Der Verbraucherzentrale Bundesverband hat sich den DE-Mail-Gesetzentwurf angeschaut und diesen aus Sicht der Verbraucherrechte kommentiert. Das Fazit sieht nicht gut für De-Mail aus, die Nachteile für die Verbraucher „überwiegen deutlich“.
Zusammenfassung der Forderungen / Empfehlungen
* Die Vorschriften im De-Mail-Gesetz müssen technikneutral formuliert sein.
* Eine Sicherheit, ein Datenschutz und eine Vertrauenswürdigkeit einer rechtverbindlichen elektronischen Kommunikation mittels De-Mail kann nur durch eine gesetzlich verbindliche Ende-zu-Ende-Verschlüsselung erreicht werden.
* Ohne weitere Konkretisierung der wesentlichen gesetzlichen Anforderungen ist der Verzicht auf eine Verordnungsermächtigung problematisch.
* Der De-Mail Nutzer muss ein Recht auf die Vergaben einer (oder mehrerer) pseudonymer Adressen haben. Die Vergabe einer pseudonymen De-Mail Adresse muss unabhängig von der Vergabe einer De-Mail-Adresse mit Angabe des Klarnamens möglich sein.
* Die Nutzung eines De-Mail-Dienstes darf nicht von einer Veröffentlichung der Nutzerinformationen im Verzeichnisdienst abhängig gemacht werden. Dieses Kopplungsverbot muss uneingeschränkt gelten.
* Die Verbraucher/ Bürgen müssen vom Diensteanbieter schon zum Zeitpunkt der Beantragung und nicht erst, wie im Entwurf vorgesehen, „vor der ersten Nutzung des De-Mail-Dienstes“ über die Rechtsfolgen und Kosten der Nutzung eines De-Mail-Dienstes umfassend informiert werden. Die Bestätigung der Kenntnisnahme der Informationen durch den Nutzer muss stets schriftlich erfolgen.
* Mail-Adressen akkreditierter Diensteanbieter müssen sich eindeutig von denen nicht-akkreditierten Dienstanbieter unterscheiden lassen. Hierzu ist eine für alle De-Mail-Diensteanbieter verbindliche einheitliche Kennzeichnung der De-Mail-Adressen erforderlich.
* Die spezifischen datenschutzrechtlichen Vorschriften im Gesetz dürfen sich nicht nur auf die reinen Transport der Nachrichten beschränken. Sie müssen sich auf den gesamten Verfahrensprozess beim Dienstanbieter erstrecken.
* Die Nutzung eines De-Mail-Dienstes darf nicht von dem Einverständnis des Nutzers in die Weitergabe seiner persönlichen Daten an Dritte etwa zu Werbezwecken abhängig gemacht werden (Kopplungsverbot).
* Angesichts bestehender Identitätsbestätigungsdienste und vergleichbarer Möglichkeiten zur zuverlässigen Identitätsbestätigung erscheint ein weiteres (kostenträchtiges) System überflüssig. Der Identitätsbestätigungsdienst sollte im Gesetz gestrichen werden.
* Unternehmen, die nachweislich illegale Geschäfte mit Verbrauchern im Internet betreiben, muss der gesetzliche Auskunftsanspruch wirksam verwehrt werden. Unabhängig davon muss es ein allgemeines Anhörungsrecht des Betroffenen vor einem etwaigen Offenlegen eines Pseudonyms geben.
* Staatlich akkreditierten Diensteanbieter sollten eine einheitliche und verbindlich zu verwendende Kennzeichnung erhalten. Jegliche anlehnende Werbung und Kommunikation nicht akkreditierter Diensteanbieter wäre zu untersagen.Fazit
Unter Hinweis auf das Signaturgesetz, nach Abwägung der verfahrensbedingten und wirtschaftlichen Vor- und Nachteile des Gesetzesvorhabens für die Verbraucher / Bürger und nach der Prüfung der einzelnen Regelungen im Referentenentwurf kommt der Verbraucherzentrale Bundesverband zu dem Schluss, dass die damit für den Verbraucher/ Bürger verbundenen Folgenwirkungen und Nachteile etwaige Vorteile deutlich überwiegen. Der Gesetzentwurf in der derzeitigen Fassung wird daher abgelehnt.
Das was mich wirklich am meisten stört ist, dass keine End-do-End Verschlüsselung vorgeschrieben ist (vorgesehen ist es, aber es gibt weder Spezifikationen wie es aus sieht noch Richtlinien wann es eingesetzt werden soll). Dabei wäre es einfach zu nutzen. Nur müsste es ein verbindliches Protokoll geben, das auch genutzt wird.
Einige Forderungen sind sinnvoll, andere weniger. Mal ganz ehrlich: Was soll der Mist, dass jedem Nutzer eine „pseudonyme DE-Mailadresse“ zustehen soll? Das untergräbt doch genau das Ziel der DE-Mail, rechtsverbindlich und offen mit einem gegenüber zu kommunizieren. Wenn ich vermeintlich anonym kommunizieren will, werde ich mir garantiert keine pseudonymisierte DE-Mailadresse holen, für die ich zwingend den Klarnamen angeben muss und die im Endeffekt ohnehin wieder zurückverfolgt werden kann. Die Forderung ist meiner Meinung nach nicht wirklich durchdacht.
Auch der Passus, nach denen es Unternehmen, die „nachweislich illegale Geschäfte mit Verbrauchern im Internet tätigen“ verwehrt bleiben soll, Auskünfte einzufordern, ist kritisch. Die Forderung ist einfach so herrlich naiv. Wie soll das denn genau funktionieren? Es ist ja heute anscheinend schon schwer, gegen offensichtliche Abzockdienste Gerichtsurteile zu erwirken/es dauert einfach unglaublich lange, wenn man sie denn überhaupt zu fassen bekommt. Zudem sind die Anforderungen auch unklar. Was sind denn „nachweislich illegale Geschäfte“? Sollen darunter schon einfache AGB-Verstöße fallen? Oder nur besonders gravierende? Oder nur Geschäfte, die „sittenwidrig“ sind? Wie soll das festgestellt werden? Will sich der Verbraucherzentrale Bundesverband hinstellen und auswürfeln, ob ein Unternehmen „nachweislich illegale Geschäfte“ tätigt? Oder soll erst ein zehnjähriges Verfahren durch drei Instanzen geführt werden, bevor man sich entscheidet? Reicht eine Verurteilung in der Vergangenheit aus oder kann ein Unternehmen sich ändern? Was ist mit anderen Unternehmen, die vom selben „Unternehmer“ gegründet wurden (wie es grade bei Vertragsfallen durchaus üblich ist)?
Andere Forderungen – wie eine Ende-zu-Ende-Verschlüsselung sind dagegen sinnvoll.
Alles in allem glaube ich aber ohnehin nicht daran, dass sich die DE-Mail in absehbarer Zeit durchsetzen wird. Ich tippe da eher auf einen Rohrkrepierer.
Es wäre sinnvoll, die .de- Mail auf die Füße zu stellen:
status quo, der 1. : eMails sind meist unverschlüsselt, eine end- to- to end- Kryptographie findet nur sehr selten statt.
status quo, der 2. : der Export von ‚Pretty Good Privacy‘ (PGP) aus den USA ist verboten, GnuPG wurde komplett ausserhalb der USA neu geschrieben.
zu 1. : schusselige Technologie- Gläubigkeit, mangelndes Bewußtsein für persönlichen Datenschutz, Obrigkeitsgläubigkeit et cet., gepaart mit Faulheit und Bequemlichkeit …
zu 2. : Der Grund hierfür ist ein ganz banaler: die Entwickler haben sich geweigert, in das Programm eine Backdoor einzubauen, alt. einen Masterkey zu generieren, d.h. amerikanische Behörden haben nur die Möglichkeit zu versuchen, die fraglichen eMails aufwändig zu entschlüsseln. Da die Mail- Accounts mit Sicherheit Backdoors haben (da war mal was mit gMail und angeblich chin. Hackern …), sind eMails fast schon öffentliche Plakate.
WAS TUN?
Wenn es Dich früher genervt hat, daß Deine Eltern Deine Post kontrollieren, wg. dem guten Umgang (Rettet dem Dativ!), schlechter Einflüße (, und und und, kennt wohl jeder in irgendeiner Form), hattest Du zwei Möglichkeiten: schnell ausziehen oder die Post zu Onkel, Tante, Freundin, Freund umzuleiten.
Jetzt bist Du groß
und läßt es zu, das Vater Staat Deine Kommunikation inhaltlich überwachen kann, nicht nur die Verbindungsdaten via Vorratsdatenspeicherung, nein, Deine Emails oder .deMails können gespeichert und gelesen werden.
nein, Du bist immer noch ein kleines Kind
sie sagen Dir zwar, sie kontrollierten nicht und bauen den Briefkasten so an, daß Du ihn nicht erreichen kannst, kopieren Deine Post und geben sie Dir danach zum Lesen.
Verschlüsseln!!! Das Einzige, das hilft!!!
Es gibt Kryptograhie- Programme, die jeder selber auf seinem Rechner installieren kann; es gibt eine ‚pubkey- Server- Infrastruktur‘, alles für umsonst/lau!
Gut, das geht nicht einfach per drag& drop, die Dateien muß man/frau ….. einen ‚öffentlichen‘ und eine ‚geheimen‘ Schlüssel; den öffentlichen Schlüssel kann jeder, wirklich jeder haben, er dient nur zum Verschlüsseln der an Empfänger gerichteten Nachrichten. Ein Entschlüsseln der Nachricht mit dem öffentlichen Schlüssel ist nicht möglich, es ist der ‚geheime‘ Schlüssel nötig. Das Ganze nennt sich ‚asymmetrische Verschlüsselung‘.
Hier beißt sich die Überwachung die Zähne aus, selbst der Lauscher am Telefonverteiler im Keller kriegt nur die verschlüsselte eMail mit, wer immer die eMail speichern möchte, soll es ruhig tun. Nutz nur nichts, weil verschlüsselt! Selbst im Mailprogramm bleibt die Verschlüsselung aktiv, ohne Passphrase kommt der neugierige Kollege/ Mitbewohner nicht an die eMail dran (es sei denn, sie wurde unverschlüsselt gespeichert. Wichtig ist eine gute, sichere Passphrase (Passwort) min. 10 Zeichen incl Zahlen und Sonderzeichen, gut merkbar; es gibt diverse Seiten, auf denen man/frau die Sicherheit der Passphrase testen kann (natürlich nicht die korrekte Passphrase eingeben!)
Dieses ist technisch der einzig sichere eMail- Verkehr!
Wem nutzt denn eine Verschlüsselung, die auf den beiden letzten Meilen nicht mehr existiert, der Provider das Schlüsselpaar besitzt, meine privaten eMails im Klartext speichern kann, sich auch noch auf das TKÜ beruft wg. der Speicherpflicht?!
An dieser Stelle reagiert aber AOL schon: Es ist nicht mehr möglich, eine verschlüsselte eMail aus TB direkt zum imap- Server abzusetzen, es erscheint eine Fehlermeldung ‚…Puzzle Image …‘ und ein Link, über den ich mich einloggen kann, mit Captcha geschützt … Also, das System reagiert schon.
Authentizierung
Einfach den ‚öffentlichen Schlüssel‘ zum Absender bringen: z.B. per eMail und parallel tel. Bescheid sagen ‚habe Dir/Ihnen meinen öffentl. Schlüssel geschickt. Wenn Du/Sie mir eine eMail schreiben, kann nur ich selber diese entschlüsseln und lesen.‘ geht auch per Post, per USB- Stick, CD, DVD oder den Schlüssel ausdrucken zum Abtippen … (ziemlich mühevoll) Diese Art der Authentifizierung würde ich sogar als sehr sicher bezeichnen: Der Name meinens eMail- Accounts ist dem ‚Schlüsselpaar‘ zugeordnet, passt also nicht zu einem anderen Account, oder andersherum: zu jedem Konto gibt es ein eindeutiges Schlüsselpaar. Da ich ein Interesse am Erhalt der eMails habe ….
Zertifikate
Das ist ein anderes Kapitel; nur soviel: ein Zertifikat bestimmt eine Prüfsumme der eMail, übermittelt diese mit der unverschlüsselten eMail, beim Empfänger wird über die Prüfsumme die Integrität der eMail bestätigt, oder, falls sie sich auf dem Weg verändert hat (manipuliert wurde) eben dieses.
Ein Zertifikat kann zur Authenfizierung sinnvoll sein, steht auch einer Verschlüsselung nicht im Wege, sollte jedoch keine Zwangsmaßnahme sein!
Zertifizierungsstelle
Wir brauchen eine solche, um uns ‚natürliche Personen‘ bei Bedarf mit einem kostengünstigen und authentischem Zertifikat ausstatten zu können, z.B. zum Bezirksamt gehen, Ausweis vorlegen, sagen ‚ja ich bin es wirklich‘, 2,50 Euro bezahlen und Zertifikat auf USB- Stick ziehen, Passphrase aufschreiben und gut: Zertifikat mit 10 Jahren Gültigkeit erhalten.
Wir brauchen keine Zertifizierung über ePersonalausweis, Gesundheitskarte
oder was auch immer sich die Überwacher noch ausdenken … All das beinhaltet:
immense Kosten,
ungeklärte Authentifizierung und Zugriffsrechte,
Probleme beim Datenschutz,
all das nachzulesen z.B. bei Heise (Authent./Probleme Key/ Masterkeys, Sicherung derselben , Integrität, Zugriffsrechte), z.T. hier
Für mich drückt sich in vielen dieser Bestrebungen nur eines aus:
da hat doch jemand viel Angst vorm Bürger
Kritik kommt – meiner Ansicht nach zu Recht – auch von ganz anderer Seite:
http://www.heise.de/newsticker/meldung/Sicherheitsunternehmen-kritisieren-De-Mail-1046658.html
Die Verpflichtung täglich die DE-Mail abrufen zu müssen sollte auch gestrichen werden.
Jeder sollte das Recht haben zumindest den Urlaub offline zu verbringen.
DE-Mail: Was es alles kann – und auch nicht …
Es gibt schon länger Alternativen, so wie etwa Opolis Secure Mail (http://www.opolis.eu), die mehr können, global anwendbar sind und auch noch gratis sind …
Ausserdem: Bei Opolis entscheidet der Absender, was der Empfänger mit der Nachricht machen darf (weiterleiten, kopieren, ausdrucken)
Interessanter Artikel:
http://www.prlog.org/10834702