Die De-Mail steht weiterhin in der Kritik: Mit deutlichen Worten kritisiert der Bundesrechnungshof ihre mangelhafte Einführung durch das BMI. Schon im Februar bezeichnete Telekom-Chef Timotheus Höttges De-Mail als überkompliziert und ein toter Gaul.
Update zur Einschätzung des Bundesrechnungshofs: Das BMI sei „gescheitert, De-Mail als elektronisches Pendant zur Briefpost in der Bundesverwaltung zu etablieren“, moniert der Bundesrechnungshof in einer „Bemerkung“ vom 30. November 2021. Auch würden Verwaltung, Bürgerinnen und Bürger sowie Unternehmen De-Mail „fast gar nicht zur elektronischen Kommunikation“ nutzen.
Zur haushalterischen Wirksamkeit von De-Mail stellt der Rechnungshof fest:
Gegenüber der Briefpost sollte De-Mail in den Jahren 2016 bis 2019 bis zu 3,5 Mio. Euro einsparen. Tatsächlich versandten die Behörden des Bundes in diesem Zeitraum nur 6 000 anstatt der erwarteten 6 Millionen De-Mails. Sie sparten demnach knapp 3 500 Euro ein. In den Jahren 2011 bis 2020 gab der Bund für De-Mail mindestens 6,5 Mio. Euro aus.
Das BMI müsse nunmehr entscheiden, inwieweit De-Mail für die Kommunikation von Bürgerinnen und Bürgern sowie Unternehmen mit der Bundesverwaltung noch benötigt wird.
Seitens der Telekom werde De-Mail nicht weiter aktiv vermarktet, wie man gegenüber dem „Spiegel“ erklärte. Bestandskunden würden weiter versorgt. Das Angebot habe sich von Beginn an nicht in der erhofften Geschwindigkeit entwickelt. Im Interview mit dem YouTuber Tilo Jung erläuterte Telekom-Chef Höttges die Gründe für das Einstellen des Dienstes. So habe es trotz Investitionen in dreistelliger Millionenhöhe nie jemanden gegeben, der dieses Produkt genutzt hat.
De-Mail als nationaler Alleingang
Vor rund zehn Jahren trat das De-Mail-Gesetz in Kraft und mit ihm die rechtliche Grundlage für die Einführung einer Kommunikationsinfrastruktur, die den sicheren Austausch von Nachrichten insbesondere gegenüber Behörden sicherstellen sollte. Angesichts der mangelnden Nutzerakzeptanz besteht aber aktuell kein Grund, dieses Jubiläum zu feiern.
Kaum an den Start gegangen, hagelte es bereits massive Kritik am Sicherheitskonzept. Hauptgrund war, dass zunächst keine sichere Ende-zu-Ende-Verschlüsselung der Kommunikation vorgesehen war, was unter anderem von Experten des Chaos Computer Clubs kritisiert wurde. Erst 2015 wurde nachgebessert und die Möglichkeit einer entsprechenden Verschlüsselung auf Basis des international anerkannten Verfahrens PGP (Pretty Good Privacy) eingeführt. Diese erfolgt allerdings bis heute nicht automatisch.
Das eigentliche Hauptproblem indes blieb und wird unverändert im Namen geführt: Der Versuch der Etablierung eines rein deutschen Technologiestandards für die Kommunikation im weltweiten Internet.
Zweck der De-Mail
Dabei gibt es gute Gründe dafür, der einfachen E-Mail ein sicheres Pendant entgegenzustellen: Die E-Mail war und ist eine elektronische Postkarte, die von jedem, der die Nachricht zulässiger oder unzulässigerweise erhält oder die Kommunikation zum Empfänger abgreift, (mit-)gelesen und mit vergleichbar einfachen Mitteln geändert werden kann. Zudem ist die Identität des Absenders nicht gesichert.
Gerade in Richtung deutscher Behörden bestand daher der Anspruch, einen sicheren Kanal zu schaffen, um Nachrichten und Dokumente über das Internet vertraulich, sicher und nachweisbar zu versenden und zu empfangen.
Allein der Weg zur Erreichung dieses Ziels konnte und kann erkennbar nicht über einen nationalen Standard erfolgen, wenn der Großteil der Aktivitäten der Bürgerinnen und Bürger im Internet nicht mit Behörden, sondern mit Amazon, Google & Co. erfolgen, die diese rein nationalen Standards nicht unterstützen.
Die De-Mail reiht sich damit, neben den (digitalen Funktionen des) neuen Personalausweises (nPA) oder der qualifizierten elektronischen Signatur in die Reihe der Versuche ein, Fragen nach technischen (Sicherheits-)Standards national zu regeln.
Lessons learned
Lösungsansätze liegen auf der Hand, wenn es um die Frage geht, wie Verwaltungen ihre internen Prozesse sowie die Kommunikation mit Unternehmen und Bürgern mit der von allen gewünschten Akzeptanz anbieten wollen:
- Zunächst gilt es, kritisch zu prüfen, welche Anforderungen an Authentizität, Integrität und Vertraulichkeit der Daten oder Vorgänge tatsächlich bestehen oder bestehen sollten. Das bloße Beharren auf Formerfordernisse, die keine Auswirkungen in der Praxis haben, wird rasch zur Förmelei. Ein Indikator hierfür kann sein, dass etwa bei einem bestimmten Verwaltungsvorgang 26 von 27 EU-Mitgliedstaaten geringere Anforderungen an die jeweiligen Schutzziele anlegen.
- Wenn gleichwohl besondere Anforderungen an die Authentizität, Integrität oder Vertraulichkeit gestellt werden sollen, sollte – wie im Bereich E-Banking – auf Maßnahmen gesetzt werden, die auf international anerkannten Standards und Vorgehensmodellen basieren.
Auswirkungen im Bereich des öffentlichen Auftragswesens
Im Bereich der E-Vergabe kommt der De-Mail keine praktische Bedeutung zu, da sie – ohne erhebliche organisatorische Zusatzmaßnahmen – nicht den Anforderungen an elektronische Mittel im Vergabeverfahren u. a. nach Maßgabe der §§ 10, 11 VgV entspricht.
Anders wird dies vereinzelt für den Bereich der Entgegennahme elektronischer Rechnungen gesehen. Da die Umsetzung der E-Rechnungsrichtlinie in den E-Government-Gesetzen von Bund und Länder erfolgte, liegt es nahe, anzunehmen, dass für die Entgegennahme von E-Rechnungen auch die gesetzlichen Vorgaben über die dort geregelten Zugangskanäle gelten sollen, die einheitlich die De-Mail als eine Möglichkeit vorsehen. In der Folge müssten alle öffentlichen Auftraggeber und damit auch solche, die gar nicht vom originären Anwendungsbereich der E-Government-Gesetze umfasst sind, allein für die Entgegennahme elektronischer Rechnungen einen entsprechenden Eingangskanal vorsehen.
Gegen ein solches Verständnis sprechen mindestens zwei gewichtige Gründe: Zum einen treffen die Regelungen zum Zugang ausdrücklich nur Behörden (vgl. beispielhaft § 2 Abs. 2 EGovG Bund), zum anderen ist keine Regelung vorgesehen, dass jede Form der Zugangsöffnung auch für alle Anwendungsfälle des E-Government-Gesetzes gelten muss. Kurz gesagt: Selbst, wenn für eine Behörde eine Pflicht zur Öffnung bestimmter Zugänge wie der De-Mail besteht, bedeutet dies nicht, dass für jeden Geschäftsprozess auch jeder Zugangskanal eröffnet werden muss.
Im Ergebnis spricht daher vieles dafür, dass die De-Mail keinen pflichtig vorzuhaltenden Zugangskanal für den Bereich der E-Rechnung darstellt.
