Das dazugehörige Gesetz ist erstaunlich klar formuliert, auch wenn viele Detailfragen noch per Verordnung geregelt werden müssen. Der Gesetzentwurf des BMI enthält dazu bereits umfangreiche Zusatzinformationen, die einen guten Einblick in die zu erwartende Ausgestaltung der Ausführungsverordnung geben.
Zusatzdienste
Neben den obligatorischen Diensten "Postfach" und "Versand" (De-Mail selbst) kann ein Dienstanbieter auch zwei weitere Dienste anbieten, die ebenfalls gesetzlich geregelt sind.
Mit "De-Ident" kann der Nutzer seine beim Anbieter gespeicherte Identität nutzen, um sich bei Dritten zur identifizieren. Dies erfolgt nur auf Antrag des Nutzers und könnte eine interessante Alternative zu PostIdent werden.
Mit "De-Safe" kann der Anwender seine De-Mails beim Anwender in einem besonders geschützten Archiv aufbewahren und ist damit unabhängig von seiner eigenen Datensicherheit und Datensicherung. Das Gesetz schreibt dabei die Möglichkeit vor, für jede gespeicherte Datei (Nachricht) die sichere Anmeldung vorschreiben zu können (s.u.)
Wer kann De-Mail nutzen?
Ganz einfach: jeder. Es gibt keine (expliziten) Voraussetzungen für die Nutzung, jedermann und -frau kann den Dienst verwenden, die Dienstanbieter können einen Zugang nicht verweigern. Einzige tatsächliche Voraussetzung ist, dass der Antragsteller eindeutig identifiziert wird, er muss dazu ein gültiges Ausweisdokument vorlegen.
Dies schließt auch juristische Personen ein, deren Identifizierung explizit geregelt ist (leider bisher nur über den Registerauszug). Der Unternehmenseinsatz von De-Mail stellt die IT-Organisatoren zwar vor einige praktische Herausforderungen, z.B. die Durchlöcherung der E-Mailsicherheit, die Steuerung der Zugriffsrechte oder die interne Weiterverarbeitung eingehender Nachrichten - dies alles sind aber lösbare Probleme.
Auch Vertretungsvollmachten sind vorgesehen. Auf Antrag kann die "Vertretungsmacht" einer Person für eine andere Person als Attribut aufgenommen werden.
Nur akkreditierte Dienstanbieter
Bereitgestellt wird der Dienst von Unternehmen, die speziell für diesen Zweck vom Bundesamt für Sicherheit in der Informationstechnik (
BSI) akkreditiert werden und dessen Aufsicht unterliegen (auch unabhängige Gutachter sind zugelassen).
Das Gesetz definiert zahlreiche Anforderungen an Dienstanbieter, u.a. Fachkunde, allgemeine Zuverlässigkeit (beides bis auf die Ebene der Mitarbeiter in sicherheitsrelevanten Bereichen) und eine zuverlässige und sichere technische Ausstattung. Zahlreiche Vorschriften des Gesetzes sind bußgeldbewehrt (bis zu € 300.000,-).
Außerdem unterliegt der Anbieter umfangreichen Dokumentationspflichten. Die Dokumentation muss nach Ende des Vertragsverhältnisses mit dem Nutzer 30 Jahre lang aufbewahrt werden. Eine Versicherung oder vergleichbare Absicherung von Schadensersatzansprüchen ist ebenfalls vorgeschrieben. Die Mindestdeckung beträgt € 250.000,- pro Schadensfall.
Unter dem Stichwort "lessons learned" lassen sich einige Detailvorschriften zusammenfassen. So darf die Akkreditierung nur nach einem ausführlichen Test der Zuverlässigkeit des jeweiligen Portals und seiner Kommunikation mit anderen Anbietern erfolgen. Außerdem sind die Anbieter verpflichtet, die gespeicherten Identitätsdaten regelmäßig auf Manipulationen zu untersuchen. Das BMI hat damit seine frühere Haltung aufgegeben, dass genügend Vorschriften Manipulationen ausschließen:
"Die Regelung soll die Integrität der Identitätsdaten und damit das notwendige Vertrauen in den Identitätsbestätigungsdienst sicherstellen. Dies erfordert vor allem wiederholte interne Kontrollen (z.B. stichprobenartiger Vergleich der Daten mit den jeweiligen Anträgen). Da speziell technisch bedingte Verfälschungen von Daten nicht ausgeschlossen werden können, müssen diese zumindest zwangsläufig bemerkt werden (z.B. durch Anwendung elektronischer Signaturen und Zeitstempel bei der Datenspeicherung und -übermittlung)."
Die Akkreditierung muss bei wesentlichen Ereignissen, spätestens aber alle drei Jahre, wiederholt werden und kann bei groben Verstößen ausgesetzt (inkl. Unterlassungsverfügung) oder entzogen werden.
Am Rande bemerkt: obwohl De-Mail grundsätzlich eine deutschte Lösung ist, hängt sie doch mit Vorgaben der EU zusammen. Eine Anerkennung (EU-)ausländischer Dienste bzw. Dienstanbieter ist im Gesetz ausdrücklich geregelt. Lediglich hoheitliche Tätigkeiten (formelle Zustellung) müssen aus offensichtlichen Gründen deutschen Anbietern vorbehalten bleiben.
Bürgerportaladressen und Verzeichnisse
Per Gesetz wird jedem Teilnehmer an De-Mail eine eindeutige "Bürgerportaladresse" zugewiesen. Bei natürlichen Personen enthält diese den Nachnamen und mindestens einen Vornamen, bei juristischen Personen den Namen (z.B. die Firma).
Das Gesetz schreibt übrigens ausdrücklich die Bereitstellung von Pseudonymen durch den Dienstanbieter vor. Unter Pseudonym versandte Nachrichten werden entsprechend gekennzeichnet. Damit wird eine Form von rechtssicherer Pseudo-Anonymität geschaffen, die für Online-Shopping & Co. durchaus interessant sein kann. Echte Anonymität ist natürlich weder vorgesehen noch erwünscht, da diese die Rechtssicherheit ausschließen würde.
Die Adresse wird vermutlich folgendes Format haben:
Natürliche Personen:
<Vorname(n)>.<Nachname>[.Nummer]@<BP-Domain>.de-mail.de
Juristische Personen:
<Bezeichnung der juristischen Person>@[<Subdomain>.]<BP-Domain>.de-mail.de
bzw.
<Vorname(n)>.<Nachname>@<juristische Person>.<BP-Domain>.de-mail.de
(die Erläuterungen sind an dieser Stelle unklar)
Funktionseinheiten juristischer Personen:
<funktionseinheit>@<juristische person>.<BP-Domain>.de-meil.de
Pseudonym-Adresse:
pn_<Bezeichnung>@<BP-Domain>.de-mail.de
Die Bürgerportaladresse wird auf Antrag des Nutzers (und nur dann) in ein zentrales Verzeichnis aufgenommen und steht damit anderen Anwendern zur Verfügung. Dabei können auch Zusatzkriterien angegeben werden. Besonders interessant: der Anbieter muss auf Wunsch des Anwenders dessen öffentlichen Schlüssel aufnehmen, was eine Ende-zu-Ende-Verschlüsselung der Inhalte erheblich erleichtert.
Auskunftsanspruch
Das Gesetz regelt auch den Auskunftsanspruch über die Identität (Name und Adresse) einer Nutzeradresse oder eines Pseudonyms. Damit muss zur Auskunftserteilung nachgewiesen werden, dass die Auskunft zur Durchsetzung eines Rechtsanspruches notwendig ist.
Die erteilten Auskünfte sind dabei vollständig zweckgebunden. Außerdem wird der Nutzer über die Auskunftserteilung informiert. Eine Auskunftserteilung alleine zur Aufdeckung eines Pseudonyms ist explizit untersagt.
Sperrung und Löschung
Das Bürgerportalgesetz enthält genaue Regelungen, unter welchen Umständen ein Konto gesperrt oder gelöscht werden darf.
Beim Thema Sperre gibt es ein interessantes Detail. Eine Sperre verhindert lediglich den Versand und Empfang von Nachrichten, nicht aber den Abruf bereits empfangener De-Mails. Damit kann einem Nutzer z.B. bei Zahlungsverzug nicht der Zugriff auf rechtskräftig zugestellte Dokumente wie eine Vorladung entzogen werden (und der Nutzer kann dies auch nicht absichtlich provozieren).
Eine Sperrung erfolgt per Gesetz aus drei Gründen: Antrag des Nutzers, Anordnung der zuständigen Behörde oder bei Erkenntnissen über Unsicherheiten in der Authentifizierung oder den anderen wesentlichen Verfahren, sei es in Bezug auf den Einzelbenutzer oder das gesamte System. Und ja, der nächste Krypto-Bug Marke MD5 könnte den Totalstillstand von De-Mail bewirken - was zwar drastisch, aber angesichts der möglichen Rechtsfolgen auch außerordentlich lobenswert ist.
Die Löschung des Kontos ist dagegen nur auf Antrag des Nutzers oder auf behördliche Anordnung möglich. Anderslautende Vertragsvereinbarungen sind nichtig.
Bei Löschung eines Kontos muss der Dienstanbieter sicherstellen, dass die gespeicherten Nachrichten noch mindestens drei Monate nach Vertragsende abrufbar sind. Einen Monat vor der Löschung muss er zudem den Nutzer schriftlich informieren.
Sichere Anmeldung
Das Gesetz schreibt die Bereitstellung einer Möglichkeit zur sicheren Anmeldung vor, nicht aber deren Nutzung. Dies ermöglicht einen zweistufigen Zugang. Auf der unteren Stufe z.B. per Benutzername und Kennwort, auf der oberen Stufe z.B. per elektronischen Personalausweis.
Auch hier ein interessantes Detail am Rande: der Absender kann für den Zugriff auf seine Nachricht eine sichere Anmeldung des Empfängers vorschreiben. Nutzt der Anwender diese nicht, so geht die Nachricht zurück an den Absender.
Bestätigungen
Natürlich sind auch Versand- und Empfangsbestätigungen vorgesehen. Da die spätere Beweiskraft der De-Mails (Anscheinsbeweis) mit im Fokus stand, müssen diese Bestätigungen von den jeweils zuständigen Dienstanbietern mit einer qualifizierten elektronischen Signatur nach Signaturgesetz unterzeichnet werden.
Was bringt der neue Dienst?
Die Erwartungen der Bundesregierung sind ehrgeizig. Binnen fünf Jahren sollen 20% der theoretisch über De-Mail transportierbaren Briefsendungen unter 50g über diesen Dienst laufen. Das entspricht nach offizieller Rechnung ca. 1,5 Mrd. Briefsendungen pro Jahr.
Leider ist die Rechnung der Bundesregierung dabei etwas milchmädchenhaft. Zwar wurde der Anteil der Bundesbürger und Unternehmen mit Internetzugang einkalkuliert, jedoch ohne Berücksichtigung von Gelegenheitsnutzern (für die dieser Dienst ziemliche rechtliche Gefahren birgt) und ohne Berücksichtigung der Tatsache, dass für den Versand Sender und Empfänger Teilnehmer bei De-Mail und damit Internet-Nutzer sein müssen.
Die Zahlen sind aber auch unter Berücksichtigung dieser Faktoren noch beeindruckend - sofern die Bürger und (für die Statistik etwa zehnmal so wichtig) die Unternehmen das Bürgerportal auch wie gewünscht annehmen und die erwarteten 75% der tatsächlichen Briefsendungen darüber abwickeln - eine Annahme, die mir deutlich übertrieben vorkommt.
In jedem Fall lesen sich die Erwartungen des Innenministeriums (Einsparpotential im fünften Jahr jenseits 1 Mrd. Euro pro Jahr) ein kleinwenig wie ein Abgesang auf die Deutsche Post.
Sicherheit
Die tatsächliche Sicherheit des Systems hängt wie immer von seiner praktischen Umsetzung ab. Die dazugehörige Ausführungsvorschrift fehlt zurzeit noch, was wichtige Detailfragen offen lässt.
Grundsätzlich schafft das Bürgerportalgesetz aber relativ gute Voraussetzungen. Einen bitteren Beigeschmack hat für mich lediglich die explizite Heranziehung von bereits erteilten Zertifikaten für Produkte oder Dienstanbieter. Dabei spielt aber sicherlich mein ganz persönlicher Mangel an Begeisterung für die meisten standardisierten Zertifizierungsverfahren eine Rolle.
Die Regelungen fokussieren übrigens momentan ausdrücklich auf die unveränderte Nutzung bestehender technischer Standards - mit Betonung auf deren konsequenter Anwendung.
Ein paar Haken und Ösen
Das neue Gesetz lässt einige Fragen offen, die hoffentlich auf dem Verordnungsweg oder über die Vertragsgestaltung der Dienstanbieter geklärt werden. Hier eine kleine Auswahl:
- Die Vergabe von Pseudonymen ist nicht klar geregelt. Auch bei einer Kennzeichnung der Pseudonymadresse als solche bleiben Fußangeln bestehen (Identitätsvortäuschung, Promi-Namen, Markenrechte, etc.)
- Der Todesfall eines Nutzers ist nicht explizit geregelt. Lediglich über das Erlöschen des Vertrages lässt sich ein Rückschluss auf die Konsequenzen ziehen. Der möglicherweise notwendige Zugriff der Erben auf die gespeicherten Dokumente ist nicht vorgesehen.
- Das Gesetz regelt die Speicherdauer bei Diensteinstellung und bei Erlöschen des Benutzerkontos, nicht aber die Speicherdauer im Normalbetrieb. Hier muss zumindest auf dem Verordnungsweg eine Mindestvorhaltedauer der Nachrichten festgelegt werden.
- Es gibt bisher keine Regelungen zu einem vom Nutzer gewünschten Anbieterwechsel.
Blogosphäre, Datenschutz & Co.
Teile der Blogosphäre schäumen gerade mal wieder vor lauter Überwachungsstaat, Datenschutz und Vorratsdatenspeicherung - und das alles natürlich auch im Bürgerportalgesetz. Meine Empfehlung: Schaum vom Mund wischen, tief durchatmen, die Endfassung des Gesetzes und der Erläuterungen lesen und nochmal nachdenken.
Das Gesetz enthält keine Silbe über Fremdzugriffe, Mailüberwachung, Protokollierung o.ä. Das BMI hat sich sogar hinreißen lassen, die Speicherung der Nutzerzugriffe ausdrücklich abzulehnen. So steht in den Erläuterungen mit Bezug auf die Versand- und Empfangsbestätigungen zu lesen: "Eine aus Datenschutzgründen bedenkliche Speicherung der Zugriffe jeder einzelnen Anmeldung kann und wird daher unterbleiben."
Die Daten unterliegen damit den gleichen rechtlichen Rahmenbedingungen wie bei GMX, web.de und Konsorten (über deren Sicherheit sich nur wenige Blogger Gedanken machen), jedoch mit einem wesentlichen Unterschied: die Anforderungen an die De-Mail-Dienstanbieter sind ungleich höher als bei "normalen" Dienstanbietern, deren Arbeit überwiegend im Telemediengesetz (
TMG) und im Bundesdatenschutzgesetz (
BDSG) geregelt sind - zwei Gesetze, die durch völliges Fehlen konkreter Sicherheitsanforderungen glänzen.
Auch die ausdrückliche Betonung (ja geradezu Empfehlung) der Ende-zu-Ende-Verschlüsselung und deren Unterstützung im Gesetz (Speicherung der öffentlichen Schlüssel im Verzeichnis des Anbieters) sind sicherlich etwas überraschend für das Ministerium von Herrn Dr. Wolfgang Schäuble.
Es mag mit dem Superwahljahr zusammenhängen, doch hier klingen vollkommen andere Töne aus einem Ministerium an, dass in den letzten Jahren doch eher für seine recht freizügige Interpretation der deutschen Verfassung bekannt wurde als für seinen Einsatz für die Bürgerrechte.
Ein wenig Zynismus am Rande
Wer mich kennt, der wird das Folgende schon erwarten
Ein bisschen lästern muss ich dann doch - aber weniger über das Gesetz als seine Pilotierung und Vermarktung.
Als "staatlich geprüfte" (Originalton BMI) Dienstanbieter fungieren momentan T-Systems, die Deutsche Post und die Deutsche Telekom in Pilotfunktion. Der Ironie, ausgerechnet die Deutsche Telekom mit der Verbesserung der Informationssicherheit der Bundesbürger zu beauftragen, kann man sich kaum entziehen. Dieses Unternehmen hat sein weitreichendes Fehlen jeden Rechtsbewusstseins nun wirklich tatkräftig unter Beweis gestellt.
Auch der viel zitierte Vergleich "so sicher und zuverlässig wie die Papierpost" ist für mich ein unfreiwilliger Schenkelklopfer. Angesichts der
drastischen Maßnahmen, die der Post von der Bundesnetzagentur wegen mangelnder Zuverlässigkeit bei der Briefzustellung angedroht wurden, geht dieser Schuss doch wohl nach hinten los. Der absolute Glaube an die Zustellvermutung ist aber trotz allem in Deutschland tief verwurzelt.
Ein vorläufiges Fazit
Die Ideen und Basisvorgaben sind grundsätzlich gut, die Umsetzung wird wie immer einige Haken und Ösen haben (auch den einen oder anderen kleinen Skandal sehe ich schon am Horizont winken) und ob am Ende alles gut wird, werden wir abwarten müssen. In dieser Hinsicht hängt viel von der Arbeit des BMI und des BSI bei der Vorschriftengestaltung und deren Umsetzung ab.
Sehr zu begrüßen ist eine gewisse Kompromisslosigkeit des Gesetzentwurfes, der keinen wirklichen Zündstoff für Datenschutzdebatten o.ä. liefert (s.o.) und damit sein erklärtes Ziel, das Vertrauen der Bürger und Unternehmen in die neue Plattform zu gewinnen auch tatsächlich erreichen könnte.
Abseits einer leichten persönlichen Verstimmung, dass ich wohl zukünftig noch einen weiteren "Mailaccount" mein Eigen nennen darf, der sich kaum nahtlos in meine bestehende IT-Struktur eingliedern wird, ist das Bürgerportal sicherlich ein Schritt in die richtige Richtung. Noch weitere endlose Jahre abzuwarten, bis das vollkommen veraltete SMTP-Protokoll mit seinen zahlreichen Sicherheitspflästerchen (SMTPS/TLS, S/MIME, PGP, elektronische Einschreiben, etc.) durch einen sinnvollen Standard abgelöst wird, der auch in Deutschland eine anerkannte Form von Rechtssicherheit bietet, kann jedenfalls nicht die Lösung sein.
Weitere Informationen
Das Kabinett hat den Gesetzentwurf des Bundesinnenministeriums zur Regelung von Bürgerportalen und damit die Einführung des neuen E-Maildienstes "De-Mail" und der Zusatzdienste "De-Safe" und "De-Ident" beschlossen (siehe auch hier). Nach einer Pilotphase im Laufe dieses Jahres soll das neue Kommunikationssystem nächstes Jahr in Betrieb gehen.
du schreibst "Das Gesetz enthält keine Silbe über Fremdzugriffe, Mailüberwachung, Protokollierung o.ä." .. siehe bitte § 15 Datenschutz und in Kombination mit Telemediengesetz, Vorratsdatenspeicherung ist das wohl auch nicht nötig das in diesem Gesetzt explizit auf zu führen.
Das Ablegen des privaten Schlüssels auf dem Server des Dienstanbieters heiß natürlich auch das die Eingabe der Passphrase über das Netz erfolgen muss, so ist dem Missbrauch durch staatliche Stellen Tür und Tor geöffnet.
Grundsätzlich ist die Idee eine Gute, aber warum nicht einfach auf Verfahren setzten die sich bewährt haben? Ich hätte gerne eine Signatur mit der ich meine Kommunikation Dokumentenecht über das Internet abwickeln kann, aber deshalb möchte ich nicht die Sicherheit meiner Kommunikation in fremde Hände geben, denen ich obendrein kein Vertrauen schenke.
Ich spreche mich eindeutig GEGEN die DE-Mail aus, weil der Ansatz ein proprietärer und somit intransparenter ist. Weil ich sehe das es zu einem "muss" und keinem "kann" wird.
Die Idee sollte man aufgreifen und einen Vorschlag machen der auf offene und individuelle Lösungen baut. Mein Vorschlag: Staatliche Trustcenter.
Schöne Grüße,
insideX
in Sachen Datenschutz ist genau das mein Punkt: das Gesetz ändert den status quo in keinster Weise - außer die Einhaltung des Datenschutzes zur Akkreditierungsvoraussetzung und Verstöße zum Kündigungsgrund zu machen. Einem Freemailer kann niemand wegen Datenschutzverstößen die Erlaubnis entziehen - und die kommen öfter vor, als öffentlich bekannt ist.
Was meinst du eigentlich in Sachen §15? Der erweitert den Schutz nach BDSG/TMG doch erheblich und verbietet implizit sogar die im BDSG erlaubte Zweckentfremdung personenbezogener Daten und das Stellen der beliebten Koppelfragen ("Sie wollen einen kostenlosen Account? Was ist denn ihr Haushaltsnettoeinkommen?")
Zur Verschlüsselung: von privatem Schlüssel ist nach meiner Lesweise keine Rede. Hier geht es um den Austausch des öffentlichen Schlüssels, der durch die Aufnahme ins Verzeichnis deutlich erleichtert wird. Immer dran denken: es gibt zwei Verschlüsselungsstufen. Die eine muss der Anbieter durchführen, die andere kann der Nutzer durchführen. Meine Meinung: wer sich auf fremder Leute Schlüssel verlässt, muss mit den Konsequenzen leben - und das gilt auch für ein X.509-Zerti von web.de.
In Sachen Signatur stimme ich dir zu - mit einem dicken "aber" dabei: die Signatur löst das Problem der Zustellvermutung nicht. Die Vorstellung, ein Gericht würde mir eine Vorladung als Zeuge an meinen Freemail-Account senden, stellt mir die Nackenhaare auf - man weiß nie, ob sie wirklich ankommt.
Versteh mich nicht falsch, ich bin kein "Fan" und habe bei De-Mail durchaus Bedenken und viele kritische Fragen. Ich lehne es aber ab, einen neuen Ansatz automatisch auszubuhen, nur weil nicht alles perfekt ist, weil der von Dr. S kommt oder weil die Bundesregierung nach Schema F mal wieder die Ex-Staatsbetriebe als erste Partner ausgewählt hat - andere werden schnell nachziehen. Hier liegt übrigens auch der Knaxus in Sachen "proprietäre Lösung": irgendetwas muss man dazubasteln, da SMTP nun wirklich ein katastrophales Protokoll ist.
Ich freue mich insgesamt einfach, dass in das Thema "rechtssicherer E-Mailverkehr" nach jahrelangem Stillstand endlich Bewegung kommt. Ich kämpfe im Kundenauftrag seit mehr als einem Jahrzehnt mit diesem Problem. De-Mail ist das erste, was aus Richtung Berlin die tatsächlichen Herausforderungen adressiert (Zustellvermutung, Anscheinsbeweis, Verfälschbarkeit, etc.) Ob De-Mail tatsächlich eine Lösung ist, müssen wir abwarten.
Viele Grüße
Michael
ich Antworte mal Absatzweise.
zu Abs. 1
"Es ändert nichts .." da hast du recht und mein Problem ist dann auch das, wie ich finde, sehr wässerige BDSG, in dem alles ohne dein Wissen weitergegeben werden darf wenn es ein Gesetz dazu gibt.
http://bundesrecht.juris.de/bdsg_1990/__19.html
Und bitte berücksichtige dabei die Neufassung des BKA Gesetz.
Das Freemailer unsicher sind sollte wohl jedem klar sein.
zu Abs. 2
Siehe meine Antwort zu Abs. 1
zu Abs. 3
Lies bitte mal:
https://www.e-konsultation.de/buergerportalgesetz/index.php?page=viewcompiler_faq&id_view=3&menucontext=3&searchcontent=De-Mail&searchfield=208&sort1_ascdesc=desc&menucontext=29#faq25546
Dort steht "Die für die Entschlüsselung notwendigen privaten Schlüssel liegen beim De-Mail-Provider der Empfänger." Eine wirksame End-to-End Verschlüsselung ist somit nicht gewährleistet. Dies hat Peter Schaar in einem Artikel zu diesem Thema ebenfalls bemerkt und kritisiert.
http://www.bfdi.bund.de/cln_027/nn_531002/sid_613EFF70A2569F19550B347EEB2B7659/DE/Oeffentlichkeitsarbeit/Pressemitteilungen/2009/PM__05__09__Verbesserungsbedarf__B_C3_BCrgerportalgesetz.html
zu Abs. 4
Da hast du recht, aber hier Lösungen zu finden ist etwas, dazu sollten sich IT Experten und Juristen in einer öffentlichen Debatte mal zusammen setzten. Das ist bei diesem Gesetz nicht passiert.
zu Abs. 5
Sich etwas, ohne ansehen der Person, so neutral wie möglich, anzuschauen ist der Sache immer dienlich. Obwohl ich kein "Fan" von Schäuble bin stimme ich der "Idee" in meinem Blog ja auch zu. - Kritik wird dumm wenn sie, statt Argumente nur Plattitüden benutzt.
zu Abs. 6
Zustimmung.
Schöne Grüße
insideX
ich bin ebenfalls kein Anhänger des BDSG. Es ist ein ungeheuer kompliziertes Gesetz, dass es mit sehr vielen Worten schafft, keine wirkliche Klarheit zu geben. Die Forderung nach einer Reform klingt ja auch schon wie eine kaputte Schallplatte.
Das Thema private Schlüssel ist mir schon klar, man kann es aus der Gesetzesvorlage gut herauslesen. Hier muss man sicher abwägen: liegt des Schlüssel beim Provider, gibt es dort Mißbrauchsmöglichkeiten und ggf. Fremdzugriffe (Hacker, Ermittlungsbehörden o.ä.), die dann gleich eine ganze Masse von Nutzern betreffen können.
Liegt der Schlüssel beim Nutzer, so treten aber andere Probleme auf: viele Nutzer haben weder das Wissen, richtig mit Schlüsseln umzugehen, noch das Wissen oder die Motivation, den PC einigermaßen sicher zu konfigurieren (mehrere Bekannte von mir scheitern bereits bei Mehrbenutzer-Windows).
Um es deutlich zu sagen: ich kenne viele Menschen, in deren Hand der private Schlüssel binnen weniger Tage gestohlen wäre. Und das hätte bei De-Mail u.U. massive rechtliche Folgen. Will man ein System zur weitgehenden Flächendeckung bringen, ohne dem Benutzer spezielle Software aufzudrücken, wird es hier einfach schwierig - siehe die Probleme mit der Anwendung von SigG/SigV. Frei nach dem Motto "man muss die Menschen nehmen, wie sie sind - es gibt keine anderen".
Ich könnte mich nicht eindeutig für eine Richtung entscheiden. Die Idee, einen "Dummy-tauglichen" Basisservice anzubieten, bei dem Profis das Management der Schlüssel übernehmen, und erfahrenen Nutzern die Möglichkeit zu geben, die eigene und echte Ende-zu-Ende-Verschlüsselung drauszusatteln, erscheit mir aber als gangbarer Kompromiß - sofern besagte Profis ihren Job machen (siehe mein Lästerkapitel über die Partnerwahl).
In Sachen öffentlicher Debatte muss ich etwas einschränken. Auf e-konsultation.de wurde das Gesetz öffentlich diskutiert (was ich persönlich aber auch erst nach Diskussionsende mitbekommen katte). Experten waren auch dabei, aber anscheinend mal wieder nur von den üblichen Verdächtigen, viele davon mit handfesten wirtschaftlichen Interessen. Diese übliche Vorgehensweise der Regierung stört mich auch schon seit langer Zeit, genauso wie der Mangel an (notwendigen) technischen Details zum Zeitpunkt des Gesetzentwurfes.
Was Nr. 5 angeht: absolut deiner Meinung. Die Art und Weise, wie manche Blogger mit dieser Frage umgehen, grenzt an reine Polemik. Nun ja, jedem seinen eigenen Kreuzzug, wenn nötig auch ohne Argumente. Auch ich vergallopiere mich gelegentlich mal
Viele Grüße
Michael
P.S. Das Problem an meinen "Mega-Posts" ist ganz klar, dass der Kommentarbaum manchmal in Seemeilen gemessen werden kann
Das geht nicht, weil sich der Gesetzgeber damit widersprüchlich verhält. Der jeweilige Anbieter ist *gesetzlich verpflichtet*, jeden Abrufversuch zu protokollieren, § 113a Abs. 3 TKG: http://bundesrecht.juris.de/tkg_2004/__113a.html
Der Satz steht übrigens wörtlich in den Erläuterungen des Bürgerportalgesetzes drin. Polit-Marketing a'la BMI.
Zitat aus einem Aufsatz: "Es bleibt ein Beigeschmack, wenn die Justizministerin mit einem nicht erfüllbaren Appell an die Anwaltschaft herantritt. Da sowohl sie selbst, wie auch eine Vielzahl der Mitarbeiter im Justizministerium Volljuristen sind, stellt sich an dieser Stelle die Frage, warum sie in Kenntnis der geltenden Rechtslage gleichwohl einen rechtlich unerfüllbaren Appell an die Rechtsanwaltschaft formuliert."
Nicht wenige Bürger empfinden nach wie vor einen recht hohen Respekt vor Unternehmen als solches. Dies trifft auch sehr stark auf "Internet-Unternehmen" zu. Z.B. Amazon, eBay oder gar PayPal werden in ihren Aussagen kaum angezweifelt. Der PayPal Kundendienst trifft eine Entscheidung und bucht schon mal in Eigenverantwortung Werte vom Digitalen Konto weg (selbst wenn dieses dadurch in den dargestellten Sollbereich geht). Ob dies "zu Recht" geschah, oder eben auch nicht, kann der Konsument kaum mehr beurteilen. Bzw. auch immer wieder sehr interessant zu beobachten die vielen Dienst für Lebensprognose, Karten Legen etc. von denen immer nicht nur viele Jugendliche "Glauben" deren späteren Forderungen seien berechtigt. Im "böse" Mails verschicken sind die jetzt schon recht eifrig...
Durch den offiziellen Charakter von DE-Mail wird dieses "Das Unternehmen hat Recht" Denken, vermutlich noch viel weiter voran getrieben. Welche rechtliche Substanz hinter solcherlei o.g. Entscheidungen u./o. "bösen" Mails steckt, wird kaum mehr geprüft. Schaden entsteht...
In Zeiten in denen sehr viele Mechanismen quasi ohne "Hände Arbeit" zu erledigt werden können, überlegt sich eben niemand mehr ob man eine Sache vorantreibt/auslöst, oder auch nicht.
Das ist dann nur noch eine Frage des eigenen Selbstverständnisses, der persönlichen Dreistigkeit einiger Protagonisten...
Und was ist mit den jetzt schon digital eingepflegten Schwellenwerten, allein in den Behörden? Wer kennt denn z.B. den Schwellenwert der Finanzämter Heute und noch vor 30 Jahren zur Einleitung von Mahnverfahren? Wer vor z.B. vor 30 Jahren 1 D-Mark zu wenig abgerechnet hat, den hat doch niemand sofort angeschrieben. Und Nun? Ist das wirklich so lustig für die Betroffenen wenn sie wegen einem Euro plötzlich digital angemahnt, gepfändet und in Folge vielleicht sogar der Zugriff auf das eigene Konto gesperrt wird (innerhalb eines Rechenzyklus wohl gemerkt)?
Gerade stelle ich mir das vor. Ein quasi selbstständiger Versicherungsvertreter (hüstel) bekommt von seinem Partnern die Auflage eine DE-Mail Adresse zu haben (sonst wird nicht kooperiert). Das macht der natürlich, weil er ja schon seit 20 Jahren Versicherungen verkauft. Nun sagt das Finanzamt: "Fein Du hast ja DE-Mail. Also schicken wir dir nun alles auf diesem Weg (weil das muss das System ja schließlich unterstützen, siehe Elster...). Nun noch die um 50 Cent falsche Steuererklärung, ein technisches Problem das ihm nicht auffällt, ein stoisches Programm das unterstellt "abgeschickt ist gleich empfangen" und schon wird er gemahnt was (Murphy sei es gedankt) die Sekretärin zwar ließt aber vergisst mitzuteilen (sind ja nur 50 Cent). Usw. usf..
Ja. Das ganze Vorhaben macht mir üble Bauchschmerzen...
Allerdings lässt sich der tatsächliche Absender solcher Nachrichten auch sehr schnell ermitteln, was bei Papierpost schwierig sein kann. Dies erleichtert den Verbraucherschützern ungemein die Arbeit, da sich Betrüger nicht mehr so einfach hinter gefälschten Briefköpfen verstecken können.
An dieser Stelle sind die Nutzer gefragt. Es wird endlich Zeit, dass die Internet-Nutzer E-Mail (und damit auch De-Mail) ernst nehmen und nicht nach dem Motto "ist ja nur ne Mail" vorgehen - das kann auch heute schon erhebliche Folgen haben. Juristische (Film-)Phantasien a'la "E-Mail hat keine Beweiskraft" sind leider noch immer sehr weit verbreitet und müssen dringend aus den Köpfen verschwinden.
Das gilt auch in Sachen Mahnbescheid & Co.: wer einen De-Mail-Account eröffnet, der muss ihn mit der gleichen Sorgfalt im Auge behalten wie seinen Briefkasten. De-Mail ist kein Ersatz für den GMX-Account, den manche Nutzer monatelang unbeachtet lassen. Ich gehe aber davon aus, dass die Anbieter auch eine Benachrichtigungsfunktion für neue Nachrichten im De-Mail-Postfach (E-Mail, SMS, o.ä.) anbieten werden, das gehört heute einfach zum Standard.
Was die Bagatellgrenzen angeht, so bleibt lediglich die Hoffnung, dass die immer an solchen Entscheidungen beteiligten Menschen den gesunden Menschenverstand nicht völlig aufgeben oder dass ihnen ggf. die (Verwaltungs-)Gerichte Grenzen setzen. Aber mal anders herum gedacht: auch heute kann ein Bagatellrückstand beim Finanzamt bereits schwere Folgen haben. Wer eine Mahnung vom Finanzamt, egal ob Papier oder Elektronik, ignoriert, weil er den Betrag als zu gering ansieht, der sollte über seine Einstellung vielleicht nochmal nachdenken
Einige Dinge kann die elektronische Post natürlich nicht ersetzen. Ich würde zum Beispiel eine Dankeskarte für eine formelle Einladung keinesfall per E-Mail senden, das verbietet sich von selbst. Auch die Briefwerbung wird durch E-Mail vorerst kaum ersetzt werden können (an dieser Stelle verrechnet sich das BMI kräftig), da dies weder rechtlich ohne weiteres zulässig noch für den Werbenden in jedem Fall sinnvoll ist.