Den E-Postbrief bewirbt die Deutschen Post mit einer großen Marketingkampagne. Einige Wettbewerber wie Regify und Itella haben gegenüber CIO.de behauptet, was die Post gerade einführt, könnten sie schon länger. Das will die Deutsche Post nicht auf sich sitzen lassen und verweist auf die Notwendigkeit, dass sich jeder Nutzer als Voraussetzung für rechtssichere elektronische Kommunikation eindeutig identifizieren muss, - was bei den Angeboten der genannten Unternehmen nicht der Fall ist.
Unsere Schwesterpublikation CIO.de sprach mit Georg Rau, Senior Vice President IT-Application Management und Projektleiter E-Postbrief bei der Deutschen Post.
CIO: Wettbewerber behaupteten, was die Deutsche Post jetzt anbietet, sei ein alter Hut. Das könnten diese schon lange. Sie wiederum sagen, was andere Anbieter machen, sei gar nicht das, was die Post mit dem E-Postbrief im Massenmarkt anbieten will. Bitte erklären Sie uns das.
Georg Rau, Senior Vice President IT- Application Management und Projektleiter E-Postbrief bei der Deutschen Post: Wir kennen natürlich die Angebote von Regify und Itella. Beide sind schon länger im Markt. Das sind gute Ansätze in dem Bereich, den diese adressieren. Es ist mir wichtig zu sagen, dass wir aber mit unserem Ansatz ganz bewusst versuchen, ein Stück weiter zu gehen.
Regify hat einen Ansatz entwickelt, mit dem man über bestehende E-Mail-Systeme vertraulich kommunizieren kann. Da steht aber ausschließlich die Vertraulichkeit im Vordergrund mit dem Ziel, dass keiner mitlesen oder Inhalte verändern kann. Zudem muss man sich als Nutzer auch ein Stück Software auf seinen Rechner herunterladen. Man kann also nicht einfach so loslegen. Regify versucht damit, die an und für sich nicht neue Technologie der Verschlüsselung etwas nutzerfreundlicher zu machen. Diese Nutzerfreundlichkeit besteht darin, dass man nicht mehr selbst die nötige PGP-Verschlüsselung vornehmen muss. Das ist durchaus ein wichtiger Beitrag.
Bei Itella ist es komplementär. Das Unternehmen ist im Markt bekannt für sein hybrides Angebot. Da kann man elektronische Nachrichten verschicken und ausdrucken lassen. Allerdings ist das ein eigenes, in sich geschlossenes Angebot. Es gibt keine Integration mit einer rein elektronischen Kommunikation.
Was beiden jedoch fehlt, ist eine verbindliche Infrastruktur, in der die Teilnehmer im Sinne des Geldwäschegesetzes identifiziert sind, sodass im juristischen Sinne Willenserklärungen eindeutig mit Personen verknüpft und damit auch rechtssicher abgegeben werden können.
CIO: Sie betonen also, dass eine sichere Verschlüsselung nach Ihrer Ansicht für einen Vertragsschluss nicht ausreicht?
Ja, denn das Zustandekommen von Geschäften im Sinne des Bürgerlichen Gesetzbuches ist mit der Infrastruktur der Wettbewerber nicht möglich. Ich kann zwar E-Mails vertraulich übermitteln, aber das ist etwas anderes als das Thema, das wir jetzt besetzen: die rechtsverbindliche Schriftkommunikation im Internet. Deshalb betreiben wir auch jetzt am Anfang mit großem Aufwand die Registrierung und Identifizierung der Kunden. Wir geben ihnen die Möglichkeit, sich in unseren Filialen durch das Post-Ident-Verfahren eindeutig zu identifizieren, um damit auch eine gesicherte Identität bei der Kommunikation anzunehmen.
Jeder Nutzer muss eine neue E-Mail-Adresse bekommen
Das bedeutet natürlich automatisch, dass sie eine neue Adresse bekommen, denn sie ist Ausdruck dieser rechtsverbindlichen Kommunikation. Wenn Sie ihre alte Adresse „Captain.Kirk@gmx.de" beibehalten, dann kann man eben nicht genau zurückverfolgen, dass eine Person hier eine Willenserklärung abgibt, mit der ich dann ein Rechtsgeschäft eingehe. Das ist ein ganz entscheidender Punkt.
CIO: Aber will denn jeder Absender wirklich immer gleich ein rechtswirksames Schreiben verschicken?
Dieser rechtliche Aspekt ist sicher nicht immer notwendig, deswegen hat vertrauliche Kommunikation wie bei Regify natürlich auch seine eigene Daseinsberechtigung, aber wir wollen bewusst weiter gehen. Die Kombination von physischer- und Rechtssicherheit ist deshalb bei uns ein ganz wesentlicher Aspekt. Bei den Gesprächen mit unseren großen Kunden und Partnern spielt dieser Punkt der Verbindlichkeit eine zentrale Rolle. Mittelfristig ist es der eigentliche Kernpunkt des Geschäftsmodells. Ich schaffe einen Raum, in dem die Menschen rechtssicher kommunizieren können und damit neue Geschäfte tätigen können, die sie vorher nicht abschließen konnten. Überall dort, wo etwa eine Altersbestätigung notwenig ist, ist die Frage der Identität sehr wichtig. Hier unterscheiden wir uns, das ist uns sehr wichtig.
CIO: Muss nicht für eine wirklich rechtssichere Kommunikation zuvor das De-Mail-Gesetz vom Bundestag verabschiedet worden sein?
Rau: Das ist eine sehr gute und berechtigte Frage, wo sehr viel Unklarheit herrscht. Es gibt hier schon eine Rechtsprechung, die genau das regelt. Und 99 Prozent der normalen Fälle, wo eine Willenserklärung einer Person zugeordnet werden kann, decken wir mit unserer Infrastruktur, der Kombination aus Passwort und Handy-TAN, schon ab. Der Gesetzgeber hat es in vielen Fällen einfach nicht für notwendig erachtet, das noch einmal explizit in einem Gesetz zu regeln.
Eine Ausnahme ist der Sonderfall der Kommunikation von Behörden, den man unter dem Stichwort "Bescheid" kennt. Da, wo die Behörde dem Bürger eine offizielle Urkunde, also einen Steuer- oder Bußgeldbescheid, zukommen lässt, müsste sie diesen eigentlich persönlich übergeben. Sie beleiht die Post aber mit dem Recht, diese Urkunden im Namen der Behörde zu übermitteln. Diese Beleihung soll später mit dem De-Mail-Gesetz auch jedem zertifizierten De-Mail-Provider übergeben werden können. Das ist aber ein Spezialfall, der kein großes Sendungsvolumen umfasst.
Behörden-Kommunikation ist ein Sonderfall mit geringem Volumen
Ein anderer Sonderfall sind Verträge, bei denen nicht nur die Willenserklärung eindeutig zugeordnet werden muss, sondern wo durch die harte Schriftformerfordernis eine persönliche Unterschrift notwendig ist. Also: Wenn man einen Kreditvertrag abschließt, ein Haus kauft oder einen Arbeitsvertrag unterschreibt. Diese Fälle lassen sich nicht durch eine einfache Willenerklärung erledigen. Hierfür gibt es für die elektronische Kommunikation seit rund zehn Jahren das Gesetz über die qualifizierte digitale Signatur. Weil ihr Einsatz in der Praxis aber sehr umständlich ist, hat sie sich im Massenmarkt nicht durchgesetzt.
CIO: Verschiedene Verbände wie der Deutsche Notarverein und der Deutsche Anwaltverein haben kürzlich bei den Anhörungen im Bundesinnenministerium das De-Mail-Gesetz kritisiert. CIO.de berichtete darüber. Das Gesetz bringe keinen Mehrwert, sondern berge zahlreiche Gefahren. Was sagen Sie dazu?
Rau: Grundsätzlich begrüßen wir es sehr, dass die Bundesregierung die Initiative ergriffen hat und daran arbeitet, den regulatorischen Rahmen für diese Art der neuen elektronischen Kommunikation zu schaffen. Das ist, wie bei allen netzbezogenen Geschäftsmodellen, wie etwa auch beim Mobilfunk, zwingend notwendig. Der Rahmen erzeugt für alle Beteiligten nicht nur Rechts- sondern auch Betriebssicherheit.
Die Kritik der Verbände kenne ich nicht im Einzelnen. Vom Verband der Rechtsanwälte und Notare war ich etwas überrascht, weil ich vermutet hätte, dass gerade dieser Verband die Unterschiede kennt zwischen Willenserklärungen, die man einer Person zuordnen muss, und Spezialkommunikation, die für Notare deutlich höhere Anforderungen erfüllen muss. Dass die Notare unser Angebot für ihre Zwecke nutzen können, ist gar nicht unser Anspruch. Wir wollen eine massentaugliche Infrastruktur schaffen, die deutlich mehr Rechtssicherheit bietet. Meine Sorge ist, dass man sagt: Weil man damit nicht alles machen kann, lassen wir alles so, wie es ist. Es wäre aber doch geradezu widersinnig, gar keine Rechtssicherheit als die bessere Alternative zu sehen.
Noch wichtiger ist, dass man die notwendigen Standards harmonisiert, das hat der Gesetzgeber erkannt. Man kann dies aber nur Schritt für Schritt machen. Es ist unrealistisch, wenn die Notare annehmen, dass ihre Infrastruktur auf das ganze Volk ausgerollt wird. Das hat man jetzt zehn Jahre versucht, und es wird nicht angenommen. Wenn ich als Bürger immer ein Lesegerät und eine Signaturkarte dabei haben muss, klappt es nicht. Beim E-Postbrief muss ich nur einen Browser öffnen und mein Handy dabei haben.
CIO: Der Bundesdatenschutzbeauftragte kritisierte, dass De-Mail für einige wenige Sekunden aus technischen Gründen entschlüsselt wird. Ist das bei Ihrem Angebot auch der Fall?
Foto: Deutsche Post DHL
Rau: Grundsätzlich gilt, dass wir hier bei uns keine Sicherheitslücke sehen. Mehr will ich nicht sagen. Denn ein wesentlicher Aspekt unseres Sicherheitskonzeptes ist: Wir reden in der Öffentlichkeit nicht darüber. Das ist Teil des Sicherheitskonzeptes.
"Wir reden nicht über unser Sicherheitskonzept"
CIO: Die Stiftung Warentest hat den E-Postbrief getestet und an einigen Punkten Kritik geübt. "Ein unfertiges Produkt", hieß es dort. Bemängelt wurde von Testkunden unter anderem "die holprige Aufladung des Guthabens, lange Ladezeiten und die fehlerhafte Eingabemaske". Was sagen Sie dazu?
Rau: Die von der Stiftung beschriebenen Themen sind uns natürlich bekannt. Wir hatten schon nach dem Start des E-Postbriefes im Juli Kontakt mit der Stiftung, um das Produkt zu erläutern. An den angesprochenen Funktionsmängeln wird bereits intensiv gearbeitet. Einzelne Anmerkungen sind jedoch aus unserer Sicht keine wirklichen Mängel, so wie im Fall des Einzelverbindungsnachweises, wo wir uns an gesetzliche Vorgaben wie auch die Telekommunikationsanbieter halten müssen. Wir nehmen aber alle Hinweise, ob von der Stiftung oder unseren Kunden, gerne auf und versuchen, das Produkt permanent weiter zu verbessern.
CIO: Wie wird der E-Postbrief von den Menschen angenommen? Gibt es erste Zahlen dazu?
Rau: Wir hatten zwei Tage nach dem Start bereits mehr als eine Viertelmillion Anmeldungen und sind derzeit deutlich über Plan. Die rasch wachsende Zahl von Anmeldungen zeigt uns, dass die Nutzer das Angebot zunehmend in Anspruch nehmen und wir auf dem richtigen Weg sind. Wir sind daher sehr zufrieden und positiv überrascht. Eine aktuelle Zahl werden wir zum gegebenen Zeitpunkt mitteilen.
Der Hochlauf einer so großen Plattform für einen Massenmarkt ist ja immer eine große Herausforderung. Dass man sich erst eine Adresse reservieren muss, um dann einen Registrierungscode zu bekommen, der den Zugang zur Plattform ermöglicht, ist für uns als Sicherheitsmaßnahme wichtig, damit wir den Run gezielt steuern können. Wir haben so einen sehr kontrollierten und problemfreien Hochlauf der Systeme gehabt. Wir geben kontinuierlich Gas; es funktioniert sehr gut. Ab Anfang November entfällt die vorgeschaltete Adressreservierung. Dann sind wir in einem eingeschwungenen Zustand.