"So einfach wie die E-Mail, so sicher wie Papierpost"- die Bundesregierung bewirbt die De-Mail als Surrogat des normalen Briefes. Tatsächlich wird der neue Dienst seinen Werbeversprechen Authentizität, Integrität und Vertraulichkeit im Hinblick auf die rechtlichen IT-Sicherheitsanforderungen nur zum Teil gerecht, wie Michael Marc Maisch erläutert.
Am 18. März 2011 hat der Bundesrat den Regierungsentwurf des Gesetzes zur Regelung von De-Mail-Diensten ("De-Mail-Gesetz") gebilligt (BT-Drs. 17/3630; 17/4145). Damit steht den umstrittenen Regelungen nichts mehr im Wege, sie werden nach der Unterzeichnung des Entwurfs durch den Bundespräsidenten und der Verkündung im Bundesgesetzblatt im Frühjahr 2011 in Kraft treten.
Vorangegangen waren langjährige Pläne der Bundesregierung, sicheren elektronischen Kommunikationsmitteln – wie auch von der EU-Dienstleistungsrichtlinie vorgesehen – zum Durchbruch zu verhelfen. Die Technik und der Funktionsumfang der De-Mail sind an jene der E-Mail angelehnt. Damit sollen die Vorteile der E-Mail mit der IT-Sicherheit und dem Datenschutz verknüpft werden.
Nach den Worten des Beauftragten der Bundesregierung für Informationstechnologie soll mit der De-Mail die geschäftliche oder behördliche Kommunikation, die bisher über den Postweg abgewickelt wurde, in Zukunft "einfacher, schneller und von jedem beliebigen Ort aus vollständig elektronisch" abgewickelt werden. So sollen zum Beispiel Verträge, Auftragsbestätigungen, Gehaltsmitteilungen und behördliche Verwaltungsverfahren der De-Mail anvertraut werden, gegebenenfalls auch mit Versand- und Empfangsbestätigungen.
Ob dieser Dienst eine sichere und vertrauensbildende Infrastruktur für elektronischen Rechtsverkehr sein wird, ist allerdings umstritten. So wurde etwa der bewusste Verzicht auf eine Ende-zu-Ende-Verschlüsselung zwischen Absender und Empfänger bei der Standard-De-Mail heftig kritisiert. Die Bundesregierung will diesen Einwand nicht gelten lassen und setzt auf Interoperabilität: Die Basisvariante der De-Mail soll ohne Installation weiterer Verschlüsselungsmittel (wie etwa "Pretty Good Privacy") auskommen, um den Aufbau sicherer Kommunikationsmittel nicht zu gefährden.
Anbieter müssen sich für De-Mail akkreditieren
Der Leistungsumfang der einfachen E-Mail beschränkt sich auf die im Nutzungsvertrag vereinbarten oder sich aus den allgemeinen Geschäftsbedingungen ergebenden Leistungspflichten. Vor dem Hintergrund höherer Anforderungen an die Sicherstellung der Echtheit der Kommunikationspartner und der Nachrichteninhalte reguliert der Gesetzgeber nunmehr ausführlich den Leistungs- und IT-Sicherheitsumfang der De-Mail.
Beispielsweise muss die De-Mail gemäß § 1 Abs. 2 De-Mail-Gesetz eine sichere Anmeldung, die Nutzung eines Postfach- und Versanddienstes für sichere elektronische Post sowie die Nutzung eines Verzeichnisdienstes ermöglichen. Ob zusätzlich ein so genannter Identitätsbestätigungsdienst und eine Dokumentenablage zur sicheren Aufbewahrung wichtiger Korrespondenz angeboten werden, bleibt den Betreibern überlassen.
Nicht jeder Diensteanbieter kann die De-Mail ohne weiteres anbieten. Vielmehr ist eine Akkreditierung nach den Vorschriften der §§ 17, 18 De-Mail-Gesetz erforderlich. Dabei wird unter anderem die Zuverlässigkeit, Fachkunde und Erfüllung technischer und organisatorischer Sicherheitsanforderungen überprüft. Zuständige Behörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Zur Neueröffnung eines De-Mail-Kontos ist gemäß § 3 De-Mail-Gesetz eine Identitätsfeststellung der natürlichen Personen sowie die Erhebung und Überprüfung von personenbezogenen Daten (das heißt Name, Anschriften, Geburtsort und –datum) erforderlich. Bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen werden bestimmte Informationen gemäß § 3 Abs. 2 und Abs. 3 De-Mail-Gesetz überprüft.
Die technischen Anforderungen an die IT-Sicherheit beim Anmeldevorgang des De-Mail-Kontos (das heißt des Login) werden in § 4 De-Mail-Gesetz geregelt. § 5 De-Mail- Gesetz stellt klar, dass der Empfang und Versand nur von oder an individuelle De-Mail-Adressen (zum Beispiel mustername @musterprovider-mail.de) möglich ist. Zur Verbesserung der informationellen Selbstbestimmung und zum (Minderheiten-)Schutz vor Webtracking können pseudonyme De-Mail-Adressen eingerichtet werden.
Verschlüsselungstechnik und Erfordernis qualifizierter Signatur weiterhin problematisch
Ungeachtet dieser gesetzlichen Regulierungen zweifeln Kritiker an der Gewährleistung der Sicherheit "wie bei der Briefpost" durch die De-Mail. Während der einfache Brief im Briefumschlag vom Absender zum Empfänger verschlossen transportiert wird, endet der "geschlossene Umschlag" beziehungsweise die Verschlüsselung der De-Mail bereits bei ihrem Eintreffen im Mailserver des Empfängers. Die De-Mail wird entschlüsselt, um auf Viren und Spam geprüft zu werden. Dabei sei, so die Kritik, eine Gefahr für die Vertraulichkeit und Integrität gegeben, die es beim Brief aufgrund des Briefgeheimnisses nicht existiert.
Im Unterschied zur einfachen Briefpost könne außerdem ein erleichterter Zugriff von Sicherheitsbehörden auf vertrauliche Nachrichten nicht ausgeschlossen werden. Wird zudem die Auskunft als Mittel zur Verfolgung rechtlicher Ansprüche glaubhaft gemacht, kann ein Dritter gemäß § 16 De-Mail-Gesetz Auskunft über die Identität eines De-Mail-Kontoinhabers verlangen. Dieses Auskunftsverlangen könnte massenhaft auf Kosten des Datenschutzes missbraucht werden.
Obwohl mit dem Signaturgesetz bereits seit 1997 beziehungsweise 2001 ein gesetzlicher Rahmen für rechtssicheren elektronischen Rechtsverkehr besteht, hat der Gesetzgeber die De-Mail der Signatur nicht gleichgestellt. Zur Wahrung der "elektronischen Form" gemäß § 126 a BGB, die eine eigenhändige Unterschrift (§126 BGB) ersetzen kann, muss eine De-Mail weiterhin zusätzlich mit einer qualifizierten elektronischen Signatur versehen werden.
Ferner birgt die Abwicklung der (gesamten) geschäftlichen Korrespondenz über die De-Mail für Kaufleute und Unternehmen auch Haftungsrisiken im Bereich der IT-Compliance. Besondere Aufmerksamkeit verdient etwa die Archivierung von De-Mails, sei es nun mit oder ohne "Dokumentenablage", da diese den Grundsätzen der ordnungsgemäßen DV-gestützten Buchführungssystemen (GoBS) und den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) gerecht werden muss.
Im Ergebnis ist damit zwar zu begrüßen, dass der Gesetzgeber mit der De-Mail endlich sichere elektronische Kommunikationsstrukturen aufbauen will. Der Verzicht auf eine Ende-zu-Ende-Verschlüsselung und die Beibehaltung eines gesetzlichen und technischen Konfliktfeldes mit der elektronischen Form sind zwar dem legitimen Ziel geschuldet, die De-Mail überhaupt erst zu etablieren. Soweit aber gleichzeitig mit dem neuen Dienst die Nachfolge der Briefpost angetreten werden soll, überzeugt das De-Mail-Gesetz aufgrund bestimmter Abstriche bei der IT-Sicherheit leider nur zum Teil.
Michael Marc Maisch ist Doktorand im IT-Recht und wissenschaftlicher Mitarbeiter am Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht (Prof. Dr. Dirk Heckmann) an der Universität Passau.
Mehr auf LTO.de:
Gesetzgebung: Bundestag billigt De-Mail-Gesetz
De-Mail im Kanzleieinsatz: Ist die Briefpost bald von gestern?
Datenschutz bei Google Analytics: Kritik an digitalen Fährtenlesern
Marc Maisch, Neues Gesetz für De-Mail-Dienst: . In: Legal Tribune Online, 22.03.2011 , https://www.lto.de/persistent/a_id/2829 (abgerufen am: 21.11.2024 )
Infos zum Zitiervorschlag