De-Mail als Vertrauensdienst

Wie berichtet, erfasst die (hier) so genannte „Vertrauensdienste“-Verordnung 910/2014  (offiziell eIDAS genannt, „electronic identification and authentication services“) auch „elektronische Einschreib-Zustelldienste“. Dazu gehören nicht zuletzt De-Mails, wie das BSI nun betont:

Ein Dienst zur Zustellung elektronischer Einschreiben ist nach der eIDAS-Verordnung „ein elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird“, „der die Übermittlung von Daten zwischen Dritten mit elektronischen Mitteln ermöglicht und einen Nachweis der Handhabung der übermittelten Daten erbringt, darunter den Nachweis der Absendung und des Empfangs der Daten, und der die übertragenen Daten vor Verlust, Diebstahl, Beschädigung oder unbefugter Veränderung schützt“.

In Deutschland regelt das De-Mail-Gesetz seit 2011 Dienste für den sicheren, vertraulichen und nachweisbaren elektronischen Geschäftsverkehr. …. Wie die De-Mail-Diensteanbieter die Anforderungen an qualifizierte Dienste zur Zustellung elektronischer Einschreiben nach eIDAS-Verordnung erfüllen, können Sie hier nachlesen:

… und verweist damit auf das PDF-Dokument mit dem übersichtlichen Titel

Erfüllung der Anforderungen an qualifizierte Dienste für die Zustellung elektronischer Einschreiben nach eIDAS-Verordnung durch De-Mail-Dienste

Weiterlesen

De-Mail in SH

Wie das Flensburger Tageblatt mitteilt, berichtet die Staatskanzlei Schleswig-Holsteins auf eine Anfrage der Piraten im Landtag (in der Drucksache 18/4170, in Vorbereitung) über den bisherigen Aufwand des Landes zur Einführung von De-Mail: Danach

arbeitet die Staatskanzlei in Kiel bereits seit drei Jahren an der Einführung der De-Mail für alle Kommunen des Landes – bislang jedoch ohne sichtbares Ergebnis, dafür aber mit erheblichen Kosten. Der Landtagsabgeordnete [der Piraten] Uli König hat errechnet: „Seit 2013 wurden schon über 100.000 Euro Steuergelder investiert.“

De Ergebnisse seien allerdings mäßig.

Das einzige Trostpflaster sehen die Piraten darin, dass noch keine regelmäßigen Betriebskosten dazukommen – weil der Service ja noch gar nicht verfügbar ist.

Auch außerhalb der Landesverwaltung werde das System nicht genutzt, erklärt die Zeitung genüsslich: Es gebe in Schleswig-Holstein überhaupt nur drei Nutzer: einen Hersteller von Stalleinstreu, die Deutsche Rentenversicherung Bund und die Handwerkskammer Lübeck. Jedenfalls in der Theorie.

Der IT-Mitarbeiter [der Handwerkskammer] Martin Becker hat über die verschlüsselten Mails Buch geführt. Die Liste ist kurz. Ganze zwei De-Mails erreichten die Handwerkskammer in zwei Jahren.

Flensburger Tageblatt, e-Government-Gesetz — De-Mail: SH hadert mit der Verschlüsselung (24. Mai 2016)

[Update 2016-07-18] Der Link zur Landtags-Drucksache wurde ergänzt. [/Update]

„nachhaltig und umsatzstark“

1&1 hat einen wahrlich verlockenden Job anzubieten: De-Mail verticken. Bis hin zu cold calls. Sie nennen es „Produktmanager De-Mail“ und suchen explizit Leute („selbstverständlich gleichermaßen weibliche und männliche Bewerber“) mit Verkaufserfahrung („mehrjährige Erfahrung im Online-Produktmanagement“) aber wenig Sprachempfinden („Sie monitoren und reporten alle relevanten KPIs Ihres Produkts und steuern und optimieren auf deren Basis ständig den Vertriebserfolg, die Kundenzufriedenheit und die Kundenbindung.“).

Aber egal! Wer

beim Aufbau von nachhaltigen und umsatzstarken B2B-Produkten in einem neuen Markt dabei sein [will], dem Experten ein Milliardenpotenzial prognostizieren

der möge sich in Karlsruhe bei 1&1 melden. Nur: meinen sie mit all diesen hochtrabenden Adjektiven (und dem „Milliardenmarkt“) wirklich De-Mail?

Viel Erfolg!

„nur die Technikinteressierten“

Thomas Jarzombek ist „netzpolitischer Sprecher der CDU/CSU-Fraktion“ und ihr Vertreter im Ausschuss „Digitale Agenda“ des Bundestages. Jüngst durfte er in der Wochenzeitung „Das Parlament“ in einem so genannten Interview die bescheidenen Pläne der Bundesregierung zum Breitbandausbau loben („ambitioniertes Ziel“, „großes Förderprogramm“, „ konkrete Regelungen“, „ Internet ohne Verzögerung“, usw. usf.). Dabei machte er auch einen Schlenker zur De-Mail:

„Man kann aber keine sinnvollen Anwendungen ermöglichen, wenn kaum jemand dabei mitmacht. Ähnlich [wie beim neuen Personalausweis, J.S.] ist es bei der De-Mail. Die müsste jeder bekommen, der eine E-Mail-Adresse hat. Ansonsten nutzen es nur die Technikinteressierten. Und das reicht nicht.“

Hm. In meinem Internet gibt es nur zwei Technikinteressierte mit De-Mail. Von denen es vielleicht genau keiner nutzt.

Wollen wir nur hoffen, dass Jarzombek hier nicht Pläne zur Nutzungspflicht spoilert („Die müsste jeder bekommen, der eine E-Mail-Adresse hat.“).

.de-Mail

Es ist nur eine Petitesse, aber eine schöne, die zeigt: Niemand kennt De-Mail, auch nicht die, die über sie schreiben. Und das fünf Jahre nach dem Inkrafttreten des Gesetzes.

Der Rundfunk-Berlin-Brandenburg berichtet über die Berliner Planungen für ein landeseigenes E-Government-Gesetz. Und schreibt hierzu unter anderem:

Die Kommunikation zwischen Behörden und Berlinern soll über eine .de-Mail-Adresse und verschlüsselt stattfinden – um sich den Amt zum Gang vielleicht sogar in Zukunft ganz und gar sparen zu können.

2016-04 rbb
„.de-Mail“. Als sei wesentlich nur, dass die Adresse des Mailanbieters eine deutsche TLD ziere.

Veröffentlicht unter iPhone

(D)E-Mail als Telekommunikation?

Das VG Köln hat in einer jedenfalls unter TK-Juristen vielbeachteten Entscheidung Googles GMail-Dienst als „Telekommunikationsdienst“ im Sinne des § 6 Abs.1 TKG bewertet mit der Folge, dass Google als Anbieter den Betrieb des Dienstes bei der Bundesnetzagentur als Aufsichtsbehörde anzeigen muss (VG Köln, Urteil vom 11. November 201521 K 450/15).

Da die Entscheidung E-Mail-Anbieter im allgemeinen trifft, sind ihre Aussagen auch relevant für De-Mail-Anbieter.

Weiterlesen

De-Mail im digitalen Nachlass

Zum Jahreswechsel 2015/16 machte die Entscheidung des Landgerichts Berlin im Verfahren 20 O 172/15 vom 17. Dezember 2015 die Runde in den Nachrichten und Blogs: Das Landgericht verurteilte Facebook zur Herausgabe der Account-Daten an die Erben, hier: die Eltern des verunfallten Kindes. Es qualifizierte den Vertrag mit Facebook als „schuldrechtlichen Vertrag mit miet-, werk-und dienstvertraglichen Elementen“ und lehnte es ab, „nur die vermögensrechtlichen Teile des digitalen Nachlasses, nicht hingegen die nicht-vermögensrechtlichen“ als vererblich anzusehen. Das sei praktisch nicht durchführbar und verstoße zudem gegen die Praxis in der Papierwelt: „Briefe und Tagebücher sind unabhängig von ihrem Inhalt vererblich.“

Die Entscheidung klärt Fragen, die sich unabhängig von Facebook allgemein stellen. Sie zitiert denn auch an zentraler Stelle den Aufsatz von Klaus Brisch und Marco Müller-ter Jung aus der CR 7/2013 (CR 2013, 446) mit dem Titel „Digitaler Nachlass – Das Schicksal von E-Mail- und De-Mail-Accounts sowie Mediencenter-Inhalten“. Ein guter Anlass, den Aufsatz hier vorzustellen.

Die Gedanken der Autoren zur Vererblichkeit von De-Mail-Konten und zum Zugriff der Erben auf diese sind höchst interessant. Sie begründen zunächst, wie ausgeführt, das Recht des Erben zum Zugriff auf den Account des Verstorbenen, das nicht anders zu regeln sei als bei anderen Schuldverhältnissen. Fehlten vorrangige Abreden, sei der Anbieter verpflichtet, den Zugang zu gewähren. Dem stehe insbesondere Datenschutzrecht nicht entgegen. Der Anbieter sei mit einem Vermieter zu vergleichen, der “ Erben Zugang zu der Mietwohnung des Verstorbenen gewährt. Er hat nicht die Obliegenheit, in der Wohnung befindliche Gegenstände nach solchen vermögensrechtlicher und solchen nichtvermögensrechtlicher Natur zu sortieren.“

Bei De-Mail-Konten bestehe aber die Besonderheit, dass das De-Mail-Gesetz zum erklärten Ziel habe, den Zugang zum De-Mail-Konto von einer eindeutigen Identifizierung des Kontoinhabers abhängig zu machen. Hieran würden zahlreiche Rechtsfolgen geknüpft. Das werde unterlaufen, wenn statt des namentlich bekannten Kontoinhabers — womöglich auch nur: eventuell — ein Dritter Zugriff erhalte und etwa im Namen des Inhabers Nachrichten versenden könne, ohne seine besondere Stellung deutlich machen zu müssen.

Brisch und Müller-ter Jung lösen diesen Konflikt durch einen nur eingeschränkten Zugriff auf das Konto. Sie schlagen vor, dass Erben nur lesenden Zugriff auf das Konto erhalten. So können sie einen Überblick über die eingegangenen und noch während der Vertragsdauer eingehenden De-Mails erhalten und den Nachlass geordnet abwickeln, ohne aber nach außen „als Kontoinhaber“ auftreten zu können. De-Mails, die eine sichere Anmeldung des Empfängers voraussetzen (§ 5 Abs. 4 De-Mail-Gesetz), könnten nicht zugestellt werden.

Die Lösung überzeugt mich. Die Technische Richtlinie De-Mail sollte entsprechend ergänzt werden.

Klaus Brisch und Marco Müller-ter Jung, „Digitaler Nachlass – Das Schicksal von E-Mail- und De-Mail-Accounts sowie Mediencenter-Inhalten“, CR 2013, 446.
[Bezahl-Link]

Fürs größere Bild: Antonia Kutscher, Der digitale Nachlass, Vandenhoeck & Ruprecht, 2015

[Update 2017-06-12: Das Kammergericht hat die Entscheidung des Landgerichts gekippt: Kammergericht zum digitalen Nachlass]

De-Mails für Private weiterhin kostenlos

Bei der Telekom kosten gewöhnliche De-Mails bis ins Jahr 2018 weiterhin nichts:

2015-11-30 telekomEs ist zu erwarten, dass die anderen Anbieter nachziehen. Darunter auch 1&1 mit seiner Marke web.de, wo De-Mails derzeit nur Null Euro Sternchen kosten:

2015-11-30 webde(Heißt: Neben der Einrichtungsgebühr insbesondere zur Identifizierung kommen Kosten für Sonderversandleistungen hinzu; Standard-De-Mails kosten nichts „bei De-Mail Flat“, was immer die wieder kostet.)

De-Mail ist weiterhin kein iPhone.

§ 30 VII AO, die De-Mail und das Steuergeheimnis

Der Gesetzgeber pfeift laut im Walde: Die De-Mail ist sicher!

§ 30 Abs. 7 Abgabenordnung

Werden dem Steuergeheimnis unterliegende Daten durch einen Amtsträger oder diesem nach Absatz 3 gleichgestellte Personen nach Maßgabe des § 87a Absatz 4 über De-Mail-Dienste im Sinne des § 1 des De-Mail-Gesetzes versendet, liegt keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten vor, wenn beim Versenden eine kurzzeitige automatisierte Entschlüsselung durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht stattfindet.

Den Steuerrechtler graust’s. Im „bekanntestesn und wichtigsten Standardwerk auf dem Gebiet des deutschen Steuerverfahrensrechts“, dem Tipke/Kruse, äußert Prof. Drüen der Universität München in Rdnr. 146d seiner Kommentierung zu § 30 Abgabenordnung ungewöhnlich deutliche Kritik an der gesetzlichen Fiktion:

§ 30 VII AO betrifft dabei den sensiblen finanzbehördlichen Informationsausgangsverkehr. Im Lichte jüngster Datenabschöpfung durch ausländische Geheimdienste ist die Regelung keineswegs Ausdruck einer besonderen legislatorischen Schutzmaßnahme für Steuerdaten. Das Vertrauen auf das Akkreditierungsverfahren scheint trotz einer nicht sicher auszuschließenden Kooperation der Betreiber mit ausländischen Informationssammelstellen ungebrochen. …  [Es] bedarf … eines qualifizierten Schutzes [von Steuerdaten], den eine Rechtsfiktion allein nicht gewährleistet. … Jede Relativierung des Steuerdatenschutzes [erscheint] angesichts des Schutzzweckes und der doppelten Schutzrichtung … verfehlt. Solange abstrakt bestehende Sicherheitsbedenken nicht ausgeräumt sind, muss die [Finanzbehörde] diese bei ihrer Ermessensentscheidung („kann“) nach § 87a IV 4 AO berücksichtigen.

Drüen fordert im Weiteren zurecht, dass die vom Gesetz gezogenen engen Grenzen eingehalten werden: die Entschlüsselung auf Anbieterseite dürfe wirklich nur zur Überprüfung auf Schadsoftware stattfinden. (Für die Weiterleitung an den Adressaten der De-Mail-Nachricht bedarf es nicht des Blickes auf ihren Inhalt, es genügt ihren Umschlag auszuwerten, den envelope).Wo ein anderweitiger Datenzugriff nicht „sicher auszuschließen“ sei und wo zudem „faktisch Sicherheitslücken aufgedeckt werden“, fehle der gesetzlichen Fiktion die gesetzliche Grundlage mit der Folge einer unbefugten Offenbarung von Steuerdaten durch die Finanzbehörde.

Diesem Risiko sollten sich Amtsträger nicht unbedacht aussetzen.

Entsprechend der Handreichung des Bundesdatenschutzbeauftragten sollte die Finanzbehörde die Inhaltsdaten daher lieber von vornherein Ende zu Ende verschlüsseln, wenn sie auf De-Mail anstelle von ELSTER setzt.

Drüen in: Tipke/Kruse, AO/FGO, 142. Lieferung Oktober 2015, § 30 AO Rdnr. 146d.