Das am vergangenen Donnerstag abgenickte E-Government-Gesetz sieht auch Änderungen des De-Mail-Gesetzes vor:

1. In § 2 werden die Wörter „und der Rechtsverordnung nach § 24“ gestrichen.

Diese „Änderung ist redaktioneller Art“ (BT-Drs. 17/11473 S. 71). Sie bereinigt ein Versehen des Gesetzgebers. Das ursprüngliche „Bürgerportalgesetz“ (BT-Drs. 16/12598) sah noch eine dieses ergänzende materielle Rechtsverordnung vor. Das wurde beim De-Mail-Gesetz aufgegeben, das nunmehr nur noch durch die kurze (und bald obsolete) De-Mail-Kostenverordnung ergänzt wird. Da diese keine Befugnisse der „zuständigen Behörde“ begründet, bedarf es der entsprechenden Verweisung in §2 nicht, die derzeit lautet:

§ 2. Zuständige Behörde. Zuständige Behörde nach diesem Gesetz und der Rechtsverordnung nach § 24 ist das Bundesamt für Sicherheit in der Informationstechnik.

2. § 3 Absatz 3 Satz 1 Nummer 1 und 2 De-Mail-Gesetz werden neu gefasst.

Sie sollen nun lauten:

1. bei natürlichen Personen
a) anhand eines gültigen amtlichen Ausweises, der ein Lichtbild des Inhabers enthält und mit dem die Pass- und Ausweispflicht im Inland erfüllt wird, insbesondere anhand eines inländischen oder nach ausländerrechtlichen Bestimmungen anerkannten oder zugelassenen Passes, Personalausweises oder Pass- oder Ausweisersatzes,
b) anhand von Dokumenten, die bezüglich ihrer Sicherheit einem Dokument nach Buchstabe a gleichwertig sind;
c) anhand eines elektronischen Identitätsnachweises nach § 18 des Personalausweisgesetzes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes;
d) anhand einer qualifizierten elektronischen Signatur nach § 2 Nummer 3 des Signaturgesetzes oder
e) anhand sonstiger geeigneter technischer Verfahren mit gleichwertiger Sicherheit zu einer Identifizierung anhand der Dokumente nach Buchstabe a;
2. bei juristischen Personen oder Personengesellschaften oder bei öffentlichen Stellen
a) anhand eines Auszugs aus dem Handels- oder Genossenschaftsregister oder aus einem vergleichbaren amtlichen Register oder Verzeichnis,
b) anhand der Gründungsdokumente,
c) anhand von Dokumenten, die bezüglich ihrer Beweiskraft den Dokumenten nach den Buchstaben a oder b gleichwertig sind, oder
d) durch Einsichtnahme in die Register- oder Verzeichnisdaten.

Zur Begründung heißt es:

Die Ergänzung in § 3 Absatz 3 Satz 1 Nummer 1 Buchstabe e erweitert die Möglichkeiten der Identifizierung des Nutzers anlässlich der Eröffnung eines De-Mail-Kontos. Sie lehnt sich an die Regelung des § 3 Absatz 1 Nummer 4 der Signaturverordnung an. Die Möglichkeiten der Identifizierung des Nutzers werden um die Identifizierung durch „geeignete technische Verfahren“ erweitert. Hierdurch öffnet sich das De-Mail-Gesetz für alternative, insbesondere weitere medienbruchfreie Verfahren. Als Bestandteil des Sicherheitskonzepts eines akkreditierten Diensteanbieters ist die „gleichwertige Sicherheit“ der Identifizierungsmethode im Fall akkreditierter Diensteanbieter vom Bundesamt für Sicherheit in der Informationstechnik zu prüfen und zu bestätigen.
Gleichwertige Sicherheit wird regelmäßig auch dann anzunehmen sein, wenn für die Identifizierung Verfahren verwendet werden, die nach dem Signaturgesetz oder dem
Geldwäschegesetz für die Identifizierung einer Person zulässig sind.
Des Weiteren wird in § 3 Absatz 3 Satz 1 Nummer 1 Buchstabe c der elektronische Identitätsnachweis nach § 78 Absatz 5 des Aufenthaltsgesetzes zugelassen.
Die übrigen Änderungen sind lediglich redaktioneller Natur und dienen der besseren Lesbarkeit.

3. § 5 Abs. 5 wird geändert.

In Satz 2 werden die Wörter „durch eine qualifizierte elektronische Signatur“ gestrichen. Stattdessen wird die Art der Bestätigung in den Sätzen drei bis sechs des Absatzes beschrieben, so dass die Vorschrift wie folgt lautet:

§ 5. Postfach- und Versanddienst. (5) Der akkreditierte Diensteanbieter muss dem Nutzer ermöglichen, seine sichere Anmeldung im Sinne von § 4 in der Nachricht so bestätigen zu lassen, dass die Unverfälschtheit der Bestätigung jederzeit nachprüfbar ist. Um dieses dem Empfänger der Nachricht kenntlich zu machen, bestätigt der akkreditierte Diensteanbieter des Senders die Verwendung der sicheren Anmeldung nach § 4 durch eine qualifizierte elektronische Signatur. Hierzu versieht er im Auftrag des Senders die Nachricht mit einer dauerhaft überprüfbaren qualifizierten elektronischen Signatur; sind der Nachricht eine oder mehrere Dateien beigefügt, bezieht sich die qualifizierte elektronische Signatur auch auf diese. Die Bestätigung enthält bei natürlichen Personen den Namen und die Vornamen, bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen die Firma, den Namen oder die Bezeichnung des Senders in der Form, in der diese nach § 3 Absatz 2 hinterlegt sind. Die Tatsache, dass der Absender diese Versandart genutzt hat, muss sich aus der Nachricht in der Form, wie sie beim
Empfänger ankommt, ergeben. Die Bestätigung nach Satz 1 ist nicht zulässig bei Verwendung einer pseudonymen De-Mail-Adresse nach Absatz 2.

Zur Begründung heißt es:

Mit der Änderung sind zwei Anpassungen vorgesehen.

Die erste Änderung betrifft den ersten Satz der vorgeschlagenen Änderung. Hier wird nunmehr eine dauerhaft überprüfbare qualifizierte elektronische Signatur vorgesehen. Die dauerhafte Überprüfbarkeit einer qualifizierten elektronischen Signatur soll sicherstellen, dass, soweit dies technisch möglich ist, Unterlagen mit besonderer Bedeutung über lange Zeiträume beweiskräftig bleiben. Eine Änderung des § 5 Absatz 5 des De-Mail-Gesetzes (De-Mail-G) in diesem Sinne ist aus fachlichen Gründen geboten, da diese Versandart schriftformersetzend wirken soll. Bei Unterlagen, die der Schriftform bedürfen, ist generell davon auszugehen, dass sich noch nach Jahren oder Jahrzehnten die Notwendigkeit ergeben kann, auf die mit voller Beweiskraft versehene Unterlage zurückzugreifen. Die dauerhafte Überprüfbarkeit bestimmt sich dabei nach dem Stand der Technik. Derzeit heißt dies: Die qualifizierte elektronische Signatur und das ihr zugrunde liegende qualifizierte Zertifikat sind dauerhaft überprüfbar, wenn der Zertifizierungsdiensteanbieter
sicherstellt, dass die von ihm ausgestellten qualifizierten Zertifikate ab dem Zeitpunkt der Bestätigung des Erhalts seiner sicheren Signaturerstellungseinheit durch den
Signaturschlüssel-Inhaber für den im jeweiligen Zertifikat angegebenen Gültigkeitszeitraum sowie mindestens 30 Jahre ab dem Schluss des Jahres, in dem die Gültigkeit des Zertifikats endet, in einem Verzeichnis gemäß den Vorgaben nach § 5 Absatz 1 Satz 2 des Signaturgesetzes geführt werden. Der Zertifizierungsdiensteanbieter hat die Dokumentation im Sinne des § 10 des Signaturgesetzes und des § 8 der Signaturverordnung mindestens für diesen Zeitraum aufzubewahren. Signaturen nach § 15 Absatz 1 des Signaturgesetzes erfüllen diese Anforderungen.
Die zweite Änderung betrifft die Streichung des mit dem Regierungsentwurf vorgeschlagenen Satzes „Verwaltet eine öffentliche Stelle für andere öffentliche Stellen ein oder mehrere De-Mail-Konten und sind lediglich die Daten der verwaltenden öffentlichen Stelle nach § 3 Absatz 2 hinterlegt, so hat der akkreditierte Diensteanbieter dafür Sorge zu tragen, dass anstelle der Bezeichnung nach § 3 Absatz 2 die Bezeichnung der absendenden öffentlichen Stelle verwendet wird.“ Diese Regelung wird nach nochmaliger Prüfung nicht mehr für erforderlich gehalten. Da die erlassende Behörde selbst als Nutzer des De-Mail-Kontos aus der absenderbestätigten De-Mail-Nachricht im
Sinne des § 5 Absatz 5 De-Mail-G erkennbar sein muss (vgl. die durch dieses Gesetz vorgesehenen Änderungen des § 37 Absatz 3 VwVfG und des § 3a Absatz 2 Satz 4 Nummer 3 VwVfG), muss jede Behörde ein eigenes De-Mail-Konto führen und die Identifizierung im Sinne des § 3 De-Mail-G bei dem akkreditierten Diensteanbieter durchführen. Unabhängig davon kann eine Behörde oder sonstige Stellen für andere Stellen eine zentrale Anbindung an die De-Mail-Infrastruktur (sog. „De-Mail-Gateway“, vgl. hierzu Artikel 1 § 2 Absatz 2) betreiben. Hierbei wird lediglich die technische Lösung zur Abfrage von De-Mails zentral für mehrere Behörden betrieben (z. B. durch ein gemeinsames Rechenzentrum); der Zugriff zu ihrem Konto bleibt gleichwohl allein der jeweiligen Behörde vorbehalten. Durch eine Änderung der – in § 18 Absatz 2 De-Mail-G
referenzierten – Technischen Richtline 01201 De-Mail des Bundesamtes für Sicherheit in der Informationstechnik vom 23. März 2011 (eBAnz AT40 2011 B1) wird sichergestellt,
dass die betreffende Behörde über eine vertretungsberechtigte Person für das entsprechende De-Mail-Konto eindeutig identifiziert wurde.

4. § 7 Abs. 3 wird geändert.

Die Vorschrift lautet bislang:

§ 7. Verzeichnisdienst. (3) Die Veröffentlichung der De-Mail-Adresse im Verzeichnisdienst auf ein Verlangen des Nutzers als Verbraucher nach Absatz 1 allein gilt nicht als Eröffnung des Zugangs im Sinne von § 3a Absatz 1 des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch oder des § 87a Absatz 1 Satz 1 der Abgabenordnung.

Dem sollen folgende Sätze angefügt werden:

„Auf Verlangen des Nutzers muss der akkreditierte Diensteanbieter durch einen geeigneten Zusatz die Erklärung des Nutzers im Verzeichnisdienst veröffentlichen, den Zugang im Sinne von § 3a des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch und des § 87a Absatz 1 Satz 1 der Abgabenordnung eröffnen zu wollen. Die Veröffentlichung der De-Mail-Adresse des Nutzers als Verbraucher mit diesem Zusatz im Verzeichnisdienst gilt als Zugangseröffnung. Satz 2 gilt entsprechend für die Entscheidung des Nutzers, die Zugangseröffnung zurückzunehmen.“

Zur Begründung heißt es:

Mit dieser Änderung soll auf die in der Praxis bestehende Unsicherheit reagiert werden, wann konkret von einer Zugangseröffnung im Sinne der Regelungen der §§ 3a Absatz 1 VwVfG, 36a Absatz 1 SGB I und 87a Absatz 1 Satz AO ausgegangen werden kann.
Der in der De-Mail-Infrastruktur vorgesehene Verzeichnisdienst, welcher nur für De-Mail-Nutzer eingesehen werden kann, ist eine geeignete Informationsquelle, um zu erfahren, ob jemand den Zugang für den Schriftverkehr im Verwaltungsverfahren über seine De-Mail-Adresse eröffnet hat.
Denn die De-Mail-Infrastruktur soll vor allem für mehr Sicherheit in der elektronischen Kommunikation des Geschäftsverkehrs (auch mit Behörden) dienen und wird voraussichtlich vor allem dann genutzt werden, wenn es auf die Identität des jeweiligen Kommunikationspartners oder die Sicherheit der Übertragung in besonderer Weise ankommt. Beides trifft für die Behördenkommunikation zu. Wer De-Mail nutzt, sich im Verzeichnisdienst eintragen lässt und dort erklärt, dass er den Zugang eröffnen will, gibt zu verstehen, dass er über De-Mail auch im Verwaltungsverfahren oder sonst mit öffentlichen Stellen kommunizieren möchte. Dies gilt für alle Kommunikationspartner (öffentliche Stellen, Bürgerinnen/Bürger oder Unternehmen) gleichermaßen.
Der Nutzer muss nach § 9 De-Mail-G von seinem De-Mail-Provider darüber informiert werden, dass die Veröffentlichung seiner (des Nutzers) De-Mail-Adresse und der Information, dass er den Zugang eröffnen möchte, im Verzeichnisdienst die Wirkung der Erklärung der Zugangseröffnung im Sinne der §§ 3a Absatz 1 VwVfG, 36a Absatz 1 SGB I und 87a Absatz 1 Satz AO hat.
Anders als in der Begründung zu § 7 Absatz 3 De-Mail-G noch ausgeführt (vgl. Bundestagsdrucksache 17/4145 vom 8. Dezember 2010, S. 6 und diese Ausführungen übernehmend Bundestagsdrucksache 17/4893 vom 23. Februar 2011, S. 20), wird von der Einschätzung, eine solche Regelung würde die Akzeptanz der De-Mail-Dienste durch die Bürgerin/den Bürger gefährden, Abstand genommen.
Allerdings wird mit Satz 4 eine Regelung eingeführt, mit welcher die Entscheidung des Nutzers als Verbraucher, die Zugangseröffnung zurückzunehmen, ebenfalls im Verzeichnisdienst zu veröffentlichen ist.
Die Regelung stellt nicht die einzige Möglichkeit der Zugangseröffnung im Sinne der Regelungen der §§ 3a Absatz 1 VwVfG, § 36a Absatz 1 SGB I und des § 87a Absatz Satz AO dar. Die Zugangseröffnung kann z. B. auch durch direkte Äußerung gegenüber der Behörde erfolgen. Erst recht stellt sie nicht die einzige Möglichkeit dar, gegenüber nichtöffentlichen Stellen wie z. B. Unternehmen den Zugang zu eröffnen; diese Art der Zugangseröffnung wird von den §§ 3a Absatz 1 VwVfG, 36a Absatz 1 SGB I und 87a Absatz 1 Satz 1 AO gar nicht erfasst.

Und:

Der Vorschlag greift Nummer 32 der Stellungnahme des Bundesrates auf. Es handelt sich um eine Klarstellung. Wie die Bundesregierung in der Gegenäußerung zu Nummer 32 ausgeführt hat, kann der Zugang über das De-Mail-Konto und den dort verorteten Verzeichnisdienst nach § 7 De-Mail-G nur allgemein für alle Verwaltungsverfahren eröffnet werden; eine Differenzierung nach VwVfG, Sozialgesetzbuch (SGB) und Abgabenordnung (AO) findet nicht statt. Hiervon kann also auch ein Bürger Gebrauch machen und damit ausdrücklich die Zugangseröffnung erklären.
In Nummer 15 seiner Stellungnahme hat der Bundesrat zudem die Bundesregierung darum gebeten, im weiteren Gesetzgebungsverfahren zu prüfen, wie Artikel 2, also das De-Mail-Gesetz, zu ändern ist, um eine konkludente Zugangseröffnung für den „Rückkanal“ mittels De-Mail im Einzelfall zu verankern. Hierzu ist festzustellen, dass es einer Änderung des De-Mail-Gesetzes oder eines sonstigen Gesetzes nicht bedarf. Im Einzelfall ist hier vielmehr die allgemeine Rechtslage zu § 3a Absatz 1 VwVfG bzw. § 36a Absatz 1 SGB I bzw. § 87a Absatz 1 Satz 1 AO heranzuziehen, wonach die Verkehrsanschauung maßgeblich ist, vgl. hierzu die Gesetzesbegründung zu § 3a VwVfG, BT-Drucksache 14/9000 vom 13. Mai 2002, Begründung BT zu Artikel 1 Nummer 4, S. 30f: „Der Empfänger eröffnet seinen Zugang durch entsprechende Widmung. Dies kann ausdrücklich oder konkludent erfolgen. Im Einzelfall wird hier die Verkehrsanschauung, die sich mit der Verbreitung elektronischer Kommunikationsmittel fortentwickelt, maßgebend sein […] Beim Bürger wird hingegen die bloße Angabe einer EMail-Adresse auf seinem Briefkopf heute noch nicht dahin gehend verstanden werden können, dass er damit seine Bereitschaft zum Empfang von rechtlich verbindlichen Erklärungen kundtut. Bei ihm kann in aller Regel von der Eröffnung eines Zugangs nur ausgegangen werden, wenn er dies gegenüber der Behörde ausdrücklich erklärt hat.“
Gegenüber dieser Wertung aus dem Jahr 2002 ist davon auszugehen, dass sich die Verkehrsanschauung geändert hat. Danach kann als Verkehrsanschauung, jedenfalls bei Nutzung von De-Mail im Sinne des De-Mail-Gesetzes, nunmehr Folgendes zugrunde gelegt werden: Es ist davon auszugehen, dass die Zugangseröffnung dadurch konkludent erfolgen kann, dass sich ein Bürger oder eine Bürgerin mittels einer De-Mail-Nachricht an eine Behörde wendet, indem er oder sie z. B. einen Antrag stellt. In diesem Fall darf diese Behörde davon ausgehen, dass der Bürger oder die Bürgerin damit konkludent den Zugang für dieses Verfahren eröffnet hat mit der Folge, dass diese Behörde auch den abschließenden Bescheid per De-Mail übermitteln darf. Dies ist damit zu begründen, dass sich der Bürger oder die Bürgerin dadurch, dass er oder sie ein De-Mail-Konto eröffnet hat und sich mittels einer De-Mail-Nachricht an die Behörde wendet, bewusst für den – gegenüber der herkömmlichen E-Mail wesentlich  sichereren – Weg per De-Mail entschieden hat. In einem solchen Fall muss die Behörde den Bürger oder die Bürgerin nicht mehr darum bitten, ihr gegenüber ausdrücklich den Zugang zu eröffnen. Gleiches gilt zudem für juristische Personen oder sonstige Stellen, z. B. Unternehmen.