Neues De-Mail Gesetz ist auf dem Weg

Am 13.10.2010 wurde der bis dato noch nicht ganz vollständige Gesetzestext zum neuen De-Mail Gesetz bei der Bundesregierung eingereicht und angenommen. Das neue Gesetz kann somit Frühjahr 2011 an den Start gehen. Viele Details wurden im Vorfeld besprochen und kritisiert, ohne dass viele Leute sowohl den Entwurfstext wie auch andere Quellen im Internet zu Rate gezogen hatten. Anhand von Ausszügen soll untersucht werden, welche Änderungen der aktuelle Gesetzestext mit sich bringt und ob das neue Gesetz wirklich eine enorme Verschlechterung für den Nutzer darstellt.

Paragraf 4 Absatz1:
Ein Verfahren ist geeignet, wenn es durch zwei voneinander unabhängige Sicherungsmittel gegen eine unberechtigte Nutzung geschützt ist sowie die Einmaligkeit und Geheimhaltung der im Rahmen des Verfahrens verwendeten Geheimnisse sichergestellt sind. Der Nutzer kann verlangen, dass für sein De-Mail-Konto ausschließlich eine sichere Anmeldung möglich sein soll. […]
Absatz 2:
Der akkreditierte Diensteanbieter hat zu gewährleisten, dass der Nutzer zwischen mindestens zwei Verfahren zur sicheren Anmeldung nach Absatz 1 Satz 3 wählen kann.
Absatz 3:
Der akkreditierte Diensteanbieter hat sicherzustellen, dass die Kommunikationsverbindung
zwischen dem Nutzer und seinem De-Mail-Konto verschlüsselt erfolgt.

Im Blogeintrag „De-Mail erhöht ab sofort Sicherheit beim Login “ wurde ja bereits beschrieben, dass sich die Anmeldung bei GMX auf niedrigen Sicherheitsniveau freiwillig deaktivieren lässt, damit Trojaner und andere Programm keine Chance mehr haben. Dieser Paragraf bringt zwar kein zusätzliches Wissen, bestätigt aber nochmals die Aussage im Blogartikel.

Paragraf 5 Absatz 1:
im Domänenteil der De-Mail-Adresse eine Kennzeichnung

Auch in den Erklärungen heisst es:

[…] Nach Satz 2 Nummer 1 muss im Domänenteil („hinter dem @“) der Adresse eine Kennzeichnung vorgesehen werden. An dieser Kennzeichnung ist die De-Mail-Adresse als solche erkennbar. Nur akkreditierte Diensteanbieter sind berechtigt und verpflichtet, an ihre Nutzer De-Mail-Adressen mit einer Kennzeichnung zu vergeben. Bei der Kennzeichnung kann es sich um eine Top-Level-Domain oder um eine Sublevel-Domain handeln […]

Interessant ist, dass hier nur von „einer Kennzeichung“ gesprochen wird und keine spezielle „de-Mail.de“ Kennzeichnung erwähnt wird. Die Frage stellt sich nun, ob die Deutsche Post, welche ja bereits Teil des De-Mail Projekt war, dann ausgestiegen ist und jetzt eventuell wieder zurückkommen möchte, ihre Adressenendung „@epost.de“ beibehalten kann. Nach Wunsch der Deutschen Telekom und United Internet am RoundTable an der IFA sollte nämlich genau das nicht der Fall sein. Laut den beteiligten Firmen hätte eine De-Mail Adresse nur die Endung „de-mail.de“ enthalten sollen. Ein Rückkehr der Post wäre somit schwierig bis unmöglich geworden. Jetzt scheint es so, als hätte man sich beim Gesetz doch auf die etwas freiere Möglichkeit geeinigt. Somit dürfte „der Kampf des Jahrhunderts“ wie ihn viele Internetzeitschrift bereits betitelt hatten komplett ausfallen. [Post will doch wieder De-Mail Anbieter werden]

Paragraf 5 Absatz 1 Unterabsatz 2
bei natürlichen Personen im lokalen Teil deren Nachnamen und einen oder mehrere
Vornamen oder einen Teil des oder der Vornamen

Die Adresse kann also Max.Mustermann oder M.Mustermann oder Max.Willi.Mustermann heissen.

Paragraf 5 Absatz 11
Nutzern, die natürliche Personen sind, bietet der akkreditierte Diensteanbieter an, von
allen an ihre De-Mail-Adresse adressierten Nachrichten eine Kopie an eine zuvor vom Nutzer angegebene De-Mail-Adresse (Weiterleitungsadresse) weiterzuleiten, ohne dass der Nutzer an seinem De-Mail-Konto angemeldet sein muss (automatische Weiterleitung).[…]

Ein Chef kann also seiner Sekretärin seine De-Mails weiterleiten lassen. Auch können somit Urlaubsvertretungen geregelt werden.

Paragraf 9 Absatz 1: SPAM und Spyware
Der akkreditierte Diensteanbieter muss den Nutzer außerdem darüber informieren, wie mit
schadsoftwarebehafteten De-Mail-Nachrichten umgegangen wird.

Der Anbieter muss also genau mitteilen wie und ob De-Mails ausgefiltert werden. Die Deutsche Post hat in ihrem E-Postbrief Account eine sogenannte „Quarantäne-Zone“, in der infizierte E-Postbrief landen. Dies wird es somit bei De-Mail vermutlich auch geben.

Paragraf 10 Absatz 4:
Der akkreditierte Diensteanbieter hat ein De-Mail-Konto unverzüglich aufzulösen, wenn
der Nutzer es verlangt

Im Gegensatz zum E-Postbrief werden also bei Auflösung des Postfach alle Daten sofort gelöscht.

Paragraf 11 Absatz 2
Übernimmt kein anderer akkreditierter Diensteanbieter das De-Mail-Konto, muss der
akkreditierte Diensteanbieter sicherstellen, dass die im Postfach und in der Dokumentenablage gespeicherten Daten für wenigstens drei Monate ab dem Zeitpunkt der Benachrichtigung des Nutzers abrufbar bleiben.

Geht ein De-Mail Anbieter Konkurs, so muss er mindestens drei Monate dafür sorgen, dass alle Nutzer ihre De-Mails in Sicherheit bringen können.

Paragraf 12:
Der akkreditierte Diensteanbieter ist verpflichtet, dem Nutzer für einen Zeitraum von drei Monaten nach Vertragsende den Zugriff auf die im Postfach und in der Dokumentenablage abgelegten Daten zu ermöglichen und ihn auf ihre Löschung mindestens einen Monat vor dieser in Textform hinzuweisen.

Beendet der Nutzer also nur seinen Vertrag, bleiben auch hier die De-Mails drei Monate abrufbar. Wer dies nicht möchte, muss wie Paragraf 10 Absatz 4 die sofortige Löschung beantragen.

Paragraf 16 Auskunftsanspruch:
(1) Ein akkreditierter Diensteanbieter erteilt Dritten Auskunft über Namen und Anschrift
eines Nutzers, wenn
1. der Dritte glaubhaft macht, die Auskunft zur Verfolgung eines Rechtsanspruches gegen
den Nutzer zu benötigen,
2. sich die Auskunft auf ein Rechtsverhältnis zwischen dem Dritten und dem Nutzer bezieht,
das unter Nutzung von De-Mail zustande gekommen ist,
3. der Dritte die zur Feststellung seiner Identität notwendigen Angaben im Sinne von § 3
Absatz 2 macht,
4. der akkreditierte Diensteanbieter die Richtigkeit der Angaben nach § 3 Absatz 3 überprüft
hat,
5. das Verlangen nicht rechtsmissbräuchlich ist, insbesondere nicht allein dem Zweck
dient, ein Pseudonym aufzudecken, und
6. die schutzwürdigen Interessen des Nutzers im Einzelfall nicht überwiegen.

Im Gegensatz zur landläufigen Meinung im Internet dürfen De-Mail Anbieter also nicht ohne weiteres die Namen und Daten der De-Mail Nutzer herausgeben. Wie in Paragraf 16 deutlich geschrieben, müssen ganz bestimmte Rahmenbedienungen vorliegen.

Paragraf 5:
Die durch die Auskunftserteilung erlangten Daten dürfen nur zu dem bei dem Ersuchen
angegebenen Zweck verwendet werden.
Absatz 6:
Der akkreditierte Diensteanbieter hat die Auskunftserteilung nach Absatz 1 zu dokumentieren und den Nutzer von der Erteilung der Auskunft zu informieren. Die Dokumentationspflicht nach Satz 1 umfasst den Antrag zur Auskunftserteilung samt Angabe des Dritten
nach Absatz 1 […]

Eine Spass-Abfrage sowie eine Fremdverwendung der Daten ist also ausgeschlossen und der De-Mail Nutzer wird über die Auskunft informiert. Dies trifft natürlich nicht auf Anfragen von Ermittlungsbehörden zu.

Paragraf 19 Gleichstellung ausländischer Dienste
Paragraf 19 regelt alle Vorschriften, die ein ausländischer Dienst erfüllen muss, um Mitglied bei De-Mail zu werden. Kurz gesagt, muss gegeben sein, dass ausländische Anbieter genau die gleichen Sicherheitskriterien erfüllen wie inländische Anbieter. Eine zuständige Stelle kontrolliert dies.

Hier könnte auch eine Grund versteckt sein, die Endungen nicht auf „de-mail.de“ lauten zu lassen, da sicherlich kein Franzose eine deutsche E-Mail Adresse nutzen würde. Rein theoretische steht also einer Ausweitung dieses Systems auf die EU nichts im Wege.

Artikel 3 f:
Absatz 5 wird wie folgt gefasst:
„Ein elektronisches Dokument kann im Übrigen unbeschadet des Absatzes 4
elektronisch zugestellt werden, soweit der Empfänger hierfür einen Zugang eröffnet.
Es ist elektronisch zuzustellen, wenn auf Grund einer Rechtsvorschrift ein
Verfahren auf Verlangen des Empfängers in elektronischer Form abgewickelt
wird. Für die Übermittlung ist das Dokument mit einer qualifizierten elektronischen
Signatur nach dem Signaturgesetz zu versehen und gegen unbefugte
Kenntnisnahme Dritter zu schützen.“
c) Absatz 7 wird wie folgt geändert:
bb) In Satz 3 werden die Wörter „glaubhaft macht“ durch das Wort „nachweist“
ersetzt.

Wie zu erwarten war bleibt es bei der Beweislastumkehr durch den Empfänger. Was auf der anderen Seite aber wieder den Vorteil hat, dass ich als Sender genauso davon ausgehen kann, dass der Empfänger mein De-Mail erhalten hat. Eine Kündigung 10 Minuten vor 24 Uhr oder eine Rechnung oder eine Mahnung an eine Geschäftspartner ist genauso sicher angekommen wie eine Gebührenbescheid vom Amt bei mir. Der Nutzer erhält mehr Pflichten aber auch gleichzeitig mehr Rechte bei der Kommunikation zwischen zwei Privatpersonen. Jeder muss nun selber entscheiden, wieviel seiner Korrespondenz rein oder raus geht und welche Konsequenzen dies für einen selber hat.

Nicht behandelt werden vom Gesetz die Frage wie schnell eine De-Mail auf dem Server gelöscht werden muss, wenn sie manuell durch den Nutzer gelöscht wird. Dies war einer der grossen Kritikpunkte am E-Postbrief der Deutschen Post. Lediglich ein „Löschschutz“ von 90 Tagen ist vorgesehen, der De-Mails erst nach 90 Tagen zur Löschung freigibt, sollte sich der Nutzer nur mit niedrigen Sicherheitsniveau anmelden. Wer sich jedoch mit hohem Sicherheitsniveau anmeldet, kann wie gewohnt seine De-Mails jederzeit löschen.

Punkte und Aussagen, welche durch den neues Gesetzestext unberührt geblieben sind, gibt es im Archiv: https://www.ralfbachmann.de/category/de-mailonlinebrief/

Den Gesetzestext vom 13.10.2010 gibt es hier: http://twitter.com/egovzweinull/statuses/27323536290

Wichtig ist an dieser Stelle zu erwähnen, dass es immer ein Unterschied ist, was im Gesetz steht und was die einzelnen Provider als Dienste anbieten. Ziel ist es, dass das Gesetz nur dem Rahmen vorgibt. Zusatzdienstleistungen, AGBs, Preise usw. unterliegen dann jedem Anbieter direkt. Ziel ist es hier einen Markt entstehen zu lassen, an dem sich jeder Provider behaupten muss.