Heitere Postkarten – ePost und De-Mail für mehr Vertrauen im Netz?

Das Telex war seinerzeit für mich ein Faszinosum: Eine geheimnisvolle Maschine, in die man Kurzmitteilungen eintippte. Der Fernschreiber zeichnete diese Nachrichten auf einem Lochstreifen auf und sandte sie mit einem dem Telefonnetz ähnlichem Direktwahlsystem rund um die Welt – rund um die Welt in Sekunden. Bestechend am Telex war die Sprache in Kürzeln, und mehr noch, wie der Lochstreifen durch die Maschine rappelte.  Oder das Telegramm. Ich erinnere mich nur an Telegramme mit frohen Botschaften: Hochzeiten, Kindsgeburten, Glückwünsche oder Grüße auf Schmuckkärtchen. Über Datenschutz und Sicherheit hat man sich keine Gedanken gemacht, allein das Tempo und die Bequemlichkeit standen im Vordergrund. Das Telex wurde in den 1980er Jahren vom Telefax verdrängt. Telegramm, Telex, Telefax, und auch die berühmte Telefonzelle haben längst Museumscharakter. Sie alle sind durch Internet, E-Mail und mobile Endgeräte verdrängt worden. Trotz des hohen SPAM-Aufkommens ist der Siegeszug der E-Mail ungebrochen. Das Medium E-Mail hat unsere Fähigkeit zur Verarbeitung unzähliger Nachrichten deutlich gesteigert. Mitten in diese E-Mail-Normalität platzen neue Angebote: Seit Mitte Juli hat die Deutsche Post AG ihr Angebot ePostbrief, am Start. In Konkurrenz dazu bieten Telekom, Web.de, GMX und andere Provider eine neue Variante der Digitalpost an. Dieses neue Angebot De-Mail soll Anfang 2011 bereit stehen. Eine Registrierung für die neuen Adressen ist bereits möglich. De-Mail ist ein Angebot des Bundes (siehe De-Mail beim BSI). In aktuellen Werbespots macht die Post große Versprechungen: „Wir bringen das Postgeheimnis ins Internet“, kündigt die Post in ihrem Werbespot an. Verbindlich, vertraulich und verlässlich soll die elektronische Kommunikation sein. Die Revolution der digitalen Kommunikation?

Digitalpost im Retrolook

Ich hab den ePostbrief mal ausprobiert. Bis zur ersten regulären Anmeldung vergeht eine schiere Ewigkeit. Die Registrierung findet teils online statt, zum anderen Teil beinhaltet sie in der Tradition des reitenden Boten Postzusendungen auf Papier, dann aber auch HandyTans für die einzelnen Registrierungsschritte, einen ausgedruckten Coupon, und eine Verifizierung der Nutzerdaten mit Coupon, Personalausweis und Unterschrift am Schalter. Der Registrierungsprozess ist aufwendig und dauert extrem lang. Nach erfolgreichem Abschluss kann man dann über in sich geschlossenes Netz kommunizieren, das in einem Hybridverfahren mit den traditionellen Angeboten der Post verknüpft ist. Man kann also eine ePost am Rechner schreiben. Diese wird bei der ePost-Adresse des Adressaten ausgeliefert, falls dieser ebenfalls einen ePost Account hat. Andernfalls wird der ePostbrief als Papierpost beim Empfänger angeliefert. Als Nutzer versendet man die eigenen Nachrichten unverschlüsselt an den Server der Post. Die Post hält ein Angebot bereit, diese Nachrichten persönlich zu verschlüsseln und zu signieren. Dafür muss der Nutzer eine Verschlüsselung und Signatur bei der Post AG anfordern. Dann erst werden die Nachrichten auf dem Server der Post verschlüsselt und signiert, bevor sie an den Empfänger ausgeliefert werden (ePostbrief, Bernd’s Blog). Zusätzlich kann man die herkömmliche E-Mail einbinden und sich eine Faxfunktion geben lassen.

Dass es einen Bedarf nach vertraulicher, verlässlicher und verbindlicher Kommunikation gibt, erscheint mir nachvollziehbar. Allerdings haben verschiedene Gruppen ganz verschiedene Vorstellungen davon, was „vertraulich“, „verlässlich“ und „verbindlich“ beinhaltet. Dies zeigt unter anderem die ARD/ZDF Onlinestudie. In den jungen Altersgruppen ist die Affinität zum Internet sehr stark ausgeprägt – mehr als 95 Prozent der Befragten zwischen 14 und 29 Jahren sind Onliner und nutzen das Internet für vielfältige Zwecke im Alltag. Die über 30 Jährigen nutzen das Internet mit großer Selbstverständlichkeit für berufliche und private Zwecke. Anders sieht es in den älteren Kohorten aus, bei den über 50 Jährigen, noch mehr bei den über 70 Jährigen. Dort sind knapp nur ein Viertel der Befragten Onliner. Das Gros der Nichtnutzer des Internet gibt an, ganz bewusst das Internet nicht zu nutzen, sei es, weil das Internet keinen Nutzen darstellt, sei es, weil man dem Internet generell ablehnend gegenübersteht. Das Angebot ePostbrief der Post greift das Bedürfnis wenig netzaffiner Menschen nach mehr „Sicherheit“, „Vertrauenswürdigkeit“, „Verlässlichkeit“ auf, wählt dafür traditionelle Designs und Darstellungsformen wie z.B. Briefe in geschlossenen Kuverts und suggeriert eine Empfindung von Sicherheit und Vertrautheit wie bei der traditionellen Briefpostsendung. Zugleich verlangt sie einen sehr hohen technischen Standard vom Nutzer: Der Nutzer soll einen Computer mit Internetanschluss bereithalten. Er benötigt einen Drucker (Coupon), und er braucht ein Mobiltelefon im deutschen Netz. Für den Vorgang des ePostbriefs greift die Post AG auf Konzepte zurück, die die Menschen aus dem Onlinebanking kennen. Beim Beginn des World Wide Web Anfang der 1990er Jahre konnten sich die wenigsten vorstellen, dass sie heute selbstverständlich über das Internet einkaufen, handeln oder gar ihre Bankgeschäfte erledigen. Den Banken ist es gelungen, die verbreitete Skepsis über die Geschäftstauglichkeit des Internet mit einem Identverfahren und Pins und Tans zu beantworten. Die Banken haben – trotz bekannter Betrugsphänomene wie z.B. Phishing – den Nutzern erfolgreich ein Gefühl von Sicherheit vermittelt und den praktischen Nutzen des Onlinebankings in den Vordergrund gestellt. Dieses Prinzip wird auf die Digitalpost übertragen. Dem Postkunden wird persönlicher Kontakt mit der Post suggeriert, obgleich dieser Kontakt doch mit dem ePostbrief abgeschafft wird – an die Stelle des persönlich bekannten Postboten, der Briefe persönlich überreicht, tritt im Höchstfall der anonymisierte Kontakt über ein Callcenter, das Filialnetz der Post wird teils abgeschafft, teils in das Filialnetz der Postbank integriert. Alle Lasten der Bereitstellung funktionstauglicher technischer Geräte trägt der Kunde selbst – das  bewährte Prinzip des „arbeitenden Kunden“ funktioniert auch hier. Die Deutsche Post AG schließt den Großteil ihr Filialnetz und integriert den Rest ihrer Filialen in das Filialnetz der Postbank (vgl. Voss/Rieder 2005).

Verlässlich, verbindlich, vertraulich?

Doch beim Sicherheitsversprechen „Wir bringen das Briefgeheimnis ins Internet“ sind Fragezeichen angebracht: ePostbrief und De-Mail bringen nicht das Briefgeheimnis ins Internet, sondern greifen lediglich auf das Fernmeldegeheimnis zurück. Keinesfalls hat ein ePostbrief oder eine De-Mail den Status eines Papierbriefs im verschlossenen Kuvert. Vielmehr ist ePostbrief und De-Mail genau wie die herkömmliche E-Mail vergleichbar mit einer Postkarte. Jeder, der eine an mich adressierte Postkarte in die Hände bekommt, kann lesen, was drauf steht. Sollte es in der gedruckten Briefpost gelingen, einen gesuchten Brief aus der Flut von Briefen herauszufischen, bedarf es für das Öffnen des Kuverts einer richterlichen Anordnung. Bei der elektronischen Variante ist die Schwelle für eine Überwachung deutlich niedriger angesetzt. Schon bei einem Anfangsverdacht kann jeder Polizeibeamte bei der Post gegebenenfalls sogar E-Mails einsehen, sagt Rechtsanwalt Udo Vetter bei Richard Gutjahr (Originalbeitrag, Video). Zudem befürchtet der  Bundesdatenschutzbeauftragte Peter Schaar im Ident-Verfahren von ePost und De-Mail das Aufkommen eines „Bürgernummernschilds“: Die neuen De-Mailadressen könnten zum Sammelbecken personenbezogener Daten werden. Daher fordert er, dass De-Mail-Adressen auch pseudonym genutzt werden können. Andernfalls könnte es zum Austausch oder Handel personenbezogener Daten zwischen Unternehmen und Behörden kommen. So könne ein rechtlich unzulässiges Personenkennzeichen entstehen.

Vertrauen im Netz durch ePostbrief und De-Mail?

Keine Frage – das Bemühen um mehr Vertrauenswürdigkeit im Netz ist wünschenswert. Doch ob mit dem neuen ePostbrief und der De-Mail das Ei des Kolumbus gefunden wurde, darf bezweifelt werden. Hier sind einige  Kritikpunkte:

1. Dem Ident-Verfahren die Idee zugrunde, dass mehr Kontrolle und Formalisierung zu mehr Vertrauen im Netz führen. Mehr Kontrolle und Formalisierung schaffen jedoch nicht automatisch mehr Sicherheit und auch nicht mehr Vertrauen. Außerdem entstehen  mit dem Ident-Verfahren bei ePostbrief und DE-Mail personenbezogener Daten, die auch Geodaten beinhalten können, wenn das Mobiltelefon geortet wird. Die Nutzer sind mit mehr Verletzlichkeit und mehr Unsicherheit über möglichen Missbrauch ihrer Daten durch mögliche Weitergabe an Dritte (z.B. Vertragspartner) betroffen als bei der herkömmlichen E-Mail.
2. Zweitens scheint das eigentliche Ansinnen von ePostbrief und De-Mail der Angriff auf das Erfolgsmodell E-Mail zu sein. Seit Jahren verzeichnet die Post Rückgänge ihres traditionellen Briefgeschäfts. Da soll die neue ePost den Gegenschlag helfen. Zugleich wird das Prinzip der kostenlosen E-Mail aufgegeben. Der ePostbrief wird für 55 Cent versendet, plötzlich kosten E-Mails damit Porto. Für eine De-Mail wird ebenfalls eine Gebühr verlangt, in geringerer Höhe. Eine Leistung, welche bisher kostenlos von den Providern erbracht wurde, soll von nun an mit einem formalisierten Ident-Verfahren angeboten werden und eine Gebühr kosten. Neben den Zahlungen an den De-Mail-Diensteanbieter hat der Nutzer auch die Kosten des Vorbehalts eines funktionierenden Rechners mit Internet und eines Mobiltelefons zu tragen. Also sind ePostbrief und De-Mail der Versuch der Anbieter, die kostenlose Dienstleistung E-Mail durch eine kostenpflichtige Digitalpost zu ersetzen. Willkommen im Bezahlnetz.
3. Das De-Mail-Format weist erhebliche technische Schwächen und Mängel auf. Denn die elektronische Post liegt zu einem Punkt im Übertragungsprozess unverschlüsselt zutage. Zu einer sicheren Kommunikation gehört jedoch, dass elektronische Post von der Abfassung bis hin zu Empfang und Archivierung beim Empfänger durchgehend verschlüsselt ist. Sie darf zu keinem Zeitpunkt im Klartext lesbar sein. Das ist jedoch bisher der Fall (heise). Gefordert sind also nicht nur technische Standards, die dem Nutzer eine durchgehende Verschlüsselung garantieren, sondern eine gesetz­liche Grund­lage, die Datenschutz und Bürgerrechte in den Mittelpunkt stellt.
4. Viertens gibt es eine Reihe rechtlicher Punkte. Unternehmen versenden Kündigungen und Behörden verschicken Bescheide. Die Zustellfiktion besagt, dass ein herkömmlich auf Papier verschicktes Schriftstück nach drei Werktagen dem Empfänger bekannt sein sollte und gesetzte Fristen damit wirksam werden. Ein E-Bescheid gilt nach drei Tagen als zugestellt, selbst wenn der Bürger nicht in sein Postfach schaut, sogar an Wochenenden. Anders als bei der Papierpost gilt diese Frist dem Referentenentwurf zufolge sogar an Sonn- und Feiertagen. Hinzu kommt, dass der Nutzer auch bei ausgehenden Briefen die volle Beweislast übernimmt, zumindest, wenn er mit einer Behörde kommuniziert. Der Nutzer muss also im Streitfall nachweisen, dass er die Mail abgeschickt hat. Auch ob die De-Mail vor Gericht Bestand hat („gerichtsfest“) ist, muss erst noch die Praxis der Rechtsprechung erweisen. Auch zu diesen Aspekten hagelt es Kritik, z.B. vom Deutschen Anwaltsverein (DAV, Pressemitteilung), dem Deutschen Notarverein (DNOTV, Pressemitteilung), der Verbraucherzentrale Bundes­verband (vzbv, vzbv2) und Datenschützern (Netzpolitik, Datenspeicherung de).

Zusammenfassend lässt sich sagen, dass ePostbrief und De-Mail den Beweis ihrer Vertrauenswürdigkeit schuldig bleiben. Die Vorteile haben Großversender, die Nachteile werden einseitig beim Nutzer abgeladen: Folgt man dem bisherigen Referentenentwurf der Gesetzesgrundlage, bekommt der Nutzer mehr Kosten, mehr Pflichten und mehr Risiken aufgebrummt. Der Verbraucher hat eine schwächere Rechtsposition gegenüber Unternehmen, Banken und Behörden. Zudem muss er einer technologischen Infrastruktur vertrauen, von der noch nicht bekannt ist, ob sie wirksam gegen SPAM-Attacken, Spionage, Phishing usw. geschützt ist (c’t). Mehr Sicherheit gibt’s also für Unternehmen und Behörden, mehr Unsicherheit für den Internetnutzer.

Boykottieren, ignorieren, ausprobieren?

Was also tun mit ePostbrief und De-Mail? Das Reizzentrum empfiehlt: „Wer also diese AGB und Leistungsbeschreibung der Post anerkennt, kann nicht geschäftsfähig sein und muss – durch einen Vormund/ gesetzlichen Vertreter – vor sich selbst geschützt werden. Man kommt ja sonst in Teufels Küche.“ Mediengecht beanstandet die fehlende Integration des ePostbriefs in den Workflow: „In der Geschäftswelt läuft bereits heute alles weitgehend digital ab. Kalender werden elektronisch geführt, Termine und Besprechungen werden elektronisch per E-Mail mit Outlook oder Notes geplant und direkt im Kalender eingetragen. Das ganze aktuell synchronisiert mit Arbeitsrechner, Blackberry und privatem PC. Rechtssichere Kommunikation muss sich, um sich erfolgreich durchzusetzen, in dieses komplex vernetzte System integrieren. Der Geschäftsmann (und der Privatkunde erst recht!) will unterwegs nicht noch neben seinem Blackberry auf irgendeinem Onlineportal überprüfen, ob ein ePostbrief oder eine De-Mail angekommen ist. Er will sie, mit seinen regulären E-Mails auf seinem Blackberry, iPad oder PC. Alle zusammen in seiner Outlook-Inbox.“

Wie auch immer der geneigte Leser sein Online-Zeug organisieren möchte, eine Empfehlung für einen Wechsel zu ePostbrief und De-Mail liegt mir auch unter dem Aspekt des Vertrauens fern. Aber es gibt viele Möglichkeiten zwischen Boykott und einem Wechsel zu ePostbrief oder De-Mail.

1. Unverbindlich ausprobieren: ePostbrief oder De-Mail zusätzlich zur herkömmlichen E-Mail öffnet die Option, für jedes Schreiben einzeln zu entscheiden, was eine Gebühr konkret rechtfertigt. Unverbindliches Ausprobieren ist kein Bekenntnis zu einen neuen Angebot. Man kann den Account jederzeit dichtmachen.
2. Unabhängig machen: Ohnehin sollte man niemals seine gesamte Kommunikation einem einzigen Endgerät oder Provider bündeln, weil man sich somit einem einzigen Provider abhängig macht. Wer sich einem einzigen Angebot ausliefert, dem ist nicht zu helfen. Die Aufforderungen kommerzieller Dienste, man solle sein Zeug komplett bei ihnen lagern und verwalten, sind Aufforderungen zu blindem Vertrauen. Blindes Vertrauen bedeutet: Einfach ungefiltert alles verkünden, was einem in den Sinn kommt, sämtliche Adressen und Notizen bei einem Provider an einem Ort ansammeln, weil es so praktisch ist. Freiheit und Sicherheit kann man nur in dem Maße aufrecht erhalten, wie man sich von vielen Internetdiensten ein kleines bisschen abhängig, aber von jedem einzelnen Angebot möglichst unabhängig macht. Zum Beispiel 8-12 Dienste inklusive E-Mail plus De-Mail auf 2 Endgeräten, mit restriktiver Handhabung der Nutzerdaten. Man kann diese Praxis nachträglich lockern, eine lockere Handhabung nachträglich einzuschränken ist fast unmöglich.
3. Nützliches Vergessen: Vergessen ist ein Grundprinzip der zeitgemäßen Online-Identität. Nützliches Vergessen kann sich sowohl auf die Inhalte als auch auf Accounts bei Internetdiensten als auch auf die Inhalte beziehen. Es gibt viele gute Gründe für nützliches Vergessen:
4. Politischer Druck: Wenn man dieses kleine Besteck für die Alltagskommunikation umsetzt, ist man nicht vor Bestrebungen von Unternehmen und Behörden nach lückenloser Überwachung des Bürgers gefeit. ePostbrief und De-Mail arbeiten anders als E-Mail auf einer geschlossenen Plattform, sind aber nicht weder technisch sicherer noch rechtlich sicher, und sie stellen eine äußerst bedenkliche Vermischung von Staat und Privat dar. Meine Befürchtung ist, dass personenbezogene Daten zwischen Behörden und privaten Anbietern getauscht werden könnten, weil sich beide Seiten einen Nutzen daraus versprechen – für privatwirtschaftliche Unternehmen ist der Handel und Tausch personenbezogener Daten ein einträgliches Geschäft, für staatliche Behörden (z.B. Polizeibehörden) eröffnet der Zugang zu personenbezogenen Daten Informationen über ihre Interessen und Aktivitäten und erweiterte Möglichkeiten des Zugriffs auf seine Bürger. Der Druck auf den Gesetzgeber für ein deutlich stärkeres Gewicht der digitalen Bürgerrechte und erheblich wirksameren Datenschutz kann kaum hoch genug sein. Notfalls muss der Gesetzgeber die Anbieter von Internetdiensten zwingen, nutzerfreundliche Angebote und die Bürger wirksam vor Schädigungen über das Internet zu schützen.

Fazit: Auf ihrem gegenwärtigen Entwicklungsstand sind ePostbrief und De-Mail eine prima Sache für heitere Postkarten und liebevolle Grußkarten, doch sie stellen keine überzeugende Alternative zu E-Mail dar. Im Gegenteil: Sie sind der Versuch, gut etablierte Möglichkeiten zur Schaffung von mehr Vertrauen und Kooperation im Netz wie z.B. Informalität und Netiquette, Pseudonymisierung, Anonymisierung, offener Quellcode, offener API-Schlüssel etc. durch eine Form der Kommunikation zu ersetzen, wie man sie aus formalen Organisationen kennt und von der sich die Internetkommunikation klar abgrenzt. Sie sind darauf ausgerichtet, das Internet im Grundsatz zu verändern, hin zu einem dezidiert kommerziellen Internet, in welchem die Interessen großer Unternehmen und staatlicher Behörden gegenüber denen einfacher Bürger bevorzugt behandelt werden. Den Nachweis ihrer eigenen Vertrauenswürdigkeit müssen die Anbieter von ePostbrief und De-Mail erst noch erbringen, auch ihren Nutzen im Gegensatz zu E-Mail erst einmal überzeugend nachweisen – die bisherige öffentliche Resonanz lässt erahnen, dass die Anbieter davon noch weit entfernt sind.