De-Mail und die Folgen

Schon länger geistert sie durch die Medien, jetzt wurde sie mit großem Tamtam offiziell angekündigt:
Die “De-Mail“. Bettrieben von der Deutschen Telekom soll sie die Zustellung von E-Mails rechtssicher garantieren, so dass in Zukunft selbst Verträge per E-Mail sicher geschlossen werden können. Darin eingeschlossen ist eine Verschlüsselung sowie eine eindeutige Identifizierung der Teilnehmer. Das System basiert rechtlich auf dem Telemediengesetz, ein separates De-Mail-Gesetz ist in Vorbereitung. Dienstanbieter müssen sich durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) akkreditieren lassen.

Im ersten Moment klingt das Angebot verlockend: Kann man doch auf den Versand von Papier verzichten – die De-Mail wird verschlüsselt (während bei normalen E-Mails der Text offen lesbar übertragen wird), und man kann wie bei einem Einschreiben eine Empfangsbestätigung erhalten.

Schaut man jedoch unter die Haube, offenbaren sich einige Nachteile, die meines Erachtens das Angebot für
Privatnutzer höchst gefährlich machen, so dass ich persönlich von der Nutzung abrate. Aber der Reihe nach.

Wer ein De-Mail-Postfach haben möchte, der muss sich zunächst bei einer Postfiliale durch Vorlage seines Personalausweises durch das sogenannte Postident-Verfahren eindeutig identifizieren. Dabei werden die persönlichen Daten des Ausweises inklusive seiner Nummer aufgenommen.

Dies bedeutet, dass eine anonyme Kommunikation über dieses Postfach nicht mehr möglich ist. Alle Kommunikation von oder zu diesem Postfach ist ganz eindeutig dem Nutzer zuzuordnen. Dies ist der erklärte Zweck dieses Systems.

Genauso klar muss dann allerdings sein, dass auch alle Kommunikation zentral in einem System gespeichert wird. Hier entsteht also ein persönliches Gebirge vertraulichster Informationen aller Art an einem Ort, von Kommunikation mit Ämtern, Krankenkassen und Firmen bis hin zu Verträgen, Versicherungspolicen, Behördengängen etc. Es wird erfasst, wann und mit wem Kommunikation welchen Inhaltes geführt wurde. Für Data-Mining-Experten ein Schlaraffenland, um eine intensives Persönlichkeitsprofil zu erstellen. Die Verwendung mehrerer Identitäten, etwa um die Zusammenführung von Informationen zu erschweren, ist nicht möglich. Zudem muss man mit der langfristigen Speicherung aller Verbindungsdaten durch die Wiedereinführung der Vorratsdatenspeicherung rechnen.

Ich erinnere an die allgemeine Zurückhaltung gegenüber des Google-Postfaches GMail: Es wurde kritisiert, dass die gesamte Kommunikation der Nutzer auf Googles Servern zusammengeführt wird. Aber Google hat keine eindeutigen Informationen über Ihre Identität, und bekommt in der Regel auch keine persönlichen Dokumente zu sehen. De-Mail ist eine viel umfangreichere Datenkrake mit weitaus sensibleren Informationen – zudem auch noch ganz eindeutig einer lebenden Person zugeordnet.

Wer jetzt meint, die Daten seien an dem Ort vor allen Augen geschützt, der unterliegt einem gefährlichem Irrtum. Alle persönlichen Daten des Nutzers sind gem. §113 Telekommunikationsgesetz (TKG) Sicherheitsbehörden und Geheimdiensten herauszugeben – dies auch ohne richterliche Genehmigung. Im Gesetzentwurf zum De-Mail-Dienst geht die Auskunftspflicht sogar noch weiter, und erstreckt sich auf die Anfrage von Firmen und Privatleuten auch ohne richterlichen Titel.

Im Online-Verfahren (§112 TKG) haben über tausend Behörden Zugriff auf die Identität des Nutzers. Eine De-Mail-Adresse ist also vollkommen öffentlich und nicht privat. Dies dürfte den meisten Privatnutzern so nicht klar sein – diese E-Mailadresse ist damit also noch weniger anonym als es der volle Familienname wäre, denn letzterer ist wegen Namensgleichheiten nicht immer einer einzelnen Person zuzuordnen, die De-Mail-Adresse aber schon, einschließlich des Wohnortes, Geburtsdatums und der Ausweisnummer.

Aber nicht nur die Personendaten müssen herausgegeben werden – an Polizei, Geheimdienst und Verfassungsschutz werden sogar Login-Informationen und Passwort herausgegeben, welche dann vollen Zugriff auf alle Kommunikation und gespeicherten Dokumente bekommt. Damit sind dort liegende Dokumente weniger sicher als in der Schublade bei Ihnen zu Hause.

Für die herkömmliche Post hingegen gelten dagegen ganz andere Rechte. Hier gilt das Briefgeheimnis – das Öffnen und Lesen von Briefpost ist weitaus höheren rechtlichen Hürden unterworfen. Aber selbst private E-Mail-Dienstanbieter dürfen Ihre personenbezogene Daten nicht an Firmen oder Privatleute herausgeben, sie machen sich strafbar. Damit ist ihre De-Mail-Post sogar weniger gesichert.

Für den Zugang einer De-Mail gilt eine Beweislastumkehr: Muss im Normalfall der Versender nachweisen, dass seine Sendung beim Empfänger angekommen ist, muss er bei der De-Mail nur den Versand nachweisen. Als Empfänger müsste man im Zweifel beweisen, eine De-Mail NICHT erhalten zu haben. Naturgemäß ist dieser Nachweis nur sehr schwer zu führen: Die Anwesenheit von etwas lässt sich leicht beweisen, aber die Abwesenheit von etwas nur sehr schwer. Dies kann im Zweifel zu Beweisführungsproblemen führen.

Eine Behördenmail gilt laut De-Mail-Gesetzentwurf automatisch als zugestellt, selbst wenn der Nutzer die Email nicht lesen konnte (etwa weil er das Postfach nicht abrief weil ein Computer nicht mehr zur Verfügung stand etc.). Damit könnte ein Bescheid durch eine Behörde wirksam werden, ohne dass der Bürger das überhaupt erfährt, inklusive des Ablaufs einer Einspruchsfrist.

Auch die Verschlüsselung ist nicht so sicher, wie man vermuten mag. Es handelt sich nicht um eine End-To-End-Verschlüsselung, sondern die Nachricht wird erst nach der Einlieferung auf Provider-Seite verschlüsselt, und vor der Auslieferung wieder entschlüsselt. Damit liegt die Nachricht beim Provider selbst unverschlüsselt vor, und könnte da eingesehen werden. Dies stellt eine geringere Sicherheit dar, als bei der nutzerseitigen Verschlüsselung, wie sie etwa PGP (Pretty Good Privacy) oder GnuPG bietet.

Der Hauptanbieter der technischen Lösung ist der ehemalige Staatsbetrieb Deutsche Telekom. Er ist in der Vergangenheit in mehrere Datenschutz- und Überwachungsskandale verwickelt gewesen. So wurden Millionen T-Mobile-Kundendatensätze entwendet, und Journalisten illegal überwacht. Diese Vergangenheit steigert nicht gerade das Vertrauen in die Sicherheit dieser sensiblen Daten bei dem Anbieter.

Die Telekom arbeitet mit dem Bundesinnenministerium in diesem Angebot eng zusammen. Im Innenministerium hingegen reiften die im Bürgerrechtssinne bedenklichen Initiativen zur Online-Durchsuchung und Vorratsdatenspeicherung, so dass man befürchten muss, dass die Weitergabe von Daten an öffentliche Stellen eher großzügig gehandhabt werden wird.

Zu berücksichtigen ist auch, dass die Nutzung von De-Mail nicht vollkommen kostenlos sein wird. So ist die Einrichtung eines Postfaches und der Empfang derzeit zwar kostenlos, aber der Versand einer Mail kostenpflichtig (im Moment vergleichbar mit dem Briefporto).

Zwar ist die Teilnahme am De-Mail-Dienst freiwillig, es könnte aber das Vorhandensein einer De-Mail-Adresse immer mehr zur Vorrausetzung zur Durchführung von Behördengängen und für Geschäftsprozesse mit Unternehmen werden, bzw. der anonymen Teilnahme könnten immer mehr Hürden entgegengesetzt werden. Schließlich ist es ganz erklärtes Ziel des Innenministeriums, die Nutzung von De-Mail zum Normalfall elektronischer Kommunikation zu machen, also die herkömmliche, anonyme elektronische Kommunikation durch andere Anbieter auszutrocknen.

In der Stellungnahme des Arbeitskreises Vorratsdatenspeicherung wird von der Nutzung von De-Mail abgeraten. Ich kann das nur unterstreichen.

Privatsphäre ist kein Verbrechen! Sie haben ein Recht auf Anonymität.

De-Mail und die Folgen