DE-Mail Gesetz in Kraft getreten

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im IT-Recht - Vereinbaren Sie einen Termin unter 02404-92100!

Kurzhinweis: Gestern wurde im Bundesgesetzblatt das DE-Mail-Gesetz bekannt gegeben, das laut Art.6 am Tag nach seiner Bekanntmachung in Kraft tritt: Somit ist ab heute das DE-Mail Gesetz in Kraft getreten. Wann die ersten DE-Mail-Dienstleister sich an den offenen Markt trauen, ist noch nicht definitiv absehbar, es ist aber noch vor Jahresende damit zu rechnen.

Kurz-URL:

Auswahl: Aktuelle Gesetzesänderungen (DE-Mail, Volksverhetzung, Widerstand)

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im IT-Recht - Strafrecht - Vereinbaren Sie einen Termin unter 02404-92100!

Einige interessante Gesetzesänderungen stehen an, auf die ich hier kurz hinweisen möchte:

  1. Der Widerstand gegen Vollstreckungsbeamte soll stärker sanktioniert werden, die Sache liegt nun beim Bundesrat und dürfte so durchgewunken werden. Ich hatte es bereits im Februar 2010 kommentiert, hier nachzulesen.
  2. Auch der Entwurf eines Gesetzes zur Regelung von DE-Mail-Diensten ist nun beim Bundesrat angekommen. Auch das hatte ich schon früher kommentiert: Einmal den Referentenentwurf und dann die Diskussion zur gebotenen Vorsicht.
  3. Im Zuge der Umsetzung europäischer Vorgaben im Bereich „Computerkriminalität“ soll der §130 StGB („Volksverhetzung“) geändert werden, ich dokumentiere das hier.
Kurz-URL:

Anmerkung: Unsicherheit beim Personalausweis überschätzt?

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - Vereinbaren Sie einen Termin unter 02404-92100!

Ich muss vorab klarstellen, dass ich die Artikel rund um Datenschutz und Datensicherheit bei der ZEIT sehr schätze, insofern ist das folgende nur eine Kritik an dem einzelnen Artikel bei der Zeit zum Thema „neuer Personalausweis“ und keine Kritik an dem Medium insgesamt.

Bei der ZEIT liest man in einem Artikel mit dem durchaus kritisch zu sehenden Titel „Gefahren des Personalausweises werden überschätzt“ das hier:

Um aber einen Identitätsraub zu begehen und so etwa rechtsverbindliche Verträge abzuschließen oder Geschäfte im Internet zu tätigen […] muss der Räuber die Ausweispapiere in die Hände bekommen. Die können aber vom Betroffenen, sobald er den Verlust bemerkt, problemlos sofort gesperrt werden.

Das klingt sehr beruhigend, ich habe nur eine Frage: Wie genau sperrt man den Ausweis denn? Weder der Autor des Artikels noch das Gesetz geben hier eine Information. Das neue PersAusG schreibt vielmehr im neuen §10 V:

Erlangt die ausstellende Personalausweisbehörde Kenntnis vom […] Abhandenkommen eines Personalausweises mit eingeschaltetem elektronischen Identitätsnachweis […] hat sie unverzüglich zum Zweck der Aktualisierung der Sperrliste das Sperrkennwort dieses Personalausweises an den Sperrlistenbetreiber nach § 7 Abs. 4 Satz 2 zu übermitteln.

Das heißt also, laut Gesetz ist (erst einmal?) die „Behörde“ zur Sperrung verantwortlich. Mir ist ein wenig mulmig, bei der Vorstellung, dass mir Freitags Nachts der Ausweis gestohlen wird und ich zu den üblichen Behördenzeiten, also Montags ab 8 Uhr morgens, das Ding sperren kann. Freilich macht sich der Autor der ZEIT keine Gedanken mehr hierum, solche Details stören ja dann wieder nur die wenigen Betroffenen. Es macht mich dabei wütend, vor dem Hintergrund solcher Kurzsichtigkeit dann auch noch Sätze zu lesen wie

Es lässt sich also zu Recht fragen, wie häufig das Horrorszenario des Identitätsklaus in der Realität überhaupt eintreten wird.

Das „Horrorszenario“ des Identitätsklaus ist heute bereits vollkommen normaler Alltag, bei der Angabe falscher Daten bei Bestellungen, bei eBay oder „teuren Webseiten“ etwa. Das tritt täglich auf und ist insofern keine Frage mehr, der Ausweis mit Signatur wird das Problem in der Beweisfrage nur zu Lasten des Ausweisinhabers verschieben. Auch hier liest man Navivität fernab schon des heutigen Alltags und eine verharmlosung, die schon gefährlich ist.

Übrigens ist der letzte Absatz m.E. schlichtweg falsch, da wiederum zu kurzsichtig:

Aber noch aus einem anderen Grund könnte der Personalausweis zum Rohrkrepierer werden. Denn mit De-Mail und den Plänen der Post zum sicheren Mailversand treten derzeit noch zwei Konkurrenzprodukte an, deren künftige Einsatzmöglichkeiten die gleichen sind wie die des elektronischen Personalausweises.

Das Argument klingt nett, verkennt aber einen Umstand: Bei DE-Mail und ePost bin ich auf externe Anbieter angewiesen, die sich ihren „Service“ gutes Geld kosten lassen (wollen). Wenn ich aber auf dem Personalausweis eine brauchbare digitale Signatur habe, sowie eine passende GPG-Schnittstelle, kann ich sorgenlos im Einklang mit Signaturgesetz/Signaturverordnung rechtssichere Mails schreiben ohne einen Drittanbieter einbinden zu müssen. Und via Enigmail dann auch noch in meinem favorisierten Mailprogramm Thunderbird. Auch dies ist Zukunftsmusik, aber für mich eine der wenigen echten Daseinsberechtigungen dieses neuen Ausweises.

Zumindest in einem Punkt aber gebe ich dem Artikel bei der ZEIT gerne recht: Man sollte die Technikfeindlichkeit und Angst der Menschen nicht noch mehr schüren. Dazu braucht man aber auch nicht Probleme klein zu reden, womit ich nicht angebliche Sicherheitsprobleme beim Ausweis meine, sondern die Frage, wie schnell wir lernen, mit diesem digitalen Ausweis und der Gefahr des Missbrauchs im Alltag zu leben.

Dazu:

Kurz-URL:

Erste Eindrücke: #ePost-Webkonferenz – Die Post stellt sich den Usern

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - IT-Recht - Vereinbaren Sie einen Termin unter 02404-92100!

Ich hatte – wie schon berichtet – eine Einladung zu einer heutigen „Webkonferenz“ der Deutschen Post zum Thema „ePost“. Dazu hatte ich auch schon vorab Fragen eingereicht, auf die nach meinem Eindruck (dazu gleich) auch eingegangen wurde. Einen umfassenden Artikel schreibe ich erst, wenn ich die Aufnahme noch einmal in Ruhe ansehen konnte, eine solche soll später zur Verfügung gestellt werden. Bis dahin hier ein paar erste Eindrücke.

Erste Eindrücke: #ePost-Webkonferenz – Die Post stellt sich den Usern weiterlesen

Kurz-URL:

Unsicherheiten beim Personalausweis?

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - IT-Recht - Vereinbaren Sie einen Termin unter 02404-92100!

Man muss wohl schon ein wenig kritisch sein, wenn zur Zeit beispielsweise zu lesen ist:

„ARD-Sendung „Plusminus“ deckt Sicherheitslücken beim neuen Personalausweis auf – Minister de Maizière sieht keinen Handlungsbedarf“

Ein Sicherheitsdefizit beim Personalausweis? Wer die Hintergründe kennt, dürfte verwundert sein und Heise.de berichtet zu Recht von „Sicherheitsdefiziten bei Lesegeräten“, was keine Wortklauberei sondern eine Richtigstellung ist – zumal noch die Einschränkung vorgenommen wird, dass sich die Kritik bisher wohl alleine in Richtung der Lesegeräte der Klasse 1 richtet.

Das Problem ist dabei nicht neu und kein spezifisches: Wer den Personalausweis mit den digitalen Funktionen in einer technischen Umgebung nutzt, ist immer nur so „sicher“, wie auch die technische Umgebung „sicher“ ist. Und wenn man beispielsweise den Personalausweis in ein Peripheriegerät (Leser) steckt und über ein anderes Peripheriegerät (Tastatur) einen Pin-Code eingibt, wobei die Daten in einem zentralen Gerät (Computer) verarbeitet werden, bieten sich viele Kommunikationswege, die abgegriffen werden können. Beispielsweise mit einem „Keyboard-Sniffer“, der schlicht sämtliche Tastatur-Eingaben abfängt.

Für den Anwender bedeutet das, dass dieser immer vorsichtig sein muss – sowohl in „fremden Umgebungen“ (Internetcafe) als auch in der häuslichen Infrastruktur. Nicht ohne Grund schreibt das neue Personalausweisgesetz zwingend vor, dass man den heimischen Rechner „sichern“ muss, sprich: Zumindest aktuelle Virenscanner und eine Software-Firewall im Einsatz haben muss (Ich hatte hier berichtet).

Was heißt das nun: Panik? Nein, keinesfalls. Aber das Risiko ist zumindest bei unerfahrenen bzw. allzu blauäugigen Nutzern schon sehr groß. So wie heute allzu viele unwissende Eltern Filesharing-Abmahnungen für die Dummheiten der Kinder erhalten und man plötzlich lernt, dass auch ein DSL-Anschluss eine gewisse digitale Bildung benötigt, so wird auch die digitale Funktion im Personalausweis zwingend verlangen, dass man sich mit grundlegenden digitalen Fragen einfach auskennen muss. Andernfalls sollte man von Anfang an die digitale Funktion nicht freischalten.

Anmerkung: Ich sehe hier schon einige erhebliche (soziale) Probleme, zumal mit der digitalen Funktion ja zukünftig unmittelbare Vertragsschlüsse möglich sein sollen. Die „Oma“, die ihren Pin auf dem Ausweis kopiert habe ich da genauso vor Augen, wie den übermütigen Teenie, der im Internetcafe allzu leichtfertig seinen Ausweis in fremde Lesegeräte steckt. Wahrscheinlich wird hier, so wie aktuell beim Filesharing, erst einmal sehr viel Lehrgeld fliessen müssen. Wobei ich mich auch frage, wo die staatlichen Informationsbroschüren zum Thema „sichere Umgebung“ bleiben – der Hinweis auf das BSI alleine ist m.E. nicht ausreichend.

Link zum Thema:

Kurz-URL:

Vorsicht vor der #ePost und #DE-Mail?

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - IT-Recht - Vereinbaren Sie einen Termin unter 02404-92100!

In aller Munde sind zur Zeit die Themen ePost und DE-Mail, die Versuche eine „rechtssichere“ E-Mail-Adresse anzubieten. Beides kommt zur Zeit nicht ohne (erhebliche) Kritik weg – und Nutzer sollten vielleicht wirklich gut überlegen, ob sie den Dienst nutzen oder nicht.

Es gibt einen sehr schönen Beitrag zum Thema ePost im „Gutjahr-Blog“, zu finden hier. Dabei wird vollkommen zu Recht eine weitere Klausel der ePost-AGB kritisiert:

Es wird darauf hingewiesen, dass Daten, die in dem Nutzerkonto gelöscht wurden, ggf. zunächst nur gesperrt und dann erst mit zeitlicher Verzögerung endgültig gelöscht werden, um versehentlichen Löschungen oder evtl. vorsätzlichen Schädigungen vorzubeugen. Aus technischen und rechtlichen Gründen (vgl. gesetzliche Datenspeicherungspflichten) werden Daten ggf. in Datensicherungsdateien und Spiegelungen von Services dupliziert. Solche Kopien werden ggf. erst mit einer zeitlichen Verzögerung gelöscht.

Das erzeugt natürlich Gruselgefühle: Da steht allein ernstes, dass „Daten“ (also auch E-Mails?) „ggfs.“ (ob nun wirklich, weiß man also gar nicht) bei einem Löschen doch nicht gelöscht werden, sondern nur „gesperrt“. Irgendwann werden die Daten dann doch gelöscht, wann weiß man als Nutzer nicht. Wie bei der Klausel mit der „Pflicht zum Nachsehen“, denke ich, dass auch diese AGB unwirksam sein wird, schließlich wird der Nutzer hier in die Irre geführt, da er letzten Endes weder weiß, ob ein löschen nun wirklich löscht noch wann denn dann wirklich gelöscht werden würde.

Sehr viel mehr Sorgen als die „Löschung die gar keine ist“ – und die mich verdächtig an IMAP-basierte-Postfächer erinnert – macht mir die Tatsache, dass die Post offensichtlich Backups anlegen möchte, zu denen dann evt. auch die Emails gehören. Hier sehe ich die Gefahr, dass über Jahre hinweg alte Mails noch rekonstruierbar sind, die der Betreffende längst gelöscht wissen wollte.

Das Bild von Stadler mit der Postkarte ist dabei immer wieder nett, sollte aber genutzt werden, um den alten (und bis heute nicht ausgefochtenen) Streit aus der Schublade zu holen, ob nicht verschlossene Briefe dem Briefgeheimnis unterliegen. Wer das bejahen möchte, steht zwar auf der Seite der Minderheit, hat mit Jarass, Sachs und Badura aber starke Befürworter auf seiner Seite. Dabei weiß ich auch nicht, ob der uneingeschränkte Vergleich mit der Postkarte in dem Fall angemessen ist, in dem die  E-Mail im Klartext vom Sender zum Empfänger nur über verschlüsselte Verbindungen transportiert wird und auf den jeweiligen Servern nur in einer verschlüsselten Form (also jedenfalls nicht im Klartext) gespeichert wird, letztlich beim Empfänger aber wieder im Klartext angelangt.

Jedenfalls den ePost-Brief alleine dem Fernmeldegeheimnis zu unterwerfen, halte ich für falsch, da hier eindeutig das Postgeheimnis betroffen ist. Auch hier schwelt seit der Privatisierung und schrittweisen Eröffnung des Briefmonopols der Streit, inwiefern das Postgeheimnis überhaupt noch einen Sinn macht – der (bislang eingeschlafene) Streit hierzu dürfte mit den ePost-Aktivitäten einen neuen Drall bekommen.

Wer sich ein wenig „absichern“ möchte, nutzt den Dienst nur in Verbindung mit einer eigenen Verschlüsselung wie GPG. Das Problem besteht natürlich weiterhin, da man bei unverschlüsselten Schreiben wieder der „Willkür“ der Post hinsichtlich Backups ausgesetzt ist. Ich betrachte die Diskussion weiterhin mit Spannung, dabei muss klar sein, dass gerade in der Anfangszeit solcher Dienste mit vielen befremdlichen ersten Schritten seitens der Anbieter zu rechnen ist – was freilich keine Entschuldigung sein kann.

Von dem Thema „ePost“ zu trennen ist das Thema „DE-Mail„, das nicht minder interessant und problematisch ist. Bei DE-Mail kommt die Besonderheit dazu, dass es sich um ein von einem Gesetz begleitetes Postfach handelt und nicht um einen „üblichen“ Vertrag mit einem Mail-Anbieter wie bei ePost mit der Deutschen Post. Ich hatte zur Veröffentlichung des Gesetzes in Sachen DE-Mail seinerzeit schon ein paar Zeilen geschrieben. Inzwischen hagelt es weitere Kritik, so vom Deutschen Anwaltverein und vom Deutschen Notarverein (hier zu finden). Dabei bietet der DAV in seiner Stellungnahme eine überdeutliche Kritik, die Nutzer hellhörig werden lassen sollte.

Was heißt das für Nutzer als Fazit? Wie immer muss man nicht gleich verteufeln, sollte aber durchaus gesunde Skepsis ob der Sinnhaftigkeit (so der DAV) und vor allem der angemessenen Berücksichtigung der Interessen der Verbraucher haben. Wie bei neuen Softwareprodukten sonst auch ist hier vielleicht die Prämisse „Man muss ja nicht gleich der erste sein“ ein kluger Ratschlag. Das Ganze erst einmal eine gewisse Zeit zu beobachten und dann in etwa einem Jahr zu entscheiden ob und in welcher Form man die dann noch existierenden Dienste nutzt, dürfte so schlecht nicht sein.

Kurz-URL:

Den eigenen Briefkasten muss man leeren?

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im IT-Recht - Vereinbaren Sie einen Termin unter 02404-92100!

Es gibt einen weit verbreiteten Irrglauben, der nun durch die deutsche Post nochmals befeuert wird: Es soll für Verbraucher eine Pflicht existieren, täglich in ihren Briefkasten zu sehen und diesen zu leeren. Die deutsche Post hat nun, vor dem Hintergrund dieses Irrglaubens, für ihren Dienst „ePost“ (eine „sichere“ Mail-Adresse als Konkurrenzprodukt zur „DE-Mail“) folgende Klausel in die AGB aufgenommen:

Der Nutzer wird daher aufgefordert, mindestens einmal werktäglich den Eingang in seinem Nutzerkonto zu kontrollieren. Von einer regelmäßigen Kenntnisnahme eines E-POSTBRIEFS mit elektronischer Zustellung durch den Privatkunden ist daher spätestens am Werktag nach Eingang im Nutzerkonto auszugehen.

Es wird sich nun auf diversen Webseiten darüber echoffiert, was die Post Ihren Nutzern da aufbürdet. Was mich allerdings wundert: Warum fragt niemand, ob diese Klausel in dieser Form überhaupt zulässig ist?
Den eigenen Briefkasten muss man leeren? weiterlesen

Kurz-URL:

DE-Mail – Referentenentwurf öffentlich

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im IT-Recht - Vereinbaren Sie einen Termin unter 02404-92100!

Bei Netzpolitik.org findet sich ein erster Gesetzesentwurf hinsichtlich der „DE-Mail“, dem geplanten „sicheren“ Mail-Postfach. Ich habe den Referentenentwurf erst einmal mit einem besonderen Blick gelesen, weniger mit Blick auf technische Fragen: Mit Interesse beachte ich das DE-Mail-Konzept hinsichtlich des Zugangs von Verwaltungsschreiben. Gar nicht selten wird nämlich im Rahmen von Fristen darüber gestritten, wann etwas zugestellt wurde, gerade „kleinere“ Verwaltungsschreiben kommen ja nicht mit Postzustellurkunde.

Der Gesetzentwurf zu „DE-Mail“ ist insofern schon interessant, da im §5 vorgesehen ist, dass der Diensteanbieter dem Sender eine Bestätigung zur Verfügung zu stellen hat über den Zugang (Posteingang) eines Schreibens und über die Abholung eines Schreibens. Im Verwaltungsrecht – man sollte hier das Verwaltungszustellungsgesetz des Bundes und die entsprechenden Gesetze der Länder kennen – ist es grundsätzlich so, dass bei normalen Briefen der Brief am dritten Tag nach der Aufgabe zur Post als zugestellt gilt (§4 II 2 VwZG Bund). Insofern war ich gespannt, welchen Weg man bei „DE-Mail“ geht. Und in der Tat: Am Ende findet sich auch eine Änderung des VwZG des Bundes.

Hier wird ein neuer §5a VwZG Bund eingefügt, der dann im Absatz 5 normiert:

Ein elektronisches Dokument gilt in den Fällen des § 5 Absatz 5 Satz 2 am dritten Tag nach der Absendung an das De-Mail-Postfach des Empfängers als seines hierfür eröffneten Zuganges als zugestellt, wenn der Behörde nicht spätestens an diesem Tag eine elektronische Abholbestätigung nach § 5 Absatz 9 des De-Mail-Gesetzes zugeht.

Ich verstehe das zur Zeit so, dass ein behördliches Schreiben mittels DE-Mail als dem Empfänger zugegangen gilt, spätestens 3 Tage, nachdem eine Posteingangsmitteilung erzeugt wurde. Damit muss sich – aber das ist ohnehin nur eine Frage der Zeit – jeder der ein solches Postfach nutzt, darüber im Klaren sein, dass ihn auf diesem Weg verbindlich behördliche Schreiben erreichen können (zur Zeit nur des Bundes, sicherlich bald auch aller Länder) und Fristen ausgelöst werden. Man wird also, wenn man ein solches Postfach einrichtet (eine Pflicht gibt es noch nicht), auch zwingend regelmäßig hineinsehen müssen. Verschärft wird die Thematik dadurch, dass §7 des DE-Mail-Gesetzes die Möglichkeit vorsieht, Verzeichnisse anzulegen, in denen Nutzer aufgeführt sind. Zwar nur auf ausdrücklichen Wunsch des jeweiligen Nutzers, allerdings ist die Ausnahme, unter der der Anbieter zwingend die Zustimmung verlangen darf, sehr „weich“ formuliert.

Am Rande der Hinweis: Das Gesetz sieht vor, dass auch das BGB geändert wird. Im neuen §312e BGB soll stehen, dass Unternehmer, die den DE-Mail-Dienst nutzen, diesen auch ihren Kunden als Kommunikationsweg anbieten müssen – und die Kommunikation in diesem Bereich nicht ausschließen dürfen.

Das Thema DE-Mail wird (natürlich) viele neue Fragen beim Zugang von Dokumenten aufwerfen, so wie seinerzeit das Einschreibe-Verfahren der Post. Man sollte das nicht als Kritik am System verstehen, wohl aber muss man das System mit Blick auf die Lebenswirklichkeit im Auge haben. Der Anspruch, „ständig verfügbar“ zu sein, wird in den nächsten Jahren weiter steigen – das De-Mail-System, das z.B. ein Verbot der Zustellung an Sonntagen nicht einmal andenkt, ist ganz offensichtlich von dem Gedanken „ständiger Erreichbarkeit“ geprägt. Auf der anderen Seite wird sich die Möglichkeit eröffnen, schon bald bundesweit Fristen auch wirklich bis 1 Minute vor Mitternacht des jeweiligen Tages nutzen zu können. Technisch wird es schwierig werden, wenn eine Zugangsbestätigung den Zugang einer behördlichen Mail fingiert – aber tatsächlich ein technischer Fehler vorliegt. Der Betroffene wird hier vielleicht erhebliche Beweisprobleme haben.

Kurz-URL:

Übersicht: Der elektronische Personalausweis – neue Pflichten und Regeln

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - Vereinbaren Sie einen Termin unter 02404-92100!

Der elektronische Personalausweis kommt – und mit ihm nicht nur datenschutzrechtliche bzw. persönlichkeitsrechtliche Diskussionen, sondern auch gesetzliche Änderungen, die die alltägliche Praxis in vielerlei Hinsicht berühren. Einige ausgesuchte Stellen – mit einem Hinweis, warum man ganz genau hinsehen muss, wenn in Gesetzen nur ein einzelnes Wort geändert wird. Und speziell auf die neuen Pflichten von Ausweisinhabern sollte man einen Blick werfen.

Hinweis: Zum Thema beachten Sie bitte auch den Hinweis, dass unsererseits Verfassungsbeschwerde wegen der Volkszählung 2011 eingelegt wurde.

Übersicht: Der elektronische Personalausweis – neue Pflichten und Regeln weiterlesen

Kurz-URL: