E-Government mit mehr De-Mail

Am Mittwoch findet im Innenausschuss des deutschen Bundestages eine Anhörung zum sogenannten E-Government-Gesetz, dem "Gesetz zur Förderung der elektronischen Verwaltung" statt. Im Vorfeld zu dieser Anhörung hat eine Diskussion darüber begonnen, ob mit den neuen verwaltungsrechtlichen Vorschriften zur Einsatz der De-Mail die Übertragung von Sozialdaten oder von Steuerdaten legitim ist.

Die Kritik am neuen, modifizierten E-Government-Gesetz entzündet sich daran, dass Amtsträger oder dem Amtsträger gleichgestellte Personen an Empfänger mit einer De-Mail-Adresse De-Mails schicken können, die Sozialdaten oder Daten enthalten, die dem Steuergeheimnis unterliegen. Nach dem E-Government-Gesetz

"liegt keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten vor, wenn beim Versenden eine kurzzeitige automatisierte Entschlüsselung durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht stattfindet.“

Dieser Passus bedeutet, dass Amtsträger ihre Aussendungen per De-Mail nicht noch einmal eigens im Sinne einer Ende-zu-Ende-Verschlüsselung absichern müssen, obwohl dies für den Schutz der Daten eigentlich
wünschenswert wäre. Statt dessen werden die gesetzlichen Anforderungen an die technischen Gegebenheiten von De-Mail angepasst, das im Allgemeinen keine Ende-zu-Ende-Verschlüsselung vorsieht. Als Grund wird der von den Providern des Absenders und Empfängers nur so durchführbare Virencheck angeführt. Ob der jedoch das Risiko eines Einbruchs mit massenhafter Kompromittierung vertraulicher Daten aufwiegt, bezweifeln nicht nur Kritiker aus dem CCC-Umfeld.

Allerdings können Amtsträger nach dem neuen Gesetzentwurf nicht einfach De-Mail verschicken, nur weil ein Bürger im De-Mail-System registriert ist. Dies ist nur dann möglich, wenn dieser seine Zugangseröffnung im Verzeichnisdienst des De-Mail-Dienstleisters gespeichert hat. Im Entwurf heißt es dazu:

"Auf Verlangen des Nutzers muss der akkreditierte Diensteanbieter durch einen geeigneten Zusatz die Erklärung des Nutzers im Verzeichnisdienst veröffentlichen, den Zugang im Sinne von § 3a des Verwaltungsverfahrensgesetzes [...] eröffnen zu wollen. Die Veröffentlichung der De-Mail-Adresse des Nutzers als Verbraucher mit diesem Zusatz im Verzeichnisdienst gilt als Zugangseröffnung."

Damit können Bürger der offiziellen Kommunikation via De-Mail allgemein zustimmen und verzichten darauf, selbst zu bestimmen, welcher Amtsträger sie künftig per De-Mail kontaktieren darf. Es bleibt ihnen allerdings unbenommen, stattdessen auch weiterhin nur selektiv mit einzelnen Behörden via De-Mail zu kommunizieren.

Innerhalb des De-Mail-Systems kann der Bürger künftig nicht nur seine Zugangseröffnung im Adressverzeichnis speichern. Er kann heute schon seinen öffentlichen Schlüssel im Verzeichnis ablegen, wenn er sich mit dem Sicherheitsniveau "hoch" angemeldet hat, etwa durch Authentifizierung mit seinem neuen Personalausweis. Ist ein öffentlicher Schlüssel gespeichert, so könnte ein Amtsträger verpflichtet werden, diesen zu benutzen und eine De-Mail bereits in der Behörde verschlüsseln. Dieser Weg wäre eine Lösung im Sinne der Datenschützer, die sich bei De-Mail für eine Ende-zu-Ende-Verschlüsselung ausgesprochen haben. Sie ist indes derzeit nicht im Gesetzentwurf zur Förderung der elektronischen Verwaltung zu finden.

Update 20.3.2013, 18:30: Erklärung der "Zugangseröffnung" korrigiert und hinzugefügt, dass auch weiterhin eine selektive Kommunikation mit einzelnen Behörden möglich sein soll. (ju)