Deutsche Post steht nach heftiger Kritik im Internet per Web-Konferenz Rede und Antwort zum E-Postbrief. (25.08.2010)
Die Deutsche Post bemerkte seit dem Start des E-Postbrief am 14. Juli, dass doch nicht alles so reibungslos verläuft wie es sollte. Technische Probleme, Fragen zur Datensicherheit und komplizierte Formulierungen in den AGBs haben das Internetvolk auf die digitalen Strassen getrieben. Mit Twitter-Fackeln und Blog-Heugabeln marschieren sie in Richtung Deutsche Postzentrale. Da ist es nur verständlich, dass die Deutsche Post ihr neuestes Kind den E-Postbrief schützen möchte. Aus diesem Grund lud sie Blogger und Journalisten zur Web-Pressekonferenz am heimischen PC ein. Vorab konnte man viel böse Worte im Internet lesen, dessen Autoren keinen Hehl daraus machten, dass die den E-Postbrief und prinzipielle alle „Rettungsversuche“ der Deutschen Post kategorisch ablehnen. Dieser Fundamentalopposition möchte ich mich nicht anschliessen. Aufklärung steht im Mittelpunkt und nicht Verurteilung.
Dr. Georg Rau Chef des E-Postbrief bei der Deutschen Post stellte sich auf der Web-Konferenz den zahlreichen Fragen der Blogger und Journalisten. Obwohl die Fragen teilweise im Vorfeld per E-Mail eingereicht werden konnten, reichten rund 90 Minuten nicht aus, um alle Fragen zu beantworten. Dies zeigt deutlich, dass noch einige Punkte der Klärung bedürfen. Dr. Georg Rau gab sich jedoch alle Mühe und stand den Bloggern und Journalisten Rede und Antwort.

Registrierung, Technik und Fehler:
Als erstes entschuldigte sich Dr. Rau für technische Fehler, Browserabstürze und verzögerte Registrierungen. Dies sei jedoch der Startphase des E-Postbriefs zuzuschreiben und soll sich ab Anfang November ändern. Dann sollen sich Nutzer auch direkt und ohne Adress-Tan als Zwischenschritt anmelden können. Vermutlich wird dann am Ende das Anmeldeprozesses die Post-ID direkt zum ausdrucken bereitgestellt, welche dann nur noch bei der Post angegeben werden muss. Somit würde ein Registrierungsschritt entfallen. Sollte die Nachfrage vorhanden sein, könnte sich Dr. Rau auch vorstellen, dass in mittelfristiger Zukunft der neue Personalausweis für die Registrierung benutzt werden kann. Jedoch gibt es auch bei dem neue Ausweisdokument Kritik zur Datensicherheit, auf die an dieser Stelle nicht eingegangen werden sollen.
Weitere Stabilität in der Anwendung des Onlineportals sollen auch immer wieder neue Software-Updates bringen, die vom Nutzer unentdeckt circa alle 14 Tage aufgespielt werden, so Dr. Rau.

Adresshandel findet nicht statt:
Heiß wurde in den letzten Wochen die Möglichkeit diskutiert, dass die Deutsche Post auf Grund der AGBs, welche man ja mit der Registrierung annimmt, Nutzerdaten weiter gibt oder sogar Handelt damit triebt. Diese Vermutung wurde von Dr. Rau ganz klar verneint.
Als Firma (z.B. Versicherung) besteht jedoch die Möglichkeit eine Art Adressenabgleich durchzuführen bzw. bei der Deutschen Post anzufragen, ob eine Kunde eine E-Postbriefadresse besitzt. Dabei hat aber die Firma keinen direkten Zugriff auf die Datenbank, sondern muss bei der Deutschen Post anfragen. Auf Nachfrage der Konferenzteilnehmer wie dann nach erwünschter und unerwünschter Post (SPAM) unterschieden werde könnte verwies Dr. Rau auf die gesetzliche Regelung, nach denen SPAM grundsätzlich illegal ist. Sollte also eine Firma unerwünschte Werbung schicken, so muss der Kunde diese Firma melden (siehe auch Twitter). Die Post baut also auf Mitarbeit der einzelnen Nutzer und nimmt sich das Recht heraus, diese Firma dann im Notfall komplett zu sperren. SPAM ist somit technisch durchaus möglich, kann aber danke Identifikation gemeldet werden. Böse Zungen könnten jetzt natürlich die Frage stellen, in wie weit die Post eine grosse Firma wie z.B. eine Versicherung sperren würde, wenn diese wegen SPAM gemeldet wird? Könnte eine Firma sich hier über finanzielle Macht SPAM „erpressen“?

POP3, Einbindung in der Work-flow und Nutzerfreundlichkeit:
Kundenfreundlichkeit wird belohnt. Dies hat auch die Deutsche Post verstanden. Doch leider gibt es bis jetzt keine Möglichkeit den E-Postbrief komfortabel zu Hause auf dem heimischen Rechner per Mail-Client à la Outlook o.ä. zu empfangen und zu versenden. Um die Sicherheit des Systems und der Nutzer zu gewährleisten sind solche Ideen zwar mittelfristig in Planung, müssen aber auf nächstes Jahr verschoben werden. Knackpunkt ist hier die Unsicherheit bzw. die Gefährdung des Systems durch Viren und Trojaner, welches sich eventuell auf dem Computer des Nutzers befinden könnten. Dr. Rau betonte, dass nutzerfreundliche Anbindungen, unter anderem auch mobile Apps, sich aber auf der mittelfristigen Agenda befänden. Schutz des Systems sei aber höchstes Gebot.

Anbindung De-Mail Fehlanzeige:
Alle die sich hier Hoffnung gemacht habe wurde enttäuscht. Die Deutsche Post will erstmal abwarten in welche Richtung sich das De-Mail Projekt entwickelt, bevor sie plant dort Verbindungen zu knüpfen. Die Post war ja De-Mail Teilnehmer der ersten Stunden, hatte sich dann aber entschlossen ihr eigenes Konzept auf die Beine zu stellen. Die Vorteile liegen auf der Hand. Man ist sein eigener Herr und muss auf keinen Rücksicht nehmen oder warten bis Gesetze verabschiedet sind. Man unterwirft sich mit seinem Produkt den Regelungen des freien Marktes und vertraut auf sein Konzept. Nicht um sonst wird die Deutsche Post ihren E-Postbrief deutlich vor dem De-Mail auf den Markt gebracht haben. Es geht hier schliesslich um Geld und um Marktanteile.

Datensicherheit und Datenschutz beim Hybridbrief:
Einer der Knackpunkt des Hybridbriefs war bzw. ist das Ausdrucken. Ein per Hybridfunktion verschickter Brief wird von der Deutschen Post ausgedruckt und einkuvertiert. Hierbei bestände rein theoretisch die Möglichkeit, dass eine Postangestellter oder auch ein „Polizist“ den Brief abfängt und liest. Dies soll jedoch, so Dr. Rau, durch interne Kontrollen und voll automatische Druckvorgänge mit Hochgeschwindigkeit verhindert werden. Ein Punkt der sehr interessant ist, wird er doch von vielen Internetnutzern als einer der ganz grossen Fehler des Systems gesehen. Was vielleicht viele nicht wissen, ist das gerade grosse Firmen, aber auch mittlerweile einige KMU, externe Subunternehmer beschäftigen, welche das Drucken und Verschicken von Lohnabrechnungen, Rechnungen und sonstigen Briefen übernehmen. Wir denken nur zu gerne, dass die Briefe, welche wir erhalten von der Sekretärin persönlich zugeklebt worden sind. Ein Grossteil der Briefe, die wir erhalten wurde aber auf genau die gleiche Art verschickt, wie es die Deutsche Post machen will. Komischerweise stört das aber niemanden.
(siehe hierzu zwei ältere Artikel – Quelle 1 – Quelle 2)
Was das Thema Briefgeheimnis angeht, so steht seit längerem fest, dass der E-Postbrief schlicht und einfach nicht dem Briefgeheimnis, sondern nur dem Telekommunikationsgeheimnis unterliegt und damit nicht so gut vor staatlicher Kontrolle geschützt ist wie ein regulärer Brief (siehe auch Twitter). Dr. Rau betonte, dass es nur mit einen richterlichen Beschluss möglich sei, Briefe und auch E-Postbriefe einzusehen. Ausnahmen bildeten Anordnungen des Staatsanwalts auf Grund schwerer Verbrechen oder bei „Gefahr im Verzug“. Somit unterscheidet sich der E-Postbrief rechtlich nicht von einem gewöhnlichen E-Mail.
Ob dies nun für den einen oder anderen Nutzer sicher genug ist, muss jeder für sich selber entscheiden. Spannend wird es, wenn bei Gerichtsverhandlungen die ersten E-Postbriefkonten (oder auch De-Mail Konten) als Beweise vorgelegt werden.
EDIT: Wie ich über Twitter erfahren habe, unterliegt der E-Psotbrief ab dem Ausdrucken bei der Deutschen Post dem Briefgeheimnis. Zitat DP: “Beim klassischen Versand unterliegt der E-POSTBRIEF ab dem Ausdrucken dem Briefgeheimnis, bis dahin fällt er unter das TKG.”

Verschlüsselung per Zertifikat:
Wem das alles aber noch zu unsicher ist, der erhält die Möglichkeit seine E-Postbriefe durch ein persönliches Zertifikat zusätzlich zu verschlüsseln. Leider sind hier einige Punkte noch nicht ganz klar. Und eine wichtige Frage meinerseits wurde sogar komplett verweigert. So ist z.B. unklar, ob es sich um eine sichere asymmetrische Verschlüsselung handelt und wo genau die Schlüssel gespeichert werden. Fakt ist, dass jeder E-Postbriefkunde ein kostenloses Zertifikat über das E-Postbriefportal anfordern kann. Er erhält dann ein Passwort, mit dessen Hilfe er die an ihn adressierten E-Postbriefe entschlüsseln kann. Damit ein andere E-Postbrief Kunde nun seinem Kommunikationspartner einen verschlüsselten E-Postbrief schicken kann, benötigt dieser nicht nur ein Zertifikat sondern auch den öffentlichen Schlüssel des anderen Empfängers. Diesen findet er im Adressverzeichnis des E-Postbriefs. Was die Deutsche Post vergessen hat zu sagen, ist dass wenn man ein Zertifikat beantragt hat, man automatisch mit Namen und öffentlichem Schlüssel im öffentlichen Adressverzeichnis auftaucht. Um dort wieder gelöscht zu werden, muss man das Zertifikat ebenfalls löschen. Von dem her sieht es nach einer asymmetrischen Verschlüsselung à la PGP aus. Doch leider wurde mir die Antwort verweigert, wo genau der Schlüssel gespeichert wird und ob der Schlüssel auf richterlichen Beschluss offen gelegt werden muss. Fakt ist, dass der individuelle Schlüssel bei Verlust nicht wieder hergestellt werden kann und alle verschlüsselten Dokumente für immer verschlüsselt bleiben. Leider lässt die Antwort von Dr. Rau komplett offen, ob Ermittlungsbehörden dennoch Zugriff auf den Schlüssel erhalten. Eine direkte Anfrage bei SIGNTrust ergab, dass diese nur das Zertifikat bereitstellen. Die Schlüsselgenerierung jedoch bei der Deutschen Post bzw. beim E-Postbrief liegt:

Die entsprechenden E-Postbrief-Zertifikate werden von uns ausgestellt,nachdem wir vom E-Postbrief-System entsprechende Zertifikatsrequests erhalten haben. Die Schlüsselgenerierung und das Schlüssel- und Zertifikatsmanagement erfolgt also nicht durch uns.

Diese Aussage würde bestätigen, dass der E-Postbrief Server gleichzeitig der Schlüsselserver ist. Was meines Wissens nach die PGP Idee komplett aus hebelt. (siehe hierzu Kommentar von Bernd)
EDIT: Ich habe ein Zertifikat beantragt (Bearbeitungsdauer circa 1 Woche – Gültigkeit 5 Jahre). Dazu musste ich ein neues Passwort im Onlineportal eingeben, welches jetzt vermutlich mein Entschlüsselungspasswort ist. Da ich es im Onlineportal eingegeben habe kennt es der E-Postbrief Server. Eine Fussnote machte mich darauf aufmerksam, dass dieses Passwort nicht wieder herstellbar wäre, sollte ich es vergessen. Jetzt wäre es natürlich sehr fragwürdig, sollte das Passwort auf dem Postserver liegen und im Ernstfall für Richter zugänglich sein, der Kunde es aber bei Verlust nicht mehr abfragen könnte. Da die Deutsche Post hierzu schweigt, können nur Vermutung aufgestellt werden. Ich denke kaum, dass das Passwort nach Ausstellung des Schlüsselpaars vom Server komplett gelöscht wird um eine echte PGP Verschlüsselung zu gewährleisten. (Zusatzinfos werden gerne entgegen genommen)

Datenspeicherung und Vorratsdatenspeicherung:
Dr. Rau versicherte, dass Daten und E-Postbriefe nur solange gespeichert werden, wie dies vom Kunden gewünscht wird. E-Postbriefe, welche gelöscht wurde, werden mit minimaler Verzögerung auch im Backup System gelöscht. Wie grosse diese Verzögerung ist, konnte Dr. Rau jedoch nicht sagen. Darüber hinaus findet eine der Vorratsdatenspeicherung vergleichbare Speicherung nicht statt. So die Aussagen von Dr. Georg Rau. Im Internet gibt es bereits die ersten kritischen Kommentare zu dieser Aussage, dass wenn die Vorratsdatenspeicherung dann unter Umständen doch wieder eingeführt wird der E-Postbrief ebenfalls davon betroffen ist. Hier finde ich wichtig zu sagen, dass die ein rechtliches Problem ist. Die Deutsche Post dafür zu kritisieren, dass sie sich an das deutsche Gesetz hält finde ich an dieser Stelle sehr extrem. Wer keine Vorratsdatenspeicherung will muss ins Ausland abwandern. Dort warten aber schon FBI und Co., was die Situation auch nicht besser werden lässt. (leicht ironisch gemeint)

Leerung des Postfachs:
Wie zu erwarten fand zwar kein Widerruf der AGBs zu diesem Punkt statt, jedoch konnte man meiner Meinung nach heraushören, dass es der Post so ziemlich egal ist wie oft man sein E-Postbrief Postfach leert. Hier trifft also wie es zu erwarten war Realität auf juristische AGBs. Jeder Nutzer ist selbst verantwortlich wie oft er in sein E-Postbrief Postfach schaut. Und für den Notfall gibt es immer noch eine kostenloses SMS Benachrichtigung.
Die Eigenverantwortung kommt auch zum Tragen, sollte ein Nutzer länger Urlaub machen. Nach Dr. Rau ist es im Gegensatz zu den Formulierungen in den AGB erlaubt seine Login Daten an vertrauenswürdige Freunde weiterzugeben. Diese können dann während der Abwesenheit das Postfach kontrollieren und gegebenenfalls Eingänge melden. Ob man jedoch dem Nachbar sein Codewort verraten will, womit dann dieser z.B. auch die letzten Blutwerte o.ä. einsehen kann, sei jedem selber überlassen. Dann doch lieber bei SMS Benachrichtigung ins Internet-Cafe.

Firmen:
Firmen sollen zukünftig eigene E-Postbrief Adressen erhalten, die dann auch in einem gewissen Rahmen frei gewählt werden können. Als Beispiele wurden presse@[firma].epost.de oder max.mustermann@[firma].epost.de genannt.

Regulärer Brief oder doch lieber digitaler Brief:
Ab November sollen Kunden welche die Postadresse eines Empfänger eingeben automatisch gefragt werden, ob sie lieber eine digitale E-Postbrief schicken möchten, sollte der Empfänger eine E-Postbrief Adresse haben.
Ein Teilnehmer brachte die Frage auf ob ein regulärer Brief mit der E-Postadresse adressiert werden könnte und dieser dann als digitale Version im E-Postbrief Postfach landen würde. Laut Dr. Rau wird jedoch diese „Scan-Dienstleistung“ erst auf langfristige Zeit angeboten werden. Interessant war jedoch, dass auf einer Powerpoint Folie, welche zu Beginn der Pressekonferenz gezeigt wurde, genau dieses Szenario per Pfeilschaubild gezeigt wurde. Hier wurde wohl Folien der „5-Jahres-Strategie“ einfach per Copy-Paste in die Pressekonferenz eingebunden.

Keine durchgängige Verschlüsselung?:
Eine, wie ich finde wichtige Frage, wurde leider auch komplett weggelassen.
Wie ich gesehen habe gibt es eine Art „Quarantäne-Station“ für mit Viren u.ä Schadprogrammen verseuchte E-Postbriefe. E-Postbriefe welche als gefährlich eingestuft wurden landen automatisch in diesem „SPAM-Ordner“. Um die E-Postbriefe jedoch “scannen” zu können, müssen sie, wie bei De-Mail, auf dem Server zumindest kurz entschlüsselt werden. Die Deutsche Post behauptet jedoch, dass der E-Postbrief vom Sender bis zum Empfänger durchgängig verschlüsselt wird. Beide Aussagen passen meines Wissens nach nicht zusammen. Somit würden hier die gleichen Kritikpunkte zum tragen kommen, wie auch bereits bei De-Mail. Eine Entschlüsselung auf dem Server würde Hackern eine mögliche Angriffsstelle bieten und das System somit weniger sicher machen.

Hacker und die Sicherheit:
Um die Sicherheit gerade vor kriminellen Hacker zu gewährleisten beschäftigt die Deutsche Post ebenfalls Hacker (andere würden Sicherheitsbeauftragte dazu sagen), welche die Aufgabe haben mit vorgetäuschten Angriffen Schwachstellen im System zu finden.

Der E-Postbrief bei Behörden:
Leider konnte Dr. Rau kein Angaben machen, wann der E-Postbrief auf staatlicher Ebene eingesetzt werden wird. Man sei zwar auf Bundes- und Länderebene im Gespräch und habe auch schon Kontakt zu Kommunen aufgenommen, jedoch könnte man noch keine konkreten Pläne kommunizieren. Jetzt stellt sich natürlich die Frage warum ein Amt (Land oder Kommune) lieber den E-Postbrief nutzen sollte, wenn der grosse Bruder (Bundesebene) das Konkurrenzprodukt De-Mail an den Start bringt. Meiner Meinung wird man hier eine horrizontale „zweiklassen“ Kommunikation erleben. Ämter, Firmen und einige Privatleute werden De-Mail nutzen, Firmen und Privatleute werden den E-Postbrief nutzen und ganz wenige werden beide Systeme nutzen. Die Akzeptanz der Systeme wird mit den beteiligten Firmen stehen und fallen. Der Privatnutzer wird sich dem Produkt zuwenden, welches für ihn die meiste Kommunikation abdeckt. Der Nutzer wird sich dabei die Frage stellen, mit wem er mehr kommuniziert.

Änderungen der AGB:
Leider wurden Änderungen in den AGB vorerst abgelehnt. Änderungswünsche sollen jedoch gesammelt werden und als Komplettpaket in unbestimmt Zeit in die AGB einfliessen.

Fazit dieser Pressekonferenz:
Mein Fazit dieser Pressekonferenz fällt, wenn auch durchwachsen, positiv aus. Die Deutsche Post stellte sich der Kritik und versuchte einige Kritikpunkte zu entschärfen. Leider gelang ihr das, gerade im Hinblick auf die Verschlüsselung, meiner Meinung nach nicht vollständig. Dennoch sei vermerkt, dass das Gesamtbild des E-Postbrief deutlich klarer ist als zu Beginn. Hier dürfen sich wohl Blogger und Internet-Journalisten auf die Schulter klopfen.

Weitere Quellen:
E-Postbrief – eine neutrale Pro&Kontra Liste
Erste Eindrücke: #ePost-Webkonferenz – Die Post stellt sich den Usern
Deutsche Post steht Rede und Antwort zum E-Postbrief (Bericht von der Web-Konferenz am 25.08.2010)
Der ePost-Brief: Post AG stellt sich Fragen aus dem Netz

P.S.: Wie immer gilt, dass ich kein Geld o.ä. für diesen Beitrag erhalten und in keinem Lohnverhältnis zur Deutschen Post und den angebenden Firmen stehe. Sollte ich etwas falsch zitiert oder verstanden habe, so kann das per Kommentarfunktion gern vermerkt werden.

De-Mail soll nach dem Willen der Regierung und der beteiligten Firmen, dass E-Mailversandsystem der Zukunft für sicheren und rechtsverbindlichen E-Mailverkehr werden. So weit so gut ist das im Moment nur ein Wunsch und ein Plan. Trotz erfolgreichem Pilotprojekt in Friedrichshafen am Bodensee gibt es immer noch genügen offene Fragen, gerade zur Sicherheit und zum Datenschutz sind einige Punkte noch ungeklärt oder sogar mehr als fragwürdig.

Schaut man jedoch hinter die Kulissen wird es interessant. Die ZF* Friedrichshafen steht dem Projekt De-Mail mehr als offen gegenüber. Als Pilotprojektteilnehmer der ersten Stunde möchte die ZF Friedrichshafen in Zukunft alle Endgeldabrechnungen per De-Mail verschicken und erhofft sich so Einsparungen von 1 Millionen Euro pro Jahr alleine in Deutschland. Als Prestigeteilnehmer am Pilotprojekt wurden die Umrüstungskosten zum grössten Teil von T-City übernommen. Die weiteren IT-Investitionen von 150000 Euro, welche von der ZF selber aufgebracht werden mussten, können bei einem weltweit operierenden und Millionen schweren Unternehmen salopp formuliert aus der Kaffeekasse gezahlt werden. Somit bringt das De-Mail Projekt der ZF Friedrichshafen eigentlich nur Vorteile. Nach einer ersten Umfrage würde 90% der Mitarbeiten das Versandsystem nutzen. Diese Zahlen mussten jedoch nach der ersten Erprobung leicht nach unten korrigiert werden. So sollen heute nur runde 70% bereit sein die monatliche Lohnbrechung per De-Mail zu erhalten. Der Rückgang der ersten Euphorie ist wohl dem ersten Interesse für eine neues Produkt zuzuschreiben, welche dann nach einer Zeit wieder nachlässt. Da das Unternehmen jedoch weltweit aktiv ist, soll das De-Mailsystem nach dem Wunsch der ZF auch bald möglichst weltweit eingesetzt werden. Geht es nach der ZF soll das De-Mailsystem also keine deutsche Insellösung bleiben. Ob dies jedoch möglich ist, wird die Zeit zeigen. Da das De-Mail erst Ende 2010 offizielle an den Start geht, dürfte es mehrere Jahre dauern bis das Ausland auf den Zug aufspringt. Jedoch dürfte auch das französische Unternehmen Dornier diesen Schritt befürworten. Wie die ZF gehört auch die Immenstaater Niederlassung zu den Teilnehmern des Pilotprojekts. Da die Lohnbrechungen des Unternehmens zum grössten Teil jedoch aus Frankreich kommen, ist hier eine Verwendung des De-Mailsystems vorerst sehr schwierig bis nahezu ausgeschlossen.
Im Falle der ZF Friedrichshafen geht man sogar noch einen Schritt weiter. Im Sinne der Kostenersparnis sollen in Zukunft ausnahmslos alle Lohnbrechung per De-Mail verschickt werden. Wer das nicht möchte oder keinen Computer besitzt, soll seinen Lohnzettel dann in ausgedruckter Form im Lohnbüro abholen dürfen. Diese radikalen Änderungspläne würde die ZF unabhängig von externen Dienstleistern machen, welche bisher für den Versand der Lohnbrechungen verantwortlich waren. Mit Kosten für Dienstleistung und Porto fallen hierbei über 1 Euro pro verschickter Lohnabrechnung an. Würde komplett auf das De-Mailsystem umgestiegen wären die Einsparungen bei einem vermuteten Preis von 9-20 Cent pro De-Mail enorm.

Wie ein Blick in das Adressverzeichnis zeigt, könnte auch weitere Firmen wie die Gothaer Versicherung, verschiedene Banken und Personaldienstleister von den Einsparungen profitieren. Somit ist die Behauptung De-Mail würde helfen Firmenkosten einzusparen nicht von der Hand zu weisen.

Update:
Die Idee in Zukunft alle Endgeldabrechnungen nur noch per De-Mail zu verschicken dürfte jedoch nicht so leicht durchzusetzen sein. Nach Gesprächen mit einem aktiven Betriebsrat aus einem von der Grösse und dem Personal vergleichbaren Unternehmens wurde klar, dass bei einer so weitreichenden Entscheidung der Zustimmung des Betriebsrates benötigt wird. Diese dürfte jedoch sehr schwer zu bekommen sein, da hier eine deutliche Benachteiligung der Arbeitnehmer ohne De-Mail zu befürchten ist. Da aber im Moment noch alles unbestätigte Vermutungen sind bleibt abzuwarten, wie De-Mail sich nach dem offiziellen Start in den work-flow der grossen Unternehmen einbetten wird. Gerade auch mit dem Hinblick, dass SAP und andere grössere Firmen sich zur Zusammenarbeiten mit der von der Deutschen Post lancierten E-Postbrief entschlossen haben.

* Zahnradfabrik Friedrichshafen – grosse weltweite Firma für qualitativ hochwertige Getriebe aller Art.

De-Mail und der E-Postbrief werden für etwas kritisiert, was andere Firmen schon lange machen.
Sehr interessant. Seit die Post ihren E-Postbriefe und die Bundesregierung ihr De-Mail veröffentlicht haben hagelt es bei Twitter und in der Blogssphäre Proteste, dass die Schwarte kracht. Eine sehr grosser Punkt dabei ist der Datenschutz besser gesagt der fehlende Datenschutz gerade beim Hybridbrief. Also die Briefvariante, bei der ein digitaler Brief von der Post ausgedruckt wird und für eine Gebühr von aktuell 55 Cent (De-Mail hat noch keine Preise veröffentlicht) an eine reguläre Postadresse geliefert wird.
Der vielleicht berechtigt Kritikpunkt dabei ist, dass theoretisch jeder Mitarbeiter der Post diesen Brief beim Ausdrucken lesen kann. Datenschutz ist also nicht wirklich gegeben. Darüber hinaus muss sich bei beiden Modellen der Nutzer mit Ausweis registrieren. Eine Anonymisierung findet also ebenfalls nicht statt. Kritiker stören sich entweder an der Anmeldepflicht oder am fehlenden Datenschutz oder an beidem in Kombination. Darüber hinaus zweifelt die Internetgemeinde, dass der SPAM-Schutz wirklich so 100%ig funktioniert, wie er von den beteiligten Firmen angepriesen wird. Soweit ist gibt es erstmal nichts neues zu vermelden.

Interessant wird es aber wenn man sich im Internet etwas genauer umschaut. Denn was ich auch nicht wusste, ist dass das Geschäft mit den Hybridbriefen in exakt gleicher Form bereits seit längerem von diversen Firmen angeboten wird. Sowohl ediPost, über ich selber einen längeren Artikel geschrieben haben, wie auch letterei.de und quabb.com bieten diesen Dienst an. Bei quabb.com und bei ediPost muss man sich darüber hinaus ebenfalls mit Ausweis registrieren. Und wie bei der Post kosten auch hier die Briefe Portogebühren, die im Falle vom ediPost sogar höher liegen als die der Deutschen Post. Bei quabb.com übernimmt das Porto ein „Sponsor“, welcher dafür jedoch dem selber verfassten Brief einen Werbebrief beilegen darf. Bild.de titelte auf Grund des kostenlosen Briefsversands sogar: „Die Gratis-Post im Internet“. Kaum scheint etwas kostenlos zu sein werden Datenschutzbedenken und Werbesensibilität auf Null gestellt.

Liebe Twitter- und Bloggemeinde – Warum zerreisst sich jeder der retweeten kann und jeder Datenschützer das digitale Maul über De-Mail und den E-Postbrief, lässt aber diese bereits existierenden Firmen vollkommen in Ruhe. Diese Firmen machen aus meiner Sicht genau das gleich wie die Deutsche Post und De-Mail, sind aber nie durch eine Zertifikat o.ä. kontrolliert worden. Auch wenn man der Regierung nicht wirklich vertraut, so ist der Versuch De-Mail Provider per Zertifikat zu überprüfen zumindest der Versuch das System etwas abzusichern. Dieses findet bei genannten Firmen nicht einmal im Ansatz statt. Alles was bleibt sind das Image und die Versprechen auf den jeweiligen Homepages. Aber das scheint bei den Kritikern niemand gross zu stören. Aber bei De-Mail und dem E-Postbrief die grossen Geschütze auffahren? Findet ihr das nicht etwas einseitig?
Darüber hinaus schicke ich bei quabb.com meinen Freunden und Kollegen sogar noch absichtlich Werbung ins Haus, nur damit ich mir das Briefporto von 55 Cent spare. Soviel zum Thema SPAM.

Natürlich wird jetzt der eine oder andere sagen, dass alle genannten Firmen lediglich Dienstleister sind die ihre Produkte freiwillig anbieten. Meiner Meinung ist das bei De-Mail und dem E-Postbrief aber genauso. Niemand wird gezwungen das System zu nutzen. Vermutungen eine De-Mail Adresse wird irgendwann Pflicht für alle Bürger halte ich für mehr als übertrieben und ausserdem absolut unrealistisch. Das einzige was sich unterscheidet sind die Werbefeldzüge. De-Mail und Co. sind mit einer gigantischen Werbestrategie an den Markt gegangen und erhalten dementsprechend Aufmerksamkeit. Aber dennoch sollte man auch mal schauen, was im Verborgenen geschieht.

Wie immer gilt, dass wenn ich mich irren sollte oder ich etwas falsch verstanden habe, dies in den Kommentaren gern vermerkt werden darf.

P.S.: quabb.com bietet mit seinen Dienstleistungen aber noch mehr. Signierte E-Mails (ja richtig gelesen), Briefe, Adressbuch und Faxe machen das Unternehmen fast zu einem 100%igen Konkurrenten der Deutschen Post. Ähnliches gilt für ediPost. Auch dieses Unternehmen bietet Faxe, SMS und Telegramme an.

Update:
Damit ich keine Firma bevor- oder benachteilige hier noch ein Link auf Welt.de. Die Zeitung hat ein paar Online-Briefportale getestet: www.welt.de

Wichtig: Zahlreiche Updates weiter unten!

Nachdem die ganze De-Mail Debatte ja bereits seit Wochen auf Twitter und Co. durchgekaut wird, gibt es ein neues Bonbon.
Idee des De-Mail Projekt ist es, im Gegensatz zum E-Postbrief der Deutschen Post, so viele Provider wie möglich mit unterschiedlichen Dienstleistungen unter dem „Dachsystem“ De-Mail zu vereinen. Der Preis- und Konkurrenzkampf der Provider soll dabei, über unterschiedliche Portopreise und Zusatzdienstleistung, dem Kunden zu Gute kommen.
Bis jetzt war eigentlich nur bekannt, dass eine De-Mail zwischen 9 Cent und 20 Cent kosten soll und damit deutlich günstiger als das Konkurrenzprodukt E-Postbrief sein soll. Auch von einem kleinen kostenlosen Briefkontingent war in einigen Quellen die Rede. Unterschiedliche Preise und Abrechnungsmodelle bei einzelnen Providern sind dabei vom BMI sogar ausdrücklich gewünscht bzw. erhofft. Konkurrenz belebt ja bekanntlich das Geschäft.
Doch jetzt setzt der De-Mail Anbieter ediPost noch einen oben drauf. Wer sich als Kunde bei edipost registriert erhält neben einer „lebenslangen, sicheren Post E-Mail Adresse“ (Zitat) auch für jedes empfange De-Mail 10 Cent gutgeschrieben. Diese 10 Cent sollen dabei direkt vom Versender stammen.

Durch den Wegfall des herkömmlichen Briefportos (durchschnittlich 0,65 EUR inkl. Papier und
Kuvert) spart die Wirtschaft und Verwaltung enorme Portokosten, diese Ersparnis wird an Nutzer
der ediPost weitergegeben. In Zukunft wird ein elektronisches Versandporto (e-Porto) in Höhe
von EUR 0,25 dem Versender (Wirtschaft und Verwaltung) berechnet, wovon dann EUR 0,10 dem
Nutzer gutgeschrieben werden.

Nach aktuellen Berechnungen können Nutzer (Bundesbürgerinnen und Bundesbürger),
die auf ediPost umgestellt haben, pro Jahr zwischen EUR 200.- und über EUR 1.000
überwiesen bekommen.

Leider ist die Registrierung mit 19,00 Euro nicht gerade günstig. *zwinkerzwinker*
Man muss als Kunde somit 190 De-Mails bekommen um überhaupt erst mal seine „Startgebühren“ wieder zurückzuerhalten. Eine Rechnung die nur mit Kommunikation mit Ämtern und Firmen wohl sehr schwierig zu bewerkstelligen sein dürfte.

Zitat AGB:
Nach Inkrafttreten des Bürgerportalgesetzes und Einrichtung des Bürgerportals ist von der ediPost beabsichtigt, die Kunden, die natürliche Personen sind, anteilsmäßig an dem Entgelt zu beteiligen, das von dem Versender der Nachricht gezahlt wird. Dies ist ausschließlich für den Empfang von Nachrichten vorgesehen, die von der Wirtschaft oder den öffentlichen Behörden stammen.

Zum Thema Werbung findet sich ein ganz interessanter Passus in den AGB:
§ 10 Werbung und Spam
Den Kunden ist es ohne vorherige ausdrückliche und jederzeit widerrufliche Einwilligung der ediPost nicht erlaubt Werbung oder Spam an andere Kunden der ediPost zu versenden. Jede Zuwiederhandlung kann zur Sperrung der Dienste führen. Weitere Ansprüche werden vorbehalten.

EdiPost entscheidet also wer Werbung schicken darf und wer nicht. Ich dachte immer SPAM wäre im De-Mail System ausgeschlossen. Aber wenn man sich anmeldet stimmt man eben auch solchen AGB zu.

Auch darf ediPost die Post Kunden an einem unbekannten Ort abholen:
§ 11 Abholvollmacht
Die ediPost ist ermächtigt, die an den Kunden adressierte Post abzuholen und ihm in digitalisierter Form in dessen ediPostfach abzulegen.

Wo ediPost meine Post abholen will ist mir allerdings unbekannt. Funktioniert die Firma auch als eine Art Postfach?

Zur Datensicherheit findet sich folgender Passus:
§ 9 Datenschutz
1.Unbeschadet der Regelungen des Telemediengesetzes, des Telekommunikationsgesetzes und des Bundesdatenschutzgesetzes erhebt, verarbeitet und nutzt die ediPost personenbezogene Daten der Kunden, soweit dies zur Bereitstellung der Dienste der ediPost und deren Durchführung erforderlich ist.
2.Die ediPost gibt keine personenbezogenen Daten an Dritte weiter.

Von dem her dürfte die Datenschutzbestimmungen wohl der Standartformulierung entsprechen. Allerdings ist zu bedenken, dass im De-Mail Gesetz die Auskunft an Dritte Pflicht ist, wenn:

Ein akkreditierter Diensteanbieter erteilt Dritten Auskunft über Namen und Anschrift
eines pseudonymen Nutzers, wenn
1. der Dritte die zur Feststellung seiner Identität notwendigen Angaben im Sinne von § 3
Absatz 2 macht und sich der Anbieter von deren Richtigkeit entsprechend § 3 Absatz 3
überzeugt hat,
2. der Dritte glaubhaft darlegt, dass er die Auskunft zur Verfolgung eines
Rechtsanspruchs gegen den Nutzer benötigt und
3. das Verlangen nicht rechtsmissbräuchlich ist, insbesondere nicht allein dem Zweck
dient, ein Pseudonym aufzudecken.

Ein Dritter kann also bei glaubhaft Dargelegten Gründen den Namen hinter der Mail Adresse erfragen. Von dem her ist die Formulierung in den AGB nur solange gültig, wie sie sich nicht mit dem Gesetz kreuzt.

Konkurrenzkampf:

Unterschiedliche Preismodelle und Verfahren sind ja prinzipiell wünschenswert. Aber 19,00 Euro Anmeldegebühr sind auch bei 10 Cent „Umsatzbeteiligung“ nicht wirklich……

Auch interessant ist, dass ediPost mit GMX.de zusammenarbeitet:

[der Screenprint zeigt das Logo, über das man im GMX Konto edisoft bedienen könnte]

Da GMX.de ja selbst ein De-Mail Anbieter ist, scheint diese Kooperation etwas seltsam. Wie das genau zusammenpasst ist im Moment noch nicht klar. Als Zusatzdienstleistungen bietet ediPost darüber hinaus Faxe, Telegramme, SMS und Einschreiben an. Eine kleine Besonderheit ist die Windows/Word Software, welche einen Drucker installiert, über den man Briefe direkt aus Word verschicken können soll. Man sieht, dass in Sachen Zusatzdienstleistungen ediPost hier deutlich weiter ist als manch andere De-Mail Anbieter. Es wird sich zeigen, ob dieses Geschäftsmodell zu Regel wird oder lediglich eines unter vielen bleibt. Die Gesetze gelten natürlich für alle gleich. Somit ist auch bei ediPost die Datensicherheit wohl gleich wie bei allen anderen De-Mail Anbietern.

Laut Homepage soll die Nutzung kostenlos sein. Die 19,00 Euro wären also ein Pauschale. Leider finden sich auf der Homepage keine weiteren Angaben, die das bestätigen oder widerlegen. Auch Preise findet man nicht.

Zitat zu kostenlos:
Die Nutzung des Dienstes ist für die Bundesbürgerinnen und Bundesbürger kostenlos.
Für die Registrierung und Identifizierung wird eine einmalige Verwaltungsgebühr
von 19.- EUR erhoben.

Aber Vorsicht!!!
Auch wenn für den einen oder anderen die Zahlen schön aussehen (wie sollen Provisionen von 1,000 Euro und mehr zu Stande kommen???), ist Vorsicht geboten. Wie auf Xing.de berichtet wurde, hat das Bundesministerium des Innern, Referat Grundsatzangelegenheiten der IT und des E-Governments die Anbieter solcher Preismodelle bereits zu Unterlassung aufgefordert. Mal abgesehen von den extrem schön gerechneten Provisionen scheint hier also noch mehr fragwürdig bzw. unklar zu sein. (Quelle Xing.de) Für die Gegner von De-Mail natürlich wieder Öl auf ihre Feuer.

Update 11. August 2010:
Auf openPR ist ein PR.Mitteilung von edisoft veröffentlicht. Darin heisst es:

…Die Sicherheit und der Datenschutz steht dabei an oberster Stelle. So werden elektronische Nachrichten bei der ediPost vom Versender bis zum Empfänger durchgehend verschlüsselt, ein Mitlesen durch unberechtigte Dritte ist nach Auskunft des Unternehmens ausgeschlossen. Um das Vertrauen der Bürger zu erhöhen, kündigt die ediPost eine Gründung eines Datenschutzgremiums aus Nutzern und Verbraucherschutz an…

Jetzt ist es natürlich so, dass laut Internetquellen, gerade bei De-Mail alle Mails auf den Servern für ein paar Sekunden entschlüsselt werden. Dies geschieht zum “Schutz” der Anwender vor Viren und SPAM. Da soweit ich gesehen habe ediPost auch ein Teil des De-Mail System ist und somit auch De-Mails von anderen Anbietern wie Web.de und Telekom empfangen und auch dorthin absenden kann, müssen die Mails zumindest auf den anderen Server entschlüsselt werden. Eine durchgängige Verschlüsselung ist somit nicht mehr möglich. Was passiert, wenn die Mails auf dem eigenen ediPost Server bleiben, bleibt offen. Ein Verschlüsselung ist durchaus denkbar schützt aber dennoch nicht vor staatlicher Neugier, da auch ediPost dem Gesetzt unterliegt. Und da der Schlüssel bei ediPost generiert wird, könnte technisch auch jeder Admin mitlesen. Ein PGP-Ersatz ist es noch lange nicht.

Was auf openPR über die Werbung – andere nennen es SPAM – gesagt wird ist ebenfalls sehr interessant:

…Wünscht ein Nutzer den Empfang von Werbung, z.B. um auch hier am E-Porto mitzuverdienen, kann er die ediPost mit der Weiterleitung von Werbung entsprechend seines Profils beauftragen. Selbst in diesem Fall werden also keine Nutzerdaten nach außen weitergegeben. Die Werbeindustrie kann die Höhe die der Nutzer von ediPost erhält selbst bestimmen. Ein Hersteller für Luxusartikel ist eher bereit, für die Aufmerksamkeit seiner Werbung ein höheres E-Porto an den Empfänger zu investieren als eine Discounter-Kette. Auf die Werbeindustrie kommen in diesem Fall keine zusätzlichen Kosten zu….

Der Nutzer kann zwar entscheiden, ob er Werbung will, aber die Werbeindustrie kann selber entscheiden wie viel der Kunde für das Lesen der Werbung erhält. Die Firmen können sich also Aufmerksamkeit durch Leseprovision “erkaufen”. Gib es dann eine Datenbank? Wer bietet mehr für die Erlaubnis Werbung senden zu dürfen? Kann sich dann der Kunde die Firmen aussuchen? Darf es Rolex, Bentley und Co. für 10 Cent Leseprovision sein oder doch lieber Aldi für 1Cent Leseprovision? Das ganze Konzept ist im Moment noch etwas schwammig aus meiner Sicht.

Löblich ist die Idee ein Datenschutzgremiums aus Nutzern und Verbraucherschutz aufzubauen. So hat es zumindest ediPost angekündigt. Die Qualität dieses Gremiums wird natürlich immer durch die einsitzenden Personen bestimmt. Ein CCC-Mitglied oder ein Pirat der Bundespartei wird wohl kaum Mitglied werden, oder?

Update 16. August 2010:
Festzuhalten ist, dass es bei der öffentlichen Kritik an ediPost meistens um die angebotene IT-Schulung für Firmen und nicht um die für Privatkunden angebotenen De-Mail Adressen geht. Hierzu auch ein Artikel inklusive einer Stellungsnahme von edipost.

Update 22. August 2010:
ediPost hat auf eine Anfrage zu ein paar offenen Fragen per E-Mail reagiert. So scheint es, dass ediPost nach eigener Aussage noch nicht als De-Mail Anbieter vollständig akkreditiert ist. Dies wird vermutlich mit dem offiziellen Start von De-Mail geschehen. Dann wird auch der Austausch, so wie es im De-Mail Gesetz vorgeschrieben ist, mit den anderen De-Mail Anbietern wie Telekom und Web.de funktionieren*. Nach eigenen Angaben bildet die Verschlüsselung der De-Mails bei ediPost ein kleine Besonderheit. Nach Aussage des Unternehmens werden die De-Mails vom Sender  bis zum Empfänger “Ende-zu-Ende” verschlüsselt. Im Gegensatz zu anderen Anbietern werden De-Mails, solange sie intern auf dem Server von ediPost bleiben, nicht entschlüsselt. Im E-Mail wurde jedoch nicht erwähnt, ob der Verschlüsselungsschlüssel beim Nutzer oder bei ediPost liegt.
Beim Thema Werbung wird es ebenfalls interessant. Der Nutzer kann in seinem Profil “nur” Werbung aktivieren oder deaktivieren. Eine detaillierte Freigabe für ausgewählte Werbeabsender mit hoher Provision wird es nicht geben. Allerdings wird es ein Firmenverzeichnis geben, in dem Nutzer nachschauen kann, wie viel Provision welcher Firma für den Werbeempfang bezahlt.
Auch soll der Nutzer eine Provision erhalten, wenn eine De-Mail von einem anderen Server wie z.B. GMX oder einem firmeneigenen Server wie z.B. einer Versicherung o.ä. eingeht. Wie dies abrechnungtechnisch genau abläuft konnte aus der E-Mail nicht klar erkannt werden. Laut ediPost soll ein “Universalporto” mit allen Anbietern ausgehandelt werden. Hierbei handelt es sich wohl um eine interne “Geldumverteilung” zwischen den De-Mail Anbietern.
Das angekündigte Datenschutzgremium, welches ediPost einrichten will, soll sich unter anderem aus ediPost -Nutzer zusammensetzen, wobei sich jeder ediPost Nutzer hierfür bewerben können soll. Darüber hinaus steht ediPost nach eigenen Angaben zu diesem Thema in Kontakt mit dem Verbraucherschutz und dem Chaos Computer Club.

* ob dies jetzt bereits möglich ist kann ich als nicht registrierter Nutzer nicht bestätigen

Update 23. August 2010:
Auf der Seite Financial.de wird berichtet, dass ediPost die Akkreditierung als De-Mail Anbieter im Moment vorbereitet und spätestens ab Herbst 2009 den echten Onlinebrief, sprich De-Mail, anbieten möchte. Des Weiteren will ediPost mit dem Briefverteiler DIREKTexpress zusammenarbeiten, um so einer der ersten Anbieter für den neue Onlinebrief zu werden. Da das Bürgerportalgesetz (De-Mail Gesetz) erst 2010 verabschiedet wird ist im Moment nicht sicher, wie der Wunsch von ediPost ab Ende 2009 als De-Mail Anbieter zu starten eingestuft werden soll.
Auf erneute Nachfrage über die genaue Zusammensetzung des angekündigten “Datenschutzgremiums” gab man sich jedoch zugeknöpft. Die Behauptung, dass ediPost bereits in Kontakt mit dem Chaos Computer Club und dem Verbraucherschutz getreten sei, konnte weder vom Chaos Computer Club noch von der Bundeszentrale Verbraucherschutz e.V. bestätigt werden. Bei beiden Adressen hat man noch nie etwas von der Firma gehört und besätigte auf Nachfrage gleichzeitig, dass es nicht Teil des Konzepts sei mit privaten Firmen auf diese Weise zusammenzuarbeiten. Auch die Pressestelle von ediPost wollte ebenfalls nicht darauf eingehen, welche Kontakte im Detail bereits geknüpft seien und welche Personen nun genau im Datenschutzgremium beteiligt sein werden. Anfragen dieser Art sollten laut Pressestelle von ediPost direkt an die Firmenleitung geschickt werden.

Update 1. September 2010:
Mario Valderrama Geschäftsleitung von “ediPost” hat auf detaillierte Fragen zur Datensicherheit geantwortet. Laut Herr Mario Valderrama soll der CCC präventiv als sogenannte “white hacker” eingesetzt werden. “white hacker” sind Hacker, welche von einem Unternehmen angestellt werden, um sich kontrolliert in ein Firmennetzwerk zu hacken um somit Sicherheitlücken aufzuzeigen. Wie sich diese Aussage mit der Aussage des CCC, dass man keine Kooperation mit Privatfirmen unterhält, vereinbaren lässt kann an dieser Stelle nicht beantwortet werden. Es wird sich zeigen, ob weitere Nachforschungen Klarheit in die Sachen bringen.

Der CCC (Chaos Computer Club) lehnt die De-Mail und den E-Postbrief aus mehreren Gründen ab. Datensicherheit, offene Türen für Ermittlungsbehörden und fehlendes Vertrauen zu den Anbietern sind nur einige der Gründe. Im Artikel “Kritik am Chaosradio-Podcast zu De-Mail und E-Postbrief” in dem ich ein Radiointerview des CCC kritisiert habe, habe ich auch die freche Frage gestellt, warum der CCC nicht eine eigene De-Mail Adresse herausbringt bzw. warum der CCC nicht als eigener De-Mail Anbieter auftritt. Die Rechtssicherheit der De-Mail kombiniert mit serienmässiger PGP und dem fast schon perfekten Datenschutz und Computer Know-how des CCC. Könnte man da nicht zwei Fliegen mit einer Klappe schlagen? Nun habe ich mal eine inoffizielle und eher spassig angehauchte Twitterumfrage gestartet, wie die Meinung zu diesem Thema in der Community ist. Wer will darf gerne mitmachen. Ergebnisse werden nach einer Woche hier veröffentlicht. [Umfrage beendet - 22 Votes]

[auf das Bild klicken für grösseres Bild!]

Update:
22 Teilnehmer sind nicht gerade repräsentativ . Aber egal.

P.S.: Ich bin weder ein Mitarbeiter des CCC noch von De-Mail oder der Deutschen Post. Ich interessiere mich nur aus privaten Gründen für das Thema. Die Umfrage ist also NICHT von einer der genannten Parteien lanciert und entspricht nicht deren Meinung und hat damit auch keine Auswirkungen auf deren Arbeit.