Anna Biselli

Lange nichts mehr von De-Mail gehört, gibt es das überhaupt noch? Diese Frage könnte man sich seit beinahe zehn Jahren regelmäßig stellen, und so hat auch Jan Korte mit den Linken im Bundestag eine Kleine Anfrage zum aktuellen „Stand der Entwicklung und Einführung von De-Mail“ gestellt. Die Antwort (unten im Volltext) zeugt von der Orientierungslosigkeit der Bundesregierung und ihrer Bevorzugung von Betriebs- und Geschäftsgeheimnissen gegenüber den Interessen der Bürger und Transparenz.

Wie viel kostet De-Mail?

Einige der Fragen bezogen sich auf die Kosten, die mit der Umsetzung und Einführung von De-Mail verbunden waren und sind. Die Gesamtkosten soll die Öffentlichkeit nicht erfahren, denn sie sind als Verschlusssache „Nur für den Dienstgebrauch“ eingestuft. Das einzige, was man erfährt, ist, dass alle Entwicklungskosten durch das Bundesinnenministerium gezahlt wurden. Immerhin für das Bundesamt für Sicherheit in der Informationstechnik werden Zahlen genannt, besser gesagt für die Entwicklung der ca. 20 technischen Richtlinien zu De-Mail, die von der Behörde angefertigt wurden – 2 Personen-Jahre seien in die etwa 600 Seiten geflossen.

Was Länder und Kommunen angeht, gebe es keine Kenntnisse. Doch gerade diese stehen vor immensen Kosten, die bei der Einführung von De-Mail und der damit verbundenen Umstrukturierung anfallen. Will die Bundesregierung also wirklich die Verbreitung und Akzeptanz dieses Dienstes fördern, sollte sie eine weniger kurzsichtige Haltung annehmen und sich auch um diejenigen kümmern, die den Dienst einsetzen sollen.

Was die Anbieter der De-Mail-Dienste an Kosten hatten, wisse die Regierung auch nicht, redet sich jedoch schon in den Vorbemerkungen heraus:

Für diejenigen, die über Kenntnisse der Branchenüblichkeit verfügen, lassen die Angaben auch Rückschlüsse auf Umfang und Kostenstruktur der jeweiligen Leistungserbringer zu.

Da wir nicht über diese Kenntnisse „der Branchenüblichkeit“ verfügen, werden wir im Dunkeln gelassen. Falls uns jemand aushelfen will und kann, wie immer gerne über die üblichen Kanäle.

Eine Million Privatnutzer registriert, tatsächliche Nutzung unbekannt

Doch wie sieht es nun aus mit der Verbreitung? Auch das wollten die Fragesteller wissen, und wir erleben astreine Ankündigungspolitik. Das „zentrale Gateway zur Anbindung der Bundesbehörden an De-Mail“ habe seinen Betrieb aufgenommen. Dieses Gateway soll dafür sorgen, dass die interne E‑Mail-Infrastruktur einer Behörde direkt mit De-Mail verbunden werden kann. Bis März 2016 sollen dann alle Behörden, die an den Informationsverbund Berlin-Brandenburg oder der Bundesverwaltung angeschlossen sind, De-Mail unterstützen.

Doch dass das Gateway seinen Betrieb aufgenommen hat, bedeutet nicht, dass De-Mail auch schon verfügbar ist. So lange das nicht gegeben ist, gibt es nicht einmal für „rechtsverbindliche“ E‑Mail-Kommunikation den Anreiz, De-Mail zu nutzen, und daher fragt man sich, wer die „über eine Million Privatkunden, einige zehntausend Mittelstandskunden und ca. 1000 De-Mail-Großkunden aus Wirtschaft und Verwaltung“ sein sollen, die sich für De-Mail registriert haben. Es liegt nahe, dass sich nicht wenige Accountleichen unter diesen befinden, zur tatsächlichen monatlichen Nutzung und dem Datenaufkommen im De-Mail-System werden keine Angaben gemacht.

Es braucht eine „kritische Masse“, doch Bundesregierung weiß nicht, wie die aussehen soll

Ein Akzeptanzproblem bei De-Mail stellt auch die Inkompatibilität dar. Selbst wenn wir davon ausgehen, dass sich De-Mail in Deutschland durchsetzen sollte, wäre man in einem nationalen System gefangen. Ausgehend von der Struktur des Internets scheint es absurd, dann auf ein System zurückzugreifen, dass dem Nutzer derartige Einschränkungen auferlegt. Die Regierung selbst spricht von einem „geschlossenen System“, bei dem „grundsätzlich nicht von einer ‚Kompatibilität’ zu anderen Diensten gesprochen werden“ könne, auch wenn Interoperabilität mit „Zustelldiensten“ anderer Länder geschaffen werden soll.

Doch die Bundesregierung scheint der Meinung zu sein, man brauche nur eine „kritische Masse“ an Nutzern, damit das System sich durchsetze. Auf die Frage, was diese kritische Masse sein soll, gibt es nur Ausflüchte. Es hänge „sehr stark von der jeweiligen Technik, den involvierten Geschäftsmodellen der Betreiber, externen Nutzungsanreizen o. ä. ab“. Deshalb sei eine „pauschale Quantifizierung“ nicht möglich. Dabei will niemand eine „pauschale“ Quantifizierung, und man sollte eigentlich erwarten können, dass sich die Bundesregierung in den letzten zehn Jahren irgendwann einmal darüber Gedanken gemacht hat, welche Ziele bei der Einführung erreicht werden sollen. Es scheint oder wird suggeriert, als sei das nie geschehen.

Jan Korte kommentiert:

Die Antwort zeigt, dass De-Mail, wie schon vor Jahren von allen ernst zu nehmenden Fachleuten prognostiziert, gescheitert ist. Trotzdem ist die Bundesregierung offensichtlich weiterhin wild entschlossen, dieses tote Pferd weiter zu reiten und damit weitere Steuergelder zu verbrennen.

Es liegt nahe, dass die ominöse „kritische Masse“ also entweder nie erreicht oder schlicht irgendwann als erreicht definiert werden wird. Genau wie die Rechtssicherheit des Systems.

De-Mail ist per Gesetz als sicher definiert

Auch die Sicherheit wurde definiert – per Gesetz. Seit Juli 2014 ist „der gegenüber einer einfachen Mail erhöhte Beweiswert einer absenderbestätigten De-Mail gesetzlich bestimmt“. Diese Sicherheitsdefinition hat schon bei ihrem Entstehen 2013 für Häme gesorgt, denn es bestanden zu der Zeit erhebliche Sicherheitsmängel, und der Versuch, etwas sicher zu machen, indem man es per Gesetz als sicher erklärt, konnte wenig überzeugen. Wir berichteten:

Durch eine mangelnde Ende-zu-Ende-Verschlüsselung ist eine De-Mail weniger vertrauensvoll als ein Brief, aber per Gesetz soll sie trotzdem als sicher genug für Kommunikation mit Behörden eingestuft werden. Noch dazu wird die Signatur nicht vom Absender, sondern vom De-Mail-Anbieter erstellt, was in etwa bedeutet, dass ein Brief rechtssicher unterschrieben ist, sobald ein Absender und ein Poststempel drauf sind, egal wer den Brief wirklich verfasst hat.

Bei der Ende-zu-Ende-Verschlüsselung wurde mittlerweile nachgebessert. Die Integration eines PGP-Plugins in De-Mail wurde im März diesen Jahres präsentiert, als Reaktion auf die seit Jahren andauernde Kritik, dass De-Mail keine vertrauliche Kommunikation ermöglicht, da nur eine Transport- und keine Ende-zu-Ende-Verschlüsselung umgesetzt werden sollte – als Konsequenz wären Mails für diejenigen mit Zugang auf den Mailserver problemlos lesbar.

Grundsätzlich ist die Integration von Ende-zu-Ende-Verschlüsselung begrüßenswert und überfällig, doch sie bringt auch Probleme mit sich. Was beispielsweise, wenn der Nutzer das Passwort für seinen Key vergessen hat und infolgedessen eine amtliche Mail nicht öffnen kann? Klar, dann hat er keinen Zugriff mehr, und das ist auch gut so. Die Bundesregierung ist hier aber kreativ und denkt sich eine „Lösung“ aus:

Auch im Fall, dass die Entschlüsselung beim Empfänger fehlschlägt, ist für diesen der Absender und ggf. auch der Betreff erkennbar, so dass der Empfänger praktisch die Möglichkeit hat, auf die Probleme hinzuweisen und ggf. eine erneute Zusendung oder die Informationsübermittlung auf einem anderen Kommunikationskanal zu vereinbaren.

Was dieser andere Kommunikationskanal sein soll, ist unklar. Anhand unserer praktischen Erfahrungen fürchten wir, dass es in einem erneuten Zusenden der Mail, diesmal unverschlüsselt, resultieren würde. Es ist jedoch fraglich, ob selbst bei funktionierender Ende-zu-Ende-Verschlüsselung konsequent verschlüsselt werden würde, denn die Beurteilung, ob der Aufwand „in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck“ steht, bleibt bei den einzelnen Behörden.

Berechtigte und akkreditierte Stellen dürfen Auskünfte über De-Mail bekommen

De-Mail weckt auch Begehrlichkeiten, denn Strafverfolgungsbehörden und Geheimdienste haben natürlich auch hier ein Interesse, an die Meta- und gegebenenfalls Inhaltsdaten der Kommunikationen zu gelangen, die über De-Mail abgewickelt werden. Laut Bundesregierung gebe es jedoch derzeit keinerlei automatisierte Auskünfte über „E‑Mail-Dienstekennungen“ nach § 112 TKG, also dem Parapraphen, der die automatische Bestandsdatenauskunft regelt. Problematisch ist, dass sich nirgendwo im TKG eine Definition von „E‑Mail-Dienstekennung“ findet. Die Aussage der Antwort ist so gesehen undurchsichtig. Was akkreditierte Diensteanbieter beauskunftet bekommen, wisse die Bundesregierung nicht.

Spannend wird es bei der Frage nach Vorratsdatenspeicherung. Die Bundesregierung beruft sich darauf, dass das geplante Gesetz zur Vorratsdatenspeicherung keine Verkehrsdaten von E‑Mail-Kommunikation, also auch nicht De-Mail erfassen will. Die gestellte Frage beantwortet sie jedoch nicht, denn eigentlich wollen die Fragesteller wissen, wie die Erfassung „künftig normenklar und technisch ausgeschlossen“ werden kann, eben weil die Erfassung von Mails nicht erfolgen soll.

Dafür erfahren wir, dass es nach § 110 TKG Überwachungsschnittstellen gibt:

Zwei der drei genannten De-Mail-Provider haben aufgrund ihrer Verpflichtung nach § 110 TKG und der Telekommunikations-Überwachungsverordnung eine Schnittstelle zu den berechtigten Stellen eingerichtet.

Die existierenden, vom BSI akkreditierten Provider sind die Deutsche Telekom und T‑Systems, Francotyp-Postalia bzw. die zugehörige Mentana-Claimsoft GmbH und United Internet, zu dem 1&1, gmx.de und web.de gehören. Auf Nachfrage teilten uns alle der vorgenannten Anbieter mit, sie hätten selbstverständlich ihre Verpflichtungen nach § 110 TKG erfüllt. Was stimmt hier also? Oder hat die Bundesregierung wieder einmal keine Ahnung, was vor sich geht?

Wie geht es mit De-Mail weiter?

Wenn wir auf die letzten circa zehn Jahre seit der Initiierung von De-Mail zurückschauen, sehen wir eine Reihe von Misserfolgen und Blamagen. Dennoch hat noch niemand den Schritt getan, das Projekt endlich zu beerdigen. Korte hat dafür kein Verständnis, er kritisiert, dass die Öffentlichkeit „unter dem Vorwand des Schutzes von Betriebs- und Geschäftsgeheimnissen, nicht erfahren darf, wie viel Steuergelder durch dieses sinnlose Projekt verbrannt wurden, bzw. welche Firmen davon profitierten“:

Es ist an der Zeit, die Notbremse zu ziehen und dieses unbrauchbare und aus der Zeit gefallene Projekt zu stoppen. Wenn man gleich am Anfang auf die zahlreichen Kritiker gehört hätte, dann wäre diese Blamage den Verantwortlichen erspart geblieben.

Die Einsichtsfähigkeit in Punkto De-Mail ist jedoch bekanntermaßen begrenzt, und wir müssen leider vermuten, dass eine Kleine Anfrage in einigen Jahren mit dem gleichen (Nicht-)Ergebnis beantwortet werden wird, anstatt dass die Bundesregierung mehr in offene und freie Methoden der vertraulichen und authentifizierbaren Kommunikation investiert.

---

Anfrage aus dem PDF befreit

Bundesministerium des Innern

DATUM 29. Juni 2015

BETREFF Kleine Anfrage des Abgeordneten Jan Korte u. a. und der Fraktion DIE LINKE.

Aktueller Stand der Entwicklung und Einführung von De-Mail

BT-Drucksache 18/5190

Auf die Kleine Anfrage übersende ich namens der Bundesregierung die beigefügte Antwort in 4‑facher Ausfertigung.

Teile der Antwort sind VS – NUR FÜR DEN DIENSTGEBRAUCH eingestuft.

Mit freundlichen Grüßen
in Vertretung

Dr. Ole Schröder

[pagebreak]

Kleine Anfrage des Abgeordneten Jan Korte u. a. und der Fraktion DIE LINKE.

Aktueller Stand der Entwicklung und Einführung von De-Mail

BT-Drucksache BT 18/5190

Vorbemerkung der Fragesteller:

Der Zwischenbericht der Bundesregierung nach Artikel 4 des Gesetzes zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften (Drucksache 18/4042 vom 16.02.2015) bestätigte erneut die seit der Einführung bestehenden Akzeptanzprobleme. In dem Zwischenbericht heißt es, dass die für die Entstehung von Netzwerkeffekten erforderliche ‚kritische Masse’ von Nutzern noch nicht erreicht werden konnte.“ Die Einführung der De-Mail im Bereich der Bundesverwaltung habe sich „aufgrund eines Nachprüfungsverfahrens eines Wettbewerbers […] erheblich verzögert.“ Während in der offiziellen Auswertung des BMWI zum 8. Nationalen IT-Gipfel im Oktober 2014 die Position des BMI noch folgendermaßen zitiert wurde: „De Maiziere bestärkt die Zusage aus der Digitalen Agenda, bis Ende 2015 bei allen Bundesbehörden De-Mail einzuführen“, so beantwortete wenige Monate später ein Sprecher des BMI eine NET-Anfrage so: „Die Bundesbehörden sind gemäß E‑Government-Gesetz verpflichtet, innerhalb eines Jahres nach Bereitstellung einer zentral durch den Bund betriebenen Infrastruktur (zentrales De-Mail-Gateway) den Zugang per De-Mail zu eröffnen […]. Das BMI ging im Oktober 2014 noch von einer Inbetriebnahme des Gateways bis Ende 2014 aus. Das Gateway wird jedoch erst im Laufe des Monats März 2015 in Betrieb gehen, so dass in der Folge einige Behörden ggf. erst im ersten Quartal 2016 den De-Mail-Zugang realisieren. “ (NET 4/15).

De-Mail wird von der Deutsche Telekom, Francotyp-Postalia sowie United Internet (1&1, GMX und Web.de) angeboten. Weiterhin bestehen erhebliche Zweifel, dass die Provider diesen Dienst kostendeckend betreiben können. Zumindest United Internet beziffert die erheblichen Anlaufverluste in ihrem Geschäftsbericht (Quelle).

Am 15. April 2013 hatten der Chaos Computer Club und weitere Sachverständige in einer Öffentlichen Anhörung des Rechtsausschusses der De-Mail in puncto Sicherheit ein katastrophales Zeugnis ausgestellt. Der zentrale Kritikpunkt war die fehlende Ende-zu-Ende-Verschlüsselung, die den De-Mail-Providern, Polizei, Geheimdiensten und potentiellen Angreifern Zugriff auf die unverschlüsselten Kommunikationsdaten gewähre. Trotz dieser schwerwiegenden Bedenken beschloss der Deutsche Bundestag am 18. April 2013 das Gesetz zur Förderung der elektronischen Verwaltung.

Die Anbieter des E‑Mail-Systems haben nun zwei Jahre nach Inkrafttreten des De-Mail-Gesetzes reagiert und zumindest in Punkto fehlender Ende-zu-Ende Verschlüsselung nachgebessert. Seit dem 20. April 2015 können private Nutzer, Ämter und Unternehmen via De-Mail mittels PGP („Pretty Good Privacy“) vertrauliche Inhalte durchgehend vom Absender bis zum Empfänger schützen.

[pagebreak]

- 2 -

Die Kritik, wonach De-Mail jetzt zwar sicherer, dafür allerdings mit einer äußerst benutzerunfreundlichen Lösung aufwarte, wiesen die Anbieter zurück, da sie den Verschlüsselungs-Prozess so stark vereinfacht hätten, dass zwei Drittel der sonst bei PGP üblichen Schritte entfallen und der Anwender im Rahmen seiner gewohnten Browser-Umgebung durch den Prozess geführt würde. Allerdings verschwiegen sie, dass dies nur bei einigen Browsern möglich ist. Auch der Kritik, dass die Verschlüsselung bei der De-Mail, wie bei WhatsApp von Facebook oder iMessage von Apple, standardmäßig hätte aktiviert sein müssen, widersprechen die Anbieter mit dem Argument, dass dies bei De-Mail nicht möglich sei, da hier kein geschlossenes System vorliege. Am 15. November 2013 hatte die Süddeutsche Zeitung berichtet, dass an das deutsche Tochterunternehmen des US-amerikanischen Spionagedienstleisters Computer Sciences Corporation (CSC) auch im Rahmen der De-Mail-Entwicklung Aufträge ergangen seien. Laut einer Meldung auf netzpolitik.org war die Firma noch bis 2012 mit der „Unterstützung bei der Fachkommunikation“ befasst. Neben mehreren Studien zur „Unterstützung bei der Öffentlichkeitsarbeit und Akzeptanzmanagement“ betreute CSC demnach noch bis März 2014 ein Vorhaben „Projektunterstützung De-Mail“. Auch das „Kompetenzzentrum De-Mail“ wurde ebenfalls von CSC bei der Presse- und Öffentlichkeitsarbeit beraten (vgl. netzpolitik.org vom 18.11.2013).

Vorbemerkung:

Die Bundesregierung ist bei der Beantwortung von Fragen aus dem Parlament verfassungsrechtlich insbesondere dazu verpflichtet, die Grundrechte Dritter zu wahren. Hierunter fallen auch die von Artikel 12 Absatz 1 und Artikel 14 Absatz 1 des Grundgesetzes (GG), im Übrigen nach Artikel 2 Absatz 1 GG geschützten Betriebs- und Geschäftsgeheimnisse der Empfänger von Beratungsleistungen und beauftragten Beratungsunternehmen. „Als Betriebs- und Geschäftsgeheimnisse werden alle auf ein Unternehmen bezogenen Tatsachen, Umstände und Vorgänge verstanden, die nicht offenkundig, sondern nur einem begrenzten Personenkreis zugänglich sind und an deren Nichtverbreitung der Rechtsträger ein besonderes Interesse hat.“ (BVerfGE 115, 205/230 zum Schutz aus Artikel 12 GG). Auftragnehmer, Auftragsinhalt sowie die entsprechenden Kosten der Aufträge stellen dem Wesen nach derartige Betriebs- und Geschäftsgeheimnisse dar, gerade auch in der hier abgefragten, auf die Einzelaufträge und deren Gesamtheit bezogenen Zusammenstellung. Für diejenigen, die über Kenntnisse der Branchenüblichkeit verfügen, lassen die Angaben auch Rückschlüsse auf Umfang und Kostenstruktur der jeweiligen Leistungserbringer zu. Rückblickend für einen Zeitraum von fast 10 Jahren zu entscheiden, ob in Einzelfällen eine Wettbewerbsrelevanz entfallen ist, wäre nicht möglich, ohne alle Auftragsverhältnisse im Detail zu beurteilen. Auch wäre es wegen des betroffenen Zeitraums von fast zehn Jahren im Rahmen der für die Beantwortung der Anfrage zur Verfügung stehenden Zeit nicht möglich, von allen betroffenen Auftragnehmern eine Einwilligung zur offenen Mitteilung der Honorare zu erhalten. Vor diesem Hintergrund kann eine Beantwortung der Fragen 1, 2, 22 und 23 nach sorgfältiger Abwägung des Informationsinteresses der Abgeordneten des Deutschen Bundestages einerseits und der angesprochenen Geheimschutzinteressen andererseits nicht in einer zur Veröffentlichung bestimmten Bundestagsdrucksache erfolgen.

[pagebreak]

- 3 -

Unter entsprechender VS-Einstufung werden die Angaben (Anlagen 1 und 2) daher gesondert übersandt. Darüber hinaus werden ergänzende Informationen zur Beantwortung der Frage 24 (Anlage 3) ebenfalls unter der Einstufung VS – Nur für den Dienstgebrauch gesondert übersandt.

1. Wie viel hat die Entwicklung von De-Mail bislang insgesamt gekostet? (Bitte entsprechend aufschlüsseln)

Zu 1.

Die im Zuge der Entwicklung von De-Mail beim Bundesministerium des Innern und beim Bundesamt für Sicherheit in der Informationstechnik (BSI) entstandenen haushaltswirksamen Ausgaben sind der VS – Nur für den Dienstgebrauch eingestuften Anlage 1 zu entnehmen. Dabei wurden als Entwicklungskosten diejenigen Ausgaben berücksichtigt, die während des von 2006 bis 2010 durchgeführten Forschungs- und Entwicklungsprojekts De-Mail aus dem Haushalt des BMI gezahlt wurden. Ausgaben in den Haushalten anderer Ministerien und Bundesbehörden sind im Zuge dieses Projekts nicht entstanden. Über die Aufwände der De-Mail-Diensteanbieter zur Entwicklung und Etablierung ihrer Dienste etc. liegen der Bundesregierung keine Kenntnisse vor.

2. Wer hat diese Kosten im Detail übernommen?

Zu 2.

Die in der VS – Nur für den Dienstgebrauch eingestuften Anlage 1 (vgl. Frage 1) aufgeführten Kosten wurden aus Haushaltsmitteln des Bundesministeriums des Innern gezahlt.

3. Welche Kosten entstanden bislang nach Kenntnis der Bundesregierung den Verwaltungen von Ländern und Kommunen bei der Einführung der De-Mail und mit welchen Kosten wird hier insgesamt gerechnet? (Bitte entsprechend aufschlüsseln)

Zu 3.

Die Bundesregierung hat keine Kenntnisse darüber, welche Aufwendungen in den Ländern und Kommunen im Zusammenhang mit der Einführung von De-Mail entstanden sind und erwartet werden.

4. Wie viele Arbeitsstunden (pro beteiligter Person und insgesamt) hat das Bundesamt für die Sicherheit in der Informationstechnik (BSI) in die Entwicklung der rund 600 Seiten umfassenden technischen Richtlinien investiert?

[pagebreak]

- 4 -

Zu 4.
Die nachfolgende Abschätzung berücksichtigt die Arbeitsaufwände, die eindeutig im BSI selbst für die Entwicklung der Technischen Richtlinie (TR) 01201 De-Mail aufgewendet wurden. Sie umfasst Aufwände für die Erstellung (Entwurfserstellung, Abstimmung der Zwischenergebnisse und Einarbeitung der entsprechenden Änderungsvorschläge) der entsprechenden TR bis zu ihrer Erstveröffentlichung im Frühjahr 2011 (Veröffentlichung im Bundesanzeiger am 5. April 2011). Der ermittelte Arbeitsaufwand seit 2008 bis zur Fertigstellung und Veröffentlichung der TR 01201 De-Mail im Frühjahr 2011 innerhalb des BSI beläuft sich auf circa 2 Personen-Jahre [Berechnungsgrundlage: 200 PT/Jahr]. Die geleisteten Aufwände können nach über vier Jahren nicht mehr einzelnen Personen zugeordnet werden.

5. Welche Behörden haben nach Kenntnis der Bundesregierung einen De-Mail-Zugang und welche werden ihn voraussichtlich ab wann bekommen?

Zu 5.

Das zentrale Gateway zur Anbindung der Bundesbehörden an De-Mail hat am 23. März 2015 seinen Betrieb aufgenommen. Jede Behörde des Bundes, die einen Zugang zu diesem Gateway hat, ist nach § 2 Absatz 2 des Gesetzes zur Förderung der elektronischen Verwaltung (E‑Government-Gesetz) verpflichtet, bis zum 24. März 2016 einen Zugang für De-Mail zu eröffnen. Derzeit laufen bei den Bundesbehörden die Vorbereitungen für die Anbindung an das De-Mail-Gateway. Hierbei werden die Behörden bei Bedarf vom Bundesverwaltungsamt unterstützt. In diesem Zusammenhang führt das Bundesverwaltungsamt derzeit eine Abfrage u.a. über die von den einzelnen Bundesbehörden jeweils favorisierten Anbindungstermine durch.

6. Mit welchen Behörden können De-Mail-Nutzer nach Kenntnis der Bundesregierung per PGP-Plugin verschlüsselt kommunizieren, welche planen dies und welche Institutionen lehnen eine verschlüsselte Kommunikation mit Bürgern und Unternehmen aus welchen Gründen ab? (Bitte entsprechend auflisten)

Zu 6.

Die Abfrage des Bundesverwaltungsamts (vgl. Antwort zu Frage 5) befasst sich auch mit den jeweiligen Planungen zur Nutzung von Ende-zu-Ende-Verschlüsselung bei De-Mail.

7. Wie hat sich die Nutzung in den vergangenen Jahren entwickelt und wie viele authentifizierte De-Mail Nutzer sind aktuell registriert?

[pagebreak]

- 5 -

Zu 7.
Nach Angaben der De-Mail-Anbieter im Rahmen der Arbeitsgruppe De-Mail (vgl. Frage 11) haben sich seit Marktstart im September 2012 über eine Million Privatkunden, einige zehntausend Mittelstandskunden und ca. 1000 De-Mail-Großkunden aus Wirtschaft und Verwaltung authentifiziert.

8. Wie viele De-Mails wurden von den Nutzern bisher tatsächlich versandt?

9. Wie viele De-Mails werden derzeit durchschnittlich pro Monat versandt?

Zu 8. und 9.

Da die De-Mail-Diensteanbieter nicht verpflichtet sind, der Bundesregierung hierüber Angaben zu machen, liegen der Bundesregierung hierzu keine Kenntnisse vor.

10. In welchem Jahr wird nach Auffassung der Bundesregierung die für die Entstehung von Netzwerkeffekten erforderliche „kritische Masse“ (BT-Drs. 18/4042) von De-Mail-Nutzern erreicht und auf welche Größenordnung taxiert die Bundesregierung diese?

Zu 10.

Die im zitierten Bericht erwähnte „kritische Masse“ gibt eine Erfahrungstatsache aus der Entwicklung von Netzwerken wider, nach der ein wirtschaftlicher und sich selbst tragender Betrieb einer solchen Infrastruktur erst dann dauerhaft möglich ist, wenn eine bestimmte Anzahl von Personen oder Institutionen eine bestimmte Technik nutzt. Wie groß diese „kritische Masse“ ist, hängt sehr stark von derjeweiligen Technik, den involvierten Geschäftsmodellen der Betreiber, externen Nutzungsanreizen o. ä. ab. Eine pauschale Quantifizierung ist nicht möglich. Daher ist auch keine zuverlässige Prognose darüber möglich, wann diese „kritische Masse“ erreicht sein wird.

11. Welche Personen bzw. Unternehmen gehören der gemeinsamen Arbeitsgruppe mit der Wirtschaft an, um im Rahmen der Digitalen Agenda die flächendeckende Einführung von De-Mail zu beschleunigen?

Zu 11.

Die im Rahmen der Digitalen Agenda eingerichtete Arbeitsgruppe De-Mail wird vom Bundesministerium des Innern geleitet. Mitglieder der Arbeitsgruppe De-Mail sind außerdem Vertreter der akkreditierten De-Mail-Diensteanbieter (Telekom Deutschland GmbH, T‑Systems International GmbH, Mentana-Claimsoft GmbH, 1&1 De-Mail GmbH).

[pagebreak]

- 6 -

12. Wie bewertet die Bundesregierung die zwei Jahre nach Einführung erfolgte Nachbesserung in Punkto einer ab dem 20. April 2015 möglichen Ende-zu-Ende Verschlüsselung und sieht sie dadurch alle früheren Datenschutz-Kritikpunkte an De-Mail ausgeräumt? (Bitte begründen)

Zu 12.

Schon in der Vergangenheit konnten De-Mail-Nutzer ihre Dokumente auf dem bereits verschlüsselten Transportweg zusätzlich Ende-zu-Ende verschlüsseln. Seit dem 20. April 2015 ist von den De-Mail-Diensteanbietern die Möglichkeit zur Nutzung der Ende-zu-Ende-Verschlüsselung bei De-Mail stark vereinfacht worden. Dieses De-Mail ergänzende, zusätzliche Angebot ist aus Sicht der Bundesregierung begrüßenswert. Die mit Blick auf Datenschutz und Datensicherheit in der Vergangenheit vorgebrachten Forderungen nach zusätzlicher Sicherheit wurden dadurch auf nutzerfreundliche Art und Weise erfüllt. Auch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat die Einführung der Ende-zu-Ende-Verschlüsselung bei De-Mail in ihrer Pressemitteilung vom 9. März 2015 ausdrücklich begrüßt (http://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2015/09_EndeZuEndeVerschluesselungBeiDEMail.html?nn=5217154).

13. Werden die De-Mail-Server auch als PGP-Keyserver genutzt?

Zu 13.

Bei der Bereitstellung von PGP-Diensten durch die De-Mail-Diensteanbieter wird lediglich der in die Akkreditierung bereits einbezogene Öffentliche Verzeichnisdienst (ÖVD) um entsprechende Felder erweitert. Es gibt daher in diesem Kontext keinen eigenständigen PGP-Server.

14. Existieren nach Auffassung der Bundesregierung noch Probleme der Rechtssicherheit von De-Mail (z.B. bezüglich Beweiskraft, Beweislast oder Schriftformerfordernis) und wenn ja, wie sollen diese gelöst werden? Wenn nein, warum nicht?

Antwort zu Frage 14:

Die Rechtssicherheit der De-Mail-Kommunikation ist durch gesetzgeberische Maßnahmen gewährleistet. Durch die Ergänzung des § 371a der ZPO durch das Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten vom 10. Oktober 2013 (BGBI. I S. 3786) ist mit Wirkung vom 1. Juli 2014 der gegenüber einer einfachen Mail erhöhte Beweiswert einer absenderbestätigten De-Mail gesetzlich bestimmt worden. Zugleich ist in sämtlichen Verfahrensordnungen außer der Strafprozessordnung mit Wirkung vom 1. Januar 2018 vorgesehen, dass die Einreichung eines Schriftsatzes durch absenderbestätigte De-Mail das prozessuale Schriftformerfordernis erfüllt.

[pagebreak]

- 7 -

Mit dem E‑Government-Gesetz vom 25. Juli 2013 (BGBI. I S. 2749) wurde in den bundesrechtlichen Verfahrensordnungen des Verwaltungsverfahrensgesetzes. der Abgabenordnung sowie des Ersten Buches Sozialgesetzbuch für die Ersetzung einer durch Rechtsvorschrift angeordneten Schriftform neben der elektronischen Form auch die Versendung eines elektronischen Dokumentes mit einer absenderbestätigten De-Mail zugelassen. Durch die in § 9 Absatz 1 des De-Mail-Gesetzes (BGBI. I S. 666) normierte Auskunftspflicht der De-Mail-Diensteanbieter ist im Übrigen sichergestellt, dass die Nutzer über die Rechtsfolgen einer De-Mail informiert werden.

15. Was passiert, wenn eine verschlüsselte amtliche Nachricht bei einem De-Mail-Nutzer eintrifft, dieser sie aber aus technischen Gründen nicht öffnen kann, weil er sein PGP-Passwort vergessen hat?

Zu 15.

Für eine erfolgreiche Ende-zu-Ende-verschlüsselte-Kommunikation müssen sich beide Kommunikationspartner über die Verschlüsselung verständigen. Insoweit ergeben sich aus einer Nutzung der Ende-zu-Ende-Verschlüsselung innerhalb einer De-Mail-Kommunikation keine Besonderheiten. Auch im Fall, dass die Entschlüsselung beim Empfänger fehlschlägt, ist für diesen der Absender und ggf. auch der Betreff erkennbar, so dass der Empfänger praktisch die Möglichkeit hat, auf die Probleme hinzuweisen und ggf. eine erneute Zusendung oder die Informationsübermittlung auf einem anderen Kommunikationskanal zu vereinbaren.

16. Inwieweit ist die De-Mail in andere E‑Government-Projekte oder Konzeptionen eingebunden und welche Rolle spielt sie in der E‑Government-Strategie der Bundesregierung?

Zu 16.

De-Mail ist als Instrument zur Umsetzung einer sicheren IT-Infrastruktur für den Zugang zur Verwaltung und als ein Schriftformersatz eines der Vorhaben im Regierungsprogramm „Digitale Verwaltung 2020“, das die Umsetzung des E‑Government-Gesetzes vom 25. Juli 2013 (BGBI. I S. 2749) im Bund koordiniert. In der Digitalen Agenda der Bundesregierung ist im Handlungsfeld III „Innovativer Staat“ festgehalten: „Die Verwaltung soll über verschiedene Wege sicher und einfach erreichbar sein. Wir führen De-Mail flächendeckend ein. Um die flächendeckende Einführung von De-Mail zu beschleunigen, wird eine gemeinsame Arbeitsgruppe mit der Wirtschaft eingerichtet, in der Erfahrungen ausgetauscht und identifizierte Hürden zeitnah adressiert werden.“

17. Welche elektronischen Zustelldienste bestehen in den übrigen Mitgliedstaaten der EU und welche davon sind mit De-Mail kompatibel?

[pagebreak]

- 8 -

Zu 17.
Die De-Mail wird bisher als geschlossenes System der akkreditierten De-Mail-Diensteanbieter betrieben. Insofern kann grundsätzlich nicht von einer „Kompatibilität“ zu anderen Diensten gesprochen werden. Allerdings wurde und wird der Austausch von Nachrichten zwischen dem De-Mail-System und Zustelldiensten u. a. aus Frankreich („Lettre Recommandée en ligne“, La Poste), Österreich („Elektronische Zustellung“), Niederlande („BerichtenBox“) und Italien („PostaCertificata“) in mehreren Projekten z. T. in Testsystemen pilotiert. Eine Prüfung auf Gleichwertigkeit eines ausländischen Dienstes gem. § 19 Absatz 2 De-Mail-Gesetz ist bisher nicht erfolgt. Die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (eIDAS-VO) regelt „Dienste für die Zustellung elektronischer Einschreiben“; der entsprechende Teil der eIDAS-VO tritt am 1. Juli 2016 in Kraft. (Qualifizierte) Zustelldienste werden nach der eIDAS-VO in entsprechenden Vertrauenslisten geführt. Wie im Zwischenbericht der Bundesregierung dargelegt, soll De-Mail ab Geltung der Regelungen zu elektronischen Zustelldiensten den Anforderungen der eIDAS-VO entsprechen und auf dieser Grundlage mit elektronischen Zustelldiensten anderer Mitgliedstaaten interoperabel werden.

18. Wird das automatisierte Auskunftsverfahren nach § 112 TKG von Sicherheits- und Strafverfolgungsbehörden sowie sonstigen berechtigten Stellen auch zum Abruf von Kundendaten von De-Mail-Konten genutzt? Wenn ja, in welchem Umfang? (Bitte entsprechend nach Jahr, Anzahl der Abrufe und Sicherheits- und Strafverfolgungsbehörden aufschlüsseln)

Zu 18.

Über das automatisierte Auskunftsverfahren nach § 112 des Telekommunikationsgesetzes (TKG) werden derzeit keinerlei E‑Mail-Dienstekennungen, mithin auch keine von DE-Mail-Anbietern, beauskunftet.

19. In welchem Umfang gelang bislang § 16 De-Mail‑G zur Anwendung, nach dem Dritte von akkreditierten Dienstanbietern Auskunft über Namen und Anschrift von De-Mail-Nutzem beanspruchen können?

Zu 19.

Da die De-Mail-Diensteanbieter nicht verpflichtet sind, der Bundesregierung hierüber Angaben zu machen, liegen der Bundesregierung hierzu keine Kenntnisse vor.

20. In welcher Form wird sichergestellt, dass Behörden oder andere Institutionen, die mit besonders schutzbedürftigen personenbezogenen Daten Dritter umgehen, solche Daten untereinander ausschließlich Ende-zu-Ende verschlüsselt versenden?

[pagebreak]

- 9 -

Zu 20.
§ 9 Satz 1 des Bundesdatenschutzgesetzes (BDSG) verpflichtet die verantwortlichen datenverarbeitenden Stellen, technische und organisatorische Maßnahmen zu treffen, die zur Gewährleistung der Ausführung der Vorschriften des BDSG erforderlich sind. Insbesondere sind die in der Anlage zu § 9 BDSG genannten Anforderungen zu gewährleisten. Nach § 9 Satz 2 BDSG sind Maßnahmen nur dann erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Die Beachtung dieser Vorschrift und die Beurteilung der Erforderlichkeit und Verhältnismäßigkeit von Maßnahmen obliegt den verantwortlichen Stellen. Dabei werden diese von ihren behördlichen Datenschutzbeauftragten unterstützt und von den zuständigen Datenschutzaufsichtsbehörden der Länder und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kontrolliert.

21. Wie soll eine Vorratsspeicherung aller De-Mail-Briefwechsel (vergleiche § 100 TKG und Leitlinien des BMJV zur Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten vom 15.04.2015) künftig normenklar und technisch ausgeschlossen werden?

Zu 21.

Der Gesetzentwurf zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten sieht keine Erfassung von Daten zu E‑Mail-Kommunikation vor. Der E‑Mail-Dienst De-Mail wird also entsprechend auch nicht erfasst.

22. Welche Aufträge im Rahmen der Entwicklung von De-Mail wurden an private Dienstleister vergeben? (Bitte entsprechend nach Jahr, Auftragsnehmer, Auftragsart/Titel und Kosten aufschlüsseln)

23. Welche Aufträge im Rahmen von De-Mail wurden an Computer Sciences Corporation (CSC) oder deren deutsche Töchterfirmen vergeben (bitte aufschlüsseln nach Jahr, Auftragsart/Titel und Kosten)?

Zu 22. und 23.

Auf die Vorbemerkung wird verwiesen.

24. Haben die De-Mail Provider auch eine Schnittstelle zum BND oder anderen Sicherheitsbehörden eingerichtet, bzw. wurden sie dazu aufgefordert entsprechende Zugänge zu ennöglichen?

[pagebreak]

-10-

Zu 24.
Zwei der drei genannten De-Mail-Provider haben aufgrund ihrer Verpflichtung nach § 110 TKG und der Telekommunikations-Überwachungsverordnung eine Schnittstelle zu den berechtigten Stellen eingerichtet.

Im Übrigen wird auf die Vorbemerkung verwiesen.