsseitige Einleitung von ihr und Martin Schallbruch. Keller-Herder ist Referentin in Schallbruchs IT-Stab des BMI. Das Werk ist dem entsprechend ein typischer Referentenkommentar. Man merkt ihm an, dass die Beteiligten den Gesetzentwurf und die amtliche Begründung zumindest wesentlich mitverfasst haben. Der Kommentar übernimmt in großen Teilen die Gedanken der amtlichen Begründung bis hin in die Formulierungen. Er erklärt den Gesetzesinhalt weitgehend unkritisch und verteidigt ihn gegen Bedenken der Literatur. Das wird deutlich etwa bei den besonders umstrittenen Regelungen zur De-Mail-Adresse und der daraus folgenden mangelnden Portierbarkeit (§ 5 Rdnr. 4) und zur fehlenden Ende-zu-Ende-Verschlüsselung (§ 5 Rdnr. 13). Der Mehrwert gegenüber der (kostenlosen) amtlichen Begründung liegt in der Auseinandersetzung mit der umfassend dokumentierten – auch kritischen – Literatur.

Kommentiert sind die für die Behörden als Anwender relevanten Vorschriften. § 3 über die Identifizierung macht hierbei sieben, § 4 über die (sichere) Anmeldung drei, § 5 über den zentralen Postfach- und Versanddienst achteinhalb Seiten aus, § 6 über den Identitätsbestätigungsdienst gute eine, § 7 über den Verzeichnisdienst etwa zwei und § 16 über den Auskunftsanspruch wiederum knapp eine.

Mir fielen bei der Lektüre folgende Dinge auf:

In § 3 Rdnr. 6 zum De-Mail-Konto-Vertrag hebt Keller-Herder den auch in der Gesetzesbegründung enthaltenen Verzicht des Gesetzes auf einen Kontrahierungzwang hervor (ebenso bei mir in K § 3 Rdnr. 12). Zugleich aber wirft sie die berechtigte Frage auf, wie das mit der für das E-Government-Gesetz geplanten Verpflichtung der Behörden zu vereinbaren ist, den Zugang über De-Mail zu ermöglichen. Dafür müssen die Behörden doch selbst einen De-Mail-Zugang haben, also ein Konto bei einem De-Mail-Anbieter unterhalten. Wenn sich aber nun alle Anbieter verweigern – was sie beim Fehlen eines Kontrahierungszwanges dürfen –, können die Behörden ihrer gesetzlichen Verpflichtung nicht nachkommen. Eine Möglichkeit wäre ein behördlicher De-Mail-Anbieter. Diesen Weg möchte der Gesetzgeber aber offenbar nicht gehen. Im Entwurf  des E-Government-Gesetzes ist vielmehr (in § 2 Abs. 2 E-Gov-G bzw. der Begründung hierzu auf S. 41 und 51 des PDFs ) nur die Rede von einem „De-Mail-Gateway“, das die Bundesverwaltung unterhält und allen Behörden zugänglich macht. (Die Entwicklung des Gateways wird darin übrigens mit 400 T€ veranschlagt, der Betrieb mit 700 T€, davon 560 T€ Personalkosten.)

In § 3 Rdnr. 11 vertritt Keller-Herder, dass der Anbieter bei juristischen Personen als Nutzern nicht nur deren Identität und die ihrer vertretungsberechtigten Personen feststellen müsse. Er müsse vielmehr auch die Identität und die Vertretungsberechtigung der konkret den Antrag stellenden natürlichen Person feststellen. Dafür sehe ich im De-Mail-Gesetz keine Grundlage (vgl. bei mir K § 3 Rdnr. 15 f.). Richtig ist allerdings, dass der Anbieter schon zivilrechtlich die Vertretungsmacht des Antragstellenden für die nutzende Institution überprüfen muss. Die hierbei erhobenen Daten gehören zu den nach § 13 De-Mail-G zu dokumentierenden (K § 13 Rdnr. 6).

In § 4 Rdnr. 2 f. nennt Keller-Herder die nicht-sichere Anmeldung mit Benutzername und Passwort die „normale“ Anmeldung – was die Gesetzesbegründung etwas umständlich vermied (K § 4 Rdnr. 5). Sie schlägt in Rdnr. 7 die mTAN als Mittel der „sicheren“ Anmeldung vor, und damit die auch von Honan empfohlene Version der Zwei-Faktor-Authentifizierung. In Rdnr. 9 spricht sie die „sichere“ Anmeldung eines institutionellen Nutzers nur kursorisch an – diese sei „i. d. R. ’sicher'“ angemeldet. Sie geht damit nicht darauf ein, dass auch institutionellen Nutzern nach dem Wortlaut zwei „sichere“ Anmeldemöglichkeiten geboten werden müssen, von denen der neue Personalausweis naturgemäß keine sein kann (K § 4 Rdnr. 13).

In § 5 Rdnr. 25 erörtert Keller-Herder die Vorschrift des § 5 Abs. 10 De-Mail-Gesetz:

Der akkreditierte Diensteanbieter stellt sicher, dass Nachrichten, für die eine Eingangsbestätigung nach Absatz 8 oder eine Abholbestätigung nach Absatz 9 erteilt worden ist, durch den Empfänger ohne eine sichere Anmeldung an seinem De-Mail-Konto erst 90 Tage nach ihrem Eingang gelöscht werden können.

Der Wortlaut ist – worauf sie nicht eingeht – ungenau, wie bereits der Bundesrat angemerkt hatte. Denn eine Abholbestätigung wird nach § 5 Abs. 9 De-Mail-Gesetz erst erteilt, wenn der Nutzer sich „sicher“ angemeldet hat (Satz 2: „Aus der Abholbestätigung ergibt sich, dass sich der Empfänger nach dem Eingang der Nachricht im Postfach an seinem De-Mail-Konto sicher im Sinne des § 4 angemeldet hat.“). Dann aber besteht keine Notwendigkeit mehr, den Nutzer vor der Löschung zu schützen. Gemeint muss damit sein, dass der Absender eine solche Abholbestätigung angefordert hat. In der nicht ganz verständlichen Gegenäußerung beharrte die Bundesregierung freilich auf der ursprünglichen Formulierung. Sie vertrat hierzu die mit dem Gesetz nicht zu vereinbarende Auffassung, die 90-Tage-Frist laufe erst mit Erstellen der Abholbestätigung (und nicht: „nach ihrem [der De-Mail] Eingang“). Im Übrigen werden „abholbestätigte“ De-Mails ohnehin nur angezeigt – und können damit nur gelöscht werden –, wenn der Nutzer „sicher“ angemeldet ist (zum Ganzen K § 5 Rdnr. 45 und 49).

Und nach ihren Ausführungen in § 6 Rdnr. 6 zu § 6 Abs. 3 der Vorschrift –

(3) Die zuständige Behörde kann die Sperrung eines Identitätsdatums anordnen, wenn Tatsachen die Annahme rechtfertigen, dass das Identitätsdatum auf Grund falscher Angaben ausgestellt wurde oder nicht ausreichend fälschungssicher ist.

– nimmt sie offenbar an, der Anbieter müsse auf eine entsprechende behördliche Anordnung einen Satz der bei ihm hinterlegten Identitätsdaten sperren. Das kann ich wiederum nicht mit dem Wortlaut überein bringen, nach dem das zuu sperrende Identitätsdatum „auf Grund falscher Angaben ausgestellt wurde„. Ich verstehe als „Identitätsdatum“ daher das, was die Technische Richtlinie TR 01201 des BSI als „Ident-Bestätigung“ bezeichnet. Wie eine solche – praktisch eine De-Mail-Nachricht – „gesperrt“ werden soll, ist unklar: Die Vorschrift scheint mir eine undurchdachte Übernahme von § 8 Abs. 1 Satz 1 SigG (K § 6 Rdnr. 7 ff.).

Fazit: Ein (weiterer) Kommentar zum De-Mail-Gesetz, geschrieben aus Anwendersicht und mit dem Wissen der mit der Gesetzgebung Befassten. Als Referentenkommentar bleibt er eng an der amtlichen Gesetzesbegründung und ist er etwas unkritisch. Er versammelt und dokumentiert die maßgebliche Literatur so gut wie vollständig. Eine Kaufempfehlung kann ich schon im Eigeninteresse aussprechen. (Eine zweite Auflage ist geplant, sobald die Umsetzung des E-Government-Gesetzes abzusehen ist.)

Jutta Keller-Herder (mit Martin Schallbruch), in: Bauer/Heckmann/Ruge/Schallbruch (Hrsg.), Verwaltungsverfahrensgesetz (VwVfG) mit rechtlichen Aspekten des E-Government, Wiesbaden 2012.