Die Tücke liegt in der falschen Technik: Mindestens zweimal werden elektronische Briefe auf dem Weg zum Empfänger entschlüsselt und wieder verschlüsselt, wenn sie nach dem jetzt im Bundestag zu beschließenden Gesetz verschickt werden. Damit können DE-Mails doch von interessierter Seite mitgelesen werden. Das können Hacker oder auch Sicherheitsbehörden sein. Genau diese Lücke im Briefgeheimnis kritisiert der Bundesbeauftragte für den Datenschutz, Peter Schaar, schon seit Langem.
"Mir ist beispielsweise nicht einsichtig, dass hier keine durchgängige Verschlüsselung vorgesehen ist. Es bleibt also dem Betroffenen selber immer überlassen, auch bei diesem angeblich so besonders sicheren Dienst, selbst für den Schutz seiner Daten zu sorgen. Genau das sollte eben aber ihm erspart bleiben. Technisch ist das heute überhaupt gar kein Problem."
Deshalb haben die Bundestagsabgeordneten Clemens Binninger, CDU, und Manuel Höferlin, FDP, auch eine zusätzliche sogenannte Ende-zu-Ende-Verschlüsselung als Nachbesserung im DE-Mail-Gesetz gefordert. Diese durchgängige Verschlüsselung schreibt das Gesetz aber nicht verbindlich vor. Sie wird lediglich ein Zusatzangebot der DE-Mail-Provider sein, das natürlich auch extra bezahlt werden muss. Ebenso umstritten war im Gesetzgebungsverfahren die sogenannte "Zustellfiktion", mit der Behörden arbeiten dürfen. "Zustellfiktion" bedeutet, dass eine Behörde einen Brief oder Bescheid in das DE-Mail-Postfach eines Bürger schicken kann. Und dieser gilt dann nach drei Tagen als zugestellt, egal ob der Bürger in sein elektronisches Postfach geschaut hat oder nicht. Dies ist wichtig für das Einhalten zum Beispiel von Widerspruchsfristen. Hier wurde immerhin aufgrund der Kritik nachgebessert. Jetzt gilt die sogenannte "veränderte Zustellfiktion". Das aber macht die Lage nicht besser. Die absendende Behörde erhält zwar eine Abholbestätigung des DE-Mail-Providers, wenn die Mail im Postfach des Empfängers abgelegt wurde. Was aber nicht heißt, dass er von diesem Bescheid weiß. Einer der Nachbesserungsvorschläge hatte vorgesehen, dass eine Abholbestätigung erst verschickt werden darf, wenn dem Postfachbesitzer die Liste mit der eingegangenen Post angezeigt wurde. Denn nur so lasse sich nachweisen, dass er die Mail auch zur Kenntnis nehmen konnte. Datenschützer Peter Schaar möchte hier die Behörden stärker in die Pflicht nehmen und die Beweislast umkehren.
"Es wird ja dann davon ausgegangen, dass derjenige, der so ein De-Mailkonto hat, dort auch genauso wie auf anderen Wegen, ein Einschreiben zum Beispiel oder einer Postniederlegungsurkunde, dann in die Pflicht genommen werden kann. Er kann dann gegebenenfalls nicht mehr nachweisen, dass er die E-Mail oder die De-Mail in dem Falle nicht erhalten hat. Und genau da, denke ich, da muss man noch einmal sehr genau überlegen, ob es eine gute Idee ist, mit derartigen Fiktionen einen solchen Dienst zu befrachten."
Immerhin hat die Debatte um das DE-Mail-Gesetz den Angeordneten des Bundestages auch ihre Grenzen aufgezeigt. Sie können den genauen Aufbau einer DE-Mail-Adresse nicht in eigener Regie festlegen, um so die Unterscheidung zwischen normalen E-Mails und DE-Mails zu erleichtern. Das letzte Wort um die Adressgestaltung hat immer noch die Internetverwaltung ICANN in den USA. Und die würde sich eine Entscheidung vom vorgesetzten amerikanischen Handelsministerium in Washington bestätigen lassen und eben nicht vom Deutschen Bundestag in Berlin.
"Mir ist beispielsweise nicht einsichtig, dass hier keine durchgängige Verschlüsselung vorgesehen ist. Es bleibt also dem Betroffenen selber immer überlassen, auch bei diesem angeblich so besonders sicheren Dienst, selbst für den Schutz seiner Daten zu sorgen. Genau das sollte eben aber ihm erspart bleiben. Technisch ist das heute überhaupt gar kein Problem."
Deshalb haben die Bundestagsabgeordneten Clemens Binninger, CDU, und Manuel Höferlin, FDP, auch eine zusätzliche sogenannte Ende-zu-Ende-Verschlüsselung als Nachbesserung im DE-Mail-Gesetz gefordert. Diese durchgängige Verschlüsselung schreibt das Gesetz aber nicht verbindlich vor. Sie wird lediglich ein Zusatzangebot der DE-Mail-Provider sein, das natürlich auch extra bezahlt werden muss. Ebenso umstritten war im Gesetzgebungsverfahren die sogenannte "Zustellfiktion", mit der Behörden arbeiten dürfen. "Zustellfiktion" bedeutet, dass eine Behörde einen Brief oder Bescheid in das DE-Mail-Postfach eines Bürger schicken kann. Und dieser gilt dann nach drei Tagen als zugestellt, egal ob der Bürger in sein elektronisches Postfach geschaut hat oder nicht. Dies ist wichtig für das Einhalten zum Beispiel von Widerspruchsfristen. Hier wurde immerhin aufgrund der Kritik nachgebessert. Jetzt gilt die sogenannte "veränderte Zustellfiktion". Das aber macht die Lage nicht besser. Die absendende Behörde erhält zwar eine Abholbestätigung des DE-Mail-Providers, wenn die Mail im Postfach des Empfängers abgelegt wurde. Was aber nicht heißt, dass er von diesem Bescheid weiß. Einer der Nachbesserungsvorschläge hatte vorgesehen, dass eine Abholbestätigung erst verschickt werden darf, wenn dem Postfachbesitzer die Liste mit der eingegangenen Post angezeigt wurde. Denn nur so lasse sich nachweisen, dass er die Mail auch zur Kenntnis nehmen konnte. Datenschützer Peter Schaar möchte hier die Behörden stärker in die Pflicht nehmen und die Beweislast umkehren.
"Es wird ja dann davon ausgegangen, dass derjenige, der so ein De-Mailkonto hat, dort auch genauso wie auf anderen Wegen, ein Einschreiben zum Beispiel oder einer Postniederlegungsurkunde, dann in die Pflicht genommen werden kann. Er kann dann gegebenenfalls nicht mehr nachweisen, dass er die E-Mail oder die De-Mail in dem Falle nicht erhalten hat. Und genau da, denke ich, da muss man noch einmal sehr genau überlegen, ob es eine gute Idee ist, mit derartigen Fiktionen einen solchen Dienst zu befrachten."
Immerhin hat die Debatte um das DE-Mail-Gesetz den Angeordneten des Bundestages auch ihre Grenzen aufgezeigt. Sie können den genauen Aufbau einer DE-Mail-Adresse nicht in eigener Regie festlegen, um so die Unterscheidung zwischen normalen E-Mails und DE-Mails zu erleichtern. Das letzte Wort um die Adressgestaltung hat immer noch die Internetverwaltung ICANN in den USA. Und die würde sich eine Entscheidung vom vorgesetzten amerikanischen Handelsministerium in Washington bestätigen lassen und eben nicht vom Deutschen Bundestag in Berlin.