18/11/2015 16:05
Pet 1-17-06-200-048267
Behörden und Verwaltungsverfahren
Der Deutsche Bundestag hat die Petition am 01.10.2015 abschließend beraten und
beschlossen:
Die Petition
a) der Bundesregierung – dem Bundesministerium des Innern – als Material zu
überweisen,
b) den Fraktionen des Deutschen Bundestages zur Kenntnis zu geben. Begründung
Mit der Petition wird gefordert, dass Behörden bei Kommunikation im Rahmen des
E-Government-Gesetzes über De-Mail zwingend Ende-zu-Ende-Verschlüsselung
einsetzen müssen, sofern der Kommunikationsteilnehmer einen öffentlichen
Schlüssel im De-Mail-Adressverzeichnis hinterlegt hat.
Zu diesem Thema liegen dem Petitionsausschuss eine auf der Internetseite des
Deutschen Bundestages veröffentlichte Eingabe mit 137 Mitzeichnungen und
9 Diskussionsbeiträgen sowie mehrere Eingaben mit verwandter Zielsetzung vor, die
wegen des Sachzusammenhangs einer gemeinsamen parlamentarischen Prüfung
unterzogen werden. Es wird um Verständnis gebeten, dass nicht auf alle der
vorgetragenen Aspekte im Einzelnen eingegangen werden kann.
Zur Begründung des Anliegens wird im Wesentlichen vorgetragen, dass in dem in
der 17. Wahlperiode vorgelegten Gesetzentwurf der Bundesregierung zur Förderung
der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften
(Drucksache 17/11473) eine Ende-zu-Ende-Verschlüsselung für die Kommunikation
von Behörden mit Bürgern und untereinander nicht einmal für Inhalte mit hohem und
sehr hohem Schutzbedürfnis vorgesehen sei. Genau dies sei jedoch vom damaligen
Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) in seiner
Handreichung zum De-Mail-Einsatz gefordert worden. Ohne diese Ende-zu-Ende-
Verschlüsselung liege die Nachricht beim De-Mail-Anbieter unverschlüsselt vor. Da
die infolge des De-Mail-Gesetzes geschaffene Infrastruktur die Hinterlegung von
öffentlichen Schlüsseln für die verschlüsselte Kommunikation ermögliche, sollten
Behörden angehalten werden, diese höhere Sicherheit und Vertraulichkeit in der
Nachrichtenübermittlung auch einzusetzen, wenn der Kommunikationspartner (in der
Regel also der Bürger) dies wünsche und einen öffentlichen Schlüssel im
De-Mail- Adressverzeichnis hinterlegt habe. Durch diese vorgeschlagene Änderung
würden diejenigen, die eine wirkliche Sicherheit in der De-Mail-Kommunikation
begehren würden, Nachrichten von Behörden auch tatsächlich durchgehend
verschlüsselt erhalten. Damit würde das vom BfDI geforderte Sicherheitsniveau auch
für die Behörden verpflichtend gemacht.
Hinsichtlich der weiteren Einzelheiten zu dem Vorbringen wird auf die eingereichten
Unterlagen verwiesen.
Der Petitionsausschuss hat der Bundesregierung Gelegenheit gegeben, ihre Ansicht
zu der Eingabe darzulegen. Zudem hat der Ausschuss in der 17. Wahlperiode zu der
Eingabe gemäß § 109 Abs. 1 Satz 2 der Geschäftsordnung des Deutschen
Bundestages eine Stellungnahme des Innenausschusses des Deutschen
Bundestages eingeholt, dem der o. g. Gesetzentwurf auf Drucksache 17/11473 zur
Beratung vorlag und der am 20. März 2013 eine öffentliche Anhörung hierzu
durchführte.
Das Ergebnis der parlamentarischen Prüfung lässt sich unter Einbeziehung der
seitens der Bundesregierung und des zuständigen Fachausschusses angeführten
Aspekte wie folgt zusammenfassen:
Der Petitionsausschuss begrüßt zunächst das mit der Petition zum Ausdruck
gebrachte Engagement, da der Datenschutz und die Datensicherheit auch für ihn
sehr wichtige Anliegen darstellen.
Ferner weist der Ausschuss darauf hin, dass der 17. Deutsche Bundestag in seiner
234. Sitzung am 18. April 2013 aufgrund der Beschlussempfehlung und des Berichts
des Innenausschusses (Drucksache 17/13139) den o. g. Gesetzentwurf auf
Drucksache 17/11473 beschlossen hat (vgl. Plenarprotokoll 17/234). Der Bundesrat
stimmte dem Gesetz am 7. Juni 2013 zu.
Alle erwähnten Drucksachen und das Protokoll der Plenardebatte können über das
Internet unter www.bundestag.de eingesehen werden.
Die Bundesregierung hat in ihrer Stellungnahme an den Petitionsausschuss
festgestellt, dass die auf Basis des De-Mail-Gesetzes und des durch das Bundesamt
für Sicherheit in der Informationstechnik durchgeführten Zulassungsverfahrens
gewährleistete Sicherheit bei der Übermittlung von De-Mails im Regelfall
ausreichend sei. Bei der Konzeption von De-Mail sei eine Verschlüsselung aller
versendeten Nachrichten durch den De-Mail-Provider vorgesehen worden, um die
Vertraulichkeit zu schützen. So sei jede übermittelte De-Mail auf ihrem Weg durch
das Internet verschlüsselt. Die De-Mail-Provider müssten im Rahmen der
Akkreditierung nachweisen, dass sie genau definierte Anforderungen an die
technische und organisatorische Sicherheit erfüllen.
Ausweislich der Stellungnahme des zuständigen Bundesministeriums des Innern
(BMI) regelten das E-Government-Gesetz und die in diesem Zusammenhang
vorgenommenen Änderungen im Verwaltungsverfahrensrecht insoweit allein den
Schriftformersatz. Damit gingen diese Regelungen nicht spezifischen Datenschutz-,
Geheimschutz- oder anderen Fachregelungen vor. Das bedeute, dass im Einzelfall
zu prüfen sei, ob nicht ein besonders gesicherter Übertragungsweg gewählt werden
muss. Für wenige Fälle besonders sensibler Daten könne ausnahmsweise nur eine
Ende-zu-Ende-Verschlüsselung ein geeignetes Verfahren sein, so z. B. wenn „die
Schadensauswirkungen bei unberechtigtem Zugriff ein existentiell bedrohliches
Ausmaß erreichen“, während bei normalen Verwaltungsdaten auch nach Auffassung
des BfDI De-Mail ohne zusätzliche Ende-zu-Ende-Verschlüsselung ausreiche.
Zudem würde die mit der Petition geforderte Fallunterscheidung zu erheblichen
Hürden bei der Einführung von De-Mail in der Verwaltung führen, da für jeden
einzelnen Kommunikationsvorgang vorab geprüft werden müsste, ob der jeweilige
Kommunikationspartner einen öffentlichen Schlüssel im Verzeichnisdienst
veröffentlicht habe.
Da die durch De-Mail bereitgestellte Sicherheit im Regelfall ausreichend sei,
erscheine der hierdurch entstehende Aufwand nach Ansicht des BMI als nicht
gerechtfertigt.
Unabhängig von der mit der Petition geforderten allgemeinen Verpflichtung von
Behörden zur Ende-zu-Ende-Verschlüsselung bleibe es Nutzern von De-Mail
unbenommen, für einzelne De-Mail-Kommunikationsvorgänge zusätzlich Ende-zu-
Ende-Verschlüsselung einzusetzen.
Der Petitionsausschuss macht darauf aufmerksam, dass es ein Grundsatz des
Datenschutzes ist, dass bei der elektronischen Übertragung personenbezogener
Daten die Integrität, Authentizität und Vertraulichkeit der Daten sichergestellt sein
muss. In der in der Petition erwähnten Handreichung zum De-Mail-Einsatz hat der
BfDI ausgeführt, dass aus datenschutzrechtlicher Sicht eine Ende-zu-Ende-
Verschlüsselung grundsätzlich erforderlich ist, um ein angemessenes Schutzniveau
bei der Versendung besonders schutzbedürftiger personenbezogener Daten mittels
De-Mail zu gewährleisten. Ob eine Ende-zu-Ende-Verschlüsselung im Einzelfall die
datenschutzrechtlich angemessene Sicherungsmaßnahme darstellt, orientiert sich an
dem konkreten Schutzbedarf der Daten.
Der Ausschuss hebt hervor, dass von der Bundesregierung gegenwärtig im Rahmen
der Umsetzung der Digitalen Agenda geprüft wird, wie die Funktionen von De-Mail
zur ergänzenden Ende-zu-Ende-Verschlüsselung für Bürger und Unternehmen
weiter vereinfacht werden können.
In diesem Zusammenhang begrüßt der Ausschuss ausdrücklich die Absicht der
Bundesregierung, die Weiterentwicklung und Verbreitung von De-Mail und sicheren
Ende-zu-Ende-Verschlüsselungen erheblich auszubauen.
Vor diesem Hintergrund und insbesondere im Hinblick auf die Ziele der
Gewährleistung von Datenschutz und Datensicherheit im digitalen Zeitalter sowie die
Erhöhung der Akzeptanz elektronischer Verwaltungsdienste empfiehlt der
Petitionsausschuss im Ergebnis, die Petition der Bundesregierung – dem BMI – als
Material zu überweisen, damit sie gegebenenfalls in die Vorbereitung eines
entsprechenden Gesetzentwurfes einbezogen werden kann.
Zugleich empfiehlt der Ausschuss, die Petition den Fraktionen des Deutschen
Bundestages zur Kenntnis zu geben, weil sie als Anregung für eine parlamentarische
Initiative geeignet erscheint.
Der von den Fraktionen DIE LINKE. und von BÜNDNIS 90/DIE GRÜNEN gestellte
Antrag, die Petition der Bundesregierung zur Berücksichtigung zu überweisen, ist
mehrheitlich abgelehnt worden.
5Begründung (pdf)