Manfred Kloiber: Letzten Mittwoch hat sich der Innenausschuss des Deutschen Bundestages mit dem DE-Mail-Gesetz befasst. Eines war eigentlich schon vor der Sitzung klar: Der vorliegende Entwurf der Bundesregierung wird wohl an einigen Stellen noch einmal nachgebessert werden. Über diese Änderungen soll dann nochmals auf einer Anhörung am 7. Februar beraten werden, bevor das DE-Mail-Gesetz planmäßig dann Ende Februar vom Bundestag verabschiedet wird. In welchen Punkten legt denn das Parlament bei DE-Mail nach, Peter Welchering?
Peter Welchering: Da standen gleich mehrere Punkte auf der Tagesordnung, aber ganz, ganz oben stand der Punkt Ende-zu-Ende-Verschlüsselung. Die fehlte nämlich bisher beim DE-Mail-Gesetzesentwurf. Und das ist auch der Punkt, an dem nun am meisten nachgebessert wird, an dem auch tatsächlich die Parlamentarier die Kritik, die aus der Bevölkerung kam, die von den Experten kam, sehr intensiv aufgenommen haben. In das DE-Mail-Gesetz soll also nach dem Wunsch der Parlamentarier aufgenommen werden, dass die DE-Mail-Provider nun eine Ende-zu-Ende-Verschlüsselung anbieten müssen. Das ist verpflichtend. Und der Mailnutzers soll dann entscheiden, ob er diese durchgängige Verschlüsselung haben will oder ob er zustimmt, dass seine Mail mit der einfachen Transportverschlüsselung mehrfach entschlüsselt und dann wider verschlüsselt wird, wie das eben bisher im DE-Mail-Gesetz vorgesehen war und auch kritisiert wurde. Das ist also ein gewisser Sicherheitsgewinn. Allerdings gibt es auch hier einen kleinen Wermutstropfen: Die Ende-zu-Ende-Verschlüsselung – wenn die jemand haben will – darf der Provider anders tarifieren als die bisher einfache Transportverschlüsselung. Und das heißt im Klartext: Die wird wohl etwas teurer werden.
Kloiber: Herr Welchering, umstritten war ja auch die sogenannte Zustellfiktion, mit der Ämter arbeiten dürfen. Wenn eine Behörde zum Beispiel einen Brief oder Bescheid ins elektronische DE-Mail-Postfach eines Bürgers schickt, dann gilt sie nach drei Tagen als zugestellt – das ist diese Fiktion. Wie sehen die Parlamentarier das?
Welchering: Die haben zunächst in einer Minderheit gesehen, dass das einfach nicht mehr zeitgemäß ist und allenfalls noch den Zeiten der papierenen Post entspricht. Und deshalb gibt’s auch eine Nachbesserung, die allerdings auch wiederum ein wenig umstritten ist und in unterschiedliche diskutiert wird. Diese Nachbesserung heißt nun veränderte Zustellfiktion. Und dahinter steht eigentlich folgende Überlegung: Die absendende Behörde soll eine Abholbestätigung erhalten. Und die Abholbestätigung soll dann der Provider schicken. Allerdings soll die Behörde dann nicht warten müssen, bis beispielsweise der DE-Mail-Postfachbesitzer die Mail dann wirklich gelesen hat. Das würde nicht klappen, wird argumentiert. Denn Behörden dürften sich hier nicht von der Mitwirkung des Bürgers abhängig machen. Sie könnten auch von so einer Mitwirkung nicht in jedem Fall ausgehen. Konkreter Anwendungsfall, der da im Bundestag diskutiert wurde: Ein Bürger bekommt etwa einen Bußgeldbescheid ins DE-Mail-Postfach. Der liest aber den Bußgeldbescheid nicht, weil er kann ja einigermaßen ahnen, was da drin stehen wird und sagt "nehme ich erst gar nicht an". Dennoch muss der Bußgeldbescheid ja nach einiger Zeit als zugestellt gelten, damit eben dann vollstreckt werden kann, also das Geld einkassiert werden kann – egal, ob der Bürger ihn nun liest oder nicht. Und da lautet der jetzige Vorschlag: Wenn sich der DE-Mail-Postfachbesitzer, nachdem eine solche Mail beispielsweise mit so einem Bußgeldbescheid in seinem Postfach abgelegt wurde, an seinem Postfach anmeldet, dann darf der Provider eine Abholbestätigung an die absendende Behörde schicken. Aber das ist noch ein bisschen umstritten, weil zwischen dem reinen Anmeldevorgang beim DE-Mail-Postfach und dem Anzeigen der Liste mit den eingegangenen Mails kann ja noch viel passieren. Und deshalb wird am 7. Februar in der Anhörung auch noch einmal darüber diskutiert werden, ob diese Abholbestätigung nicht dann besser erst dann verschickt werden darf, wenn die Liste mit den angezeigten Mails angezeigt wurde.
Kloiber: Es gab ja auch Diskussionen um die Vergabe der Domain De-Mail. Müssen DE-Mail-Adressen diese Domain, DE-Mail, jetzt immer noch verpflichtend im Adressnamen aufführen?
Welchering:- Nach den Nachbesserungen und nach den Entwürfen, die es jetzt gibt, nicht mehr. Also auch da eine Abweichung vom ursprünglichen Entwurf. Die sogenannte Second-Level-Domain DE-Mail ist also nicht mehr verpflichtend. Also wenn ich mir so eine DE-Mail-Adresse zulege, dann hätte ich nach den bisherigen Entwürfen beispielsweise so eine Mail haben müssen, die lautet peter.welchering@provider.de-mail.de - und das ist nun weggefallen. Meine DE-Mail-Adresse kann dann auch einfach lauten peter.welchering@postfach.de. Das ist natürlich für viele Unternehmen eine Vereinfachung, auch für viele Provider. Die großen Provider waren dagegen, weil sie sich absetzen wollten. Einzige Voraussetzung, die der Bundestag da noch macht: Die Domain darf ausschließlich für DE-Mail-Adressen verwendet werden. Und interessant war in diesem Zusammenhang übrigens, dass die meisten Abgeordneten gar nicht so genau wussten, dass der Gesetzgeber in Deutschland Fragen der Domainzuteilung und der Domaineinteilung gar nicht souverän entscheiden kann. Denn die Internetverwaltung ICANN untersteht ja immer noch der Oberaufsicht des amerikanischen Handelsministeriums. Und das war und ist auch noch immer vielen Bundestagsabgeordneten offensichtlich gar nicht so klar. Und so wurden dann auch Vorschläge, etwa für Domaineinteilungen gemacht, bei denen dann die Kritiker einwandten: Hoppla Freunde, das kann der Bundestag doch gar nicht entscheiden. Und da wurde tatsächlich nochmal deutlich: Der Bundestag wird sich in naher Zukunft auch mit der Frage zu beschäftigen haben: Wie kriegen wir es denn hin, dass hier die ICANN internationalisiert wird und der Bundestag mehr mitreden darf?
Kloiber: Wie sollen denn künftig technische Standards von DE-Mail weiterentwickelt werden?
Welchering: Da sehen die am Mittwoch diskutierten Nachbesserungen vor, dass zwei zusätzliche Verbände noch mit in diese Standard-Diskussion einbezogen werden müssen, das heißt, die Provider dürfen das alleine nicht entscheiden. Und die letzte Instanz dieser Standards wird das Bundesamt für Sicherheit in der Informationstechnik sein.
Peter Welchering: Da standen gleich mehrere Punkte auf der Tagesordnung, aber ganz, ganz oben stand der Punkt Ende-zu-Ende-Verschlüsselung. Die fehlte nämlich bisher beim DE-Mail-Gesetzesentwurf. Und das ist auch der Punkt, an dem nun am meisten nachgebessert wird, an dem auch tatsächlich die Parlamentarier die Kritik, die aus der Bevölkerung kam, die von den Experten kam, sehr intensiv aufgenommen haben. In das DE-Mail-Gesetz soll also nach dem Wunsch der Parlamentarier aufgenommen werden, dass die DE-Mail-Provider nun eine Ende-zu-Ende-Verschlüsselung anbieten müssen. Das ist verpflichtend. Und der Mailnutzers soll dann entscheiden, ob er diese durchgängige Verschlüsselung haben will oder ob er zustimmt, dass seine Mail mit der einfachen Transportverschlüsselung mehrfach entschlüsselt und dann wider verschlüsselt wird, wie das eben bisher im DE-Mail-Gesetz vorgesehen war und auch kritisiert wurde. Das ist also ein gewisser Sicherheitsgewinn. Allerdings gibt es auch hier einen kleinen Wermutstropfen: Die Ende-zu-Ende-Verschlüsselung – wenn die jemand haben will – darf der Provider anders tarifieren als die bisher einfache Transportverschlüsselung. Und das heißt im Klartext: Die wird wohl etwas teurer werden.
Kloiber: Herr Welchering, umstritten war ja auch die sogenannte Zustellfiktion, mit der Ämter arbeiten dürfen. Wenn eine Behörde zum Beispiel einen Brief oder Bescheid ins elektronische DE-Mail-Postfach eines Bürgers schickt, dann gilt sie nach drei Tagen als zugestellt – das ist diese Fiktion. Wie sehen die Parlamentarier das?
Welchering: Die haben zunächst in einer Minderheit gesehen, dass das einfach nicht mehr zeitgemäß ist und allenfalls noch den Zeiten der papierenen Post entspricht. Und deshalb gibt’s auch eine Nachbesserung, die allerdings auch wiederum ein wenig umstritten ist und in unterschiedliche diskutiert wird. Diese Nachbesserung heißt nun veränderte Zustellfiktion. Und dahinter steht eigentlich folgende Überlegung: Die absendende Behörde soll eine Abholbestätigung erhalten. Und die Abholbestätigung soll dann der Provider schicken. Allerdings soll die Behörde dann nicht warten müssen, bis beispielsweise der DE-Mail-Postfachbesitzer die Mail dann wirklich gelesen hat. Das würde nicht klappen, wird argumentiert. Denn Behörden dürften sich hier nicht von der Mitwirkung des Bürgers abhängig machen. Sie könnten auch von so einer Mitwirkung nicht in jedem Fall ausgehen. Konkreter Anwendungsfall, der da im Bundestag diskutiert wurde: Ein Bürger bekommt etwa einen Bußgeldbescheid ins DE-Mail-Postfach. Der liest aber den Bußgeldbescheid nicht, weil er kann ja einigermaßen ahnen, was da drin stehen wird und sagt "nehme ich erst gar nicht an". Dennoch muss der Bußgeldbescheid ja nach einiger Zeit als zugestellt gelten, damit eben dann vollstreckt werden kann, also das Geld einkassiert werden kann – egal, ob der Bürger ihn nun liest oder nicht. Und da lautet der jetzige Vorschlag: Wenn sich der DE-Mail-Postfachbesitzer, nachdem eine solche Mail beispielsweise mit so einem Bußgeldbescheid in seinem Postfach abgelegt wurde, an seinem Postfach anmeldet, dann darf der Provider eine Abholbestätigung an die absendende Behörde schicken. Aber das ist noch ein bisschen umstritten, weil zwischen dem reinen Anmeldevorgang beim DE-Mail-Postfach und dem Anzeigen der Liste mit den eingegangenen Mails kann ja noch viel passieren. Und deshalb wird am 7. Februar in der Anhörung auch noch einmal darüber diskutiert werden, ob diese Abholbestätigung nicht dann besser erst dann verschickt werden darf, wenn die Liste mit den angezeigten Mails angezeigt wurde.
Kloiber: Es gab ja auch Diskussionen um die Vergabe der Domain De-Mail. Müssen DE-Mail-Adressen diese Domain, DE-Mail, jetzt immer noch verpflichtend im Adressnamen aufführen?
Welchering:- Nach den Nachbesserungen und nach den Entwürfen, die es jetzt gibt, nicht mehr. Also auch da eine Abweichung vom ursprünglichen Entwurf. Die sogenannte Second-Level-Domain DE-Mail ist also nicht mehr verpflichtend. Also wenn ich mir so eine DE-Mail-Adresse zulege, dann hätte ich nach den bisherigen Entwürfen beispielsweise so eine Mail haben müssen, die lautet peter.welchering@provider.de-mail.de - und das ist nun weggefallen. Meine DE-Mail-Adresse kann dann auch einfach lauten peter.welchering@postfach.de. Das ist natürlich für viele Unternehmen eine Vereinfachung, auch für viele Provider. Die großen Provider waren dagegen, weil sie sich absetzen wollten. Einzige Voraussetzung, die der Bundestag da noch macht: Die Domain darf ausschließlich für DE-Mail-Adressen verwendet werden. Und interessant war in diesem Zusammenhang übrigens, dass die meisten Abgeordneten gar nicht so genau wussten, dass der Gesetzgeber in Deutschland Fragen der Domainzuteilung und der Domaineinteilung gar nicht souverän entscheiden kann. Denn die Internetverwaltung ICANN untersteht ja immer noch der Oberaufsicht des amerikanischen Handelsministeriums. Und das war und ist auch noch immer vielen Bundestagsabgeordneten offensichtlich gar nicht so klar. Und so wurden dann auch Vorschläge, etwa für Domaineinteilungen gemacht, bei denen dann die Kritiker einwandten: Hoppla Freunde, das kann der Bundestag doch gar nicht entscheiden. Und da wurde tatsächlich nochmal deutlich: Der Bundestag wird sich in naher Zukunft auch mit der Frage zu beschäftigen haben: Wie kriegen wir es denn hin, dass hier die ICANN internationalisiert wird und der Bundestag mehr mitreden darf?
Kloiber: Wie sollen denn künftig technische Standards von DE-Mail weiterentwickelt werden?
Welchering: Da sehen die am Mittwoch diskutierten Nachbesserungen vor, dass zwei zusätzliche Verbände noch mit in diese Standard-Diskussion einbezogen werden müssen, das heißt, die Provider dürfen das alleine nicht entscheiden. Und die letzte Instanz dieser Standards wird das Bundesamt für Sicherheit in der Informationstechnik sein.