Referentenentwurf vom De-Mail-Gesetz

Uns wurde der Referentenentwurf zum DE-Mail-Gesetz (PDF) mit Stand vom 2. Juli 2010 zugeschickt. Der „Entwurf eines Gesetzes zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften – De-Mail-Gesetz“ umfasst insgesamt 65 Seiten. Ich habs mir noch nicht genau angeschaut. Freue mich daher über Kommentare, wenn irgendwas da drin steht, was für uns interessant sein könnte.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

36 Ergänzungen

  1. §5.9: wenn eine „lesebestätigung“ angefordert wird, muss man sich nur in sein Postfach _anmelden_ um diese zu generieren…

    wenn ich §16 Auskunftsanspruch richtig verstehe, kann jeder, der bei De-Mail angemeldet ist, ein Pseudonym auflösen lassen?

    1. @scumm3:
      Zu § 5 Abs 9: Immerhin erfordert dies eine sichere Anmeldung nach § 4, oder?
      Zu § 16: Ja, aber nur wenn er berechtigtes Interesse nachweist – wie auch immer das dann aussehen muss.

  2. @De-Mail-TestR

    jap, jetzt hast du dann 30 mails in deinem postfach. 1 kommt vom amt x, dieses will eine bestätigung. jetzt bekommt es diese bestätigung mit der Anmeldung ans Postfach, obwohl du die mail doch möglicherweise gar nicht gelesen hast…

    zu §16, davor gehört entweder mein Einverständnis oder ein Gerichtsbeschluss, alles andere ist GG wiedrig

    1. @Scumm: Ich habe nicht gesagt, dass ich das gut finde, im Gegenteil, ich bin strikter Gegner dieser Art von „Zustellnachweis“. Allerdings geht es nur um die Möglichkeit, das Schreiben zu Kenntnis nehmen zu können, ganz wie beim Einwurfeinschreiben, das Du auch übersehen kannst (oder erst gar nicht öffnest), bei dem der Zusteller aber trotzdem die Zustellung bestätigt.

      Zu § 16: Ich sagte ja, die Frage ist, wie das Nachweisen des berechtigten interesses aussehen muss. Ich würde auch einen Gerichtsbeschluss begrüßen. Einverständnis des Pseudonym-Besitzers scheidet aus bekannten Gründen wohl eher aus.

  3. C. Alternativen
    Keine.

    möglichkeit a:
    es wurde nicht genug/überhaupt nach alternativen gesucht

    möglichkeit b:
    das ist eine totgeburt das gesetzt das sich die leude keine mühe geben haben.

  4. Im Übrigen sollte man Artikel 3 des De-Mail-Gesetzes nicht übersehen, in dem „interessante“ Änderungen beim Verwaltungszustellungsgesetz geplant sind. o:

  5. Ich find ja den anfang schon so lustig: „Vorhandene Möglichkeiten von
    Verschlüsselungslösungen haben sich nicht in der Fläche durchsetzen können.“ ja und warum nicht weil sich keiner damit auseinandersetzten will, dabei ist es mit GPGP so einfach, wie wenn man eine normale Email verschickt.

  6. @PhilmacFLy(8): Bei der Aussage wird wohl kaum an OpenPGP gedacht worden sein.
    Eher an den Unfug mit S/MIME-Signaturen mit Schlüsseln und CAs, die dem BSI plausibel genug sind (nach Digitale Signaturen Gesetz oder wie das Ding heißt)
    Das heißt, wie bei De-Mail sollte das System quasi-zentralistisch sein (nur weil man sich bei den Dienstleistern für Pest oder Cholera entscheiden kann, ist es nicht dezentral), mit einer Regierungsstelle als oberstem Koordinator.
    Das verursacht Kosten (wie es bei De-Mail auch der Fall sein wird), was das System unattraktiv macht.

    OpenPGP hat dann darunter gelitten, dass es immer noch etwas Aufwand ist, es einzurichten (und ins Web of Trust zu kommen), aber von Behörden und Gerichten nicht als hinreichendes Signatursystem akzeptiert wurde (weil es ja Bundes-CAs gibt, die sooooviel besser sind und vor allem eine Gesetzesgrundlage haben)

    tl;dr:
    De-Mail wird sich vermutlich ebenfalls nicht „in der Fläche“ durchsetzen können, wenn da keine Marketingmaßnahmen durchführt, die die Nutzung des Systems deutlich attraktiver machen als die Nichtnutzung (zum Beispiel: Gebühren im Amt, die man durch Onlineabwicklung per De-Mail „sparen“ könnte)

    Mit der Einleitung schreiben die Autoren eigentlich den Grund des Scheitern dieses neuen Versuchs in ihr Gesetz.

  7. Ich finde es bezeichnend, dass man bei der „Sicherheit“ von DE-Mail über die bekannte „Sicherheit“ im realen Leben wieder mal erheblich hinausgeht (ähnlich wie auch schon beim Signaturgesetz vs. Unterschrift).

    Bei der konventionellen Briefpost muss beim Absenden eines Einschreibens selbstverständlich nicht der Ausweis des Absenders vorgelegt werden oder gar die Daten daraus für einen späteren Behördenzugriff erfasst werden und die Zustellung erfolgt in der Regel durch einfachen Einwurf, ohne dass die Post oder der Postbeamte per Melderegister (oder ausweiszertifziertem Adressregister bei der Post) prüft, ob die Registeradresse mit der Briefkastenadresse übereinstimmt.

    DE-Mail ist für mich ein ganz klassischer Fall von obrigkeitsstaatlicher Überregulierung.

  8. @Ein Mensch: Die Sicherheit im realen Leben sehe ich viel höher als man auf den ersten Blick vermuten würde. Um z.B. 10.000 Briefe abzufangen, musst du viele Haustüren öffnen und anschließend noch die Briefkästen knacken. Danach hast du allerdings keine Menge von Klartext, die automatisiert nach bestimmten Zeichenfolgen durchsucht werden kann. Du hast einen Haufen Papier. Abgesehen davon, ist schon eine gewisse Authentizität (zumindest des Empfängers) impliziert, weil bei besagter Adresse auch ein Briefkasten stehen muss, der den dazugehörigen Namen enthält. Da zu täuschen ist aufgrund der materiellen Natur der Sache viel aufwändiger als Mails abzufischen, die derzeit noch immer unverschlüsselt durch beispielsweise offene WLANs fliegen.

    Dass sich PGP da noch nicht durchgesetzt hat, ist sehr schade, denn einfacher geht es kaum. Was fehlt sind Gesetze, die Mailanbieter \motivieren\ Verschlüsselung zu integrieren. Das Problem Spam wäre damit wahrscheinlich auch ein ganzes Stück kleiner.

  9. Hatte Web.de nicht vor vielen, vielen Jahren mal n Projekt laufen, dass sie PGP-Keys zertifizierten (glaube mit Post-Ident oder so)?

  10. Volker: Es war wohl S/MIME und das Projekt versandete ziemlich rasch. Heute ist nichts mehr übrig.

  11. Die Pseudonymfunktion brauch nicht besonders untersucht zu werden. Die Funktion, die de-mail mehr als Email hat, ist die Identitätssicherheit (wie Sicher die nun ist, ist ein anderes Thema). Den Porto zu bezahlen, wenn diese Funktion ausgeschaltet ist, ist unsinnig.

  12. Hat sich schon jemand einen „Plan B“ überlegt, falls sich das System doch durchsetzt? Sowas wie: Selber eine Akkreditierung als De-Mail-Provider bekommen und einen Dienst aufbauen. Für Privatpersonen scheint das unmöglich — Verein, vielleicht?

  13. Der EINZIGE Grund für DeMail ist die bestätigte (und nicht abwehrbare) Zustellung. Das wollen die von Amts wegen haben.
    Und dafür machen die so ein Fass mit kräftig Gebühren und Kosten auf – seufz.

  14. @gant(16): Natürlich soll man die Maßnahmen, die für die Vereinfachung der Verwaltungsaufgaben für einen ergriffen werden, selbst bezahlen (siehe auch elektronischer Personalausweis). Damit hat man dann einen Anreiz, den preiswertesten Anbieter auf dem Markt zu wählen. ;-)

    (Vor allem belastet dieser Unsinn dann nicht das Budget der Verwaltung – womit diese keinen Anreiz mehr hat, eine preiswerte Lösung zu wählen und dem Dienstleister auf die Finger zu klopfen, wenn er vertragsbrüchig wird, weils mal wieder zu teuer wird)

  15. @15 Was soll denn Plan B bewirken? Verstehe ich nicht. Laut Referentenentwurf rechnet man wohl mit 20 De-Mail-Providern in den nächsten 5 Jahren. Das würde ich als eine akzeptable Auswahl betrachten. Die Einstiegskosten sind allerdings hoch: die 20 Firmen müssen sich vor allem die angenommenen Akkreditierungskosten der User von 18,512 Millionen teilen und werden bei 15 Cent pro Mail auf eine laaaaange Refinanzierungsphase einrichten müssen. –Detlef

  16. @PG, 17: Da die de-mail nur die post ersetzt, werden doch die Kosten fallen und nicht steigen gegenüber status-quo. Ganz im Gegensatz zu dem Persoänderungen

  17. Ich halte dieses Gesetz für extrem gefährlich. Ich halte im allgemeinen diese Tendenz des Staates, zu meinen, dass der Schritt aus der Anonymität heraus irgendeinen Nutzen hätte, für einen völligen Irrweg.

    Was ist denn, wenn mir jemand meine de-Mail hackt? Dann kann ich rechtsverbindlich so richtig angeschmiert werden?

    Was wir brauchen, ist mehr Anonymität. Nicht mehr Identifizierbarkeit.

  18. Kurze Überlegung:

    Wenn die einmal erhaltene De-Mail-Adresse „ein Leben lang“ gültig sein soll, müssten doch auch die privaten Dienstleister wie United Internet (GMX, Web.de) oder die Telekom auf ewig existieren. Aber jede private Firma, auch wenn sie heute noch so gut dasteht, kann pleite gehen. Und was passiert dann mit den x Mio. De-Mail-Konten von jenem Anbieter (@providerxy.de-mail.de)? Müssen die sich alle ummelden? Oder wird hier durch die Hintertür eine neue Art von „systemrelevanz“ geschaffen, die einzelnen Internetfirmen im Pleitefalle staatliche Finanzhilfen verspricht?

    BTW: Wer erinnert sich eigentlich noch an die ePost (†2005), einst ebenfalls als „lebenslange E-Mail-Adresse“ gestartet?

  19. BTW: Wer erinnert sich eigentlich noch an die ePost (†2005), einst ebenfalls als “lebenslange E-Mail-Adresse” gestartet?

    Wie ich gerade auf Heise.de lesen konnte erweckt die Post doch tatsächlich ePost.de zu neuem Leben. Ob jetzt alle Nutzer, denen damals eine „lebenslange E-Mail-Adresse“ versprochen wurde diese wiederbekommen, oder ob werden sie vielleicht sogar neu vergeben?

  20. Hallo,
    hat jemand gelesen, ob auch Unternehmen mit anderen Unternehmen mittels rechtssicher Email kommunizieren können, da sie ja juristische Personen sind und das Digitale Signaturgesetz juristische Personen nicht kennt. Vorallem bei Finanzbehörden werden Dokumente nur per Digitaler Signatur bei jur. Personen akzeptiert. Daher können sie derzeit nur papierhafte Dokumente bei den Finanzbehörden vorweisen. Oder wird diese Lücke mit dem de-mail-Gesetz geschlossen?

  21. Der Witz daran, uns zu entmailen, oder sagen wir: to demail, liegt darin, dass der Staat auch alle so verschlüsselten Mails mitlesen kann.

    Verschlüsselt ist zunächst nämlich nur der Weg zum Provider, die Inhalte werden erst nachträglich beim Provider verschüsselt. So kann vor der Verschlüsselung abgesaugt werden, was staatlicherseits abgesaugt werden soll.

    Wie praktisch!

    Viele Grüsse,
    VB.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.