De-Mail-Gesetz
Nationale Regelung
Adressat: Dieses Gesetz richtet sich ausweislich des § 1 Abs. 1 an De-Mail Dienste. Bei De-Mail Diensten im Sinne dieses Gesetzes handelt es sich um Dienste auf einer elektronischen Kommunikationsplattform, die einen sicheren, vertraulichen und nachweisbaren Geschäftsverkehr für jedermann im Internet sicherstellen sollen.
Relevante Normen: § 3 Abs. 1 Satz 2, Abs. 2, Abs. 3, Abs. 5; § 4 Abs. 3; § 5 (insbesondere Abs. 3, Abs. 5 und Abs. 9); § 6; § 8; § 9; § 10; § 13 (insbesondere Abs. 1); § 15; § 16; § 17; § 20
Regelungsgehalt
Allgemein:
Dementsprechend verfolgt das De-MailG das Ziel, eine (E-Mail)Infrastruktur zu schaffen, die den Aspekten des Datenschutzes und der Sicherheit möglichst umfassend Rechnung trägt. Insoweit muss ein solcher De-Mail-Dienst – der von einem nach dem De-MailG akkreditierten Diensteanbieter betrieben wird, § 1 Abs. 1 Satz 2 De-MailG – eine sichere Anmeldung, die Nutzung eines Postfach- und Versanddienstes für sichere elektronische Post sowie die Nutzung eines Verzeichnisdienstes gewährleisten; überdies kann er Identitätsbestätigungs- und Dokumentenablagedienste ermöglichen, vgl. § 1 Abs. 1 Satz 1 De-MailG. Gesetzgeberisches Ziel war es, mit dem De-Mail-Verfahren eine benutzerfreundliche, (alternative) elektronische Kommunikationsmöglichkeit zu schaffen, die mittels moderner Signatur- und Verschlüsselungstechniken den vielfältigen Gefahren zunehmender Cyberkriminalität standhält sowie bestehende IT-Risiken des herkömmlichen E-Mail-Verkehrs ausgleicht. Zu nennen ist hier etwa die Unsicherheit dahingehend, etwaige Versender- und Empfängeridentitäten bzw. deren Urheberschaft grundsätzlich nicht verifizieren zu können. Wenngleich der tatsächliche Verbreitungsgrad der De-Mail (derzeit) eher gering ist, so ist dieses E-Mail-Verfahren angesichts seiner schriftformersetzenden Funktion dennoch von hoher praktischer Relevanz, vgl. etwa § 3a Abs. 2 Satz 4 Nr. 2 und 3 Verwaltungsverfahrensgesetz (VwVfG). Das De-MailG trat am 03. Mai 2011 in Kraft.
§ 3 Abs. 1-3, Abs. 5:
Vorgaben hinsichtlich der Eröffnung eines De-Mail-Kontos enthält § 3 De-MailG. Danach verpflichtet sich ein akkreditierter (vgl. hierzu § 17 De-MailG) Diensteanbieter durch einen speziellen De-Mail-Konto-Vertrag, einem Nutzer ein De-Mail-Konto zur Verfügung zu stellen, § 3 Abs. 1 De-MailG. Bei einem solchen De-Mail-Konto handelt es sich um einen Bereich innerhalb eines De-Mail-Dienstes, der einem Nutzer derart zugeordnet ist, dass er ausschließlich von ihm genutzt werden kann. Letzteres hat der Diensteanbieter durch technische Mittel sicherzustellen. Um zuverlässige Feststellung hinsichtlich der Identität des Nutzers treffen zu können, erhebt und speichert der Dienstanbieter gemäß § 3 Abs. 2 Satz 2 Nr. 1 De-MailG bei einer natürlichen Person Name, Geburtsort, Geburtsdatum und Anschrift (vgl. Satz 2 Nr. 2 für juristische Personen, Personengesellschaften oder öffentliche Stelle). Diese Angaben sind anschließend entsprechend den Vorgaben des § 3 Abs. 3 De-MailG vor Freischaltung des De-Mail-Kontos des Nutzers zu überprüfen. Bei natürlichen Personen (§ 3 Abs. 3 Satz 1 Nr. 1 De-MailG) kann dies etwa anhand eines gültigen amtlichen Ausweises, einer qualifizierten elektronischen Signatur oder sonstiger geeigneter technischer Verfahren mit gleichwertiger Sicherheit geschehen (für juristische Personen, Personengesellschaften oder öffentliche Stelle vgl. § 3 Abs. 3 Satz 1 Nr. 2 De-MailG). Auch nach der Freischaltung des De-Mail-Kontos hat der Diensteanbieter (weiterhin) die Richtigkeit der zu dem jeweiligen Nutzer gespeicherten Identitätsdaten sicherzustellen, § 3 Abs. 5 Satz 1 De-MailG. Hierfür sind die gespeicherten Identitätsdaten in angemessenen zeitlichen Abständen auf ihre Richtigkeit zu prüfen und, soweit erforderlich, zu berichtigen, § 3 Abs. 5 Satz 2 De-MailG.
§ 4 Abs. 3:
Gemäß § 4 Abs. 1 Satz 1 De-MailG ist der Diensteanbieter verpflichtet, dem Nutzer den Zugang zu seinem De-Mail-Konto und den einzelnen Diensten mit einer sicheren Anmeldung oder – auf Verlangen des Nutzers – auch ohne eine solche zu ermöglichen. Hierauf bezugnehmende Vorgaben die sichere Anmeldung zu einem De-Mail-Konto betreffend normiert § 4 Abs. 1 – 3 De-MailG. Insoweit hat der Diensteanbieter nach § 4 Abs. 3 De-MailG insbesondere sicherzustellen, dass die Kommunikationsverbindung zwischen dem Nutzer und seinem De-Mail-Konto verschlüsselt erfolgt.
§ 5 (insbesondere Abs. 3, Abs. 5 und Abs. 9):
Die Bereitstellung eines De-Mail-Kontos umfasst die Nutzung eines sicheren elektronischen Postfach- und Versanddienstes für elektronische Nachrichten, § 5 Abs. 1 Satz 1 De-MailG. Diesem Postfach- und Versanddienst obliegt gemäß § 5 Abs. 3 De-MailG die Gewährleistung der Vertraulichkeit, der Integrität sowie der Authentizität der Nachrichten. Hierzu gewährleistet der Dienstleister die Kommunikation von einem akkreditierten Diensteanbieter zu jedem anderen akkreditierten Diensteanbieter im Wege der sogenannten Transportverschlüsselung. Ferner stellt er sicher, dass der Inhalt einer De-Mail-Nachricht vom akkreditierten Diensteanbieter des Senders zum akkreditierten Diensteanbieter des Empfängers verschlüsselt übertragen wird, wobei dies ausweislich Satz 3 der Norm die Möglichkeit des Einsatzes einer durchgängigen Verschlüsselung zwischen Sender und Empfänger (einer sogenannten Ende-zu-Ende-Verschlüsselung) nicht beeinträchtigt. Um den gesetzlichen Anforderungen des § 5 Abs. 5 Satz 1 De-MailG zu entsprechen, muss der Diensteanbieter dem Nutzer ferner ermöglichen, seine sichere Anmeldung im Sinne des § 4 De-MailG in der Nachricht so bestätigen zu lassen, dass die Unverfälschtheit der Bestätigung jederzeit nachprüfbar ist. Um dies dem Empfänger der Nachricht kenntlich zu machen, bestätigt der Diensteanbieter des Senders die Verwendung der sicheren Anmeldung nach § 4 De-MailG, § 5 Abs. 5 Satz 2 De-MailG. Dabei muss sich vor allem die Tatsache, dass der Absender die Versandart der De-Mail genutzt hat, aus der Nachricht in der Form, wie sie beim Empfänger ankommt, ergeben, § 5 Abs. 5 Satz 5 De-MailG. Sofern der Sender dies beantragt, wird der Eingang einer Nachricht im De-Mail-Postfach des Empfängers bestätigt (sogenannte Eingangsbestätigung), § 5 Abs. 8 Satz 1 De-MailG. Die Abholbestätigung hingegen ist Gegenstand des § 5 Abs. 9 De-MailG. Danach kann eine öffentliche Stelle, die zur förmlichen Zustellung berechtigt ist, eine Abholbestätigung (mit dem Inhalt des Satz 5) verlangen, welche nachweist, dass sich der Empfänger nach dem Eingang der Nachricht im Postfach an seinem De-Mail-Konto sicher im Sinne des § 4 De-MailG angemeldet hat.
§ 6:
Der Diensteanbieter kann einen Identitätsbestätigungsdienst anbieten, im Rahmen dessen sich der Nutzer der nach § 3 De-MailG hinterlegten Identitätsdaten bedienen kann, um seine Identität gegenüber einem Dritten, der ebenfalls Nutzer eines De-Mail-Kontos ist, sicher elektronisch bestätigen zu lassen, § 6 Abs. 1 Satz 1 und 2 De-MailG. Hierbei hat der Dienstanbieter nach § 6 Abs. 2 De-MailG Vorkehrungen dahingehend zu treffen, dass Identitätsdaten nicht unbemerkt gefälscht oder verfälscht werden können. Sollten Tatsachen die Annahme rechtfertigen, dass das Identitätsdatum auf Grund falscher Angaben ausgestellt wurde oder nicht ausreichend fälschungssicher ist, kann die zuständige Behörde die Sperrung eines Identitätsdatums anordnen, § 6 Abs. 3 De-MailG.
§ 8
Überdies steht es dem Diensteanbieter frei, dem Nutzer, unter Einhaltung der Vorgaben des § 8 De-MailG, eine Dokumentablage zur sicheren Ablage von Dokumenten anzubieten. Entscheidet sich der Diensteanbieter für dieses Angebot, hat er dafür Sorge zu tragen, dass die Dokumente sicher und verschlüsselt abgelegt werden. Namentlich die Vertraulichkeit, Integrität und ständige Verfügbarkeit der abgelegten Dokumente sind in diesem Zusammenhang zu gewährleisten.
§ 9:
Aufklärungs- und Informationspflichten sind § 9 De-MailG zu entnehmen.
§ 10:
Geht es um die Sperrung und Auflösung des De-Mail-Kontos, sind die nach § 10 De-MailG statuierten Grundsätze zu beachten. So hat der Diensteanbieter gemäß § 10 Abs. 1 Satz 1 De-MailG den Zugang zu einem De-Mail-Konto speziell dann unverzüglich zu sperren, wenn der Nutzer es verlangt, dass Tatsachen die Annahme rechtfertigen, dass eine eindeutige Identifizierung des Nutzers nicht ausreichend möglich ist oder die sichere Anmeldung gemäß § 4 De-MailG näher bezeichnete Mängel aufweist, die zuständige Behörde die Sperrung gemäß § 10 Absatz 2 De-MailG anordnet oder die Voraussetzungen eines vertraglich zwischen dem Diensteanbieter und dem Nutzer vereinbarten Sperrgrundes vorliegen. Ist Letzteres der Fall, ist die Sperrung seitens des Diensteanbieters so vorzunehmen, dass der Abruf von Nachrichten möglich bleibt; dies gilt jedoch nicht, soweit der vertraglich vereinbarte Sperrgrund den Abruf von Nachrichten ausschließt, vgl. § 10 Abs. 1 Satz 2 und 3 De-MailG. Zu beachten ist allerdings, dass der Diensteanbieter dem Nutzer nach Wegfall des Sperrgrundes den Zugang zum De-Mail-Konto erneut zu gewähren hat, § 10 Abs. 3 De-MailG. Demgegenüber befasst sich § 10 Abs. 4 De-MailG nicht mit der Sperrung, sondern mit der Auflösung des De-Mail-Kontos. Diese ist von Seiten des Diensteanbieters unverzüglich vorzunehmen, wenn der Nutzer es verlangt oder die zuständige Behörde die Auflösung anordnet (sofern die Voraussetzungen des Absatzes 2 vorliegen und eine Sperrung nicht ausreichend ist). § 10 Abs. 4 Satz 3 De-MailG stellt ausdrücklich fest, dass eine Vereinbarung über weitere Auflösungsgründe unwirksam ist. Informationspflichten das Vorgehen im Einzelfall betreffend beinhalten die Absätze 6 und 7 des § 10 De-MailG.
§ 13:
Nicht zuletzt aus Gründen der Transparenz muss der Diensteanbieter alle Maßnahmen zur Sicherstellung der Voraussetzungen der Akkreditierung und zur Erfüllung der in §§ 3 bis 12 De-MailG genannten Pflichten so dokumentieren, dass die Daten sowie ihre Unverfälschtheit jederzeit nachprüfbar sind, § 13 Abs. 1 Satz 1 De-MailG. Jene Dokumentationspflicht umfasst den Vorgang der Eröffnung eines De-Mail-Kontos, die Änderung von Daten, die hinsichtlich der Führung eines De-Mail-Kontos relevant sind, sowie jede Statusänderung eines De-Mail-Kontos. Die konkrete Frist zur Aufbewahrung dieser Dokumentationen ergibt sich aus § 10 Abs. 2 De-MailG, wonach diese die Dauer des Vertragsverhältnisses sowie weitere zehn Jahre ab dem Schluss des Jahres, in dem das Vertragsverhältnis geschlossen wurde, umfasst. Auf Verlangen ist dem Nutzer Einsicht in die ihn betreffenden Daten zu gewähren, § 13 Abs. 3 De-MailG.
§ 15
Mit Blick auf den Bereich des Datenschutzes gilt es § 15 De-MailG zu beachten. Danach darf der Diensteanbieter personenbezogene Daten beim Nutzer eines De-Mail-Kontos nur erheben, verarbeiten und nutzen, soweit dies zur Bereitstellung der De-Mail-Dienste und deren Durchführung erforderlich ist. Ergänzend hierzu sind die Vorgaben des Telemediengesetzes (TMG), des Telekommunikationsgesetzes (TKG) und des Bundesdatenschutzgesetzes (BDSG) einzuhalten.
§ 16:
Die gesetzeskonforme Auskunftserteilung des Diensteanbieters gegenüber Dritten über Namen und Anschrift eines Nutzers, richtet sich nach § 16 De-MailG. Hierfür müssen nach Absatz 1 der Norm kumulativ folgende Voraussetzungen vorliegen: (Nr. 1) der Dritte muss glaubhaft machen, die Auskunft zur Verfolgung eines Rechtsanspruches gegen den Nutzer zu benötigen, (Nr. 2) die Auskunft muss sich auf ein Rechtsverhältnis zwischen dem Dritten und dem Nutzer beziehen, das unter Nutzung von De-Mail zustande gekommen ist, (Nr. 3) der Dritte hat die zur Feststellung seiner Identität notwendigen Angaben im Sinne von § 3 Abs. 2 De-MailG erbracht, (Nr. 4) der akkreditierte Diensteanbieter überprüfte die Richtigkeit der Angaben nach § 3 Abs. 3 De-MailG, (Nr. 5) das Verlangen ist nicht rechtsmissbräuchlich, insbesondere dient es nicht allein dem Zweck, ein Pseudonym aufzudecken, und (Nr. 6) die schutzwürdigen Interessen des Nutzers überwiegen im Einzelfall nicht. Nach § 16 Abs. 6 Satz 1 De-MailG hat der Diensteanbieter die Auskunftserteilung zu dokumentieren (und nach Satz 3 drei Jahre aufzubewahren) sowie den Nutzer über die Auskunftserteilung zu informieren. Über den Verweis des § 16 Abs. 4 De-MailG gilt § 7 BDSG entsprechend. § 16 Abs. 5 De-MailG macht deutlich, dass sämtliche durch die Auskunftserteilung erlangten Daten nur zu dem im Rahmen des Ersuchens angegebenen Zweck verwendet werden dürfen.
§ 17:
Die geltende Rechtslage hinsichtlich der Akkreditierung von Diensteanbietern bemisst sich nach § 17 DeMailG. Insoweit müssen sich Diensteanbieter, die De-Mail-Dienste anbieten wollen, auf schriftlichen Antrag von der zuständigen Behörde akkreditieren lassen. Auf die Erteilung der Akkreditierung besteht nach § 17 Abs. 1 Satz 2 De-MailG ein Anspruch, wenn der Diensteanbieter einerseits nachweist, dass er die Voraussetzungen nach § 18 De-MailG erfüllt und andererseits die Ausübung der Aufsicht über den Diensteanbieter durch die zuständige Behörde gewährleistet ist. Die Akkreditierung ist nach wesentlichen Veränderungen, spätestens jedoch nach drei Jahren, zu erneuern, § 17 Abs. 3 De-MailG.
§ 20:
Mit der Akkreditierung unterliegen Diensteanbieter gemäß § 10 Abs. 1 Satz 2 De-MailG der Aufsicht der zuständigen Behörde. Diese kann gegenüber Diensteanbietern Maßnahmen treffen, um die Einhaltung der Vorgaben des De-MailG sicherzustellen, § 10 Abs. 2 De-MailG. Einzelne Voraussetzungen, die behördenseitig eine vorübergehende gänzliche oder teilweise Untersagung des Betriebs eines Dienstanbieters ermöglichen, normiert § 20 Abs. 3 De-MailG.