Familienaufstellung: beBPo, beN und beA

Was haben eigentlich Behörden, Notare und Rechtsanwälte gemeinsam?

Sie haben alle sogenannte „besondere elektronische Postfächer“!

Für Behörden gibt es nämlich das „besondere elektronische Behördenpostfach“ (beBPo), für Notare das „besondere elektronische Notarspostfach“ (beN) und für Anwälte das „besondere elektronische Anwaltspostfach“ (beA).

Seit dem 1.1.2018 sind (durch das Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten [2013]) neben Notaren und Anwälten auch Behörden verpflichtet über einen sicheren Übermittlungsweg erreichbar zu sein. Neben der Installation eines authentifizierten DE-Mail Accounts kann diese Verpflichtung auch durch die Einrichtung eines beBPo erfüllt werden. Dass die Einrichtung und Benutzung des beBPo nicht ohne Tücken ist, zeigt eine aktuelle Entscheidung des OVG Thüringen (Beschluss vom 28.1.2020, Az. 3 ZKO 796/19. Ein fehlendes Signaturzertifikat hatte zum Scheitern des Berufungsantrags einer Behörde vor dem OVG Thüringen geführt. Wer ein beBPo betreibt, muss es auch ordnungsgemäß organisieren, sagt das OVG.

Grund genug sich mal die Sache näher anzuschauen.

Anm. der Red.: Dieser Beitrag ist der erste Teil der Reihe „Recht und Digitalisierung“, die in den kommenden Wochen fortgesetzt wird.

Was ist eigentlich das „Besondere“ an diesen Postfächern?

Die Postfächer sind zunächst einmal elektronisch, d.h. die Nachrichten werden über das IT-Netz des „Elektronischen Gerichts- und Verwaltungspostfachs“ (EGVP-Netz) verbreitet. Konkret werden dazu das Internet und spezielle Dienste des World Wide Webs (WWW) – nämlich XML für die Medienneutralität und SOAP für „Umschlagfunktionalität“ – genutzt. Allerdings wird bei den elektronischen Postfächern noch eine weitere Sicherheitsschicht hinzugefügt: das sogenannte „Online Services Computer Interface“ oder kurz OSCI. Das OSCI, eine von der Bundesregierung von 1999-2003 beauftragte Eigenentwicklung, ist ein ganz wesentliches Element des EGVP-Netzes für den sicheren Nachrichtenaustausch. Es sorgt nämlich dafür, dass die Nachrichten in einem doppelt gesicherten elektronischen Umschlag (Transportcontainer) versendet werden. Diese mehrfach verschlüsselten Nachrichten können (konform mit der europäischen eIDAS-Verordnung, die europaweit einheitlich u.a. die schriftformersetzende qualifizierte elektronische Signatur regelt) signiert werden. Dadurch wird eine hohe technisches Sicherheit (Integrität und Vertraulichkeit) sowie die genaue Absenderidentifikation (Authentizität) der Nachrichten erreicht.

Wozu braucht man den „doppelten Umschlag“?

Ein beBPo schickt seine Nachricht über das EGVP-Netz nicht unmittelbar an den Empfänger, sondern an einen Rechner, der zwischen die Sender und Empfänger geschaltet wird. Diese sogenannten „virtuellen Poststellen“ (Intermediäre) entnehmen aus dem äußeren, „versiegelten“ Umschlag den zweiten – ebenfalls „versiegelten“ – Umschlag und schicken diesen ungeöffnet an den Empfänger. Im Übrigen protokollieren die virtuellen Poststellen jeweils den Nachrichtenverkehr und machen diesen damit nachvollziehbar und beweisbar. Allerdings nur bezüglich der Metadaten, wer mit wem Nachrichten ausgetauscht hat. Der doppelte Umschlag sorgt nämlich für eine Ende-zu-Ende-Verschlüsselung der Nachricht. Der Intermediär kann daher nur den äußeren Umschlag öffnen um zu erfahren wohin er die eigentliche, verschlüsselte Nachricht senden muss.

Ist das dann der „sichere Übermittlungsweg“?

Das könnte man meinen. Das Gesetz versteht aber unter dem „sicheren Übermittlungsweg“ etwas völlig Anderes. Es geht nicht um technische Sicherheit. Der „sichere Übermittlungsweg“ wird so genannt, weil der Absender bei einem sicheren Übermittlungsweg „sicher“ feststellbar ist. Es geht also um die sogenannte „Authentizität“ der Nachricht, also darum, dass die Nachricht tatsächlich von dem Sender stammt, der in der Nachricht als solcher auftritt. Dazu erhalten die Teilnehmer im EGVP-Netz eine sogenannte SAFE-ID. Das SAFE steht für „Secure Access to Federated Environments“, meint also eine sichere Identifikationsmöglichkeit in „verteilten“ Umgebungen. Dadurch  dass die SAFE-ID im Falle von Notaren und Anwälten natürlichen Personen und im Falle von Behörden der Behörde selbst zugeordnet werden, können sich diese allein durch die Nutzung des Postfachs authentifizieren.

Der Vorteil für die Nutzer:

Nach § 130a Abs. 3 Satz 1 ZPO bzw. § 55a Abs. 3 Satz 1 VwGO benötigen elektronische Dokumente bei Selbstversand über einen sicheren Übermittlungsweg lediglich eine einfache Signatur, also nur die Namensunterschrift. Eine qualifizierte elektronische Signatur ist nicht nötig.

Wie kommt die Behörde zu ihrem beBPo?

Neben der Beauftragung der Intermediärdienstleistungen, der Beschaffung der Software und des notwendigen Zertifikates erfolgt die Einrichtung in mehreren Schritten.

Zunächst muss die oberste Behörde eine bePo-Prüfstelle einrichten. Später im Ablauf nimmt die oberste Behörde die Behörde dann noch in das Behördenverzeichnis auf.

• Die Behörde installiert die Software und legt so das beBPo an.
• Dann muss die Behörde die Freischaltung bei einer beBPo-Prüfstelle des Landes beantragen.
• Diese identifiziert die Behörde und schaltet diese im Verzeichnisdienst (SAFE-ID ) frei.
• Sodann muss die Behörde die zugriffsberechtigten Personen feststellen und dokumentiert das.
• Zuletzt wird das Signaturzertifikat eingebunden, damit der Herkunftsnachweis funktioniert.

Dieser letzte Punkt ist ganz entscheidend. Darauf hat jetzt die aktuelle Entscheidung des OVG Thüringen auch nochmal hingewiesen:

„ … sie [Anm. Red.: die Behörde] muss sicherstellen, dass das bestimmte beBpo -vHn- (Signatur-)Zertifikat funktionsfähig eingebunden ist und – ggf. auch automatisiert – im Prozess der Nachrichtenversendung durch ihre – zugangsberechtigten und sicher angemeldeten – Sachbearbeiter korrekt adressiert und an die jeweilige Nachricht angebracht wird.“

Die sichere Identifikation der absendenden Behörde ergibt sich dabei eben gerade aus der im Verzeichnisdienst hinterlegten SAFE-ID und des mit der Nachricht verknüpften Zertifikats der Behörde.

Im Fall, den das OVG Thüringen zu entscheiden hatte, war genau dies nicht passiert.

Das beBPo kämpft derzeit jedoch noch mit weiteren Aufgaben. So haben z.B. noch nicht alle Länder beBPo-Prüfstellen eingerichtet. Generell schwierig zu bewerkstelligen ist für viele Behörden auch die korrekte technische Weiterleitung der Nachrichten innerhalb der Behörden zu den berechtigten Mitarbeitern.

Unsere Behörde hat schon einen DE-Mail Account. Was ist denn damit?

Nach § 2 Abs. 2 des E-Government Gesetzes (EGovG) sind die Bundesbehörden verpflichtet, ein DE-Mail Postfach vorzuhalten. DE-Mail setzt technisch auch auf dem Internet auf, verwendet aber Mail-Protokoll. Es funktioniert damit wie eine normale Mail, ist allerdings mittlerweile Ende-zu-Ende verschlüsselt und kann den Absender authentifizieren. Damit gehört DE-Mail auch zu den gesetzlich vorgesehenen „sicheren Übermittlungswegen“. Es hat allerdings technisch nichts mit dem EGVP-Netz oder OSCI zu tun. Allerdings können Nachrichten aus DE-Mail in das EGVP-Netz über einen Konverter übertragen werden. Beide Systeme sind also verkoppelt.

… zusammengefasst:

Die besonderen elektronischen Postfächer, also auch das beBPo sind sichere Nachrichtedrehscheiben in einem geschlossenen Benutzernetz. Sie sind sichere Übermittlungswege, weil der Absender sicher identifizierbar ist. Gleichwohl ist die Einrichtung und der Betrieb alles andere als trivial. Rechtlich, technisch und organisatorisch muss alles stimmen …