Grundsätzlich seien zwar alle Initiativen zu begrüßen, welche die Kommunikation zwischen Behörden und Bürgern durch den Einsatz von IT vereinfachen sowie dazu auf sicheren Verfahren und offenen Standards aufsetzen. „Der Gesetzentwurf zur Einführung von De-Mail verfehlt dieses Ziel allerdings bei weitem.
Er ist rechtlich lückenhaft und berücksichtigt bestehende technische Verfahren nicht. Unverständlicherweise fanden in der Open-Source-Welt längst erprobte Lösungen keine Berücksichtigung". Das lässt die Bremer Firma Univention per Pressemitteilung mitteilen, ein mittelständischer Hersteller von Open-Source-Infrastruktur-Software.
De-Mail soll eine rechtsverbindliche Form des E-Mail-Verkehrs begründen, die sicher und vertrauenswürdig übertragen wird und die auf Wunsch einen unzweideutigen Nachweis liefert, wer wann eine an ihn gerichtete Mail gelesen hat. Damit bekäme De-Mail Eigenschaften eines klassischen Einschreibens.
Mit ihr sollen sich beispielsweise Steuererklärungen, Zahlungsaufforderungen oder Kündigungen in rechtlich verbindlicher Form elektronisch übertragen lassen. CIO.de berichtete unter anderem in dem Artikel DE-Mail gegen Deutsche Post – neue Runde und im Überblick in dem Artikel Deutsche Telekom gegen Deutsche Post.
Doch die Umstände der Gesetzesvorlage muteten "eigenartig" an, meinen die Verantwortlichen bei Univention. "Nachdem die Technik drei Jahre lang mit möglichen Diensteanbietern getestet wurde, bleiben jetzt nur drei Wochen für Einwände, und das in der Ferienzeit." Dasselbe bemängelten auch der Deutsche Notarverein (DNotV) und der Deutsche Anwaltverein (DAV) in einer gemeinsamen Erklärung (PDF) - zusammen mit aus ihrer Sicht weiteren Problemen, Auslassungen und Fehler.
Beide Verbände warnen davor, den De-Mail-Dienst zu initialisieren. Das Gesetz bringe nicht nur keinen Mehrwert für den Verbraucher, sondern berge zahlreiche Gefahren, meinen die Verbände. So könnten mit De-Mail etwa Rechnungen, Mahnungen, behördliche Schreiben und Bescheide zugestellt werden, ohne dass der Bürger hiervon konkret Kenntnis erlangte. Damit würde der Rechtsschutz gegen die Wirtschaft und die Verwaltung beschnitten, so die beiden Verbandsvorstände.
"Es gibt keinen triftigen Grund, einen De-Mail-Dienst zu initialisieren. Mit der elektronischen Signatur ist eine Zustellung elektronischer Dokumente heute schon möglich", sagte DAV-Präsident Wolfgang Ewer. Deshalb könne auch nicht davon ausgegangen werden, dass deutsche Behörden tatsächlich einen Bedarf für diesen Dienst hätten. "In der Praxis läuft die E-Mail-Kommunikation heute schon problemlos", so Ewer weiter.
Daten-Overkill: Wichtige E-Mails werden nicht erkannt oder gelöscht
"Es besteht immer noch ein Unterschied zwischen einem postalischen und einem elektronischen Briefkasten", sagte DNotV-Präsident Oliver Vossius. Den Nutzer erreichten auf elektronischem Wege jeden Tag eine Vielzahl gewünschter, aber auch unerwünschter Nachrichten. Diese müsse er jeweils kontrollieren und dann auf ihre Relevanz hin überprüfen.
"Dazu kommt noch die allgemein zu beobachtenden Zunahme nichts- oder zumindest wenigsagender persönlicher Kommunikation. All das führt zu einem Datenoverkill beim Nutzer", sagte Vossius. Dies berge die Gefahr, dass wichtige E-Mails nicht erkannt und aus Versehen gelöscht oder schlicht übersehen werden.
Die Juristen bemängeln zudem, dass der Gesetzentwurf nichts zu den Kosten des Dienstes für den Bürger aussagte. Zu diesen Kosten gehörten neben den Zahlungen an den De-Mail-Diensteanbieter auch die Kosten des Vorbehalts eines funktionierenden Rechners. De-Mail sei damit auch ein Versuch der Industrie, für die E-Mail Gebühren einzuführen wie beim Telefon.
Kein Rechtsanspruch darauf, die Mail-Adresse zu behalten
Überdies kritisieren beide Verbände, dass - anders als beim Mobilfunk - der Nutzer beim Anbieterwechsel keinen Rechtsanspruch darauf hat, seine E-Mail-Adresse beizubehalten. Der Internetanbieter könnte damit den Anbieterwechsel durch die Löschung der eventuell seit Jahren verwendeten De-Mail-Adresse erheblich behindern.
Im Gesetz würde zudem ein Passus fehlen, nach dem weder eine staatliche Behörde noch ein Unternehmen mit Monopolcharakter (etwa ein Stromversorger) noch der Arbeitgeber eines Bürgers diesen zwingen könne, sich ein De-Mail-Konto zu besorgen.
Auch andere Organisation wie der Bundesverband Digitale Wirtschaft (BVDW) und der Verband der deutschen Internetwirtschaft (eco) kritisierten einzelne Punkte des Gesetzentwurfs. Explizit auf technische Schwächen des De-Mail-Konzepts ist der Datenschutzbeauftragte des Bundes, Peter Schaar, eingegangen.
Er hat darauf hingewiesen, dass De-Mail keine End-to-end-Verschlüsselung mit sich bringt. Die Nachrichten werden während des Transports bis zu zweimal ent- und wieder verschlüsselt. Die Anbieter von De-Mail-Übermittlungsdiensten könnten also die Inhalte von Nachrichten mitlesen. Für Schaar ist es hingegen „von zentraler Bedeutung, dass die Kommunikation der Nutzer wirksam gegen die Kenntnisnahme Dritter geschützt wird".
Bitkom-Präsident August-Wilhelm Scheer sieht das allerdings anders. Sein Kommentar zu diesem Aspekt: „Das Verfahren wurde vom BSI geprüft und auf Basis höchster internationaler Sicherheitsstandards bestätigt. Bedenken, dass Unbefugte darauf zugreifen könnten, sind in der Praxis unbegründet. Gegenüber der bisherigen E-Mail oder dem Einschreiben und Brief in Papierform bedeutet De-Mail einen Quantensprung in puncto Sicherheit. De-Mail macht Deutschland weltweit gesehen zum Vorreiter beim sicheren Mail-Verkehr."
"Verfahren, die hinter Standards der Open-Source-Welt zurückfallen"
Beim Linux-Spezialisten Univention zeigt man sich hingegen verwundert, dass "ein technisch längst gelöstes Problem wie die End-to-end-Verschlüsselung bei De-Mail wieder auftritt." Denn in den Server-, Groupware- und Desktop-Lösungen des Linux-Anbieters sei derlei seit langer Zeit kein Thema mehr.
Der von dem Unternehmen in verschiedenen Anwendungen integrierte Open Source Mail-Client gewährleiste "eine sichere, durch Signatur authentifizierte Kommunikation per E-Mail. Die Mails verlassen den Desktop verschlüsselt und erreichen den kontaktierten PC ebenso. Unterwegs kann niemand, auch nicht die Administratoren der Systeme oder der Diensteanbieter, Einblick in die Mails bekommen."
Die Grundlage dieser vertrauenswürdigen E-Mail-Kommunikation seien in Open-Source-Produkten übliche Techniken wie Multipurpose Internet Mail Extensions (MIME), das darauf aufbauende System S/MIME zum Verschlüsseln und Signieren oder das bekannte E-Mail-Verschlüsselungsprogramm Pretty Good Privacy (PGP). "Open-Source-Communities hätten gerade in Sachen sicherer E-Mail-Verkehr "herausragende" Techniken und Produkte entwickelt.
"Es ist nicht nachzuvollziehen, warum diese frei zugänglichen Methoden nicht in De-Mail eingegangen sind, sondern Verfahren entwickelt wurden, die hinter den Standards der Open-Source-Welt zurückfallen", kritisierte Univention-Geschäftsführer Peter Ganten.