Gesetzliche Pflicht zur Verschlüsselung von E-Mails?

...komplette Frage anzeigen

3 Antworten

Eine gesetzliche Verpflichtung gibt es nicht.

Bald wird es aber gesetzlich vorgeschrieben sein E-Post-Briefe (De-Mail) für Behördengänge zu nutzen. Da inzwischen jeder weiß, dass dieses Verfahren total unsicher und sinnlos ist, wollte es keiner benutzen. Die haben sogar die Gesetze angepasst, weil zuvor für die eigenen Bestimmungen die E-Post zu schwach verschlüsselt war.

Dann wirst du gezwungen so zu verschlüsseln, dass jeder mitlesen kann. Ein Fortschritt?

Du musst selbst verschlüsseln, am besten mit GnuPG (PGP). Kann dein gegenüber nicht verschlüsseln und will es nicht, dann schickst du eben keinen klassischen Brief. Ist zwar nicht so sicher wie eine verschlüsselte Mail, aber besser als eine Unverschlüsselte. Das Firmen untereinander die Daten unverschlüsselt austauschen und unverschlüsselt irgendwo abspeichern kannst du nicht verhindern. Kannst du höchstens anfragen, aber nicht ändern. Daher so sparsam mit Daten sein wie es nur geht.

Ich weiß jetzt nicht, was daran die hilfreichste Antwort sein soll, da ist doch einiges nicht korrekt.
Es wird sicher nicht "bald gesetzlich vorgeschrieben sein, E-Post-Briefe (de-Mail) für Behödengänge zu nutzen."
Das ist schlichtweg Quatsch. Erstens muss man zwischen DE-Mail und E-Post-Briefen differenzieren, das sind zwei Paar Stiefel. Zweitens wird es definitiv keine gesetzliche Vorgabe zur Benutzungspflicht geben. Jedenfalls nicht in absehbarere Zeit - und da spreche ich mal locker von den nächsten 10 Jahren.

DE-Mail kann auch nicht jeder mitlesen, diese Aussage ist schlichtweg falsch.

0
@Driver401

De-Mail

Vor der Einrichtung eines De-Mail-Briefkastens muss man sich identifizieren, was bei einem normalen Briefkasten oder bei dem Versand von Briefen nicht erforderlich ist. Aufgrund der Architektur von De-Mail fließen alle Daten und Kontakte auf die Person rückführbar an einer zentralen Stelle zusammen; die Verwendung mehrerer, nicht in Verbindung zu bringender Identitäten ist nicht möglich.

Die hinterlegten persönlichen Daten des Nutzers sind für eine Vielzahl von Sicherheitsbehörden und Geheimdiensten ohne richterliche Anordnung anforderbar (§ 113 TKG), die Identität hinter einer De-Mail-Adresse ist für etwa 250 bei der Bundesnetzagentur registrierte Behörden in einem Online-Verfahren abrufbar (§ 112 TKG), in dem bei ca. 140 Telekommunikationsanbietern täglich nahezu 100.000 Zugriffe auf Kundendaten erfolgen. Nach § 16 des De-Mail-Gesetzes erhalten in bestimmten Fällen zudem Private Auskunft über Namen und Anschrift eines Nutzers. Voraussetzung ist unter anderem, dass der Dritte die Daten benötigt, um einen Rechtsanspruch gegen den Nutzer zu verfolgen, der unter Nutzung von De-Mail entstanden ist.

Eine Vorratsspeicherung aller De-Mail-Briefwechsel (vergleiche § 100 TKG) schließt der Gesetzentwurf nicht normenklar aus.

Nutzerkennung und Passwort zu einem De-Mail-Postfach sind auf Anforderung einer Strafverfolgungsbehörde, einer Polizeibehörde, des Bundesamts für Verfassungsschutz, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes ohne richterliche Anordnung herauszugeben (§ 113 TKG). Die im De-Mail-Postfach liegenden Dokumente und Informationen sind damit keineswegs so geschützt wie Papierdokumente oder Briefe in der eigenen Wohnung. Das Recht zur Passwortabfrage besteht zwar bei allen E-Mail-Konten. Dort kann man sich aber mit anonymen Postfächern, multiplen Identitäten und ausländischen Konten vor Zugriffen schützen, was bei De-Mail nicht möglich ist.

Obwohl die Beantragung einer De-Mail-Adresse freiwillig sein soll, wird befürchtet, dass Behörden und Unternehmen, die ihre Leistungen bisher anonym oder ohne Überprüfung der Kundenangaben angeboten haben, faktisch schrittweise eine personengebundene und identitätsgeprüfte E-Mail-Adresse zur Voraussetzung des Angebots ihrer Leistungen machen werden. Ziel des Vorhabens ist dem Bundesinnenministerium zufolge tatsächlich, „die nicht-anonyme und sichere elektronische Kommunikation zum Normalfall” zu machen. Die eindeutige Identifizierung im Internet kann beispielsweise zum Ausschluss bestimmter Kundengruppen genutzt werden, etwa wegen angeblich mangelnder Bonität oder auch nur wegen Missliebigkeit oder Kritik am Unternehmen.

Der Arbeitskreis Vorratsdatenspeicherung zieht das Fazit, von der Benutzung von De-Mail könne „nur abgeraten werden”. Um einen faktischen Zwang zur Nutzung von De-Mail zu verhindern, müsse der Dienst boykottiert werden, damit er sich nicht durchsetze.

Die Folgen der Nutzung von De-Mail hängen hauptsächlich davon ab, welche Beweiskraft De-Mail zugemessen wird. Das ist noch ungeklärt.

Juristen wie Wolfgang Steppling, der Vizepräsident des Oberverwaltungsgerichts Rheinland-Pfalz, kritisieren die im Gesetz vorgesehene Möglichkeit, behördliche Bescheide ohne Empfangsbestätigung elektronisch zuzustellen. Damit könnten Bescheide in Bestandskraft erwachsen, ohne dass der Betroffene überhaupt davon erfährt. Denn im Unterschied zum herkömmlichen Briefkasten wären für die laufende Überwachung des elektronischen Postfachs technische und finanzielle Voraussetzungen erforderlich, deren Schaffung und Aufrechterhaltung vom Bürger nicht ohne weiteres verlangt werden kann.

Keine Aussagen werden zur Veränderung der Zustellfiktion gemacht, deren Frist, anders als bei der Papierpost, auch an Sonn- und Feiertagen gelten könnte.

Weiterhin bietet De-Mail ebenso wie E-Mail keine Funktionalität, um das sogenannte Schriftformerfordernis (§ 126 BGB) zu erfüllen. Sollen Dokumente, welche dies benötigen, mittels De-Mail versendet werden, so muss der Anwender eine digitale Signatur erstellen. Denn gemäß § 2 Nr. 2 SigG kann ein qualifiziert elektronisch signiertes Dokument versandt werden, das die gleichen rechtlichen Eigenschaften aufweist. Die digitale Signatur muss der Anwender allerdings eigenhändig mit einem unabhängigen Programm erstellen. Jedoch soll nach derzeitigem Stand das für 2013 geplante eGovernment-Gesetz die Notwendigkeit einer Signatur durch die einfache De-Mail ersetzen.

Ungeklärt ist auch, wer die Beweislast für einen Missbrauch tragen soll. Der Chaos Computer Club befürchtet, dass die Beweislast – ähnlich wie beim Missbrauch von EC-Karten – beim Verbraucher (Anwender) liegen könnte.[48] Da die Kontrolle der Identität nun in Telekom Shops und Hermes Annahmestellen durchgeführt wird, kann kaum sichergestellt werden, dass die Identität sicher geprüft wurde.

0
@FloTheBrain

E-Postbrief

Der E-Postbrief fällt nicht wie ein normaler Brief unter das Briefgeheimnis. Nach der ständigen Rechtsprechung des BVerfG fällt eine elektronische Mitteilung nur unter das Fernmeldegeheimnis, welches bei weitem keinen so umfassenden Schutz wie das Briefgeheimnis bietet. Das Briefgeheimnis kann nur unter bestimmten Voraussetzungen durch einen Richter aufgehoben werden. Die Aufhebung des Fernmeldegeheimnisses kann ebenfalls nur durch ein Gericht angeordnet werden. Bei Gefahr im Verzug kann dies auch von der Staatsanwaltschaft angeordnet werden, wobei dies binnen drei Tagen nach § 100a und § 100b StPO von einem Gericht bestätigt werden muss. Die Post speichert gemäß den AGB (IV.4.2) die Adressdaten aller Kunden, die dem zugestimmt haben, in einem für andere Kunden des E-Postbriefs zugänglichen Adressverzeichnis. Geschäftskunden können die Deutsche Post beauftragen, die E-Postbrief-Adresse einer Person mittels einer postalischen Anschrift und mit Hilfe dieses Adressverzeichnisses zu ermitteln. Wer kein Mobiltelefon besitzt oder seine Rufnummer gegenüber der Post nicht offenlegen möchte, kann sich gegenwärtig nicht für den E-Postbrief-Dienst anmelden (AGB, I.6.5 und IV.2.1). Es ist keine Möglichkeit vorgesehen, den E-Postbrief in bestehende Geschäftsprozesse und Software zu integrieren (z. B. ist eine Weiterleitung selbst an verifizierte E-Mail-Konten nicht möglich). Daher müssen Kunden des E-Postbriefes diesen Dienst zusätzlich zur normalen E-Mail behandeln. Die Stiftung Warentest kritisiert, dass die Preise für einen E-Postbrief gleichauf mit den Portokosten für einen normalen Brief liegen, Einschreiben per E-Postbrief zum Teil sogar teurer sind. Zudem sieht die Stiftung Warentest das System noch als unausgereift an, besonders den Druckservice. Hauptkritikpunkte sind langsame Zustellzeit, schlechte Bedienung von E-Postbrief-Anhängen und Fehldrucke, welche trotzdem bezahlt werden müssen. Die Stiftung Warentest sagt, man könne bei ausgedruckten Briefen als Absender nicht sicher sein, was beim Empfänger ankommt. Die Deutsche Post reagierte auf die Kritik der Stiftung Warentest mit einer FAQ. Die Post stellt bei Nutzung der Versandart Klassisch die elektronisch aufgegebenen E-Postbriefe am nächsten Arbeitstag zu, wenn diese bis 18:00 Uhr aufgegeben wurden. Später oder an Wochenenden und Feiertagen aufgegebene E-Postbriefe werden am übernächsten Arbeitstag zugestellt. Da sich der Dienst noch im Aufbau befindet, werden gegenwärtig keine E-Postbriefe an Wochenenden ausgedruckt. Dadurch findet eine Zustellung der am Freitagabend und am Wochenende aufgegebenen E-Postbriefe erst mit Verzögerung Dienstags statt. Zum Thema Sicherheit wird außerdem kritisiert, dass die Deutsche Post AG in ihrer Kommunikation nach dem Prinzip „Security through obscurity“ vorgeht. Bekannt ist daher nur, dass das E-Postbrief Portal durch eine HTTPS-Verschlüsselung die Kommunikation zwischen Benutzer und Betreiber sichert.Die Nachricht liegt daher als Klartext auf dem Portal-Server vor. Optional bietet die Deutsche Post eigene Zertifikate an, welche E-Postbriefe durchgehend von Versender bis zum Empfänger verschlüsseln. (Dieses Angebot wurde zum September 2012 eingestellt). Selbst erstellte private Schlüssel werden nicht unterstützt, da die Deutsche Post gegenwärtig kein Zertifizierungsdienst anbietet. Eingehende Dateianhänge von E-Postbriefen werden automatisch durch einen Virenscanner gescannt. Als Erbringer von Post- und Telekommunikationsdiensten stellt die Deutsche Post AG auch E-Postbriefe mit verdächtigen Dateien zu, legt diese jedoch in einem speziellen Quarantäne-Bereich ab. Verbraucherschützer kritisieren am E-Postbrief vor allem den umständlichen Anmeldeprozess und mehrere umstrittene Klauseln in den Allgemeinen Geschäftsbedingungen. Dazu gehört die Pflicht zur täglichen Kontrolle des E-Posteingangs, wobei selbst Urlaub oder Krankheit nicht ausgeschlossen sind. Außerdem behalte die Deutsche Post Kundendaten, auch wenn ein E-Postbrief-Konto schon gelöscht ist. Es werden nicht die geltenden Normen des Weltpostvereines sowie der EU und der DIN eingehalten.

0
@FloTheBrain

Beschlossen: De-Mail wird zum Standard

Am 1. Januar 2015:

die Pflicht der Bundesbehörden, die Nutzung des elektronischen Identitätsnachweises nach dem Personalausweisgesetz zu ermöglichen und dafür die auf Seiten der Behörden notwendige Infrastruktur bereitzustellen (z.B. Erwerb von sogenannten Berechtigungszertifikaten nach dem Personalausweisgesetz).

die sich aus Artikel 1 § 14 des Gesetzes ergebenden Pflichten der Behörden von Bund und Ländern zur Georeferenzierung

ein Kalenderjahr nach der Aufnahme des Betriebs des zentral für die Bundesverwaltung angebotenen IT-Verfahrens, über das De-Mail-Dienste für Bundesbehörden angeboten werden: die Pflicht für Bundesbehörden, per De-Mail erreichbar zu sein.

http://www.cio.de/public-ict/communication/2918602/index2.html

0
@FloTheBrain

Schön, Du kannst also kopieren, aber vielleicht hast Du das auch mal selbst gelesen? Ich habe das jetzt nicht gelesen, denn ich weiß was da steht - nämlich, dass E-Post-Briefe und DE-Mail zwei paar Stiefel sind. Und weiterhin steht da, dass es eine Pflicht für Bundesbehörden gibt, DE-Mail anzunehmen - das ist aber noch lange keine Benutzungspflicht für den Bürger! Somit bleibt meine obige Antwort bestehen - und Deine Antwort ist einfach nicht korrekt, das kannst Du drehen und wenden wie Du willst.

Ich bestreite nicht, dass DE-Mail unsinnig ist, weil keine Ende-zu-Ende-Verschlüsselung vorhanden ist, aber trotzdem kann noch lange nicht JEDER die DE-Mail mitlesen.

0

Dein Kunde sollte darauf vertrauen können, dass Informationen von ihm und an ihn nicht öffentlich kursieren.

Zumindest sind die deutschen Email-Provider nun endlich gesetzlich verpflichtet, die Datenübertragung untereinander zu verschlüsseln. Wenn du also einen deutschen Provider nutzt und dein Kunde ebenfalls, wird die Datenübertragung automatisch verschlüsselt.

Es spricht aber nichts dagegen, S/MIME oder OpenPGP einzusetzen, wenn der Kunde das möchte!

Danke

0

Nein, Du bist nicht gesetzlich verpflichtet, E-Mails zu verschlüsseln. Es gibt auch kein Verschlüsselungsverfahren, das flächendeckend eingesetzt wird. Es gibt verschiedene Verfahren dafür.

Du bist allerdings schon zur Einhaltung des Datenschutzes verpflichtet und solltest deshalb E-Mails mit persönlichen oder privaten Daten nicht unverschlüsselt versenden.

Was möchtest Du wissen?