Einführungsleitfaden für Kommunen - t-systems.com · Nutzerbereich in Form des De-Mail Kontos zur Verfügung. Das De-Mail Konto wird repräsentiert durch eine ei-genständige De-Mail

De-Mail Lösung der T-Systems

Einführungsleitfaden für Kommunen

T-Systems 27.07.2015 Seite 2 von 53

Inhaltsverzeichnis

KURZ ERKLÄRT 4

De-Mail – Sicher wie ein Brief, einfach wie eine E-Mail 4

Und so funktioniert De-Mail 5

SO GELINGT DIE EINFÜHRUNG 6

Zielfoto „De-Mail Ready“ 6

Erste Ideen zu De-Mail Einsatzszenarien 7

BEWÄHRTES VORGEHEN 8

De-Mail Vertrag 9

Technische Integration De-Mail 15

Organisatorische Integration 28

STUFENWEISE EINFÜHRUNG VON DE-MAIL 35

Allgemeiner Zugang 35

Individualkommunikation 36

Formularservice 36

Fallmanagement 37

Fachverfahren 37

ANHANG A: RECHTLICHER RAHMEN 38

ANHANG B: GESETZESAUSZÜGE 44

ANHANG C: WEITERFÜHRENDE INFORMATIONEN 49

IMPRESSUM 53


VorwortBereits 2011 hat der Gesetzgeber mit dem De-Mail

Gesetz den Grundstein für eine sichere und

nachweisbare elektronische Kommunikation

gelegt. Im Jahr 2013 folgten sowohl das Gesetz zur

Förderung der elektronischen Verwaltung

(E-Government-Gesetz - EGovG) als auch das

Gesetz zur Förderung des elektronischen

Rechtsverkehrs mit den Gerichten (E-Justice-Gesetz

- EJustG). Damit ist De-Mail vollumfänglich als

Lösungsbaustein der digitalen Verwaltung

verankert und für Behörden des Bundes sogar

verpflichtend.

Mit seinem Landes-E-Government-Gesetz und dem

zugehörigen Handlungsleitfaden hat Sachsen als

erstes Bundesland De-Mail als Kommunikations-

kanal verpflichtend ab August 2016 auch für alle

Landes- und Kommunalbehörden verankert.

Der De-Mail Markt

Die vier aktuell am Markt agierenden zertifizierten

und akkreditierten De-Mail Diensteanbieter

T-Systems International GmbH (im Folgenden „T-

Systems“ genannt), Telekom Deutschland GmbH,

United Internet AG und Mentana Claimsoft GmbH

stellen mit ihren De-Mail Leistungsangeboten eine

hochsichere Plattform bereit, die einen

flächendeckenden Einsatz als

Kommunikationskanal ermöglicht. Gemeinsam

arbeiten die De-Mail Diensteanbieter weiter an

neuen Leistungsangeboten und vereinfachten

Prozessen bei der De-Mail-Kontoeröffnung und

Nutzung.

Heute verfügen bereits ca. 1,5 Mio. Bundesbürger

sowie mehrere 10.000 Geschäftskunden und

Verwaltungen über ein eigenes De-Mail Konto,

Tendenz stetig steigend.

Zeit für den nächsten Schritt

Um die Potenziale der sicheren elektronischen

Kommunikation mit De-Mail für alle

Kommunikationspartner zu heben ist es notwendig,

ganz konkrete Einsatzszenarien anhand der

individuellen relevanten Geschäfts- und

Kommunalprozesse zu identifizieren und

umzusetzen.

Mit dem vorliegenden Dokument erhält der Kunde

der T-Systems ein Arbeitspapier im Sinne eines

Blue Print zur Einführung von De-Mail über definier-

te Arbeitspakete (Best Practice). Die beschriebenen

Aktivitäten und Maßnahmen beziehen sich aus-

schließlich auf die De-Mail Angebote der T-Systems.

Wir laden Sie ein, im Rahmen eines

gemeinsamen Workshops mit uns über

konkrete De-Mail Einsatzszenarien Ihrer

Fachbereiche und deren Prozesse zu

Diskutieren. Gern unterstützen wir sie

von der ersten Idee bis zur Umsetzung.

Sprechen Sie uns einfach an.

Kontakt

T-SYSTEMS INTERNATIONAL GMBH Digital Division - De-Mail

E-Mail:

[email protected]

De-Mail:

[email protected]

Disclaimer

Das Vorliegende Dokument wurde mit großer

Sorgfalt erstellt, erhebt jedoch keinen Anspruch

auf Richtigkeit und Vollständigkeit. Insbesondere

die Umsetzbarkeit der skizzierten potenziellen

Einsatzszenarien muss hinsichtlich der

juristischen, organisatorischen, technischen und

kommerziellen Machbarkeit im Kontext der

jeweiligen Verwaltungsorganisation und unter

Berücksichtigung der Gesetzgebung des

jeweiligen Bundeslandes detailliert bewertet

werden.

Das Dokument enthält keinerlei

rechtsverbindliche Bewertungen, sondern hat

lediglich informierenden Charakter zu rechtlich

relevanten Themen, die von der Kommune im

Einzelfall geprüft und rechtlich bewertet werden

sollten. Das Dokument dient ausdrücklich nicht

der Rechtsberatung.


Kurz erklärt

De-Mail – Sicher wie ein Brief, einfach wie eine E-Mail

Mit De-Mail werden erstmals viele Vorteile unterschiedlicher Kommunikationskanäle in einer Lösung vereint. So bietet eine De-Mail die Vertraulichkeit und Sicherheit eines Briefes, niedrige Kosten vergleichbar mit Fax und die Einfachheit und Nachhaltigkeit einer E-Mail. Die Umsetzung erfolgt dabei auf einer starken Basis, dem De-Mail Gesetz. Die Anwendung von De-Mail in Prozessen der Öffentlichen Verwaltung ergibt sich aus den E-Government-, Verwaltungsverfahrens- und Verwaltungszustellungsgesetzen von Bund und Ländern sowie einer Vielzahl weiterer Rechtsvorschriften.

Die Einsparpotenziale für Papier, Druck, Porto & Logistik sind überaus spannend!

Eine geringe Anfangsinvestition ermöglicht den schnellen Start mit De-Mail. Neben monetären Effekten bietet die Einführung von De-Mail auch einen zeitlichen Vorteil. Prozessablaufbedingte Medienbrüche werden reduziert, da Kommunikation, Veraktung und Langzeitspeicherung durchgängig elektronisch stattfindet. Die Durchlaufzeit von Prozessen wird durch eine schnelle Zustellung deutlich verkürzt und die Wahrung von Fristen erheblich erleichtert.

Kunden profitieren von einer rechtssicheren, verschlüsselten und nachweisbaren Kommunikation.

De-Mail bietet nicht nur durch den gesetzlich vorgeschriebenen Identifizierungsprozess bei Kontoeröffnung sondern auch im Zusammenhang mit Schutz und Sicherheit für gespeicherte Daten und die übermittelten Nachrichten für alle Kommunikationspartner eine besondere Vertrauensstellung. Die Anforderungen für eine Zulassung als De-Mail Diensteanbieter (DMDA) sind besonders hoch und werden im Rahmen von Zertifizierungs- und Akkreditierungsverfahren regelmäßig durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Einhaltung geprüft.

Die Grundpfeiler auf einen Blick


Und so funktioniert De-Mail

Um De-Mail verwenden zu können, benötigt der jeweilige Kommunikationspartner ein De-Mail Konto bei einem akkreditierten DMDA. Im Zuge der Eröffnung des De-Mail-Kontos nimmt der DMDA selbst oder ein von ihm beauftragter und geprüfter Ident-Dienstleister die Identifizierung gemäß De-Mail Gesetz vor. Damit steht hinter jedem De-Mail Konto auch eine ladungsfähige Adresse.

Eine De-Mail Nachricht gilt im juristischen Sinne als zugestellt, wenn diese im Postfach des Empfängers auf dem Server des DMDA abgelegt wurde. Abhängig vom gewünschten Betriebsmodell (siehe -Abschnitt Mögliche Betriebsmodelle) kann damit der Zugriff auf ein Postfach, d.h. Versand und Empfang von De-Mails auf verschiedene Weise realisiert werden. Bereits durch einen einfachen De-Mail Web-Frontend Zugang, der vom DMDA bereitgestellt, wird kann eine Behörde den De-Mail Zugang wirksam eröffnen. Für Institutionen wird jedoch die Anbindung der unternehmensinternen E-Mail Infrastruktur per De-Mail Gateway empfohlen.

Die einfache Nutzung von De-Mail über die vorhandene E-Mail Infrastruktur und über die den Mitarbeitern bekannten E-Mail Programme und Fachverfahren ist möglich, weil das eigentliche Nachrichtenformate eine RFC-konforme MIME Message ist, die durch den DMDA lediglich um spezielle Metainformationen (X-Header) wie die De-Mail Message ID, den Integritätsschutz oder die Versandoptionen erweitert wird. Auch die Adressierung eines De-Mail Postfachs unterscheidet sich im Grunde nicht von einer klassischen E-Mail-Adresse.

Der eigentliche Transport der Nachrichten erfolgt dann verfasst im De-Mail Web-Frontend oder ausgehend vom lokalen E-Mail-Server über ein De-Mail Gateway als Nachrichtenentwurf zum DMDA des Versenders. Bei Übertragung mittels De-Mail Gateway zum DMDA-Server erfolgt der Transport verschlüsselt auf Basis eines Zertifikats. Nach der gesetzlich vorgesehenen Schadsoftwareprüfung durch den DMDA setzt dieser die De-Mail Metadaten und den Integritätsschutz. Über ein sicheres Netz erfolgt die weitere Übermittlung an den DMDA des jeweils adressierten Nachrichtenempfängers. Der empfangende DMDA legt die Nachricht nach der Prüfung des Integritätsschutzes sowie nach der Schadsoftwareprüfung im Postfach des Empfängers ab.

Technische Prozesse des De-Mail Versands über ein Gateway


So gelingt die Einführung

Aus einer Vielzahl von De-Mail Einführungsvorhaben ihrer Kunden verfügt die T-Systems heute über ein erprob-tes und bestens bewährtes strukturiertes Vorgehen für De-Mail Projekte. Mit dem vorliegenden Dokument ge-währt die T-Systems einen tiefgreifenden Einblick in Methodik und Know-How, das als Leitfaden für ein eigenes De-Mail Einführungsvorhaben geeignet ist. Die T-Systems bietet auf Wunsch gern entsprechende standardisierte Beratungs- und Unterstützungsleistungen an.

Kontakt

T-SYSTEMS INTERNATIONAL GMBH - Digital Division - De-Mail E-Mail: [email protected] De-Mail: [email protected]

Zielfoto „De-Mail ReaDy“

Zielsetzung eines De-Mail Einführungsvorhabens ist die Realisierung der technischen Anbindung an den De-Mail Verbund und die damit einhergehende notwendige minimale organisatorische Einbettung in die Kommune. Flankiert von den notwendigen vertraglichen Regelungen erhalten Kommunen die Fähigkeit, De-Mails im Rah-men einer individuellen Kommunikation zu empfangen und zu versenden. Sie erreichen damit den Status „De-Mail Ready“.

Von einem De-Mail Einführungsvorhaben sind in der Regel die Interessen ganz unterschiedlicher Stakeholder sowie Arbeitsbereiche verschiedener Organisationseinheiten betroffen. Die einzelnen Themen sollten zentral konsolidiert und für die Umsetzung künftiger Anwendungsfälle sowie spätere Integration in Geschäftsprozesse sauber dokumentiert werden.

Gegenstand eines De-Mail Einführungsvorhabens sind in der Regel Punkte aus folgenden beispielhaften Themenbereichen, die individuell jeweils einzeln oder in Kombination zu betrachten sind:

De-Mail Produkt

Technische Integration

Organisa-torische

Einbettung

De-Mail Ready

De-Mail Produkt

IT-Infrastruktur

Know-How Aufbau

Betriebsprozesse

Fachliche Anforderungen

Compliance

Stakeholder & Kommunikation

Datenschutz & Security


Erste Ideen zu De-Mail Einsatzszenarien

Die folgende Darstellung bietet einen kleinen Überblick zu möglichen Anwendungsgebieten von De-Mail in der Kommunalverwaltung. Die Eröffnung des allgemeinen De-Mail Zugang ermöglicht heute bereits in Städten wie Dresden, Köln oder Bielefeld den Zugang des Bürgers zu ca. 400 Anliegen nach dem Lebenslagenprinzip.

Beispiele nach Verwaltungsbereichen

Weitere Impulse für De-Mail Einsatzszenarien kann ggf. das Whitepaper zu De-Mail Einsatzszenarien für Institutionen der öffentlichen Verwaltung liefern. Bitte Sprechen Sie uns an!

Für De-Mail Besonders geeignete Geschäfts- und Verwaltungsprozesse


Bewährtes Vorgehen

Die folgende Abbildung bietet einen Überblick über übliche Arbeitspakete (Best Practice) im Rahmen eines De-Mail Einführungsvorhabens. Insbesondere der Themenkomplex „Technische Integration“ ist Gegenstand des Leistungsangebotes der T-Systems. Die aus Sicht der Kommune relevanten Arbeitspakete und Aktivitäten wer-den im vorliegenden Dokument im Einzelnen vorgestellt.


De-Mail Vertrag

Im Rahmen eines De-Mail Einführungsvorhabens sind je nach Betriebsmodell verschiedene Vertragsparteien relevant. Nachfolgende Grafik veranschaulicht die möglichen Vertragspartner und ihre Beziehungsverhältnisse.

Der Kunde bzw. Mandant geht mit dem DMDA T-Systems einen De-Mail Kontovertrag über die Bereitstellung und Nutzung eines De-Mail Kontos ein (Details siehe Vertragsabschluss De-Mail Konto).

Zusätzlich schließt der Kunde mit einem IT-Service Provider einen Vertrag über den technischen De-Mail Gate-way Betrieb und die Einbindung in die E-Mail Infrastruktur ab. Es ist von der Kommune zu prüfen, ob zusätzliche Vereinbarungen (z.B. bei Auftragsdatenverarbeitung) geschlossen oder bereits bestehende Verträge De-Mail spezifisch ergänzt werden müssen. (Details siehe Vertragsabschluss De-Mail Gateway Service).

Vertrag De-Mail Konto

Registrierung & Identifizierung

Kontoaktivierung Vertrag De-Mail

Gateway Service Mandanten-zuordnung

Hinweis

Erfolgt die Aufschaltung ausgehend von einem bestehenden De-Mail Konto, dann entfallen die Arbeitspakete „Vertragsabschluss De-Mail Konto“, „Registrierung & Identifizierung“ und „Kontoaktivierung“.


Vertrag De-Mail Konto

Was wird getan? Die Kommune eröffnet ein eigenes De-Mail Konto mit eigener De-Mail Hauptdomain. Der De-Mail Kontovertrag wird direkt zwischen der Institution und dem DMDA T-Systems geschlossen.

Mit Beauftragung müssen auch der Name der künftigen De-Mail Domain der Institution sowie die Adresse des initialen Funktionspostfachs definiert werden. Die Domain muss zum Registrierungszeitpunkt verfügbar sein.

Mit dem Auftragsblatt werden die entsprechenden Daten zur Registrierung der Institution sowie der natürlichen vertretungsberechtigten Personen erfasst, die im nächsten Schritt durch den DMDA identifiziert werden (weitere Details siehe Registrierung & Identifizierung).

Wird der Vertrag zum De-Mail Konto neu geschlossen, kann bereits mit dem Auftragsblatt die Zuordnung des Kontos zum Gateway Betrieb über einen IT-Serviceprovider veranlasst werden. Hierfür ist im Auftragsblatt die Angabe der Service Provider Bezeichnung und der Serviceprovider Nummer erforderlich. Die notwendigen In-formationen stellt der jeweilige IT-Serviceprovider zur Verfügung.

Warum ist das wichtig? Jede Kommune mit eigenem Dienstsiegel und der Aufgabenübertragung zur alleinigen eigenverantwortlichen Erledigung stellt als öffentliche Stelle einen eigenständigen Nutzer im Sinne des § 3 Absatz 1 des De-Mail Geset-zes dar. Der DMDA stellt der öffentlichen Stelle als Nutzer einen eigenen abgeschlossenen und geschützten Nutzerbereich in Form des De-Mail Kontos zur Verfügung. Das De-Mail Konto wird repräsentiert durch eine ei-genständige De-Mail Hauptdomain.

Was wird benötigt? Auftragsblatt De-Mail Konto Allgemeine Geschäftsbedingungen De-Mail Leistungsbeschreibung De-Mail Konto Preisliste De-Mail Konto Information zum Datenschutz nach De-Mail Gesetz

Was ist das Ergebnis? Der De-Mail Kontovertrag ist geschlossen und das Konto der Institution dem IT-Serviceprovider zugeordnet.


Registrierung & Identifizierung

Was wird getan? Die Kommune beauftragt mittels Auftragsblatt den DMDA mit der Registrierung ihres De-Mail Kontos. Der DMDA registriert anhand der Daten aus Auftragsblatt die Kommune als Nutzer des De-Mail-Kontos sowie mindestens eine vertretungsberechtigte Person der Kommune (in der Regel ein(e) Amtsinhaber(in) mit Dienstsiegel) sowie die von der Kommune im Auftragsblatt angegebenen berechtigten Administratoren für das De-Mail-Konto. Die Identitätsfeststellung der Kommune erfolgt durch die Identifizierung ihrer natürlichen vertretungsberechtigten Person(en) im Rahmen des gesetzlich vorgeschriebenen Identifizierungsverfahrens durch berechtigte Mitarbeiter des DMDA oder Mitarbeiter eines autorisierten Ident-Dienstleister. Die Identifizierung erfolgt in der Regel im Rahmen eines vorab vereinbarten Identifizierungstermins vor Ort.

Die vertretungsberechtigten Personen der Kommune müssen zum Identifizierungstermin persönlich anwesend sein und sich mit einem gültigen Personaldokument ausweisen.

Warum ist das wichtig? Der DMDA ist gemäß § 3 Absatz 2 und 3 De-Mail Gesetz verpflichtet, die Identität des Nutzers zweifelsfrei festzu-stellen. Zur Identitätsfeststellung einer Kommune werden Daten wie die Bezeichnung der Kommune, Anschrift der Kommune, Namen der gesetzlichen Vertreter der Kommune vom DMDA erhoben und gespeichert (vgl. § 3 Absatz 2 Satz 2 Nr.2 De-Mail Gesetz).

Was wird benötigt? Anhang zum Auftragsblatt Identifizierungsunterlagen (werden vom Ident-Mitarbeiter beigestellt) Gültige Ausweisdokumente der vertretungsberechtigten Personen

Was ist das Ergebnis? Das De-Mail Konto der Kommune ist registriert und nach erfolgreicher Identifizierung durch den DMDA freige-schaltet. Die entsprechenden Zugangsdaten für die Aktivierung des De-Mail Kontos und ein zusätzliches Begrü-ßungsschreiben sind an die im Rahmen der Registrierung hinterlegten Adressen versandt.


Kontoaktivierung

Was wird getan? Nach Erhalt der individuellen Zugangsdaten wird das Konto der Kommune durch eine vertretungsberechtigte Person aktiviert. Die Aktivierung kann alternativ durch einen Administrator erfolgen, sofern der Administrator im Registrierungsprozess die entsprechende Berechtigung erhalten hat.

Die Aktivierung des De-Mail Kontos der Kommune erfolgt durch Erstanmeldung am De-Mail Web-Frontend. Zu den Aktivitäten gehören:

Definition eines persönlichen Passworts zum Login mit Benutzername/Passwort Optional: Registrierung und Bestätigung eines Tokens für hohes Authentifizierungsniveau Optional: Veröffentlichung eines Eintrags im De-Mail Verzeichnisdienst Optional: Festlegung des Mindest-Authentifizierungsniveaus (global für alle Nutzer zur Anmeldung per

De-Mail Web-Frontend) Optional: Konfiguration von Nutzern und Postfächern mit Web-Frontend Zugriff

Was wird benötigt? Zugangsdaten zum De-Mail Konto inkl. Initialpasswort Token zur Registrierung für hohes Authentifizierungsniveau

Was ist das Ergebnis? Das De-Mail Konto ist zur Nutzung aktiviert. Der Versand und Empfang von De-Mails ist durch Nutzung des Web-Frontend möglich.

Wir empfehlen zum Start:

Registrieren Sie für das De-Mail Konto einer Institution mindestens zwei natürliche vertretungsberechtig-te Personen. Damit ist sichergestellt, dass auch bei Abwesenheit oder Ausscheiden einer vertretungsbe-rechtigten Person das Konto der Institution weiterhin in vollem Umfang administrierbar ist. So kann zum Beispiel bei Verantwortungswechsel eine neue vertretungsberechtigte Person oder ein Administrator nur durch eine andere vertretungsberechtigte Person eingerichtet werden.

Registrieren Sie vertretungsberechtigte Personen, die grundsätzlich für administrative Tätigkeiten auch greifbar sind. Bewährt hat sich neben der Registrierung eines Vertreters der Hausspitze die zusätzliche Registrierung einer niedrigeren Hierarchieebene, z.B. Prokurist, Amtsleiter mit Dienstsiegel, etc.

Verzichten Sie bei Beauftragung zunächst auf die Registrierung von Token für das hohe Authentisie-rungsniveau. Diese können nach Erhalt der Zugangsdaten bei Erstanmeldung des Nutzers am De-Mail Konto nachregistriert werden. Token sind zusätzliche Sicherungsmittel zum Erreichen des hohen Au-thentisierungsniveaus beim Anmelden am De-Mail Konto. Der DMDA T-Systems bietet hierfür die Ver-wendung des neuen Personalausweises (nPA) oder eines Mobiltelefons zur Zustellung einer MobileTAN an.

Registrieren Sie mit dem Auftragsblatt bereits 1-2 Administratoren innerhalb ihrer Kommune, die das Konto der Institution verwalten und bei kontobezogenen Störungen den DMDA kontaktieren dürfen. Ach-tung! Administratoren werden nur registriert, nicht persönlich identifiziert.

Übertragen Sie mit dem entsprechenden Anhang zum Auftragsblatt den eingesetzten Administratoren das Recht zur Aktivierung des De-Mail Kontos.



Die Initialpasswörter berechtigen grundsätzlich nur bei der ersten Verwendung zu administrativen Hand-lungen, die hohes Authentisierungsniveau erfordern. Damit muss zwingend bei Erstanmeldung auch ein Token für die Abbildung des hohen Authentisierungsniveaus registriert werden.

Wir empfehlen die Nutzung des Mindest-Authentisierungsniveaus „hoch“, wenn die Nutzung des De-Mail Web-Frontend nur für vertretungsberechtigte Personen und Administratoren zu Zwecken der Kontoad-ministration erfolgt. Falls weitere Nutzer am De-Mail Konto registriert werden, empfiehlt sich die Nutzung des Mindest-Authentisierungsniveaus „normal“.


Vertrag De-Mail Gateway Service

Was wird getan? Die Kommune beauftragt einen IT-Serviceprovider mit der De-Mail-Anbindung über ein zentrales mandanten-fähiges Gateway und mit dem Routing der De-Mails in die E-Mail Infrastruktur.

Warum ist das wichtig? Grundlage für die Erbringung des De-Mail Gateway Service als zentraler Dienst für einen Mandanten (De-Mail-Kunde) ist die Buchung des De-Mail Gateway Service bei T-Systems. Mit dem De-Mail Gateway Service werden zwischen Mandant und IT-Serviceprovider alle Rechte und Pflichten geregelt, die die Versorgung mit De-Mail Kommunikation über ein Gateway betreffen.

Hierzu gehören Regelungen zu: Betriebsmodell (Eigenadministration durch Mandant verschiedene Full Service durch IT-Service-

Provider) Art & Weise der Beauftragung administrativer und konfigurativer Änderungen Datenschutzrechtliche Regelung (Vereinbarung zur Auftragsdatenverarbeitung) Vergütung für die Nutzung des Gateway Service Service Level und Supportleistungen

Buchbare Service Angebote der T-Systems: Das De-Mail Gateway-Service Angebot der T-Systems können Sie dem Auftragsblatt De-Mail Gateway Service bzw. der dazu gehörigen aktuellen Leistungsbeschreibung entnehmen. Die notwendigen Unterlagen erhalten Sie auf Wunsch von Ihrem Vertriebspartner der T-Systems.

Was wird benötigt? Auftrag über De-Mail Gateway Service T-Systems

Was ist das Ergebnis? Der Mandant hat den De-Mail Gateway Service bei T-Systems beauftragt.

Mandantenzuordnung

Was wird getan? Eine Kommune, die bereits über ein aktiviertes De-Mail Konto verfügt, beauftragt mittels Auftragsblatt den DMDA ihr Konto dem IT-Serviceprovider zuzuordnen. Hierfür ist im Auftragsblatt die Angabe der Service Provider Be-zeichnung und der Service Provider Nummer erforderlich. Die notwendigen Informationen stellt der entspre-chende IT-Service Provider zur Verfügung.

Nach erfolgter Zuordnung des De-Mail Kontos beim DMDA nimmt der IT-Serviceprovider die Aufschaltung des De-Mail Kontos auf das mandantenfähige Gateway vor.

Hierzu gehören: Zuweisung der De-Mail (Sub-)Domains zum aktiven Gateway Connector Cluster Konfiguration der Infrastruktur-Parameter in Versende- und Empfangsrichtung Konfiguration von Alert Channel Bestätigung der Funktionspostfächer für Ausnahmen (Catch-All, Bounce-All) Optional: Konfiguration initiales Address-Mapping

Was wird benötigt? Auftragsblatt De-Mail Konto

Was ist das Ergebnis? Das Konto des Mandanten ist dem IT-Serviceprovider zugeordnet. Versand und Empfang von Nachrichten aus/in die E-Mail Infrastruktur der Institution sind funktional.


Technische Integration De-Mail

Im Rahmen einer De-Mail Einführung sind fünf technische Arbeitspakete abgrenzbar.

Voraussetzung für notwendige Entscheidungen zum Betriebsmodus und den damit einhergehenden Tätigkeiten ist jedoch die Auseinandersetzung mit den aus Sicht der Verwaltung möglichen technischen Betriebsmodellen deren vertragsrechtliche Abbildung bereits im Punkt De-Mail Vertrag angesprochen wurde.

Mögliche Betriebsmodelle

Die folgende stark vereinfachte Abbildung veranschaulicht drei Grundszenarien für eine De-Mail Integration.

Nachfolgend werden die Lösungsmöglichkeiten noch einmal detailliert beschrieben.

Adress- und Domainkonzept

Administration Konto & Gateway

Zugangseröffnung Arbeitsplatz-integration

De-Mail Archivierung


Nutzung De-Mail Web-Postfach

Die Einrichtung eines De-Mail Kontos durch den DMDA T-Systems für den Nutzer (hier die Kommune) schließt die Nutzung über ein Web-Frontend ein, Der Zugriff auf das persönliche De-Mail Konto ist damit bei einer beste-henden Kommunikationsverbindung weltweit möglich und für den Anwender vollkommen gleichwertig zur Nut-zung anderer webbasierter Portale zum Austausch von Informationen.

Was wird benötigt? Internetzugang De-Mail -Konto

Vorteile Nachteile

Einfache Bedienung wie Web-E-Mail Für die Anfangsphase mit wenigen Nutzungen

geeignet Sehr geringe Investitionskosten

Keine Anbindung an behördeneigene IT Infrastruktur Medienbrüche Kein Massenversand Sehr eingeschränkte Weiterleitung/Sachbearbeitung

möglich Internetzugang der De-Mail-Bearbeiter notwendig Archivierung und Langzeitspeicherung nur manuell

möglich


De-Mail Gateway der T-Systems oder eines Partners im Eigenbetrieb

Als Bindeglied zwischen dem De-Mail Dienst des DMDA und der bestehenden E-Mail Infrastruktur des Kunden (Kommune) wird ein lokales De-Mail Gateway eingerichtet. Dies ermöglicht einen Massenversand, Medienbruch-freiheit und eine automatisierte Archivierung bzw. Langzeitspeicherung. Für die Inbetriebnahme und Wartung sind Investitions- und Betriebskosten zu erwarten.

Durch die Anbindung über ein De-Mail Gateway sind die Authentifizierung und der Zugriff auf das De-Mail Postfach des Kunden beim DMDA möglich. Das separate De-Mail Gateway ermöglicht eine sichere Übertragung der De-Mails. Anschließend können De-Mails direkt aus der eigenen und für den Nutzer gewohnten Umgebung versendet und empfangen werden.

Für die gängigen E-Mail Clients stellt der DMDA kostenfrei De-Mail Addins zur Verfügung. Über diese können verschiedene Komfortfunktionen genutzt werden (siehe Arbeitsplatzintegration).

Was wird benötigt? Internetzugang De-Mail Konto Beschaffung, Integration und Betrieb eines De-Mail Gateways Optional: Installation De-Mail Addin für E-Mail Clients

Vorteile Nachteile

Nutzung der bestehenden internen E-Mail Infrastruktur

Massenversand möglich Archivierung und Langzeitspeicherung auto-

matisiert möglich Keine Medienbrüche

Lokale (behördenseitige) Administration des Ga-teways notwendig

Zugang zum/über Internet notwendig Höhere Investitions- und Betriebskosten für Be-

schaffung, Integration und Betrieb des De-Mail Gateways

Gateway eines Partners

Aktuelle Partner des DMDA T-Systems sind u.a. Procilon, Governikus, net@work, ENQsig.

Diese Variante ist empfehlenswert, wenn

bereits ein De-Mail fähiges Gateway von einem der Partner im Einsatz ist die Anschaffung eigener Signatur- und Verschlüsselungslösungen geplant sind von einem der Partner bereits Archivintegrationen im Haus vorhanden sind geplant ist ein Gateway als Multimessanger Lösung z.B. inkl. EGVP Anbindung zu betreiben


Mandant auf einem De-Mail Gateway bei einem IT-Service Provider

Der Kunde erhält einen eigenen Zugang für das zentrale De-Mail Gateway seines IT Service Providers. Über die-sen kann er je nach Bedarf seine kontobezogenen Einstellungen selbst administrieren oder durch den IT Service Provider administrieren lassen. Der IT Service Provider sorgt für die Inbetriebnahme und Wartung des Gateways. In einem Servicevertrag regelt er mit dem Kunden alle notwendigen Punkte, wie Verfügbarkeit, SLAs und Berech-tigungen.

Durch die Nutzung eines zentralen Gateways des IT Service Providers werden die Kosten für Beschaffung und Betrieb, die beim Eigenbetrieb eines Gateways anfallen würden, eingespart.

Was wird benötigt? Internetzugang De-Mail Konto Vertrag mit einem beim DMDA registrierten IT Service Provider für den De-Mail Gateway Service

Vorteile Nachteile

Beschaffung, Installation, Konfiguration und Betrieb nur eines zentralen (mandantenfähigen) Gateways an Stelle vieler dezentraler Gateways einzelner Kunden

Zentrale und automatische Archivierung und Langzeitspeicherung möglich

Spezielle Kenntnisse für Installation, Konfigura-tion und Betrieb des Gateways in der Behörde nicht erforderlich

Pflege und Support des Gateways können zentral bereitgestellt werden

Zentraler Betrieb nur wirtschaftlich, wenn die zusätzli-chen Kosten für Beschaffung und Betrieb eines zent-ralen Gateways durch die Anzahl der nutzenden Be-hörden gedeckt sind.

Zwischen dem zentralen Gateway und der nutzenden Behörde wird die De-Mail über die intern vorhandene Netzinfrastruktur technisch als E-Mail transportiert. Daher muss über geeignete Maßnahmen sicherge-stellt werden, dass die Nachricht auch hier sicher transportiert wird (Schutz vor Verlust, Schutz der Ver-traulichkeit, etc.).


Adress- & Domainkonzept

Was wird getan? Erstellt wird eine Vorschrift zur Abbildung der fachlichen Anforderungen der Verwaltungsorganisation auf den Namensraum eines De-Mail Kontos.

Dies betrifft insbesondere: De-Mail Hauptdomain des Kontos (3rd Level Domain unterhalb von „.de-mail.de“) Adresse des initialen Funktionspostfachs Subdomains zur Abbildung von Organisationseinheiten (4th Level Domains unterhalb der gewählten

3rd Level Domain) Bildungsregel Local Part Persönliche Postfächer Funktionspostfächer und berechtigte Benutzer Prozess zum Erhalt/Übertragung/Entzug von Berechtigungen Postfächer für die manuelle Aussteuerung von Ausnahmefällen (Catch-All / Bounce-All)

Warum ist das wichtig? Mittels De-Mail können Dokumente rechtsverbindlich zugestellt werden. Eine De-Mail gilt als zugestellt, wenn diese im Postfach des Empfängers auf dem Server des DMDA eingegangen ist. Daher ist es wichtig, eine regel-mäßige Kenntnisnahme über die De-Mails aller Postfächer durch geeignete Postfachstrukturen und Vertreterre-gelungen sicherzustellen. Dies ist umso relevanter bei fristbehafteter Korrespondenz. Für die Sicherstellung der Kenntnisnahme einer De-Mail ist der Kontoinhaber allein verantwortlich.

Hinweis: Catch-All / Bounce-All De-Mail Konto Catch-All:

Zu entscheiden ist im Rahmen des Adress- und Domainkonzept über die Nutzung des DMDA seitigen Catch-All, also der Möglichkeit, nicht jede einzelne De-Mail Adresse als dediziertes Postfach beim DMDA führen zu müssen. Ist Catch-All aktiviert, nimmt der DMDA alle De-Mails an die adressierte Domain an. Der Local Part wird in diesem Fall ignoriert und erst auf dem Gateway Connector mittels Address-Mapping auf ein lokales E-Mail-Postfach abgebildet.

Gateway Catch-All: Ist beim Abruf von De-Mail Nachrichten vom Gateway kein Mapping auf eine lokale E-Mail Adresse vorhan-den, wird die betreffende Nachricht in ein lokales Catch-All Postfach zugestellt. Hierfür muss auf dem Ga-teway pro (Sub-)Domäne eine lokale Zieladresse konfiguriert werden. Da es sich bei diesen Nachrichten um bereits zugestellte Nachrichten bzw. fachliche Anfragen handelt, sollte die zentrale Aussteuerung durch die Poststelle oder einen gesonderten Fachbereich vorgenommen werden.


Gateway Bounce-All: Kann das Gateway beim Empfang oder Versand einer De-Mail Nachricht die Nachricht durch einen techni-schen Fehler innerhalb der lokalen E-Mail Infrastruktur nicht versenden oder empfangen, so werden techni-sche Fehlermeldungen vom Gateway erzeugt und an ein Bounce-All Postfach zugestellt. Insbesondere beim Empfang von De-Mail Nachrichten erhält der Absender keine Information, da die Nachricht auf den DMDA-Servern bereits als zugestellt gilt und nur innerhalb der lokalen E-Mail Infrastruktur der Kommune nicht zugestellt werden kann. Da es sich bei diesen Nachrichten um technische Fehler handelt, sollte die E-Mail Adresse einer zentralen IT-Stelle verwendet werden, die sich um die Behebung der technischen Stö-rung kümmern kann.

Was wird benötigt? Ggf. bestehendes Adress- & Domainkonzept aus dem E-Mail Umfeld

Was ist das Ergebnis? Es wurde ein Adress- und Domainkonzept De-Mail für die Kommune erstellt und dokumentiert.


Dokumentieren Sie Ihre Entscheidungen (Adress- & Domainkonzept) Wählen Sie eine De-Mail Hauptdomain, die dem Empfänger bereits transparent macht, wer Versender ist. Wählen Sie eine De-Mail Hauptdomain, die mit einer vorhandenen Internet-Domain korrespondiert. Nutzen Sie überwiegend Funktionspostfächer und gehen Sie sparsam mit persönlichen Postfächern um. Regeln Sie die Berechtigungen zum Postfachzugriff ebenso wie Vertretungsbefugnisse. Beginnen Sie mit einem allgemeinen De-Mail Zugang in Form eines Funktionspostfachs, z.B. „info@“. Deaktivieren Sie die Catch-All Funktion in der Konfiguration Ihres Kontos. (siehe auch Hinweis: Catch-All

/ Bounce-All). Als Gateway Catch-All Adresse sollten Sie das allgemeine Funktionspostfach der Kommune oder eines

Fachbereichs verwenden. Als Gateway Bounce-All-Adresse sollten Sie das Funktionspostfach einer zentralen IT-Administration

verwenden, die sich um die Fehlerbehebung kümmern kann. Prüfen Sie die Berechtigungen zum Versand von De-Mails gegen geltende Verwaltungsvorschriften und

Unterschriftenrichtlinien.


Administration Konto & Gateway

Die Administration des De-Mail-Kontos erfolgt grundsätzlich per Web-Frontend des DMDA. Hier werden alle Ein-stellungen mit unmittelbarem Bezug zum Postfach konfiguriert. Um die bestehende E-Mail Infrastruktur mit dem De-Mail Konto zu verbinden, kommt ein De-Mail Gateway zum Einsatz. Für die Inbetriebnahme und Administrati-on des Gateways stehen die Web-Frontends zu den beteiligten Komponenten Gateway Connector und Gateway Server zur Verfügung.

Aus Gründen der IT-Sicherheit und des Datenschutzes existiert keine gemeinsame Nutzerverwaltung für die De-Mail Kontoadministration, die De-Mail Gateway Connector Administration (physisches Setup des Gateways) und die De-Mail Gateway Server Administration. Für alle drei Bereiche existieren getrennte Web-Frontends mit eige-nen Nutzern und eigenem Rollen- und Berechtigungskonzept.

Kontenbezogene Administration

Was wird getan? Die folgende Auflistung gibt einen Überblick über die durch die Kommune im Bedarfsfall durchzuführende kon-tobezogene Administration im De-Mail Web-Frontend. Die einzelnen Aktivitäten sind in einem Administrations-handbuch, kostenfrei bereitgestellt durch den DMDA, beschrieben. Das Handbuch ist online unter http://www.t-systems.de/demail/handbuch erhältlich. Im Bedarfsfall unterstützt das De-Mail Competence Center.

Änderung der Stammdaten des De-Mail Kontos Verwalten von Postfächern Verwalten von Subdomänen Verwalten von zusätzlichen Nutzern des De-Mail Kontos (vertretungsberechtigte Personen, Administra-

toren oder Mitarbeiter) inkl. Passwort-Rücksetzen bei Bedarf Konfiguration von Weiterleitungen oder Nachsendungen Veröffentlichen von Postfächern im De-Mail Verzeichnis Konfiguration der DMDA-seitigen Catch-All Funktionalität Konfiguration des Exports von De-Mail für eine Ermöglichung der Archivierung von De-Mail Nachrichten

(weitere Details siehe De-Mail Archivierung)

Welche Dokumente sind betroffen? Administrationshandbuch De-Mail Web-Frontend

Was ist das Ergebnis? Die Kommune ist in der Lage das De-Mail Konto im Web-Frontend selbständig zu administrieren.

De-Mail Gateway Inbetriebnahme

Was wird getan? Im Rahmen des Arbeitspaketes werden alle Aufgaben durchgeführt, um die Kommune in die Lage zu versetzen, über ihren gewohnten E-Mail Client De-Mail Nachrichten zu erstellen, zu versenden und zu lesen sowie optional spezifische De-Mail Versandoptionen zu setzen.

Die bereitgestellte De-Mail Hardware wird im Rechenzentrum des IT Service Provider bzw. des kommu-nalen Eigenbetriebs physisch und elektrisch installiert und mit der Netzwerkinfrastruktur der Kommune verbunden.

Firewall im Rechenzentrum wird so konfiguriert, dass die Kommunikation des De-Mail Gateways zum DMDA und Mailsystem der Kommune möglich ist.

Das De-Mail Gateway wird so konfiguriert, dass es mit dem DMDA und dem Mailsystem der Kommune kommunizieren kann.


Welche Dokumente sind betroffen? Administrationshandbuch De-Mail Gateway

Was ist das Ergebnis? Die Kommune ist mit Hilfe des De-Mail Gateways in der Lage in ihrer bestehenden E-Mail Infrastruktur De-Mails zu empfangen und zu senden.

De-Mail Gateway Fachadministration

Was wird getan? Umgesetzt wird in diesem Arbeitspaket die vollständige Inbound- & Outbound Integration auf Basis des De-Mail Gateways. Eventuell notwendige Integrationskomponenten werden im Rahmen dieses Arbeitspaketes entwickelt.

Integration Inbound & Outbound Management auf Basis De-Mail Gateway Optional: Metadatenextraktion Inbound aus MIME Messages, z.B. Versandoptionen, ID, De-Mail Adres-

sen Erstellung von De-Mail Entwürfen aus Outlook, Lotus Notes oder Fachanwendungen Steuerung von Versandoptionen über Betreffzeile bzw. Header Empfang und Versand von De-Mails ausschließlich über lokale Gruppenpostfächer

Welche Dokumente sind betroffen? Administrationshandbuch De-Mail Gateway Wirkbetriebsdokumentation

Was ist das Ergebnis? Das De-Mail Gateway ist in die bestehenden Prozesse der Kommune integriert und entsprechend administriert.

Zugangseröffnung

Was wird getan? Umgesetzt wird eine Strategie mit der Kommunikationspartner temporär oder dauerhaft per De-Mail kontaktiert werden dürfen. Für jede Form der elektronischen Kommunikation ist für den konkreten Versandzeitpunkt die De-Mail Adresse des Empfängers sowie die Einwilligung des Empfängers in die Kontaktaufnahme über diesen Kommunikationskanal nachzuweisen. Der Kommunikationspartner muss den Zugang per De-Mail eröffnet ha-ben.

Exkurs: Was bedeutet Zugangseröffnung?1 Der Empfänger einer Nachricht entscheidet selbst, ob er seine Post (Nachrichten) elektronisch oder per Papier-post empfangen möchte. Möchte ein Empfänger seine Nachrichten über das De-Mail-Konto, d. h. elektronisch erhalten, muss er den Zugang für diese Art der Nachrichtenübermittlung eröffnen. Dies geschieht grundsätzlich durch die Abgabe einer entsprechenden Erklärung gegenüber dem jeweiligen Kommunikationspartner.

Für die Kommunikation mit Behörden ist die Zugangseröffnung gesetzlich geregelt, z. B. in § 3a Verwaltungsver-fahrensgesetz, § 87a der Abgabenordnung oder § 36a des Ersten Buches Sozialgesetzbuch sowie in den jewei-ligen Entsprechungen auf Landesebene. Danach kann die Zugangseröffnung durch öffentliche Stellen z. B.

1 http://www.cio.bund.de/DE/Innovative-Vorhaben/De-Mail/Haeufig-gestellte-Fragen/haeufig_gestellte_fragen _node.html#doc2201960bodyText33


durch Angabe ihrer De-Mail-Adresse auf der Homepage erfolgen, sofern nichts anderes geregelt ist. Ausnahmen finden sich z. B. vereinzelt in Landesverwaltungsverfahrensgesetzen (z. B. Verwaltungsverfahrensgesetz des Landes Baden-Württemberg, wonach die Behörde den Zugang ausdrücklich erklären muss).

Juristische Personen (Unternehmen, Vereine, Gesellschafen, Genossenschaften etc.) können den Zugang konk-ludent (also z.B. durch Angabe der De-Mail-Adresse auf der Homepage, einer Visitenkarte, dem Briefkopf oder in einer Mail-Signatur) eröffnen.

Natürliche Personen mussten nach bisheriger Verkehrsauffassung insbesondere für die Behördenkommunikati-on ihren Zugang ausdrücklich erklären. Durch Verbreitung der elektronischen Medien soll nunmehr aber auch die Möglichkeit in Betracht kommen, den Zugang durch konkludentes Handeln zu eröffnen. Maßgebend für die konkludente Zugangseröffnung ist die Verkehrsanschauung, also das, was die Allgemeinheit darunter versteht. Als zulässige konkludente Zugangseröffnung ist zunächst die Antragstellung per De-Mail ohne vorherige Zu-gangseröffnung zu sehen.

Ferner kann als konkludente Eröffnung auch die Angabe einer De-Mail-Adresse auf einem Briefkopf oder in einer E-Mail-Signatur angesehen werden. Es kann hierbei davon ausgegangen werden, dass der Absender die Daten eines sicheren Kommunikationskanals angibt, um diese dem Empfänger bewusst kundzutun, damit er darüber kontaktiert wird. Allerdings ist im De-Mail-Gesetz ausdrücklich geregelt, dass ein Eintrag in dem öffentlichen Verzeichnisdienst weder eine konkludente noch eine ausdrückliche Zugangseröffnung darstellt.

Grundsätzlich wird jedoch empfohlen, jeweils den Willen, per De-Mail Rechtsgeschäfte tätigen bzw. Erklärungen elektronisch abgeben und/oder empfangen zu wollen, dem potenziellen Geschäfts/Vertragspartner oder der staatlichen Stelle ausdrücklich zu erklären. So können keine Missverständnisse entstehen. (Zugangseröffnungen können auch zurückgenommen werden.) Ein Beispiel für Zugangseröffnung durch konkludentes Handeln: Der Verbraucher nimmt per De-Mail Kontakt mit dem Unternehmen / der Einrichtung auf. Diese können ihm dann auf seine Anfrage antworten. Das gilt jedoch im Zweifel nicht als Erklärung, den Zugang grundsätzlich per De-Mail eröffnen zu wollen und sollte auf den konkreten Fall beschränkt werden. Alternativ und der Empfehlung des Bundes entsprechend sollte der Verbraucher auf anderem Wege sein Einverständnis erklären, dass Unterneh-men / Behörden ihn unter seiner De-Mail Adresse erreichen können.

Ein Beispiel für eine ausdrückliche Zugangseröffnung: Der Versand von Bußgeldbescheiden durch eine Behörde bedarf der Zugangseröffnung durch den Bürger. Der Bürger muss auf geeignete Weise den Zugang eröffnet haben, z.B. über einen Papierprozess oder einen elektro-nischen Prozess im Online-Portal der Behörde. Die Herausforderung ist die dauerhafte Speicherung solcher personenbezogener Daten in der Behörde. In vielen Fällen existiert generell keine zentrale dauerhafte Stammda-tenspeicherung, z.B. ein Bürgerkonto.

Zugangseröffnung per De-Mail Verzeichnisdienst Der De-Mail Verzeichnisdienst ermöglicht gesetzlich geregelt allen De-Mail Teilnehmern die Zugangser-öffnung des De-Mail Kanals für jegliche Behördenkommunikation. Ist neben der Veröffentlichung der De-Mail Adresse im De-Mail Verzeichnisdienst das zusätzliche Feld für die ausdrückliche Zustimmung zur Zugangseröffnung für die Kommunikation mit Behörden markiert, liegt eine gültige Zugangseröff-nung vor und die Behörde darf den Bürger oder die Institution per De-Mail bis zum Widerruf der Zu-gangseröffnung durch den Bürger oder die Institution kontaktieren. Der De-Mail Verzeichnisdienst ist über eine Schnittstelle elektronisch in Fachverfahren integrierbar. Im Falle des Widerrufs der Zugangs-eröffnung ist ein rückwirkender Nachweis einer bestehenden Zugangseröffnung zu einem früheren Ver-sandzeitpunkt einer De-Mail derzeit nicht möglich.

Zugangseröffnung durch die Institution bzw. die Kommune Auch die Kommune selbst muss den De-Mail Zugang eröffnen, sofern Sie De-Mail Kommunikation ak-zeptieren will oder gesetzlich zur Eröffnung des De-Mail Zugangs verpflichtet ist. Eine Veröffentlichung einer De-Mail Adresse auf Visitenkarten, Briefkopf, der eigenen Website, in öffentlichen Verzeichnissen oder dem De-Mail Verzeichnisdienst stellt die Zugangseröffnung durch die Behörde dar. Die Zugangs-eröffnung kann auch ausdrücklich und direkt mit dem jeweiligen Kommunikationspartner, z.B. einer einzelnen Firma für Kommunikation zu Gewerbeangelegenheiten vereinbart werden.


Welche Dokumente sind betroffen? Angepasste Verfahrensvorschriften Optional: Konzept Adressdatengewinnung und Nutzungszustimmung

Was ist das Ergebnis? Vom Bürger initiierte Antragsprozesse per De-Mail werden bis zum Versand des Bescheides sicher unterstützt. Es ist ein Verfahren zur Umsetzung von pilothaften Verwaltungsvorgängen mit Firmen und Institutionen definiert.

Arbeitsplatzintegration

Was wird getan? Umgesetzt wird das manuelle oder (teil)automatische Routing von De-Mails in der E-Mail Infrastruktur der Institu-tion. Ziel ist der Versand und Empfang von Nachrichten mit dem vorhandenen E-Mail-Clients am Arbeitsplatz. Die Nutzung erfolgt gemäß Adress- und Domainkonzept über persönliche Postfächer und/oder Funktionspostfächer der Institution.

Für verbesserte Benutzerfreundlichkeit kann ein De-Mail-Add-In zum E-Mail-Client ausgerollt werden (siehe auch Abbildung 6 und Abbildung 7). Dieses wird durch den DMDA T-Systems kostenfrei für die folgenden E-Mail-Clients angeboten:

Microsoft Outlook 2007, 2010 und 2013 IBM Notes 7.0, 8.5, 9.0

Die Add-Ins können bequem über Softwareverteilmechanismen oder individuell installiert werden. Die entspre-chende Software und Benutzerdokumentationen sind unter den folgenden Links verfügbar:

http://www.tsystems.de/de-mail/downloads (Nutzer: de-mail; Passwort: c2BV@87c!) http://www.tsystems.de/de-mail/handbuch


Eröffnen Sie den Zugang nur dann, wenn in der Kommune die rechtlichen, organisatorischen und tech-nischen Voraussetzungen für den Einsatz geschaffen wurden

Bedenken Sie bitte beim Einsatz von De-Mail, dass Sie bereits heute De-Mail einsetzen sollten, um den oft nicht rechtskonformen Einsatz von E-Mail-Kommunikation in der Kommune auf eine sichere Basis zu stellen.

Beginnen Sie mit der Umsetzung von Verwaltungsvorgängen, bei denen der Auftakt der De-Mail Kom-munikation vom Bürger ausgeht, z.B. Antragsprozesse. Der Bürger eröffnet den Zugang durch konklu-dentes Handeln. Die Zugangseröffnung gilt fallbezogen.

Ergänzen Sie Felder für De-Mail Adresse und Zugangseröffnung auf allen Antragsformularen. Dies er-möglicht eine Beantwortung per De-Mail.

Nutzen Sie für pilothafte Kommunikation mit Institutionen und Firmen ausdrückliche Zugangseröffnung durch Einzelvereinbarungen.


Am Markt sind auch Plug-Ins für Novell Groupwise verfügbar. Dieses Plug-In wird jedoch aktuell nicht von T-Systems unterstützt. Bitte wenden Sie sich direkt an ihren Vertriebspartner oder an Novell.

Hinweis: Effiziente Behandlung von Antwortnachrichten Insbesondere zur effizienten Bearbeitung von Antwort-Nachrichten (Bestätigungsmeldungen, Antwortschreiben) ist eine Strategie für das vorgangsbezogene Routing erforderlich. Hierbei ist in Versende-Richtung der sinnvolle Einsatz der SMTP-Header „Sender“, „From“ und „Reply-To“ ebenso zu berücksichtigen wie spezielle De-Mail Header für „Unser Zeichen“ (x-de-mail-private-id).

Welche Dokumente oder Software ist relevant? Anwender- und Administrationsdokumentation: De-Mail-Add-In E-Mail Client Software: De-Mail-Add-In E-Mail Client Rollout- und Updateplan für De-Mail-Add-In E-Mail Client

Was ist das Ergebnis? Die Mitarbeiter können bequem über ihren gewohnten E-Mail Client De-Mail Nachrichten erstellen, versenden und lesen sowie optional spezifische De-Mail Versandoptionen setzen.

De-Mail Archivierung

Was wird getan? Es wird ein Konzept zur revisionssicheren Archivierung von De-Mail Nachrichten erstellt. Dieses enthält insbe-sondere Angaben über:

den Prozess zur Archivierung von De-Mails, definierte Archivierungsregeln und Aufbewahrungsfristen, definierte Metadaten für die Archivierung, Rollen und Berechtigungen


Warum ist das wichtig? Juristische Personen beziehungsweise Institutionen der öffentlichen Kommune haben im Rahmen ihrer üblichen Geschäftstätigkeit Pflichten im Zusammenhang mit der Langzeitspeicherung von geschäftlich relevanten Doku-menten und Kommunikationsvorgängen zu erfüllen. Solche Pflichten ergeben sich beispielsweise aus § 7 SigV in Verbindung mit § 6 SigG, § 110a SGB IV, etc.

Eines der Hauptziele für revisionssichere Archivierung bzw. Langzeitspeicherung von De-Mails besteht hierbei im Beweiswerterhalt. Die Verantwortung zur Aufbewahrung von De-Mails liegt bei dem De-Mail Kontoinhaber, im konkreten Fall bei der Kommune selbst, nicht beim DMDA. Insofern unterstützt der DMDA lediglich im Rahmen seiner technischen Möglichkeiten den Bedarf der öffentlichen Stelle.

Analog zur E-Mail sind folglich durch die De-Mail Kontoinhaber Maßnahmen zur Archivierung von De-Mails zu treffen, unter Beachtung von Regelkonformität und Revisionssicherheit.

Exkurs: De-Mail im Kontext TR-ESOR Archivierung Eine De-Mail Nachricht genügt nur auf den Servern des DMDA den Anforderungen an eine ordnungsgemäße Archivierung, denn durch den Einsatz eines De-Mail Gateway mit einhergehender Integration in die E-Mail-Infrastruktur und damit verbundener Manipulation der E-Mail-Header wird die Original-De-Mail Nachricht verän-dert und eine Integritätsprüfung von Hashwerten oder Signaturen ist nicht mehr möglich.

Der DMDA bietet im Produktstandard eine entsprechende Export-Schnittstelle an, mittels welcher empfangende und versendete De-Mails regelbasiert zum Export markiert werden können. Diese Schnittstelle kann durch den Kontoinhaber im Web-Frontend konfiguriert werden. Im Ergebnis erhält der De-Mail Kontoinhaber ein entspre-chendes Archiv, welches De-Mail Nachrichten unverändert im Originalformat sowie ein signiertes Export-Protokoll zur Beweiswertsicherung enthalten. Dieses Archiv kann per E-Mail zugestellt oder alternativ über das Web-Frontend heruntergeladen werden.

Das BSI stellt mit TR-ESOR bzw. der-TR 03125 „Beweiswerterhaltung kryptographisch signierter Dokumente“ eine technische Richtlinie zum Thema der Aufbewahrung elektronisch signierter Daten und Dokumente zur Ver-fügung. Darin wird erläutert wie diese bis zum Ende der Aufbewahrungsfristen als rechtswirksames Beweismittel vertrauenswürdig gespeichert werden sollten.

Der De-Mail Dienste Anbieter bietet in diesem Zusammenhang keine Mechanismen für einen Beweiswerterhalt gemäß TR-ESOR an. Insbesondere findet keine Übersignierung von De-Mail Nachrichten statt. Für eine TR-ESOR konforme Archivierung sind langfristig gesonderte Integrationsprojekte zu planen und umzusetzen.

Die folgende Abbildung zeigt beispielhafte die Archivintegration von TR-ESOR / De-Mail:


Welche Dokumente sind betroffen? Ggf. bestehende Konzepte zur elektronischen Archivierung

Was ist das Ergebnis? Die Kommune verfügt vom Start der De-Mail Kommunikation über eine geeignete Strategie, um beweiswerterhal-tend rechtsverbindliche Nachrichten als elektronisches Original nachzuweisen. Dies geschieht anfänglich durch das Belassen der Originalnachrichten auf dem Server beim DMDA.

Wir empfehlen zum Start

Belassen Sie in der ersten Phase der De-Mail Einführung die ein- und ausgehenden De-Mail Nachrichten auf dem Servern des DMDA. Dort genügen sie den Anforderungen an eine beweiswertgesicherte Archi-vierung und können im Streitfall schnell exportiert werden.

Mit vermehrten De-Mail Aufkommen sollten Sie eine Strategie entwickeln, wie De-Mail- Nachrichten in bestehende oder neu anzuschaffende Archivlösungen integriert werden, da der Postfachspeicher kos-tenpflichtig ist. Bitte sprechen Sie Ihren Kundenbetreuer der T-Systems hinsichtlich weiterer Unterstüt-zung an.


Organisatorische Integration

Umsetzung De-Mail Compliance

Vorbemerkung: Der Freistaat Sachsen hat in 2014 als erstes Bundesland die Empfehlungen des Bundes in die Landesgesetz-gebung weitgehend übernommen. Die Landeshauptstadt Dresden pilotiert im Rahmen der Offensive „De-Mail City“ sowohl den Allgemeinen De-Mail Zugang, als auch die Integration in ausgewählte Fachverfahren. Es be-steht seitens des Freistaates Sachsen und der Landeshauptstadt Dresden ein Angebot zum Erfahrungsaus-tausch. Bei Interesse stellen die Ansprechpartner der T-Systems entsprechende Kontakte her.

Was wird getan? Im Rahmen des De-Mail Einführungsvorhabens sind die aus dem De-Mail Konto entstehenden Rechtsfolgen sowie mit den notwendigen Verträgen einhergehende Rechte und Pflichten in das Compliance Umfeld der Insti-tution/öffentlichen Stelle einzuordnen. Dies erfolgt in der Regel durch gezielte Reviews und Anpassung gelten-der Verwaltungsvorschriften und Satzungen. Die Bewertung erfolgt dabei entweder bezogen auf einen allgemei-nen De-Mail Zugang oder auf ausgewählte Prozesse einer Kommune, die in einem ersten Schritt oder pilothaft mit De-Mail realisiert werden sollen.

Gegebenenfalls kann es notwendig sein, eine rechtssichere Verwendung von De-Mail in der jeweiligen Institution durch weiterführende organisatorische und technische Maßnahmen zu unterstützen. Dies ist im Einzelfall zu bewerten.

Warum ist das wichtig? Mit der Nutzung eines De-Mail Kontos ergeben sich für die Kommune Rechtsfolgen. Diese resultieren primär aus dem gesetzlichen Rahmen, der die Anwendung von De-Mail Kommunikation in der Kommune regelt.

Die wesentlichen Punkte hierbei sind: Schriftformersatz, siehe Elektronische Kommunikation gemäß Verwaltungsverfahrensgesetz Zustellfiktion für De-Mails gemäß Verwaltungszustellungsgesetz Zugangseröffnung mittels De-Mail Verzeichnisdienst Zulassung von De-Mails als Beweismittel und Anscheinsbeweis

Darüber hinaus ergeben sich aus den Vertragsbeziehungen zum De-Mail Diensteanbieter (De-Mail Konto) sowie zum beauftragten IT-Service Provider (De-Mail Gateway Service) jeweils Rechte und Pflichte die im Kontext der jeweiligen Kommune einzeln zu bewerten sind.

Welche Dokumente sind betroffen: Verfahrensanweisung De-Mail Prozessdokumentation Unterschriftenrichtlinie, Geschäftsordnung Optional: Betriebsratszustimmung bzw. Betriebsvereinbarung zur Einführung eines neuen IT-Systems

Exkurs: Rechtlicher Rahmen für De-Mail De-Mail erfüllt die rechtlichen Anforderungen in der elektronischen Kommunikation. Für eine Analyse der

Anforderungen und damit des rechtlichen Rahmens zu De-Mail werden die wichtigsten Punkte jeweils tiefer im

Anhang A: Rechtlicher Rahmen betrachtet. Neben der Beschreibung eines jeden dieser rechtlichen Punkte, wird

auch der dazugehörige gesetzliche Kontext näher beleuchtet. In diesem Dokument werden keinerlei

rechtsverbindliche Bewertungen vorgenommen. Die Darstellungen im Anhang A haben lediglich informierenden

Umsetzung De-Mail

Compliance

Umsetzung De-Mail

Datenschutz

Umsetzung De-Mail Security

Umsetzung flankierender Maßnahmen

Umsetzung Arbeits-

organisation

Mitarbeiter-qualifizierung


Charakter zu rechtlich relevanten Themen, die von der Kommune im Einzelfall geprüft und bewertet werden

sollten. Das Dokument dient ausdrücklich nicht der Rechtsberatung.

Exkurs: Aktueller Stand Gesetzgebung Für Details siehe Anhang B: Gesetzesauszüge

De-Mail Gesetz: Es regelt die Grundlagen des Dienstes De-Mail. In diesem werden die Pflichtangebote sowie die Nutzung und Durchführung der Dienstbereitstellung und Akkreditierung von Anbietern geregelt.

E-Government-Gesetz des Bundes: Das Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften (E-Government-Gesetz) trat am 1. August 2013 in Kraft. Es dient dem Ziel, die elektronische Kommunikation mit der Verwaltung zu erleichtern und Bund, Ländern und Kommunen einen einfacheren, nutzerfreundlicheren und effizienteren elektronischen Verwaltungsdienst anzubieten.

E-Government-Gesetze der Länder: Jedes Land legt die Impulse des Bundesgesetzes im landesrechtlichen Zusammenhang konkretisiert mit ggf. eigenen Regelungszielen in einem eigenen E-Government-Gesetz fest. So werden beispielweise zusätzliche Regelungen in den Bereichen Zusammenarbeit, Datenschutz und Informationssicherheit aufgestellt.

Verwaltungsverfahrensgesetz: Das VwVfG regelt u.a. die Zugangseröffnung des Empfängers einer Nachricht als Voraussetzung für die elektronische Kommunikation. Ein weiterer wichtiger Punkt im VwVfg ist das Ersetzen der Schriftform durch eine mit der Versandoption „Absenderbestätigt“ verschickte De-Mail.

Verwaltungszustellungsgesetz: Das Verwaltungszustellungsgesetz regelt die Zustellfiktion auch für den Versand elektronischer Dokumente mittels De-Mail. Darüber hinaus regelt es auch die nur für Behörden zusätzlich verfügbare Versandoption „Abholbestätigung“.

E-Justice-Gesetz: Durch das „Gesetz zur Förderung des elektronischen Rechtsverkehrs mit Gerichten“ vom 10. Oktober 2013 ermöglichte der Gesetzgeber eine Erweiterung des Zuganges zur elektronischen Kommunikation mit Gerichten und die Förderung der elektronischen Aktenführung. De-Mail wird darin als ein „sicherer Übermittlungsweg“ festgelegt. Zukünftig können so vertrauenswürdige Dokumente auch per De-Mail an Gerichte versendet werden.


Prüfen Sie, bei welchen der betrachteten Verwaltungsverfahren De-Mail im Sinne des Verwaltungsverfah-rensgesetzes schriftformersetzend eingesetzt werden kann.

Regeln Sie den Umgang bei der Verarbeitung von De-Mails, z.B. priorisierte Verarbeitung von De-Mails gegenüber sonstiger Kommunikation.

Regeln Sie den Umgang mit Versandoptionen beim De-Mail Empfang (Gleich- /Ungleichbehandlung von normaler De-Mail vers. persönlich/vertraulicher De-Mail mit Auswirkungen auf Weiterleitung, Kopie, De-Archivierung, etc.).

Regeln Sie den Umgang mit Versandoptionen beim De-Mail Versand – Welche De-Mail Versandoption kommt bei welchem Kommunikationssachverhalt zum Einsatz? (Analogie zu physischer Post)

Treffen Sie Vertreterregelung für Abwesenheiten – Abwesenheiten haben keine aufschiebende Wirkung für rechtsverbindliche fristbehaftete Inhalte.

Betrachten Sie die Auswirkungen aus dem Verwaltungszustellungsgesetz (Zustellfiktion) Prüfen Sie, ob die Einführung von De-Mail und insbesondere des De-Mail Add-Ins in Email Clients ggf.

zustimmungspflichtig durch Sozialpartner ist.


Umsetzung De-Mail Datenschutz

Was wird getan? Die in der jeweiligen Kommune geltenden Datenschutzregelungen sind hinsichtlich der Auswirkungen bei Ein-führung von De-Mail Kommunikation zu bewerten.

Es ist sicherzustellen, dass: De-Mail Inhalte auch außerhalb der De-Mail Infrastruktur sicher verarbeitet werden. Datenschutz durchgängig, von der ersten Zeile bis zum Versand, vom Posteingang bis zur Archivierung

einer De-Mail, als vertrauensbildende Maßnahme verstanden wird. Darüber hinaus kann es ggf. erforderlich sein Mitarbeiter mit begleitenden Maßnahmen, z.B. „Unterweisungen zum Datenschutz“ für den Umgang mit persönlichen Daten und vertraulichen Informationen zu sensibilisieren. Die Notwendigkeit für solche Maßnahmen ist im Einzelfall zu prüfen.

Warum ist das wichtig? Dem Datenschutz kommt im Rahmen der De-Mail Einführung eine Schlüsselrolle zu, da in der Regel persönliche Informationen den Kern der übermittelten Nachricht bilden. Dabei sind es genau die persönlichen Daten, die besonders schützenswert sind. Wichtig ist, dass die Verarbeitung von De-Mails konform zu geltenden Daten-schutzrichtlinien erfolgt. Es ist der korrekte Umgang mit personenbezogenen Daten und insbesondere mit Sozial- und Gesundheitsdaten aus dem De-Mail Kontext bis in die Prozesse und Arbeitsabläufe der jeweiligen Kommune sicherzustellen. Dabei muss dokumentiert werden, was verarbeitet werden darf und was nicht. Sonderfälle sind dabei mit besonderem Augenmerk zu betrachten.

Welche Dokumente sind betroffen? Datenschutz- und Sicherheitskonzept

Verfahrensanweisungen - Hinweis: Umgang mit Einzelverbindungsnachweisen Geschäftskunden erhalten optional rechnungsbegleitend einen Einzelverbindungsnachweis über ihre De-Mail-Kommunikation. Für ausgehende De-Mails sind Versender und Empfänger-De-Mail Adresse im Klartext lesbar. Ggf. lassen sich hieraus Rückschlüsse auf einzelne Mitarbeiter ableiten, weshalb der Zugriff auf solche Doku-mente zu beschränken ist. Es ist eine Verfahrensanweisung zu erstellen, die den Umgang mit Einzelverbin-dungsnachweisen regelt. Zu definieren sind Zuständigkeiten und Sorgfaltspflichten in Zusammenhang mit Emp-fang, Weitergabe, Verarbeitung, Speicherung, Löschung/Entsorgung, usw.

Exkurs: Übertragung besonders sensibler Daten mittels De-Mail Die Änderung des § 5 Absatz 5 dient dazu, die bisher in dieser Vorschrift geregelte Versandoption so zu ergän-zen, dass hierdurch alle Funktionen der Schriftform des materiellen Verwaltungsverfahrensrechts sowie des gesamten Prozessrechts abgebildet werden. Besonders hervorgehoben wird auch der sichere verschlüsselte Nachrichtenaustausch, welcher durch einen DMDA kurzeitig automatisiert entschlüsselt werden darf, um die Nachricht auf Schadsoftware zu prüfen. Anschließend wird sie geprüft und verschlüsselt an den Empfänger übermittelt. (Details siehe Gesetzestexte, Änderung des § 5 Absatz 5 De-Mail-Gesetz)

Umsetzung De-Mail Security

Was wird getan? Mit der Einführung von De-Mail muss in der Regel ein Konzept für notwendige Sicherheitsmaßnahmen erstellt und umgesetzt werden. Dabei muss die Integration von De-Mail in die bereits vorhandene E-Mail Infrastruktur berücksichtigt werden. Wichtig ist zudem, dass das Security-Konzept auch „benachbarte“ Services berücksich-tigt, um dort das Sicherheitsversprechen von De-Mail fortzuführen.

Es ist sicherzustellen, dass: sich Sicherheitsanforderungen aus dem De-Mail Gesetz und den technischen Richtlinien sowie IT-

Grundschutz in der Infrastruktur der Kommune nahtlos fortsetzen. Sicherheitsmaßnahmen initiiert werden, die zur durchgehenden Absicherung der De- Mail Kommunika-

tion bis in die Betriebsorganisation führen.


Was sind sicherheitstechnische Voraussetzungen für die Nutzung des De-Mail Gateway Service der T-Systems?

Die Betriebsmodelle der T-Systems setzen bei Betrieb eines eigenen E-Mail-Servers des De-Mail Konto-inhabers zwingend eine Transportverschlüsselung (erzwungenes START TLS) voraus.

Der Arbeitsplatz muss den Anforderungen an einen sicheren Arbeitsplatz genügen. (IT-Grundschutz) T-Systems weist ausdrücklich auf die in der Leistungsbeschreibung genannten Vereinbarungen zu Da-

tenschutz und Datensicherheit hin, die von der Kommune umgesetzt werden müssen.

Warum ist das wichtig? Aus den Rechtsfolgen der De-Mail Kommunikation leitet sich ggf. ein Gefährdungspotenzial ab, dem durch ent-sprechende Schutzmaßnahmen entgegenzuwirken ist.

Aus Sicht einer Kommune ergeben sich z.B. Bedrohungslagen wie: Unberechtigter Versand von rechtsverbindlichen Bescheiden ausgehend von einem kompromittierten

Arbeitsplatz Einlieferung von Nachrichten am zentralen Mailserver, die durch manipulierte Header beim Mitarbeiter

den Eindruck erwecken, dass es sich um einen per De-Mail zugestellten rechtsverbindlichen Postein-gang handelt.

Welche Dokumente sind betroffen? Datenschutz- und Sicherheitskonzept


Analysieren Sie jeden Sendeprozess hinsichtlich seines Gefährdungspotenzials, der von einem kom-promittierten Arbeitsplatzsystem oder einer Fachanwendung ausgehen würde und ergreifen Sie Gegen-maßnahmen. (Zutrittsschutz, Zugangsschutz, Zugriffsschutz, Passwortrichtlinie, sichere Verwahrung von Adress- und sonstigen Datenbeständen, die für einen Massenversand geeignet wären)

Analysieren sie das Gefährdungspotenzial für jeden Empfangsprozess hinsichtlich Einstreuung von „unechten De-Mail Eingangsnachrichten“


Umsetzung flankierender Maßnahmen

Was wird getan? Das Einsparpotenzial beim Einsatz von De-Mail Kommunikation in einer Kommune hängt sehr stark von der Nut-zung und der Akzeptanz des De-Mail Kanals durch Bürger und weitere Kommunikationspartner ab. Die Kommu-nikationsstrategie wird deshalb frühzeitig in Form eines Marketing- und Kommunikationskonzeptes beschrieben und begleitend zur Einführung in Form geeigneter Maßnahmen umgesetzt.

Hierzu gehören z.B.: Marketingmaßnahmen

Online Marketing Print Marketing Giveaways Partner Marketing

Öffentlichkeitsarbeit Presse Fachpublikationen

Geschäftsausstattung E-Mail (Signaturen, Autoresponder) Visitenkarten Briefbögen Stempel

Mitarbeiterkommunikation Partner- & Behördenkommunikation Freigabe der eigenen De-Mail Adresse für Kontakt durch Partner, Unternehmen, Behörden, usw.

Welche Dokumente sind betroffen? Marketing- und Kommunikationsplan

Umsetzung Arbeitsorganisation

Was wird getan? Die Einführung von De-Mail hat Einfluss auf arbeitsorganisatorische Prozesse einer Kommune. Es sind Prozesse zu etablieren für Anlegen, Ändern und Löschen von persönlichen Postfächern und Funktionspostfächern sowie die Pflege des korrespondierenden Address-Mappings. Zu regeln ist auch, was bei Einsetzung und Ausscheiden einer identifizierten vertretungsberechtigten Person der Institution erfolgt.

Im Zusammenhang mit den eigentlichen Geschäftsprozessen ist zu definieren, unter welchen Bedingungen eine bestimmte De-Mail Versandoption bei Kommunikation in Versende-Richtung erforderlich ist.

Ein Rechtemanagement ist zu etablieren, welches auch notwendige Rollen und Berechtigungen für den Zugriff auf das De-Mail Konto der Institution berücksichtigt.

Welche Dokumente sind betroffen? Prozessdokumentation On- und Off-Boarding Prozessdokumentation Adressdatenpflege Verfahrensanweisungen


Der DMDA T-Systems bietet mit der „De-Mail Toolbox“ eine Palette vorgefertigter individualisierbarer Kommunikationsmittel. Bitte sprechen Sie Ihre vertrieblichen De-Mail Ansprechpartner darauf an.


Mitarbeiterqualifizierung

Was wird getan? Zur erfolgreichen Anwendung von De-Mail im Unternehmensalltag ist die Qualifizierung Ihrer Mitarbeiter ent-scheidend. Egal ob Hotlines, Service Desk, Betriebspersonal, Administratoren, Legal oder HR: De-Mail betrifft unterschiedliche Bereiche Ihres Unternehmens. Besonders wichtig ist es daher, Schulungsinhalte passend für die jeweilige Zielgruppe aufzubereiten und wichtige technische aber auch organisatorische Schulungsinhalte zu vermitteln. Festzulegen ist dabei, wie die organisatorische Änderung von Arbeitsabläufen für Mitarbeiter durch-gesetzt werden kann und auf welche Art und Weise das Wissen die Mitarbeiter erreicht (Mitarbeiter versus Multi-plikatoren).

Es ist sicherzustellen, dass: relevantes De-Mail Know-How bei den richtigen Mitarbeitern aufgebaut wird. das vorhandene De-Mail Know-How im Tagesgeschäft wirksam durch Ihre Mitarbeiter umgesetzt wird. ein unternehmensspezifische De-Mail Wissensbasis aufgebaut und fortgeschrieben wird.

Welche Dokumente sind betroffen? Schulungskonzept Erstellte Vorlagen und Hilfsmittel


Erstellen Sie ein Berechtigungskonzept zur Abbildung der fachlichen Verantwortlichkeiten bezogen auf De-Mail Konto, Postfächer und Archivfunktion per De-Mail Web-Frontend sowie für die mandantenspezifische Konfiguration des Gateways (falls nicht durch den ITSP ausgeübt)

Beschreiben Sie die Prozesse zum On-und Offboarding - Anlegen/Ändern/Löschen einer vertretungsberechtigten Person - Anlegen/Ändern/Löschen von Administratoren, Mitarbeitern und Nutzern in der Rolle Archivar - Erstellen/Ändern/Löschen eines persönlichen Postfachs - Erstellen/Ändern/Löschen eines Funktionspostfachs - Pflege und Aktualisierung des De-Mail Address-Mappings im Gateway

Beschreiben Sie den Prozess zur Pflege und Aktualisierung von De-Mail Adressbeständen und Nut-zungszustimmung von Kommunikationspartnern (siehe auch 4.2.3)

Beschreiben Sie die Geschäftsregeln zum Einsatz von De-Mail Versandoptionen jeweils bezogen auf die einzelnen Prozesse der Kommune

Beschreiben Sie den Prozesse zur Behandlung und Zuordnung von Antwortnachrichten - Einsatz der „X-de-mail-private-id“ (bzw. „Unser Zeichen“) - Zuordnung von Bestätigungsnachrichten (Versandbestätigung, Empfangsbestätigung, Abholbestä-

tigung) - Zuordnung von Antwortschreiben

Beschreiben Sie die Prozesse zur Behandlung von Ausnahmen (Catch-All bei fehlenden Mappings im Gateway bzw. Bounce-All für Fehlermeldungen des lokalen Mail-Servers)

Entscheiden Sie den Umgang mit Autorespondern: Der Versand von automatischen Antworten auf ein-gehende Nachrichten von De-Mail-Versendern würde als De-Mail erfolgen und die damit verbundenen Kosten verursachen. Es ist zu entscheiden ob das Interesse an einer Abwesenheitsnachricht auf Seiten des Versenders die anfallenden Kosten bei Autoversand überwiegt.



Führen Sie mindestens kurze Anwenderschulungen durch und achten Sie darauf, dass über den De-Mail-bezogenen Umgang mit den Arbeitssystemen auch allgemeine De-Mail Inhalte vermittelt wer-den. Insbesondere die datenschutzrechtlichen und gesetzlichen Rahmenbedingungen sollten Sie ihren Mitarbeitern vermitteln.

Nutzen Sie Mitarbeiter als Multiplikatoren innerhalb ihrer Kommune. Bereiten Sie Schulungsmaterial entsprechend der Zielgruppe auf.


Stufenweise Einführung von De-Mail

Für ein De-Mail Einführungsvorhaben in der öffentlichen Verwaltung empfehlen wir ein stufenweises Vorgehen. Dies ermöglicht es, De-Mail zu Beginn mit möglichst geringem Aufwand zum Einsatz zu bringen und so erste Erfahrungen im Umgang damit zu sammeln. Später erfolgt eine tiefere Integration in bestehende technische und organisatorische Strukturen bis hin zur Automatisierung von Fachverfahren und Langzeitspeicherung elektroni-scher Dokumente.

Allgemeiner Zugang

In einer ersten Phase bei der Einführung von De-Mail empfehlen wir die Verwendung eines Funktionspostfachs für die Eröffnung des allgemeinen De-Mail Zugangs. Die Catch-All Funktionalität sollte in dieser Phase nicht ge-nutzt werden, so dass nur De-Mail Nachrichten an die exakte Adresse zugestellt werden.

Wir empfehlen in dieser Phase ausschließlich auf De-Mail Nachrichten zu reagieren. In diesem Fall hat der Ab-sender der Nachricht den Zugang konkludent eröffnet und seine Anfrage kann per De-Mail beantwortet werden. Es ist nicht notwendig eine entsprechende Zugangseröffnung für die elektronische Kommunikation einzuholen und nachweisbar zu speichern.

Innerhalb dieser Phase können Sie erste praktische Erfahrungen im Umgang mit De-Mail sammeln. Die Aufwän-de und Investitionen für diese Phase sind vergleichsweise gering. Es muss ein Postfach aktiv betreut werden und die Mitarbeiter, welche in den Empfang und die Beantwortung von De-Mail Nachrichten involviert sind, sollten entsprechend geschult werden. Gegebenenfalls wird es notwendig eingegangene De-Mail Nachrichten entspre-chend innerhalb der Kommune an die zuständigen Mitarbeiter weiterzuleiten. Zusätzlich entstehen Ihnen Kosten für die versendeten De-Mails. Innerhalb dieser Phase ergibt sich im Wesentlichen ein Imagegewinn. Wichtig ist

Allgemeiner Zugang

Individual-kommunikation

Formular-service

Fall-management

Fachverfahren


es, dass den Bürgern und Unternehmen der jeweiligen Region signalisiert wird, dass die Kommune den neuen und sicheren elektronischen Kommunikationskanal unterstützt und De-Mail akzeptiert.

Individualkommunikation

Der allgemeine De-Mail Zugang kann in einer zweiten Phase um zusätzliche Funktionspostfächer oder persönliche Postfächer für die Nutzung einzelner spezifischer Anwendungsfälle erweitert werden. Eine technische Einbindung in Fachverfahren erfolgt in dieser Phase noch nicht. Vielmehr werden De-Mails über die Integration in die E-Mail Infrastruktur aus E-Mail Clients heraus empfangen und gesendet. Alternativ ist auch eine reine Web-Frontend Nutzung denkbar.

Zusätzlich zum reaktiven De-Mail Versand wird innerhalb dieser Phase auch auf den aktiven Versand im Rahmen einzelner Anwendungsfälle gesetzt. Hierfür wird es notwendig, eine entsprechende Strategie für das Einholen und die Nachweisbarkeit der Zugangseröffnung der jeweiligen Kommunikationspartner umzusetzen (siehe auch Zugangseröffnung). Es entstehen entsprechend zusätzliche Kosten für die Schulung weiterer Mitarbeiter, den erhöhten Versand von De-Mails und die Betreuung zusätzlicher Postfächer.

Durch den aktiven Versand per De-Mail können Porto-, Papier- und Druckkosten eingespart werden. Darüber hinaus verringern sich bzw. entfallen Prozesskosten für Druck, Kuvertierung und Versand.

Hinweis: Für einen schnellen Start können die ersten beiden Phasen auch parallel realisiert werden.

Formularservice

In dieser Phase wird ein bestehender Formularservice der Verwaltung so erweitert, dass die elektronisch ausgefüllten Formulare per De-Mail eingereicht werden können. Hierbei besteht auch die Möglichkeit strukturierte Daten in Form von XML zu versenden. Ein mit der Versandoption „Absenderbestätigt“ per De-Mail verschicktes Formular erfüllt laut Verwaltungsverfahrensgesetz die Schriftform. Damit bleibt dem Nutzer des Formularservice ein lästiges Ausdrucken, Unterschreiben und Einscannen bzw. Versenden per Briefpost erspart.

Diese Stufe der De-Mail Einführung ist für alle Fachbereiche der Verwaltung relevant, welche an Antragsprozessen beteiligt sind. Damit wird eine sofortige Vorverarbeitung der elektronischen Antragsdaten durch die Parallelisierung von Vorgangsbearbeitung und Warten auf die formerfüllende Erklärung des Nutzers per absenderbestätigter De-Mail ermöglicht.

Die Einbindung von De-Mail trägt zu einer Standardisierung und Online Validierung von Nutzereingaben beim Ausfüllen von Formularen bei. Die Fehlerquote wird verringert und die Zahl der Rückläufer bei eingereichten

Voraussetzungen

Integration von De-Mail in die E-Mail Infrastruktur Entwicklung einer Strategie für das Einholen und die Nachweisbarkeit der Zugangseröffnung von Kom-

munikationspartnern Ggf. weitere Mitarbeiterschulungen durchgeführt

Voraussetzungen

Besitz eines De-Mail Kontos bei einem DMDA Zugang zu einer Portallösung des DMDA oder eingerichtetes De-Mail Gateway Zugangseröffnung der Kommune für De-Mail (Veröffentlichung auf Webseite oder im De-Mail Verzeichnis Einrichtung einer zentralen Bearbeitungsstelle für De-Mail Ein- und Ausgang Prozessfestlegung der (ggf. manuellen) Archivierung von De-Mail Ein- und Ausgängen Mitarbeiterschulungen wurden durchgeführt


Anträgen reduziert. Es werden Voraussetzungen für den (teil-) automatisierten Versand von Bescheiden an den Antragssteller geschaffen.

Fallmanagement

In der nächsten Phase wird das Fallmanagement um den Kommunikationskanal De-Mail erweitert. Betroffen sind alle Fachbereiche mit workflowgestützter Antragsbearbeitung durch Sachbearbeiter Die Vorteile dieser Erweiterung sind u.a. die mögliche Verarbeitung unstrukturierter Anliegen in Workflow Systemen mit (teil-) automatisiertem Antwortversand, das vereinfachte Herstellen eines Aktenbezuges sowie die Anbindung an E-Akte und Langzeitspeicherung.

Wichtig ist hierbei die Erfassung der De-Mail Adresse des Antragstellers aus der unstrukturierten Eingangskommunikation. Eventuell muss durch die Sachbearbeiter beim Antragsteller nachgefasst werden, um die Gewinnung der De-Mail Adresse und die Zugangseröffnung sicherzustellen.

Fachverfahren

In einer letzten Phase empfiehlt sich nachfolgend die technische Integration von De-Mail in ausgewählte Fachverfahren. Der Versand von De-Mails erfolgt dadurch weitestgehend automatisiert und innerhalb der definierten Workflows. Dadurch ist davon auszugehen, dass die Fallzahlen einer De-Mail Nutzung signifikant erhöht werden und weitere Einsparpotentiale erreicht werden.

Voraussetzungen

Anpassung von Fachverfahren für automatisierten De-Mail Versand, Empfang und Bearbeitung Integration von De-Mail in bestehende EDV-Systeme Erstellung von Regelungen zur organisatorischen und technischen Verfahrensweise

Voraussetzungen

De-Mail-Integration in die automatisierte Prozessabwicklung und automatisierter De-Mail Rückversand Schulung der Fallmanager / Sachbearbeiter

Voraussetzungen

Anbindung von De-Mail an bestehenden Formularserver für automatisierten Versand der ausgefüllten Formulare

Anpassung des Formularservice Web-Frontend, Hinweise zu De-Mail geben Anpassung der Verwaltungsprozesse im Zusammenhang mit der Antragsbearbeitung und dem

Bescheideversand per De-Mail


Anhang A: Rechtlicher Rahmen

Formvorschrift

Versand an Behörden und öffentliche Stellen:

Eine De-Mail mit der Versandoption „Absenderbestätigt“ kann bei Anträgen und Anzeigen an die Behörde gemäß § 3a Abs. 2 VwVfG, § 36a Abs. 2 SGB I und §§ 87a Abs. 3 AO die Schriftform ersetzen. Das elektronische Dokument im De-Mail Postfach stellt dabei das Original dar, ein Download bzw. ein Ausdruck lediglich eine Kopie.

Versand durch die Behörde/öffentliche Stelle:

Die Behörde kann elektronische Verwaltungsakte sowie sonstige elektronische Dokumente per De-Mail versenden, wobei die Versandoption „Absenderbestätigt“ für eine wirksame Zustellung erforderlich ist. Die Absenderbestätigung des DMDA muss die erlassende Behörde als Nutzer des De-Mail Kontos erkennen lassen.

In der Verwaltung gilt der Grundsatz der Nichtförmlichkeit des Verfahrens, § 10 VwVfG, § 9 SGB X. Dennoch gibt es in den diversen öffentlich-rechtlichen Normen auch zahlreiche Schriftformerfordernisse, z. B. für den Widerspruch nach § 70 VwGO sowie für einen öffentlich-rechtlichen Vertrag nach § 57 VwVfG. Die allgemeine Formvorschrift für Verwaltungsakte findet sich in § 37 Abs. 2 VwVfG.

Zustellung & Zustellfiktion

Eine Zustellung im Sinne des VwZG ist die Bekanntgabe eines schriftlichen oder elektronischen Dokuments nach den im VwZG geregelten Zustellungsarten:

- Zustellung durch Post mit Zustellungsurkunde

- Zustellung durch Post mittels Einschreiben

- Zustellung durch die Behörde gegen Empfangsbekenntnis

- Elektronische Zustellung gegen Abholbestätigung über De-Mail Dienste

Die Zustellung elektronischer Dokumente kann gemäß § 5 Abs. 5 VwZG auch elektronisch erfolgen. Ein elektronisches Dokument gilt am 3. Tag nach Versand per De-Mail als zugestellt, wenn der Empfänger den Zugang eröffnet hat und die Abholbestätigung nicht bis spätestens an diesem Tag bei der Behörde eingegangen ist, § 5a Abs. 4 i. V. m. § 5 Abs. 2 Satz 2 VwZG.

Bei einer Übermittlung per De-Mail tritt die „Abholbestätigung“ an die Stelle einer Empfangsbestätigung, § 5a Abs. 1 Satz 2 VwZG. Entsprechende Regelungen finden sich auch in den Landesgesetzen. Die Abholbestätigung hat die volle Beweiskraft einer öffentlichen Urkunde nach § 418 ZPO.

Ein Beispiel für einen zustellungspflichtigen Verwaltungsakt:

- Widerspruchsbescheid gemäß § 73 Abs. 3 VwGO

Fazit

Eine wirksame Zustellung elektronischer Dokumente ist per De-Mail möglich. An Stelle einer geforderten Empfangsbestätigung tritt die Abholbestätigung.

Fazit

De-Mail mit der Versandoption „Absenderbestätigt“ erfüllt im Verwaltungsrecht die Anforderungen an die elektronische Ersetzung der Schriftform.


Formularbasierte Verwaltungsprozesse

Elektronische Formulare erfüllen analog zu De-Mail die Pflicht, einen elektronischen Zugang zu eröffnen. Die Verwendung bestimmter Formulare kann vorgeschrieben werden (vgl. § 13 EGovG, § 36 SGBI, § 3a VwVfG, etc.).

Bespiele für durch Rechtsvorschrift bestimmte Formularpflicht: - Umsatzsteuer-Voranmeldung ist nach amtlich vorgeschriebenem Vordruck elektronisch zu übermitteln (§ 18

Absatz 1 Satz 1 UStG)

- Anmeldung der einbehaltenen Kapitalertragsteuer ist nach amtlich vorgeschriebenem Vordruck elektronisch zu übermitteln (§ 45a Absatz 1 EStG)

Gemäß § 3 Abs. 2 EGovG soll die Behörde die erforderlichen Formulare bereitstellen. Erfordert ein Verwaltungsvorgang die Verwendung von Formularen, kann ein formloser Antrag per De-Mail von der Behörde zurückgewiesen werden.

Bei elektronischen Formularen, die explizit der Schriftform bedürfen, ist zusätzlich eine qualifizierte elektronische Signatur (QES) oder adäquate schriftformersetzende Technologie erforderlich. Zur Identitätsbestätigung des Nutzers eines elektronischen Formulars soll die eID-Funktion des neuen Personalausweises (nPA) genutzt werden.

Der Versand eines elektronischen Formulars an die Behörde als Anhang einer De-Mail unter Verwendung der Versandoption „Absenderbestätigt“ erfüllt den Formularzwang und ersetzt gleichzeitig die Schriftform.

Zugangseröffnung

Für die Kommunikation mit Behörden/öffentlichen Stellen ist die Erteilung der Zugangseröffnung für den konkreten elektronischen Kommunikationsweg (z. B. De-Mail) erforderlich. Die Zugangseröffnung wird durch Abgabe einer entsprechenden Erklärung ausdrücklich oder durch konkludentes Handeln, z. B. initiale Antragstellung per De-Mail, gegenüber dem Kommunikationspartner erteilt. Eine Sonderform der Zugangseröffnung für die Behördenkommunikation stellt die Aktivierung der entsprechenden Checkbox im De-Mail-Verzeichnisdienst dar. Die Zugangseröffnung kann durch Privatpersonen und nichtöffentliche Stellen jederzeit für die Zukunft zurückgenommen werden.

Die Eröffnung eines eigenen elektronischen Zugangs seitens Behörden/öffentliche Stellen ist gesetzlich geregelt und verpflichtend (vgl. § 2 EGovG). Bundesbehörden sind zusätzlich zur Eröffnung eines De-Mail-Zugangs verpflichtet. Die Zugangseröffnung ist Voraussetzung für eine wirksame Zustellung im Sinne des VwZG.

Beweismittel

Eine De-Mail-Nachricht mit zugehöriger Absenderbestätigung erweckt den Anschein der Echtheit (Anscheinsbeweis) und hat die gleiche Beweiswirkung, wie ein qualifiziert elektronisch signiertes Dokument. Für Behörden und mit öffentlichem Glauben versehene Personen (z.B. Notare) gilt die Vermutung der Echtheit gemäß § 371 b in Verbindung mit § 437 ZPO.

Fazit

Es dürfen nur Kommunikationspartner per De-Mail kontaktiert werden, die die Zugangseröffnung für diesen elektronischen Kommunikationsweg erteilt haben.

Fazit

Der Versand eines elektronischen Formulars an die Behörde als Anhang einer De-Mail unter Verwendung der Versandoption „Absenderbestätigt“ erfüllt den Formularzwang und ersetzt gleichzeitig die Schriftform.


Die Beweiswirkung kann immer nur der gesamten De-Mail beigemessen werden, nicht den einzelnen darin enthaltenen Dokumenten (De-Mail entfaltet lediglich formelle Beweiskraft). Bezüglich des Inhalts einer De-Mail gelten die gleichen Grundsätze, wie für “einfache E-Mails”.

Der Anscheinsbeweis bezieht sich auf das elektronische Original, d. h. auf die De-Mail-Nachricht im Postfach beim DMDA), nicht auf einen Ausdruck, der lediglich eine Kopie darstellt. Für den Anscheinsbeweis ist die durch das De-Mail System gewährleistete Authentizität und Integrität ausreichend. Anhand der einer De-Mail-Nachricht beigefügten Metadaten kann der Erklärende (Absender) identifiziert und die Authentizität der De-Mail festgestellt werden.

Die Abholbestätigung zu einer De-Mail hat die volle Beweiskraft einer öffentlichen Urkunde nach § 418 ZPO.

Elektronischer Rechtsverkehr mit Gerichten

Durch das E-Justice-Gesetz ergaben bzw. ergeben sich unter anderem Anpassungen in der Zivilprozessordnung (ZPO).

Ab 1. Januar 2018 gilt De-Mail (mit der Versandoption „Absenderbestätigt“) als sicherer Übermittlungsweg in der Gerichtskommunikation, §130a Abs. 4 Nr. 1 ZPO. Hinsichtlich der per De-Mail übertragenen Inhalte und/oder Dokumente kann je nach Grad der Vertraulichkeit und Sensibilität der Daten eine zusätzliche Ende-zu-Ende-Verschlüsselung erforderlich sein.

Ab 1. Januar 2022 besteht für Rechtsanwälte und Behörden die Pflicht zur elektronischen Übermittlung von vorbereitenden Schriftsätzen nebst Anlagen, sowie schriftlich einzureichender Anträge und Erklärungen an Gerichte, § 130d ZPO.

Datenschutz und Datensicherheit

Der De-Mail Standard setzt die an die Behörde gestellten gesetzlichen Anforderungen hinsichtlich Datenschutz und Datensicherheit in der elektronischen Kommunikation um.

Behörden/öffentliche Stellen sind verpflichtet, sich an die gesetzlichen Vorgaben des BDSG bzw. anderer spezialgesetzlicher Datenschutzvorschriften bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu halten. § 15 De-Mail Gesetz verweist auf die Anwendbarkeit von BDSG, TKG und TMG.

Durch Umsetzung der hohen Anforderungen aus der Technischen Richtlinie 01201 De-Mail des BSI in der jeweils gültigen Fassung wird die Einhaltung des Stands der Technik gewährleistet.

Fazit

Behörden/öffentliche Stellen können De-Mail mit Absenderbestätigung für die elektronische Kommunikation mit Gerichten nutzen.

Fazit

Die De-Mail-Nachricht ist als Anscheinsbeweis anerkannt (formelle Beweiskraft). Bezüglich des Inhalts und der Ablieferung einer De-Mail gelten die gleichen Grundsätze, wie für “einfache E-Mails”.


Gemäß § 17 Abs. 3 De-Mail Gesetz ist eine regelmäßige Re-Akkreditierung der Diensteanbieter bei wesentlichen Änderungen bzw. spätestens nach 3 Jahren vorgeschrieben. Hinzu kommt eine jährliche Prüfung der IT-Sicherheit nach IT-Grundschutz.

Trotz der grundsätzlich sehr hohen Sicherheitsstandards von De-Mail, kann es beim Versand besonders sensibler, vertraulicher oder geheimer Daten erforderlich sein, eine zusätzliche Ende-zu-Ende Verschlüsselung zu nutzen.

Die gesetzliche Pflicht des Diensteanbieters zur Schadsoftwareprüfung ist kein unbefugtes Offenbaren im Sinne des § 203 StGB.2

Versandoptionen

§ 5 De-Mail Gesetz regelt die Voraussetzungen und die Umsetzung der Versandoptionen durch den DMDA.

Einschreiben

Das Einschreiben besteht aus einer Versandbestätigung (Absender erhält signierte Bestätigung über den ord-nungsgemäßen Versand seiner De-Mail) sowie einer Eingangsbestätigung (Absender und Empfänger erhalten signierte Bestätigung, wann die De-Mail im Postfach des Empfängers abgelegt wurde).

Persönlich/Vertraulich

Der Empfänger muss sich mit Authentisierungsniveau HOCH anmelden, um die De-Mail-Nachricht öffnen zu können.

Absenderbestätigt

Der Empfänger erhält eine signierte Nachricht, dass der Absender beim Versand der De-Mail mit Authentisie-rungsniveau HOCH angemeldet war.

Abholbestätigung

Die Behörde/öffentliche Stelle erhält eine signierte Nachricht, dass sich der Empfänger an seinem De-Mail Konto angemeldet hat. Die „Abholbestätigung“ ist nur Behörden vorbehalten (vgl. § 5 Abs. 9 De-Mail-Gesetz) und setzt die förmliche Zustellung um (vgl. § 5a Verwaltungszustellungsgesetz).

Elektronische Anträge an und Verwaltungsakte durch die Behörde sind schriftformersetzend per De-Mail mit der Versandoption „Absenderbestätigt“ möglich. Die Absenderbestätigung des DMDA enthält den Klarnamen des Kontoinhabers im Feld x-de-mail-accountholder.

2 Minikommentar zum Gesetz zur Förderung der elektronischen Verwaltung sowie Änderung weiter Vorschriften

(EGovG)

Fazit

Der De-Mail Standard setzt die an die Behörde gestellten gesetzlichen Anforderungen hinsichtlich Datenschutz und Datensicherheit in der elektronischen Kommunikation um. Bei außerordentlich hohem Schutzbedarf kann eine zusätzliche Absicherung der Inhalte mittels Ende-zu-Ende Verschlüsselung erforderlich sein.


Identifizierung

Die Identität der Kommunikationspartner kann mit De-Mail rechtssicher nachgewiesen werden. Die Identifizierung erfolgt gemäß § 3 Absatz 2 Satz 2 und Absatz 3 De-Mail Gesetz:

- Der akkreditierte De-Mail Diensteanbieter hat die Identität des Nutzers und bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen zusätzlich die Identität ihrer gesetzlichen Vertreter oder Organmitglieder zuverlässig festzustellen.

- Die Identitätsprüfung des Nutzers muss stets vor Freischaltung des De-Mail Kontos erfolgen.

Beim DMDA gespeicherte Identitätsdaten sind in regelmäßigen Abständen auf Richtigkeit zu prüfen und ggf. anzupassen (§ 3 Absatz 5 De-Mail Gesetz).

Durch den Nachweis der Identität der Kommunikationspartner in Verbindung mit den Zustellnachweisen können verbindliche Verwaltungsvorgänge durchgeführt werden.

Es ist eine eindeutige Zuordnung der De-Mail-Adresse zu den bekannten Stammdaten des Kommunikationspartners durch einen gesicherten Prozess notwendig.

Langzeitspeicherung

Eine De-Mail Nachricht genügt grundsätzlich nur auf den Servern des DMDA den Anforderungen an Beweiswerterhalt und revisionssichere Langzeitspeicherung. Allerdings wurde auch eine technische Möglichkeit zum Export aller Postfachinhalte unter Beibehaltung des Beweiswertes mittels Integritätsschutz und qualifizierter elektronischer Signatur realisiert.

Dokumente im De-Mail Postfach werden unbegrenzt revisionssicher gespeichert (implizite Archivfunktion). Dies stellt jedoch kein Ersatz für eine Archivierung nach TR-ESOR Grundsätzen dar.

Folgende Vorschriften sollten im Rahmen der Langzeitspeicherung beachtet werden:

- § 17 SigV in Verbindung mit § 6 SigG, Verfahren zur langfristigen Datensicherung, erneute elektronische Signierung bei Archivierung

- § 110a SGB IV Aufbewahrungspflicht

- Bundes- bzw. Landesarchivgesetze

- Bericht des Prüfdienstes des Bundes und der Länder als Standard für ersetzendes Scannen und elektronische Langzeitspeicherung

- BSI TR-03125 „Beweiswerterhaltung kryptographisch signierter Dokumente (TR-ESOR)“ regelt die technische Umsetzung zur beweiswerterhaltenden Langzeitspeicherung von Dokumenten

- BSI TR-03138 "Ersetzendes Scannen (RESISCAN)

Fazit

Durch den Nachweis der Identität der Kommunikationspartner in Verbindung mit den Zustellnachweisen ermöglicht De-Mail rechtsverbindliche Verwaltungsvorgänge.

Fazit

Die Anwendung bestimmter Versandoptionen ist abhängig vom Kommunikationssachverhalt. Es empfiehlt sich, eine individuelle Anwendungsvorschrift für die Nutzung der Versandoptionen in Anlehnung an die Briefpost zu erstellen.


Fazit

Die De-Mail Gateway Lösung der T-Systems bietet die Möglichkeit die De-Mail Kommunikation beweiswerterhaltend und medienbruchfrei einer Lösung zur externen Langzeitspeicherung nach TR-ESOR zuzuführen.


Anhang B: Gesetzesauszüge

De-Mail Gesetz

§7 Verzeichnisdienst (1) Der akkreditierte Diensteanbieter hat auf ausdrückliches Verlangen des Nutzers die De-Mail- Adressen,

die nach § 3 hinterlegten Identitätsdaten Name und Anschrift, die für die Verschlüsselung von Nachrich-ten an den Nutzer notwendigen Informationen und die Information über die Möglichkeit der sicheren Anmeldung nach § 4 des Nutzers in einem Verzeichnisdienst zu veröffentlichen. Der akkreditierte Diensteanbieter darf die Eröffnung eines De-Mail-Kontos für den Nutzer nicht von dem Verlangen des Nutzers nach Satz 1 abhängig machen.

(2) Der akkreditierte Diensteanbieter hat eine De-Mail-Adresse, ein Identitätsdatum oder die für die Ver-schlüsselung von Nachrichten an den Nutzer notwendigen Informationen aus dem Verzeichnisdienst unverzüglich zu löschen, wenn der Nutzer dies verlangt, die Daten auf Grund falscher Angaben ausge-stellt wurden, der Diensteanbieter seine Tätigkeit beendet und diese nicht von einem anderen akkredi-tierten Diensteanbieter fortgeführt wird oder die zuständige Behörde die Löschung aus dem Verzeich-nisdienst anordnet. Weitere Gründe für eine Löschung können vertraglich vereinbart werden.

(3) Die Veröffentlichung der De-Mail-Adresse im Verzeichnisdienst auf ein Verlangen des Nutzers als Ver-braucher nach Absatz 1 allein gilt nicht als Eröffnung des Zugangs im Sinne von § 3a Absatz 1 des Ver-waltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch oder des § 87a Ab-satz 1 Satz 1 der Abgabenordnung. Auf Verlangen des Nutzers muss der akkreditierte Diensteanbieter durch einen geeigneten Zusatz die Erklärung des Nutzers im Verzeichnisdienst veröffentlichen, den Zu-gang im Sinne von § 3a des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozial-gesetzbuch und des §87a Absatz 1 Satz 1 der Abgabenordnung eröffnen zu wollen. Die Veröffentli-chung der De-Mail-Adresse des Nutzers als Verbraucher mit diesem Zusatz im Verzeichnisdienst gilt als Zugangseröffnung. Satz 2 gilt entsprechend für die Entscheidung des Nutzers, die Zugangseröffnung zurückzunehmen.

(4) § 47 des Telekommunikationsgesetzes gilt entsprechend.

Änderung des § 5 Absatz 5 De-Mail-Gesetz - Weiterentwicklung der Versandoption „absenderbestätigt“ a) Vorbemerkungen:

Die Änderung des § 5 Absatz 5 dient dazu, die bisher in dieser Vorschrift geregelte Versandoption so zu ergänzen, dass hierdurch alle Funktionen der Schriftform des materiellen Verwaltungsverfahrensrechts sowie des gesamten Prozessrechts abgebildet werden. Insbesondere im Zuge der Zulassung von De-Mail als Schriftformersatz im Verwaltungsrecht (vgl. Artikel 3, 4 und 7) sind die folgenden beiden Klar-stellungen hinsichtlich des Verhältnisses der kurzzeitigen Entschlüsselung der De-Mail-Nachrichten bei den akkreditierten Diensteanbietern zu den Tatbestandsmerkmalen des „Übermittelns“ bzw. „Offenba-rens“ notwendig, welche im Zusammenhang mit dem Steuer- bzw. Sozialgeheimnis oder sonstigen Ge-heimnissen, die bestimmten Berufsträgern wie z. B. Ärzten, sonstigen Angehörigen von Heilberufen, Rechtsanwälten, anvertraut wurden (hierzu vgl. z. B. § 203 StGB), eine Rolle spielen: - 46 –

Beim Versenden einer De-Mail-Nachricht liegt ein Übermitteln im Sinne des § 3 Ab-satz 4 Satz 2 Num-mer 3 BDSG oder gleichlautender Rechtsvorschriften wie § 67 Ab-satz 6 Satz 2 Nummer 3 SGB X ledig-lich im Verhältnis zwischen Sender und Empfänger der De-Mail-Nachricht vor, nicht jedoch zwischen diesen und den in den Übermittlungsvorgang eingeschalteten akkreditierten Diensteanbietern.

Das Versenden einer De-Mail-Nachricht mit Inhalten, die ein Geheimnis im Sinne des § 203 StGB dar-stellen, durch die dort bezeichneten Geheimnisträger ist kein unbefugtes Offenbaren im Sinne des §203 StGB oder gleichlautender Rechtsvorschriften (z. B. § 30 AO), auch wenn eine kurzzeitige automa-tisierte Entschlüsselung durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware erfolgt.

Diese Klarstellungen sind aufgrund folgender Tatsachen gerechtfertigt: Wenn der Nutzer von seinem Endgerät eine De-Mail versendet, wird diese verschlüsselt zu dessen De-Mail-Provider geleitet, analog


etwa der Nutzung von Online-Banking-Diensten. Bei dem Provider des Absenders werden die Daten in einem automatisierten Prozess entschlüsselt, auf Schadsoftware überprüft und anschließend für den Versand an den Provider des Empfängers erneut verschlüsselt. Nach Eingang beim De-Mail-Provider des Empfängers wird die Nachricht wiederum automatisiert entschlüsselt und auf Schadsoftware über-prüft. Anschließend wird die Nachricht wieder verschlüsselt und in dieser Form für den Empfänger auf-bewahrt. Schließlich ruft sie der Empfänger über einen verschlüsselten Kanal ab. Auf dem Weg durch das Internet sind die Daten also über bewährte Verfahren verschlüsselt, die vom BSI festgelegt wurden. Bei den De-Mail-Providern werden die Daten im Rahmen eines automatisierten Prozesses ohne menschliche Mitwirkung kurzzeitig umgeschlüsselt. Diese Umschlüsselung erfolgt in einer vom BSI zer-tifizierten Sicherheitsumgebung, für die die De-Mail-Provider im Rahmen des im De- Mail-Gesetz gere-gelten Akkreditierungsprozesses umfangreiche organisatorische und technische Sicherheitskriterien er-füllen müssen. Eine Speicherung der Inhaltsdaten beim Provider erfolgt ausschließlich in verschlüsseltem Zustand. Auf die amtliche Begründung des De-Mail-Gesetzes wird Bezug genommen (vgl. BT-Drs. 17/3630, S. 29).

Damit wird auch die durch den letzten Satz der amtlichen Begründung zu Artikel 1 § 5 Absatz 3 des Entwurfs des De-Mail-Gesetzes begünstigte Rechtsunsicherheit (BT-Drs. 17/3630, S. 29) beseitigt. In-soweit war bereits in dem Bericht des Innenausschusses zum Entwurf des De-Mail-Gesetzes vom 23. Februar 2011 (BT-Drs. 17/4893, S. 12) deutlich gemacht worden, dass die Bedeutung dieses Satzes al-lein darin liegt, darauf hinzuweisen, dass De-Mail ELSTER im Bereich der Steuerverwaltung nicht ablö-sen soll.

Ungeachtet der grundsätzlichen Zulässigkeit des Einsatzes von De-Mail im Bereich des Steuer- und So-zialgeheimnisses ohne zusätzliche Sicherheitsmaßnahmen kann es gleichwohl in bestimmten Konstel-lationen erforderlich werden, von der zusätzlichen Verschlüsselung nach Absatz 3 Satz 3 des De-Mail-Gesetzes Gebrauch zu machen. Insoweit sind die Empfehlungen der Beauftragten für den Datenschutz des Bundes und der Länder zu beachten.

E-Government-Gesetz des Bundes

§ 2Elektronischer Zugang zur Verwaltung (2) Jede Behörde des Bundes ist verpflichtet, den elektronischen Zugang zusätzlich durch eine De-Mail Ad-

resse im Sinne des De-Mail-Gesetzes zu eröffnen, es sei denn, die Behörde des Bundes hat keinen Zu-gang zu dem zentral für die Bundesverwaltung angebotenen IT-Verfahren, über das De-Mail-Dienste für Bundesbehörden angeboten werden.

Artikel 2 Änderung des De-Mail-Gesetzes Das De-Mail-Gesetz vom 28. April 2011 (BGBl. I S. 666), das durch Artikel 2 Absatz 3 des Gesetzes vom 22. Dezember 2011 (BGBl. I S. 3044) geändert worden ist, wird wie folgt geändert: 1. In § 2 werden die Wörter „und der Rechtsverordnung nach § 24“ gestrichen. 2. § 3 Absatz 3 Satz 1 Nummer 1 und 2 wird wie folgt gefasst:

1. bei natürlichen Personen a. anhand eines gültigen amtlichen Ausweises, der ein Lichtbild des Inhabers enthält und mit

dem die Pass- und Ausweispflicht im Inland erfüllt wird, insbesondere anhand eines inlän-dischen oder nach ausländerrechtlichen Bestimmungen anerkannten oder zugelassenen Passes, Personalausweises oder Pass- oder Ausweisersatzes,

b. anhand von Dokumenten, die bezüglich ihrer Sicherheit einem Dokument nach Buchsta-be a gleichwertig sind,

c. anhand eines elektronischen Identitätsnachweises nach § 18 des Personalausweisgeset-zes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes,

d. anhand einer qualifizierten elektronischen Signatur nach § 2 Nummer 3 des Signaturge-setzes oder

e. anhand sonstiger geeigneter technischer Verfahren mit gleichwertiger Sicherheit zu einer Identifizierung anhand der Dokumente nach Buchstabe a;

2. bei juristischen Personen oder Personengesellschaften oder bei öffentlichen Stellen


a. anhand eines Auszugs aus dem Handels oder Genossenschaftsregister oder aus einem vergleichbaren amtlichen Register oder Verzeichnis,

b. anhand der Gründungsdokumente, c. anhand von Dokumenten, die bezüglich ihrer Beweiskraft den Dokumenten nach den

Buchstaben a oder b gleichwertig sind, oder d. durch Einsichtnahme in die Register- oder Verzeichnisdaten.“

3. § 5 Absatz 5 wird wie folgt geändert: a. In Satz 2 werden die Wörter „durch eine qualifizierte elektronische Signatur“ gestrichen. b. Die folgenden Sätze werden angefügt: „Hierzu versieht er im Auftrag des Senders die

Nachricht mit einer dauerhaft überprüfbaren qualifizierten elektronischen Signatur; sind der Nachricht eine oder mehrere Dateien beigefügt, bezieht sich die qualifizierte elektroni-sche Signatur auch auf diese. Die Bestätigung enthält bei natürlichen Personen den Na-men und die Vornamen, bei juristischen Personen, Personengesellschaften oder öffentli-chen Stellen die Firma, den Namen oder die Bezeichnung des Senders in der Form, in der diese nach § 3 Absatz 2 hinterlegt sind. Die Tatsache, dass der Absender diese Versandart genutzt hat, muss sich aus der Nachricht in der Form, wie sie beim Empfänger ankommt, ergeben. Die Bestätigung nach Satz 1 ist nicht zulässig bei Verwendung einer pseudony-men De-Mail-Adresse nach Absatz 2.“

4. Dem § 7 Absatz 3 werden die folgenden Sätze angefügt: „Auf Verlangen des Nutzers muss der akkredi-tierte Diensteanbieter durch einen geeigneten Zusatz die Erklärung des Nutzers im Verzeichnisdienst veröffentlichen, den Zugang im Sinne von § 3a des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch und des § 87a Absatz 1 Satz 1 der Abgabenordnung eröffnen zu wol-len. Die Veröffentlichung der De-Mail-Adresse des Nutzers als Verbraucher mit diesem Zusatz im Ver-zeichnisdienst gilt als Zugangseröffnung. Satz 2 gilt entsprechend für die Entscheidung des Nutzers, die Zugangseröffnung zurückzunehmen.“

Sächsisches E-Government-Gesetz

§ 2 Elektronische Kommunikation (1) Die staatlichen Behörden und die Träger der Selbstverwaltung müssen auch die elektronische Kommu-

nikation ermöglichen. Beliehene sind von dieser Verpflichtung ausgenommen, soweit die elektronische Kommunikation für die ordnungsgemäße Wahrnehmung ihrer Verwaltungsaufgaben nicht erforderlich ist. Für die elektronische Kommunikation sind Verschlüsselungsverfahren anzubieten und grundsätzlich anzuwenden.

(2) Die Übermittlung elektronischer Dokumente unter Wahrung der für den Freistaat Sachsen verbindlichen bundesrechtlichen Voraussetzungen in 1. § 3a Abs. 2 des Verwaltungsverfahrensgesetzes (VwVfG) in der Fassung der Bekanntmachung vom

23. Januar 2003 (BGBl. I S. 102), das zuletzt durch Artikel 3 des Gesetzes vom 25. Juli 2013 (BGBl. I S. 2749, 2753) geändert worden ist, in der am 8. August 2014 geltenden Fassung,

2. § 36a Abs. 2 des Ersten Buches Sozialgesetzbuch (SGB I) – Allgemeiner Teil – (Artikel 1 des Geset-zes vom 11. Dezember 1975, BGBl. I S. 3015), das zuletzt durch Artikel 10 des Gesetzes vom 19. Oktober 2013 (BGBl. I S. 3836, 3848) geändert worden ist, in der am 8. August 2014 geltenden Fassung, und

3. § 87a Abs. 3, 4 und 6 der Abgabenordnung (AO) in der Fassung der Bekanntmachung vom 1. Ok-tober 2002 (BGBl. I S. 3866, 2003 I S. 61), die zuletzt durch Artikel 13 des Gesetzes vom 18. De-zember 2013 (BGBl. I S. 4318, 4333) geändert worden ist, in der am 8. August 2014 geltenden Fassung,

für die Ersetzung der Schriftform ist durch die staatlichen Behörden und die Träger der Selbstverwaltung im Rahmen der Kommunikation nach Absatz 1 unter dem Vorbehalt der Bereitstellung von Haushaltsmitteln für die Umsetzung zu ermöglichen, soweit nicht wichtige Gründe entgegenstehen. Für die Möglichkeiten der Schriftformersetzung, die nach dem 8. August 2014 verkündet werden, gilt die Pflicht aus Satz 1; diese ist innerhalb von zwei Jahren nach Inkrafttreten der bundesrechtlichen Vorschrift umzusetzen. Die für die Übermittlung elektronischer Dokumente erforderlichen Informationen sind über die von den Behörden und


Verwaltungseinrichtungen im Freistaat Sachsen jeweils genutzten öffentlich zugänglichen Netze zur Verfü-gung zu stellen.

Verwaltungsverfahrensgesetz des Bundes

§ 3a Elektronische Kommunikation (1) Die Übermittlung elektronischer Dokumente ist zulässig, soweit der Empfänger hierfür einen Zugang

eröffnet. (2) Eine durch Rechtsvorschrift angeordnete Schriftform kann, soweit nicht durch Rechtsvorschrift etwas

anderes bestimmt ist, durch die elektronische Form ersetzt werden. Der elektronischen Form genügt ein elektronisches Dokument, das mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen ist. Die Signierung mit einem Pseudonym, das die Identifizierung der Person des Signatur-schlüsselinhabers nicht unmittelbar durch die Behörde ermöglicht, ist nicht zulässig. Die Schriftform kann auch ersetzt werden

1. durch unmittelbare Abgabe der Erklärung in einem elektronischen Formular, das von der Behörde in einem Eingabegerät oder über öffentlich zugängliche Netze zur Verfügung ge-stellt wird;

2. bei Anträgen und Anzeigen durch Versendung eines elektronischen Dokuments an die Behörde mit der Versandart nach § 5 Absatz 5 des De-Mail-Gesetzes; [Anmerkung: Ver-weis § 5 Absatz 5 des De-Mail-Gesetzes bezieht sich auf die Versandoption „Absenderbe-stätigt“]

3. bei elektronischen Verwaltungsakten oder sonstigen elektronischen Dokumenten der Be-hörden durch Versendung einer De-Mail-Nachricht nach § 5 Absatz 5 des De-Mail-Gesetzes, bei der die Bestätigung des akkreditierten Diensteanbieters die erlassende Be-hörde als Nutzer des De-Mail-Kontos erkennen lässt; [Anmerkung: Die vollständige identi-fizierte Bezeichnung des Versender wird im Feld X-de-mail-account-holder der De- Mail sowie der Absenderbestätigung übermittelt. Im kommunalen Bereich ist die erlassende Behörde beispielsweise die jeweilige Kommune selbst, vertreten durch den Bürgermeis-ter/die Bürgermeisterin.]

4. durch sonstige sichere Verfahren, die durch Rechtsverordnung der Bundesregierung mit Zustimmung des Bundesrates festgelegt werden, welche den Datenübermittler (Absender der Daten) authentifizieren und die Integrität des elektronisch übermittelten Datensatzes sowie die Barrierefreiheit gewährleisten; der IT-Planungsrat gibt Empfehlungen zu geeig-neten Verfahren ab.

In den Fällen des Satzes 4 Nummer 1 muss bei einer Eingabe über öffentlich zugängliche Netze ein si-cherer Identitätsnachweis nach § 18 des Personalausweisgesetzes oder nach § 78 Absatz 5 des Auf-enthaltsgesetzes erfolgen.

(3) Ist ein der Behörde übermitteltes elektronisches Dokument für sie zur Bearbeitung nicht geeignet, teilt sie dies dem Absender unter Angabe der für sie geltenden technischen Rahmenbedingungen unver-züglich mit. Macht ein Empfänger geltend, er könne das von der Behörde übermittelte elektronische Dokument nicht bearbeiten, hat sie es ihm erneut in einem geeigneten elektronischen Format oder als Schriftstück zu übermitteln.

§ 37 Bestimmtheit und Form des Verwaltungsaktes; Rechtsbehelfsbelehrung

(1) Ein Verwaltungsakt muss inhaltlich hinreichend bestimmt sein. (2) Ein Verwaltungsakt kann schriftlich, elektronisch, mündlich oder in anderer Weise erlassen werden. Ein

mündlicher Verwaltungsakt ist schriftlich oder elektronisch zu bestätigen, wenn hieran ein berechtigtes Interesse besteht und der Betroffene dies unverzüglich verlangt. Ein elektronischer Verwaltungsakt ist unter denselben Voraussetzungen schriftlich zu bestätigen; §3a Abs. 2 findet insoweit keine Anwen-dung.

(3) Ein schriftlicher oder elektronischer Verwaltungsakt muss die erlassende Behörde erkennen lassen und die Unterschrift oder die Namenswiedergabe des Behördenleiters, seines Vertreters oder seines Beauf-tragten enthalten. Wird für einen Verwaltungsakt, für den durch Rechtsvorschrift die Schriftform ange-


ordnet ist, die elektronische Form verwendet, muss auch das der Signatur zugrunde liegende qualifizier-te Zertifikat oder ein zugehöriges qualifiziertes Attributzertifikat die erlassende Behörde erkennen las-sen. Im Fall des § 3a Absatz 2 Satz 4 Nummer 3 muss die Bestätigung nach § 5 Absatz 5 des De-Mail-Gesetzes die erlassende Behörde als Nutzer des De-Mail-Kontos erkennen lassen.

(4) Für einen Verwaltungsakt kann für die nach § 3a Abs. 2 erforderliche Signatur durch Rechtsvorschrift die dauerhafte Überprüfbarkeit vorgeschrieben werden.

(5) Bei einem schriftlichen Verwaltungsakt, der mit Hilfe automatischer Einrichtungen erlassen wird, kön-nen abweichend von Absatz 3 Unterschrift und Namenswiedergabe fehlen. Zur Inhaltsangabe können Schlüsselzeichen verwendet werden, wenn derjenige, für den der Verwaltungsakt bestimmt ist oder der von ihm betroffen wird, auf Grund der dazu gegebenen Erläuterungen den Inhalt des Verwaltungsaktes eindeutig erkennen kann.

(6) Einem schriftlichen oder elektronischen Verwaltungsakt, der der Anfechtung unterliegt, ist eine Erklä-rung beizufügen, durch die der Beteiligte über den Rechtsbehelf, der gegen den Verwaltungsakt gege-ben ist, über die Behörde oder das Gericht, bei denen der Rechtsbehelf einzulegen ist, den Sitz und über die einzuhaltende Frist belehrt wird (Rechtsbehelfsbelehrung). Die Rechtsbehelfsbelehrung ist auch der schriftlichen oder elektronischen Bestätigung eines Verwaltungsaktes und der Bescheinigung nach § 42a Absatz 3 beizufügen. Im kommunalen Bereich ist die erlassende Behörde beispielsweise die jeweilige Kommune selbst, vertreten durch den Bürgermeister/die Bürgermeisterin.

Verwaltungszustellungsgesetz des Bundes

§ 5a Elektronische Zustellung gegen Abholbestätigung über De-Mail-Dienste (1) Die elektronische Zustellung kann unbeschadet des § 5 Absatz 4 und 5 Satz 1 und 2 durch

Übermittlung der nach § 17 des De-Mail-Gesetzes akkreditierten Diensteanbieter gegen Abholbestäti-gung nach § 5 Absatz 9 des De-Mail-Gesetzes an das De-Mail-Postfach des Empfängers erfolgen. Für die Zustellung nach Satz 1 ist § 5 Absatz 4 und 6 mit der Maßgabe anzuwenden, dass an die Stelle des Empfangsbekenntnisses die Abholbestätigung tritt.

(2) Der nach § 17 des De-Mail-Gesetzes akkreditierte Diensteanbieter hat eine Versandbestätigung nach § 5 Absatz 7 des De-Mail-Gesetzes und eine Abholbestätigung nach § 5 Absatz 9 des De-Mail-Gesetzes zu erzeugen. Er hat diese Bestätigungen unverzüglich der absendenden Behörde zu übermitteln.

(3) Zum Nachweis der elektronischen Zustellung genügt die Abholbestätigung nach § 5 Absatz 9 des De-Mail-Gesetzes. Für diese gelten § 371 Absatz 1 Satz 2 und § 371a Absatz 3 der Zivilprozessordnung.

(4) Ein elektronisches Dokument gilt in den Fällen des § 5 Absatz 5 Satz 2 am dritten Tag nach der Absen-dung an das De-Mail-Postfach des Empfängers als zugestellt, wenn er dieses Postfach als Zugang er-öffnet hat und der Behörde nicht spätestens an diesem Tag eine elektronische Abholbestätigung nach § 5 Absatz 9 des De- Mail-Gesetzes zugeht. Satz 1 gilt nicht, wenn der Empfänger nachweist, dass das Dokument nicht oder zu einem späteren Zeitpunkt zugegangen ist. Der Empfänger ist in den Fällen des § 5 Absatz 5 Satz 2 vor der Übermittlung über die Rechtsfolgen nach den Sätzen 1 und 2 zu belehren. Als Nachweis der Zustellung nach Satz 1 dient die Versandbestätigung nach § 5 Absatz 7 des De-Mail-Gesetzes oder ein Vermerk der absendenden Behörde in den Akten, zu welchem Zeitpunkt und an wel-ches De-Mail-Postfach das Dokument gesendet wurde. Der Empfänger ist über den Eintritt der Zustel-lungsfiktion nach Satz 1 elektronisch zu benachrichtigen.


Anhang C: Weiterführende Informationen

Minikommentar zum E-GOvernment Gesetz des Bundes (Auszug)

Insbesondere im Zuge der Zulassung von De-Mail als Schriftformersatz im Verwaltungsrecht (vgl. Artikel 3, 4 und 7) sind die folgenden beiden Klarstellungen hinsichtlich des Verhältnisses der kurzzeitigen Entschlüsselung der De-Mail-Nachrichten bei den akkreditierten Diensteanbietern zu den Tatbestandsmerkmalen des „Übermittelns“ bzw. „Offenbarens“ notwendig, welche im Zusammenhang mit dem Steuer- bzw. Sozialgeheimnis oder sonstigen Geheimnissen, die bestimmten Berufsträgern wie z. B. Ärzten, sonstigen Angehörigen von Heilberufen, Rechts-anwälten, anvertraut wurden (hierzu vgl. z. B. § 203 StGB), eine Rolle spielen:

- Beim Versenden einer De-Mail-Nachricht liegt ein Übermitteln im Sinne des § 3 Ab-satz 4 Satz 2 Num-mer 3 BDSG oder gleichlautender Rechtsvorschriften wie § 67 Absatz 6 Satz 2 Nummer 3 SGB X ledig-lich im Verhältnis zwischen Sender und Empfänger der De-Mail-Nachricht vor, nicht jedoch zwischen diesen und den in den Übermittlungsvorgang eingeschalteten akkreditierten Diensteanbietern.

- Das Versenden einer De-Mail-Nachricht mit Inhalten, die ein Geheimnis im Sinne des § 203 StGB dar-stellen, durch die dort bezeichneten Geheimnisträger ist kein unbefugtes Offenbaren im Sinne des § 203 StGB oder gleichlautender Rechtsvorschriften (z. B. § 30 AO), auch wenn eine kurzzeitige automa-tisierte Entschlüsselung durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware erfolgt.

Diese Klarstellungen sind aufgrund folgender Tatsachen gerechtfertigt: Wenn der Nutzer von seinem Endgerät eine De-Mail versendet, wird diese verschlüsselt zu dessen De-Mail-Provider geleitet, analog etwa der Nutzung von Online-Banking-Diensten. Bei dem Provider des Absenders werden die Daten in einem automatisierten Pro-zess entschlüsselt, auf Schadsoftware überprüft und anschließend für den Versand an den Provider des Empfän-gers erneut verschlüsselt. Nach Eingang beim De-Mail-Provider des Empfängers wird die Nachricht wiederum automatisiert entschlüsselt und auf Schadsoftware überprüft. Anschließend wird die Nachricht wieder verschlüs-selt und in dieser Form für den Empfänger aufbewahrt. Schließlich ruft sie der Empfänger über einen verschlüs-selten Kanal ab. Auf dem Weg durch das Internet sind die Daten also über bewährte Verfahren verschlüsselt, die vom BSI festgelegt wurden. Bei den De-Mail-Providern werden die Daten im Rahmen eines automatisierten Pro-zesses ohne menschliche Mitwirkung kurzzeitig umgeschlüsselt. Diese Umschlüsselung erfolgt in einer vom BSI zertifizierten Sicherheitsumgebung, für die die De-Mail-Provider im Rahmen des im De-Mail-Gesetz geregelten Akkreditierungsprozesses umfangreiche organisatorische und technische Sicherheitskriterien erfüllen müssen. Eine Speicherung der Inhaltsdaten beim Provider erfolgt ausschließlich in verschlüsseltem Zustand.

[Quelle: Minikommentar zum Gesetz zur Förderung der elektronischen Verwaltung sowie Änderung weiter Vorschriften (EGovG) - http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung/Informationsgesellschaft/egovg_minikommentar.pdf]


Ende-zu-Ende Verschlüsselung

Am 1.März 2013 veröffentlichte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit die Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail. Hier ein Auszug:

Mangels entsprechender gesetzlicher Vorgaben im De-Mail-Gesetz sind nicht die DMDA, sondern die Versender von De-Mails für die Beachtung datenschutzrechtlich angemessener Verfahren verantwort-lich. Um ein angemessenes Schutzniveau bei der Versendung besonders schutzbedürftiger perso-nenbezogener Daten (z.B. Sozialdaten oder Daten die Rückschlüsse auf den Gesundheitszustand einzelner Betroffener zulassen) mittels De-Mail zu gewährleisten, ist aus datenschutzrechtlicher Sicht eine Ende-zu-Ende-Verschlüsselung grundsätzlich erforderlich. Die Vorgaben des De-Mail-Gesetzes, die Technische Richtlinie des BSI nach § 18 Abs. 2 De-Mail-Gesetz und der Kriterienkatalog des BfDI gemäß § 18 Abs. 3 Nr. 4 De-Mail-Gesetz machen zwar deutlich, dass bei De-Mail das Daten-schutz- und Datensicherheitsniveau im Vergleich zum E-Mail-Versand erheblich höher ist. Trotzdem müssen über diesen Mindeststandard hinaus beim Versand besonders schutzbedürftiger Daten grund-sätzlich zusätzliche Schutzvorkehrungen getroffen werden.

[Quelle: http://www.bfdi.bund.de/SharedDocs/Publikationen/Sachthemen/DEMail/DeMailHandreichung.html]

Um den in dieser Handreichung ausgesprochenen Empfehlungen im Umgang mit besonders schützenswerten personenbezogenen Daten bei der Nutzung von De-Mail gerecht zu werden, sind die DMDA bestrebt geeignete Verfahren in ihr Angebot zu integrieren. Nachfolgend wird der aktuelle Stand dieser Bestrebungen aus Sicht der T-Systems dargestellt.

De-Mail mit ergänzender Ende-zu-Ende Verschlüsselung – Gesamtübersicht der aktuellen Möglichkeiten

Verschlüsselungsautomat Portsol19 (Fall A) - Offizielle Freigabe zur Übertragung von Gesundheits- und Sozialdaten (nach SGB X) durch

Bundesbeauftragten für den Datenschutz und die Informationsfreiheit - Verschlüsselung immer gesichert, auch wenn Kommunikationspartner kein Zertifikat besitzt

Marktgängige Security-Gateways (Fall B) - Nutzung existierender Verschlüsselungslösungen - Nutzung für sowohl für De-Mail, als auch E-Mail

E-Mail-Client Plugin zur Verschlüsselung (Fall C) - für alle gängigen E-Mail-Clients verfügbar - Nutzung für sowohl für De-Mail, als auch E-Mail - durchgehendes Standardverfahren

Plugin zur Verschlüsselung im DMDA Web-Frontend (Privatkunde) - einfaches Standardverfahren für Privatanwender - Interoperabilität mit DMDA United-Internet


De-Mail Verfahren ohne zusätzliche Ende-zu-Ende Verschlüsselung

Vorteile Nachteile

Nachricht wird auf Schadsoftware geprüft Angreifer haben keine Chance Viren, Trojaner, etc.

per De-Mail zu versenden Nachricht wird im De-Mail Verbund inhalts- und

transportverschlüsselt übermittelt Nachricht wird transportverschlüsselt zwischen

Sender/Empfänger und DMDA gesendet

Zur Übertragung von Gesundheits- und Sozialda-ten nach SGB X ungeeignet


Pilotierung von Anwendungsszenarien auf De-Mail Staging

Der DMDA T-Systems verfügt über eine vollumfängliche Testumgebung – De-Mail Staging.

Die Staging-Umgebung ermöglicht eine Umsetzung von Pilot- und Testszenarien. Eine Kommunikation mit ande-ren Kontoinhabern auf der Staging-Umgebung ist in Testanwendungsfällen ebenso möglich wie die Umsetzung von Betriebsmodellen mit und ohne De-Mail Gateway. Bei Bedarf erstellt T-Systems gern ein individuelles Ange-bot zur Unterstützung von Pilotvorhaben auf De-Mail Staging.


Impressum

Copyright © 2015

T-Systems MMS Dresden

Riesaer Str. 5

01129 Dresden

Rechte, auch die des auszugsweisen Nachdrucks, der fotomechanischen Wiedergabe (einschließlich

Mikrokopie) sowie der Auswertung durch Datenbanken oder ähnliche Einrichtungen, vorbehalten.

Herausgeber

T-Systems International GmbH

Hahnstraße 43d

60528 Frankfurt am Main

Dateiname

de-

mail@public_handlungsleitfaden_für_kommunen_1.0.docx

Dokumentenbezeichnung

De-Mail LF für Kommunen

Version

1.0

Stand

27.07.2015

Status

Final

Autor

Uwe Schröder, Thomas Matzke

Inhaltlich geprüft von

Jens Eisenbeiß

Freigegeben von

Jens Eisenbeiß

Ansprechpartner

Uwe Schröder

Telefon / Fax

+49 351 28202114

E-Mail

USchroeder@t-

systems.com

Kurzinfo

De-Mail Leitfaden für Kommunen

Documents

Einführungsleitfaden für Kommunen - t-systems.com · Nutzerbereich in Form des De-Mail Kontos zur Verfügung. Das De-Mail Konto wird repräsentiert durch eine ei-genständige De-Mail