Die Bundesregierung hat inzwischen den vom Bundesinnenminister vorgelegten Gesetzentwurf „zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften" beschlossen. Mit dem Gesetz soll der notwendige Rechtsrahmen für vertrauenswürdige De-Mail-Dienste im Internet geschaffen werden. Noch im Laufe dieses Jahres. So hoffen die Beteiligten, soll das De-Mail Gesetz verabschiedet werden, mit dem das rechtsverbindliche und vertrauliche Versenden von Dokumenten und Nachrichten über das Internet ermöglicht wird.
„Heute werden immer noch weit weniger als fünf Prozent der E-Mails verschlüsselt versendet. Über 95 Prozent aller E-Mails können also auf ihrem Weg durch das Internet abgefangen, wie Postkarten mitgelesen und in ihrem Inhalt verändert werden. Absender und Empfänger können nie vollständig sicher sein, mit wem sie gerade kommunizieren und ob die gesendete E-Mail tatsächlich beim Empfänger angekommen ist", sagte Bundesinnenminister Thomas de Maizière.
Bei der Einführung einer sicheren Form der E-Mail wolle er schneller voran kommen. Aus diesem Grund sei es wichtig, dass der Staat einen Impuls für das Entstehen einer flächendeckend verfügbaren und sicheren Infrastruktur gebe. Das De-Mail-Gesetz solle einheitliche Regelungen schaffen, was die Mindestanforderungen an einen sicheren elektronischen Nachrichtenaustausch betrifft. Darüber hinaus solle es für ein geregeltes Verfahren sorgen, wie diese Mindestanforderungen, die für alle künftigen De-Mail-Provider in gleicher Weise gelten, wirksam überprüft werden. „Das sind wichtige Voraussetzungen für das Entstehen von Vertrauen in die Sicherheit und Qualität der De-Mail-Dienste, die Provider-übergreifend angeboten werden", so de Maizière weiter.
Per „De-Mail" sollen ab 2011 Nachrichten und Dokumente vertraulich, zuverlässig und sicher über das Internet versendet werden können. Grundlegende Sicherheitsfunktionen für den elektronischen Nachrichtenaustausch wie Verschlüsselung, sichere Identität der Kommunikationspartner und Nachweisbarkeit, die der E-Mail heute fehlen, sollen damit einfach nutzbar und für alle verfügbar gemacht werden.
Existierende Sicherheitslösungen hatten sich in der Vergangenheit nicht in der Breite durchgesetzt, gerade einmal fünf Prozent aller E-Mails werden verschlüsselt verschickt. Die De-Mail orientiert sich an gängigen Standards und bedient sich bereits existierender E-Mail-Infrastrukturen, Anmeldung und Nutzung sollen so einfach sein, dass wirklich jeder mitmachen könne.
Das BSI zertifiziert alle De-Mail-Provider
Das De-Mail-Gesetz ist dafür der rechtliche Rahmen. Realisiert und betrieben wird De-Mail von staatlich akkreditierten und in der Regel privaten Anbietern, den De-Mail-Providern. Um die Akkreditierung als De-Mail-Provider vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als zuständiger Behörde zu erhalten, müssen die De-Mail-Provider die im Gesetz vorgesehenen Auflagen in den Bereichen IT-Sicherheit und Datenschutz erfüllen und nachweisen, dass sie mit den De-Mail-Diensten der anderen De-Mail-Anbieter zusammen arbeiten.
Bürger, Unternehmen, Behörden und Organisationen können bei einem akkreditierten De-Mail-Anbieter ein De-Mail-Postfach eröffnen. Hierfür muss man sich einmal sicher identifizieren - ähnlich wie bei der Eröffnung eines Bankkontos.
Eine rege Nachfrage nach De-Mail-Adressen melden die Provider der De-Mail Web.de, Gmx und Deutsche Telekom, die die sichere E-Mail in einem Pilottest in Friedrichshafen ausprobiert haben. Fast 700.000 Vorab-Registrierungen auf den Websites www.web.de/de-mail, www.gmx.de/de-mail und www.de-mail.t-online.de vermelden die drei Provider. „Seit dem Start der Registrierungsphase vor drei Monaten haben sich somit bereits mehr als eine halbe Million Nutzer ihre künftige De-Mail Adresse gesichert“, freuen sich die Unternehmen in einer Pressemitteilung.
Web.de, Gmx und T-Online.de werden laut Studie zum Kommunikationsverhalten deutscher Internet-Nutzer 2010 gemeinsam von mehr als 60 Prozent der deutschen E-Mail-Anwender genutzt. Noch bevor das De-Mail Gesetz zum Ende dieses Jahres in Kraft treten soll, hatten die drei Provider ihren Mail-Kunden Vorab-Registrierungen für De-Mail-Adressen angeboten.
Welche E-Mail rechtsverbindlich ist
Gert Metternich, Projektleiter De-Mail bei der Telekom-Tochter T-Systems, hatte sich zuvor positiv zum Anhörungsverfahren der Verbände geäußert: „Die Verbände sprechen sich klar für eine einheitliche Kennung der De-Mail-Adressen aus. Dies unterstreicht unsere Forderung. Wir wollen, dass unsere Kunden zweifelsfrei erkennen können, welche Mail rechtsverbindlich ist.“
De-Mail als künftiger Standard für rechtsverbindliche Mail-Kommunikation solle eine eindeutige Kennung in der Mail-Adresse bekommen, die sich aus Vorname.Nachname@, der anschließenden Endung des Mail-Anbieters und einer De-Mail Endung zusammensetzen.
Um den eigenen Namen für De-Mail zu sichern, konnten und können sich die Nutzer seit Juli mit ihrem Vor- und Zunamen registrieren. Nachdem das Gesetz verabschiedet ist, sollen die Teilnehmer über das Registrierungsverfahren informiert werden, danach erfolgt die persönliche Authentifizierung. Damit soll sichergestellt werden, dass die Nutzer von Spam verschont bleiben.
Zu den zahlreichen Befürwortern des De-Mail-Gesetzes zählt der eco (Verband der deutschen Internetwirtschaft e.V.). In einer Stellungnahme heißt es: "Die qualifizierte elektronische Signatur hat ihren Durchbruch leider bislang noch nicht erlebt, sie kommt nur in Insellösungen zum Einsatz. Der Verband begrüßt daher grundsätzlich den Ansatz, einen neuen Rahmen für die Einbindung des Mediums E-Mail in die rechtsverbindliche und -sichere Kommunikation zu schaffen.“
Arndt Groth, Präsident des Bundesverbandes Digitale Wirtschaft (BVDW), hofft ebenfalls auf eine rasche Umsetzung des Gesetzesvorhabens. Er sagte: „Die Etablierung elektronischer Dienste in der Gesellschaft gehört zu den Hauptanliegen des Bundesverbandes Digitale Wirtschaft. Daher unterstützen wir das De-Mail-Projekt. In der privaten wie geschäftlichen Kommunikation ist die E-Mail inzwischen allgegenwärtig. Mit De-Mail wird dafür gesorgt, dass jetzt auch ein rechtssicherer und rechtsverbindlicher Austausch von Nachrichten und Dokumenten per E-Mail zwischen Bürgern, Behörden und Unternehmen möglich wird."
Auch der De-Mail-Wettbewerber Deutsche Post meldet für sie Erfreuliches: „Mehr als 100 große deutsche Unternehmen wollen demnach mit ihren Kunden künftig per E-Postbrief kommunizieren.“ Zu den neuen Kunden gehörten Unternehmen wie die AOK Plus, Lindt & Sprüngli, die Itzehoer Versicherungen, die VHV Versicherungen und die Hannoversche Leben. „Wir freuen uns über diese überwältigende Resonanz“, sagt Jürgen Gerdes, Konzernvorstand Brief bei der Deutschen Post DHL. „Das Feedback aus der Wirtschaft zeigt uns: Der E-Postbrief wird ein branchenübergreifendes Erfolgsprodukt für Deutschland.“
Deutsche Post gewinnt Großkunden für E-Postbrief
Die AOK Plus mit derzeit 2,8 Millionen Versicherten in Sachsen und Thüringen will zum 1. Januar mit der AOK Hessen fusionieren und ist dann mit über 4,2 Millionen Mitgliedern die viertgrößte Krankenkasse Deutschlands. In Zukunft sollen die Kundenservice-Center sukzessive an den E-Postbrief angebunden werden. Beim Schokoladenhersteller Lindt & Sprüngli will der deutsche Geschäftszweig den E-Postbrief einführen. Die Itzehoer Versicherungen verwalten rund 1,6 Millionen Policen. Bereits 2010 sollen die Kunden die Itzehoer per E-Postbrief erreichen können. Ab 2011 werde die Itzehoer dann auch Massensendungen per E-Postbrief abwickeln.
Die VHV Versicherungen ist eigenen Angaben zufolge einer der größten deutschen Auto- und Haftpflichtversicherer mit insgesamt mehr als sieben Millionen Versicherungsverträgen. Die Kunden sollen in Zukunft per E-Postbrief mit ihrer Versicherung kommunizieren. Die Hannoversche Leben kümmert sich seit 1875 um die Altersvorsorge. Mit dem E-Postbrief sollen die Versicherungskunden noch schneller und einfacher als bisher mit dem Unternehmen kommunizieren.
Bereits seit dem Marktstart Mitte Juli hatten sich die ersten Unternehmen - darunter die Allianz, die BIG direkt gesund, Globetrotter, die Kreissparkasse Köln, die Landesärztekammer Hessen, SAP, die Sutor Bank und die Zurich Versicherung für den E-Postbrief der Deutschen Post entschieden.
Der E-Postbrief senke für Unternehmen und Verwaltungen die Kosten für die Postbearbeitung deutlich. Um bis zu 60 Prozent ließen sich die Kosten für die Brieflogistik reduzieren. Die Nutzer können wählen, ob ihr Schreiben elektronisch einem anderen E-Postbriefkonto zugestellt wird oder von der Deutschen Post ausgedruckt und durch den Briefträger ausgeliefert wird.
Beim NIFIS-Symposium „Sichere elektronische Kommunikation" im Darmstadtium in Darmstadt diskutierten Befürworter und Kritiker die Vor- und Nachteile der De-Mail. Nifis steht für „Nationale Initiative für Informations- und Internet-Sicherheit", eine „herstellerunabhängige Selbsthilfeorganisation der Wirtschaft, die Unternehmen im Kampf gegen die wachsenden Gefahren aus dem Internet technisch, organisatorisch und rechtlich stärken möchte".
De-Mail-Kritiker melden sich weiterhin zu Wort
Die Kritiker warfen die Frage auf, ob die De-Mail in der geplanten Form überhaupt notwendig sei und verwiesen auf bereits existierende Methoden wie die qualifizierte elektronische Signatur, ebenfalls schon per Gesetz geregelt, oder das Verschlüsselungssystem Pretty Good Privacy (PGP), die hinreichend für Authentizität, Integrität und Vertraulichkeit elektronischer Nachrichten sorgten.
Das Argument der Gegenseite, darüber hinaus sei mit der Zustellungspflicht der Provider spätestens binnen acht Stunden jetzt auch Verfügbarkeit im Sinne von Verlässlichkeit gesetzlich verankert, bezeichnete Mathias Gärtner, öffentlich bestellter und vereidigter Sachverständiger IT und Stellvertretender Vorsitzender der NIFIS, als prinzipiell richtig aber de-facto wenig relevant. Es seien de-facto Fälle bekannt, in denen die nicht erfolgte Zustellung einer E-Mail schwerwiegende Folgen nach sich gezogen hätte. „Wer auf eine wichtige Frage keine Antwort bekommt, greift doch automatisch zum Telefonhörer, um sich zu vergewissern. Es besteht keine Notwendigkeit, diesen Aspekt gesetzlich zu regeln."
Ein Dorn im Auge ist den Kritikern aber vor allem das Ignorieren der qualifizierten digitalen Signatur und das daraus resultierende fehlende Zusammenspiel mit der De-Mail. Wohlgemerkt in rechtlicher Hinsicht, da „rein technisch der zusätzliche Einsatz der Signatur bei De-Mail ohne weiteres möglich ist - ebenso wie auch die End-to-End-Verschlüsselung eine mögliche und sinnvolle Ergänzung darstelle.
Dr. Thomas Lapp, IT-Experte der Bundesrechtsanwaltskammer und Vorstandsvorsitzender der NIFIS, monierte, dass die De-Mail „nicht einmal die Anforderungen an die gesetzliche Schriftform erfüllt. Im elektronischen Rechtsverkehr ist dafür weiterhin die Verwendung der qualifizierten elektronischen Signatur notwendig.“ Wie wenig durchdacht das dem neuen elektronischen Kommunikationsmittel zugrunde liegende Gesetz sei, zeige sich auch daran, „dass dem Bürger zwar per De-Mail eine Verfügung oder ein Bescheid zugestellt werden kann, er für die Einlegung eines Widerspruchs aber zwingend die qualifizierte elektronische Signatur verwenden muss.“ Für den Bürger, der qualifizierte elektronische Signaturen verwendet, biete De-Mail keinen zusätzlichen Gewinn an Sicherheit.
Noch übler aufstoßen werde den Teilnehmern am Rechtsverkehr allerdings die Tatsache, dass ein Einschreiben laut De-Mail-Gesetz schon dann als zugegangen gilt, wenn es im Postfach des Empfängers angekommen ist. „Wer sich zu diesem Zeitpunkt gerade im Urlaub befindet, hat Pech gehabt“, so der NIFIS-Vorstandsvorsitzende. Damit ist die angekündigte Rechtssicherheit teuer erkauft - einseitig zu Lasten der möglicherweise völlig ahnungslosen Empfänger.“ Die einzige Möglichkeit, sich zu schützen, sei die permanente Kontrolle des De-Mail-Postfachs. Eine Urlaubsvertretung sei nur möglich, wenn der Vertreter selbst auch ein De-Mail Postfach besitzt.
De-Mail ist eine rein nationale Lösung
Einen weiteren Aspekt brachte Kurt Kammerer von Regify, mit dessen Systemen die De-Mail übrigens nicht zusammenspielt, in die Diskussion ein. Er kritisierte, dass die Einführung der De-Mail auf einer rein nationalen Herangehensweise beruhe und das Ergebnis eine deutsche Insellösung sei – und dies vor dem Hintergrund der zunehmenden Globalisierung und weltweiten Vernetzung. Dazu gesellen sich noch praktische Gesichtspunkte: Für die Nutzung der De-Mail muss zwingend eine neue und zusätzliche Adresse beantragt werden - und dies auch in einem eigenen Verfahren. Die möglicherweise bereits erfolgte Identitätsprüfung, die zur Beantragung der digitalen qualifizierten Signatur notwendig ist, macht dies also keineswegs obsolet. „Eine unnötige Dopplung“, wie Lapp befand.
Ob sich das neue Gesetz und die De-Mail selbst einer breiten Akzeptanz erfreuen werden, vermochte niemand von den Teilnehmern des Symposiums vorherzusehen.