1

De-Mail-Leitfaden

für Behörden

31. Mai 2016 (Version 1.2)

2

Inhalt

1 Zielsetzung und Aufbau des Leitfadens ....................................................................................... 5

2 Kurzeinführung in De-Mail ......................................................................................................... 6

2.1 Warum De-Mail? .......................................................................................................................... 6

2.2 Wie funktioniert De-Mail? ............................................................................................................ 7

2.2.1 Grundsätzliche Architektur und Funktionsweise ................................................................................ 7

2.2.2 Verschlüsselung .................................................................................................................................. 8

2.2.3 Authentisierungsniveaus .................................................................................................................... 9

2.2.4 Öffentlicher De-Mail-Verzeichnisdienst (ÖVD) ................................................................................... 9

2.2.5 Versandoptionen von De-Mail ............................................................................................................ 9

2.2.6 Mögliche Architekturen für die Anbindung an De-Mail .................................................................... 11

3 Gesetzliche Rahmenbedingungen ............................................................................................. 16

3.1 De-Mail-Gesetz ........................................................................................................................... 16

3.2 E-Government-Gesetz ................................................................................................................ 16

3.3 Verwaltungszustellungsgesetz ................................................................................................... 17

3.4 E-Justice-Gesetz .......................................................................................................................... 18

4 Einführung von De-Mail ........................................................................................................... 19

4.1 Vorbereitung und Analyse .......................................................................................................... 19

4.1.1 Strukturierung der Prozesse und Identifikation möglicher De-Mail-Einsatzszenarien ..................... 20

4.1.2 Prozessanalyse .................................................................................................................................. 21

4.1.3 Möglichkeit der stufenweisen Einführung von De-Mail ................................................................... 24

4.1.4 Veraktung und Langzeitspeicherung ................................................................................................ 28

4.2 Design ......................................................................................................................................... 29

4.2.1 Fachliches/organisatorisches und technisches Design ..................................................................... 29

4.2.2 Domainkonzept ................................................................................................................................. 30

4.2.3 Zugangseröffnung ............................................................................................................................. 31

4.2.4 Designentscheidungen im Hinblick auf die Anbindung an De-Mail .................................................. 33

4.2.5 Öffentlicher De-Mail-Verzeichnisdienst (ÖVD) ................................................................................. 38

4.2.6 Standard-Konto (sog. „Catch All-Postfach“) ..................................................................................... 39

4.3 Wirtschaftlichkeitsbetrachtung .................................................................................................. 40

4.4 Sicherheitsbetrachtung .............................................................................................................. 41

3

4.5 Vergabeverfahren....................................................................................................................... 41

4.5.1 Organisatorische Vergabevorbereitung ............................................................................................ 42

4.5.2 Fachliche Vergabevorbereitung ........................................................................................................ 43

4.6 Umsetzungsplanung und Umsetzung ......................................................................................... 44

5 Checkliste ................................................................................................................................ 47

4

Abbildungen Abbildung 1: De-Mail-Versand und -Empfang (Grundprinzip) ..................................................................... 7

Abbildung 2: Nutzungsvarianten De-Mail-Anbindung ............................................................................... 12

Abbildung 3: Kommunikationsbausteine bei Einsatzszenarien mit der Verwaltung. ................................ 21

Abbildung 4: Soll-Prozess „Antrag Chargenfreigabe/Änderungsanzeige“ ................................................. 23

Abbildung 5: De-Mail-Soll-Prozess „Bescheidversand“ .............................................................................. 24

Abbildung 6: Lebenszyklus behördlichen Schriftguts ................................................................................. 28

Abbildung 7: Domaindarstellung ................................................................................................................ 31

Abbildung 8: Darstellung der Funktionen eines De-Mail-Gateways .......................................................... 35

Abbildung 9: Architektur der De-Mail-Anbindung ..................................................................................... 37

Abbildung 10: Beispielhaftes Vorgehensmodell zur Vergabe von De-Mail-Diensten ................................ 42

Tabellen Tabelle 1: Vor- und Nachteile der Nutzung von De-Mail-Webportalen ..................................................... 13

Tabelle 2: Vor- und Nachteile der Nutzung eines lokalen De-Mail-Gateways ........................................... 14

Tabelle 3: Vor- und Nachteile der Nutzung eines zentralen De-Mail-Gateways ....................................... 14

Tabelle 4: Relevante Fristen aus dem EGovG mit Bezug zu De-Mail ......................................................... 16

Tabelle 5: Übersicht Geltungsbereiche des VwVfG (Stand: August 2014) ................................................. 17

Tabelle 6: Übersicht Geltungsbereiche des VwZG (Stand: August 2014) .................................................. 17

5

1 Zielsetzung und Aufbau des Leitfadens

Der De-Mail-Leitfaden richtet sich an öffentliche Einrichtungen der Bundes-, Landes- und Kommunal-

verwaltung. Mit seiner Hilfe sollen die Behörden durch die wesentlichen Aktivitäten geführt werden, die

mit der De-Mail-Einführung einhergehen (roter Faden).

Dazu wird zunächst in Kapitel 2 die grundsätzliche Funktionsweise von De-Mail erläutert sowie in Kapitel

3 die rechtlichen Grundlagen und Rahmenbedingungen.

In Kapitel 4 werden entlang der möglichen Projektphasen eines De-Mail-Einführungsprojekts Aktivitäten

beschrieben sowie Handreichungen und Hinweise zur Einführung von De-Mail bereitgestellt. Die Hand-

reichungen sollen im Rahmen der Fortschreibung dieses Dokuments auf Grundlage von Rückmeldungen

der Nutzer sukzessive ergänzt und um weitere relevante Themenfelder/Handreichungen erweitert wer-

den1. In Kapitel 5 werden abschließend alle Projektphasen und möglichen Aktivitäten zusätzlich als

Checkliste aufbereitet zur Verfügung gestellt.

Die Kapitel 2 bis 4.2.1 richten sich in erster Linie an Entscheider, Organisatoren und Prozessverantwortli-

che. Die Kapitel 4.2.2 bis 4.5 fokussieren überwiegend technische Details und richten sich damit in erster

Linie an Umsetzungsverantwortliche und Administratoren.

1 Anmerkungen und Vorschläge für Ergänzungen von Themenfeldern/Handreichungen bitte an ITII3@bmi.bund.de.

6

2 Kurzeinführung in De-Mail

2.1 Warum De-Mail?

Kunden und Bürger erwarten von der Verwaltung eine schnelle Sachbearbeitung und transparente Mög-

lichkeiten der Nachverfolgung von Bearbeitungsständen. De-Mail bildet das Pendant zur Sicherheit eines

papierbasierten Briefs, kombiniert mit den Vorteilen der Schnelligkeit einer E-Mail. Zusätzlich kommen

Kostenvorteile zum Tragen, die eine Einführung in den meisten Fällen auch wirtschaftlich interessant

machen. Durch Reduktion von Papier-, Druck-, Porto- und Prozesskosten der papierbasierten Kommuni-

kation werden signifikante Kosteneinsparungen möglich. De-Mail ist für juristische und natürliche Per-

sonen sowie für öffentliche Einrichtungen auf Sender- und Empfängerseite geeignet.

Im Bereich der Bundesverwaltung ist eine Einführung von De-Mail gemäß E-Government-Gesetz inner-

halb von zwölf Monaten verpflichtend vorgeschrieben, sofern ein Zugriff auf das zentral betriebene De-

Mail-Gateway der Bundesverwaltung möglich ist. Das Gateway steht seit dem 23. März 2015 zur Verfü-

gung, sodass die Einführung von De-Mail in der Bundesverwaltung im 1. Quartal 2016 abgeschlossen

sein wird.

De-Mail ist überall dort einsetzbar, wo sicher und nachweisbar kommuniziert werden soll und die Kom-

munikationspartner sicher sein müssen oder wollen, dass der jeweils andere derjenige ist, welcher er

vorgibt zu sein. Es fördert die schnellere Bearbeitung und bringt Kostenersparnisse bei gleichzeitigem

Arbeiten innerhalb der gewohnten „Umgebung“.

De-Mail kann grundsätzlich die folgenden Kommunikationsverfahren sinnvoll ersetzen:

Briefe

(Einwurf-)Einschreiben

(mittels De-Mail mit Eingangsbestätigung)

Postzustellungsaufträge

(mittels De-Mail mit Abholbestätigung nach VwZG)

Faxe

Dokumente, die unterschrieben sein müssen

(mittels absenderbestätigter De-Mail)

Spezielle Verfahren zur sicheren elektronischen Kommunikation

De-Mail ist dabei für die Übermittlung sowohl von unstrukturierten als auch von strukturierten Informa-

tionen (z.B. XML-Dateien zur automatisierten Verarbeitung in Fachverfahren) geeignet. Kommunikati-

onspartner können natürliche Personen und alle Arten von Organisationen (juristische Personen sowie

Personengesellschaften und öffentliche Einrichtungen) sein.

7

2.2 Wie funktioniert De-Mail?

2.2.1 Grundsätzliche Architektur und Funktionsweise

Mit De-Mail kann alternativ zu papierbasierter Briefpost rechtsverbindlich und rechtssicher kommuni-

ziert werden. Den rechtlichen Rahmen der Nutzung von De-Mail bildet das De-Mail-Gesetz vom 28. April

2011. Um De-Mail nutzen zu können, muss sich der Anwender (eine juristische oder natürliche Person)

bei einem akkreditierten De-Mail-Diensteanbieter (DMDA) angemeldet und ein De-Mail-Konto eröffnet

haben. Danach können De-Mails mit allen anderen De-Mail-Teilnehmern ausgetauscht werden. Das

Versenden und Empfangen von Nachrichten erfolgt, wie in Abbildung 1 dargestellt, über verschlüsselte

Transportwege, sodass Inhalte nicht mitgelesen oder modifiziert werden können.

Abbildung 1: De-Mail-Versand und -Empfang (Grundprinzip)

Die akkreditierten De-Mail-Diensteanbieter betreiben die De-Mail-Infrastruktur. Ziel der De-Mail-

Initiative der Bundesregierung war es, dass DMDAs als Unternehmen oder sonstige Organisationen De-

Mail-Dienste aus eigenem (wirtschaftlichen) Interesse heraus anbieten und hierbei einheitlichen Sicher-

heitsstandards genügen, deren Einhaltung durch das Bundesamt für Sicherheit in der Informationstech-

nik (BSI) überprüft wird. Mit der Akkreditierung durch das BSI wird bestätigt, dass der DMDA die hohen

Sicherheits-, Funktionalitäts-, Interoperabilitäts- und Datenschutzauflagen erfüllt, die durch das De-Mail-

Gesetz und die Technische Richtlinie De-Mail vorgeschrieben sind.

Sofern auch mit internationalen Kommunikationspartnern De-Mails ausgetauscht werden sollen, ist dies

möglich, wenn sich die ausländischen Nutzer ebenfalls bei einem DMDA angemeldet und ihre Identität

nachgewiesen haben. Darüber hinaus wird De-Mail auch aktiv in EU-Projekte und Standardisierungs-

gremien eingebracht, durch welche die grenzüberschreitende Interoperabilität mit entsprechenden

Systemen anderer Länder ermöglicht werden soll.

Obgleich De-Mail die elektronische Alternative zur Papierpost darstellt, ist die Bedienung von De-Mail

sehr stark an E-Mail angelehnt. Die technische Funktionsweise von De-Mail ist sogar nahezu identisch zu

8

E-Mail. Das bedeutet für einen Endanwender, dass er seine gewohnten (E-Mail-)Umgebungen auch zum

Verfassen und Lesen von De-Mails weiterhin nutzen kann.

Beispiel für einen Versandvorgang einer De-Mail:

Voraussetzung: Sowohl der Absender als auch der Empfänger besitzen eine De-Mail-Adresse.

Eine De-Mail wird beim Absender verfasst, indem er bspw. in seinem Web-Browser oder mit einem E-Mail-Client eine Nachricht erstellt. In das Empfängerfeld wird die De-Mail-Adresse des Empfängers eingetragen. Alle anderen Felder wie Betreff und das eigentliche Nachrichtenfeld können wie bei einer E-Mail gefüllt werden. Auch können Dateien als Anhänge beigefügt werden. Beim Versenden wird die Nachricht an den DMDA des Absenders geleitet. Der DMDA bringt an die De-Mail weitere Informationen an, wie die aktuelle Uhrzeit oder unter Umständen eine qualifizierte elektronische Signatur, mit der er bestätigt, dass es sich um eine De-Mail handelt. Danach wird die De-Mail an den Empfänger-DMDA weitergeleitet. Dieser legt die De-Mail in das Postfach des Emp-fängers. Bei Privatnutzern informieren die DMDAs in der Regel den Empfänger einer neu eingegan-genen De-Mail per SMS, damit möglicherweise wichtige Post nicht „übersehen“ wird. Der Empfänger holt die Nachricht aus seinem Postfach ab oder liest diese direkt im Webportal seines DMDA.

2.2.2 Verschlüsselung

De-Mails werden verschlüsselt übertragen, wobei die Transportwege zwischen Absender, DMDA und

Empfänger mittels kryptografisch abgesicherter Verfahren wie TLS verschlüsselt werden (TLS wird z.B.

auch beim Online-Banking eingesetzt). Darüber hinaus werden zwischen den DMDAs die Nachrichtenin-

halte zusätzlich mittels S/MIME-Technologie verschlüsselt. Auch beim DMDA selbst werden die De-Mails

in verschlüsselten Datenspeichern abgelegt. De-Mails werden zwischen Absender/Empfänger und

DMDA standardmäßig transportverschlüsselt. Daher können sie in der besonders abgesicherten Be-

triebsumgebung des DMDA einer automatisierten Virenkontrolle unterzogen werden. Sowohl der ab-

sendende als auch der empfangende DMDA prüfen die eingegangenen De-Mails auf Schadsoftware und

weisen diese im Verdachtsfall ab. Der Absender und in einigen Fällen auch der Empfänger werden dar-

über informiert.

Neben der standardmäßigen Transportverschlüsselung, die stets zum Einsatz kommt, können die De-

Mail-Nutzer optional auch eine Ende-zu-Ende-Verschlüsselung nutzen, um sehr sensible Inhalte zusätz-

lich zu sichern. Die DMDAs transportieren diese Ende-zu-Ende-verschlüsselten Inhalte genau wie „nor-

male“ De-Mails ohne Ende-zu-Ende-Sicherung. Eine Prüfung auf Schadsoftware durch die DMDAs ist in

diesem Fall nicht möglich, da die Viren „mitverschlüsselt“ werden und somit nicht erkennbar sind.

Als Ende-Zu-Ende-Verschlüsselungsverfahren bieten sich beispielswiese S/MIME (Secure / Multipurpose

Internet Mail Extensions) oder auch PGP (Pretty Good Privacy) an. Im öffentlichen Verzeichnisdienst

(ÖVD) von De-Mail können hierzu die erforderlichen Verschlüsselungszertifikate hinterlegt und den De-

Mail-Nutzern zugänglich gemacht werden, so dass der Abruf der (öffentlichen) Verschlüsselungsschlüs-

sel für diejenigen, die De-Mail-Inhalte verschlüsseln wollen, einfach erfolgen kann.

9

Die Nutzung der Ende-zu-Ende-Verschlüsselung bei De-Mail erfordert grundsätzlich die Installation von

Zusatzsoftware und ggf. Hardware durch den De-Mail-Nutzer. Dabei kann es sich beispielsweise um ein

Add-On für den Webbrowser oder den E-Mail-Client bzw. den Einsatz eines Krypto-Gateways handeln.

Darüber hinaus müssen (öffentliche und private) Verschlüsselungsschlüssel generiert sowie geeignet

gespeichert und verwaltet werden.

Die DMDAs haben seit April 2015 die Ende-zu-Ende-Verschlüsselung mittels PGP in ihre Web-

Applikationen integriert. Um diese Möglichkeit nutzen zu können, sind zunächst ein entsprechendes

Add-On (Open Source Produkt „Mailvelope“) im Webbrowser zu installieren und die erforderlichen

Schlüsselpaare zu generieren. Der Schlüsselaustausch mit dem Empfänger wurde durch die Übermitt-

lung des öffentlichen Verschlüsselungsschlüssels per De-Mail vereinfacht. Die Ende-zu-Ende-

Verschlüsselung mittels PGP ist vor allem für Endanwender gedacht, die De-Mail über ihren Webbrow-

ser nutzen, also insbesondere für Bürgerinnen und Bürger sowie kleine Unternehmen.

Behörden und Unternehmen, die über De-Mail-Gateways angebunden sind, können auch Krypto-

Gateways oder Mail-Client-Lösungen mit integrierten Krypto-Lösungen für die Ver- und Entschlüsselung

nutzen.

2.2.3 Authentisierungsniveaus

De-Mails müssen vom Nutzer aus dem Postfach beim DMDA abgeholt werden. Dazu muss er sich an

seinem Konto anmelden. Hierbei sind zwei Authentisierungsniveaus für die Anmeldung vorgesehen: zum

einen über eine Benutzername/Passwort-Eingabe („normales“ Authentisierungsniveau) und zum ande-

ren über das sogenannten Besitz-und-Wissen-Prinzip, bei dem bspw. der Personalausweis mit Online-

funktion genutzt werden kann oder dem Nutzer eine Mobile-TAN zugesandt wird, um sich sicher anzu-

melden („hohes“ Authentisierungsniveau).

2.2.4 Öffentlicher De-Mail-Verzeichnisdienst (ÖVD)

Die De-Mail-Anbieter stellen den De-Mail-Nutzern einen anbieterübergreifenden öffentlichen Verzeich-

nisdienst zur Verfügung. Hier werden Identitätsdaten der Nutzer auf deren ausdrückliches Verlangen hin

veröffentlicht, z.B. Titel, Name, Vorname, De-Mail-Adresse, postalische Adresse, Verschlüsselungszertifi-

kat, Zugangseröffnung.

Im ÖVD kann anbieterspezifisch oder anbieterübergreifend nach De-Mail-Nutzern gesucht werden. Vo-

raussetzung ist, dass der Anfragende an seinem De-Mail-Konto angemeldet ist.

2.2.5 Versandoptionen von De-Mail

Beim Versand von De-Mails kann der Nutzer Bestätigungsnachrichten vom Absender-DMDA oder Emp-

fänger-DMDA anfordern. Die Anforderung einer Bestätigungsnachricht wird entweder im Webportal des

DMDA durch Setzen eines Häkchens an der Stelle der entsprechenden Bestätigungsnachricht oder bei

einer Gatewayanbindung durch Auswahl der entsprechenden Versandoption im E-Mail-Client (z.B. über

ein De-Mail-Plugin) gestellt. Der DMDA erzeugt daraufhin eine entsprechende Bestätigung für Versender

und/oder Empfänger. Durch Anbringen einer qualifizierten elektronischen Signatur an die Bestätigungs-

nachricht wird die elektronische Nachweisbarkeit des Versandvorgangs sichergestellt. Behörden können

10

zudem spezielle Bestätigungsnachrichten (Abholbestätigungen) anfordern und damit De-Mail zur förmli-

chen Zustellung gemäß VwZG nutzen. Diese Bestätigung wird erst erzeugt, wenn sich der Empfänger an

seinem De-Mail-Konto mit hohem Authentisierungsniveau angemeldet hat.

Das Anfordern der o.g. Bestätigungen ist in der Regel mit zusätzlichen Kosten für den Absender verbun-

den. Die folgenden Versandoptionen stehen zur Verfügung.

Absenderbestätigung

Die Absenderbestätigung wird vom sendenden DMDA erzeugt, in dem er die gesendete De-Mail

einschließlich aller Anhänge und Metadaten qualifiziert elektronisch signiert und diese Signatur

in ein hierfür vorgesehenes Feld der De-Mail einfügt (analoges Konzept wie beim „inline“ sig-

nierten pdf-Dokument). Bei der absenderbestätigten De-Mail wird also keine gesonderte Bestä-

tigung versendet, vielmehr sind hier alle zur Prüfung und Nachweisführung relevanten Informa-

tionen bereits Bestandteil der eigentlichen De-Mail, die nach dem Kommunikationsvorgang so-

wohl beim Sender als auch beim Empfänger vorliegt. Die Versendung einer absenderbestätigten

De-Mail erfordert die Anmeldung am De-Mail-Konto mit dem Authentisierungsniveau „hoch“.

Mit dem E-Government-Gesetz des Bundes wurde das Verwaltungsverfahrensgesetz des Bundes

dahingehend geändert, dass die (absenderbestätigte) De-Mail die Schriftform im Bereich des

Verwaltungsrechts ersetzt.

Versandbestätigung

Die Versandbestätigung wird vom sendenden DMDA erzeugt und an den Absender übermittelt,

sobald der Versand der Nachricht an den Empfänger-DMDA erfolgt ist. Der Absender kann somit

nachweisen, dass und wann seine Nachricht korrekt vom Absender-DMDA versendet wurde.

Eingangsbestätigung

Die Eingangsbestätigung wird vom empfangenden DMDA erzeugt. Sie wird sowohl an den Ab-

sender als auch an den Empfänger übermittelt. Beide Parteien wissen somit, dass und wann die

Nachricht beim Empfänger-DMDA angekommen ist und können dies im Streitfall nachweisen.

Ob die Nachricht auch wirklich abgeholt oder gar gelesen wurde, kann mit der Eingangsbestäti-

gung nicht nachgewiesen werden. Die Eingangsbestätigung ist in gewissem Sinne mit dem Ein-

wurfeinschreiben in der Papierwelt vergleichbar.

Abholbestätigung

Die Abholbestätigung wird vom empfangenden DMDA erzeugt und sowohl an den Absender als

auch an den Empfänger übermittelt. Eine Abholbestätigung wird dann erzeugt, wenn sich der

Empfänger mit dem Authentisierungsniveau „hoch“ an seinem De-Mail-Konto angemeldet hat.

Die Option Abholbestätigung steht beim Versand nur berechtigten öffentlichen Stellen zur Ver-

fügung. Für den Versand muss auch der Versender mit dem Authentisierungsniveau „hoch“ an-

gemeldet sein. Die Zustellung gegen Abholbestätigung ist gemäß Verwaltungszustellungsgesetz

(VwZG, siehe auch Kapitel 3.3) eine neue Möglichkeit für die förmliche Zustellung von Dokumen-

ten (§5a Elektronische Zustellung gegen Abholbestätigung über De-Mail-Dienste) – wie z.B. Zu-

stellung durch die Post mit Zustellungsurkunde bzw. Einschreiben oder Zustellung durch die Be-

hörde gegen Empfangsbekenntnis.

11

Bestätigungsnachrichten werden durch den DMDA mit einer qualifizierten elektronischen Signatur ver-

sehen, die alle Nachrichteninhalte (Kopf- und Metadaten, Text und Anlagen) umfasst. Damit erhält ins-

besondere der Absender der entsprechenden De-Mail einen belastbaren Nachweis für Versand, Eingang

oder Abholung. Zusätzlich ist zu beachten, dass aufgrund von Veraktungs- und Langzeitspeicherungsan-

forderungen die Behörde für die beweiswerterhaltende Speicherung der Bestätigungsnachrichten Sorge

tragen muss.

Bestätigungsnachrichten werden automatisch durch das System erzeugt und an den Sender und ggf.

Empfänger gesandt. Die Nachrichten beziehen sich immer auf die Original-De-Mail. Sie referenzieren die

Originalnachricht und tragen u.a. den Originalbetreff in ihrer Betreffzeile. Um eine eindeutige Zuord-

nung in Massenverfahren zu gewährleisten, kann der Sender eindeutige Kennzeichen (bspw. eine ID

oder ein eindeutiges Akten- oder Bearbeitungszeichen) dem Betreff hinzufügen. Soll dieses Kennzeichen

nicht sichtbar für den Empfänger sein, kann ein spezielles Feld („private-id“) der Original-De-Mail ge-

nutzt werden. Das Feld „private-id“ findet sich auch in den Bestätigungsnachrichten in originaler Form

wieder.

2.2.6 Mögliche Architekturen für die Anbindung an De-Mail

Die wesentlichen Funktionen von De-Mail basieren technologisch auf E-Mail- bzw. Internet-Technologie.

De-Mail kann daher genauso leicht wie E-Mail genutzt werden. Nach dem De-Mail-Gesetz müssen die

akkreditierten Anbieter jedem Nutzer einen Zugriff auf sein Konto mittels eines Webzugangs ermögli-

chen. De-Mail ist somit weltweit nutzbar und kann von daheim, wie auch unterwegs, verwendet wer-

den. Das Versenden einer De-Mail „fühlt“ sich dabei genauso an wie das Versenden einer E-Mail.

Für institutionelle Nutzer (wie z. B. Unternehmen und öffentliche Einrichtungen) ist die Nutzung von De-

Mail über ein Webportal eines DMDA allerdings weniger geeignet: zum einen, da der Zugriff über eine

gewöhnliche Internetverbindung erfolgen muss, die möglicherweise nicht jedem Mitarbeiter zur Verfü-

gung steht, und zum anderen, weil De-Mails in der Regel in die Sachbearbeitung gelangen sollen und

daher der Umweg über ein Webportal mit einem zusätzlichen Medienbruch verbunden wäre.

Diesen Nutzern steht die Anbindung über ein so genanntes De-Mail-Gateway zur Verfügung. Dabei wird

die interne E-Mail-Infrastruktur der Behörde/des Unternehmens direkt an die De-Mail-Umgebung des

DMDA, bei dem das Konto eröffnet wurde, angebunden. So ist ein leichtes Versenden und Empfangen

von De-Mails von und an E-Mail-Clients auf den Arbeitsplatzcomputern der Sachbearbeiter sowie eine

direkte Fachverfahrensintegration möglich.

Durch den Zusammenschluss mehrerer Einrichtungen bzw. bei Nutzung von Dienstleistungen eines IT-

Dienstleisters kann die Anbindung zentral bei diesem Dienstleister erfolgen, durch den ein mehrbenut-

zerfähiges Gateway für mehrere Behörden betrieben wird (sog. „mandantenfähiges Gateway“). Durch

Bereitstellung eines solchen mandantenfähigen De-Mail-Gateways wird zentral die Anbindung an den

DMDA realisiert. Auf dem Gateway wird für jede angeschlossene Behörde ein eigener Bereich (Man-

dant) eingerichtet, sodass behördeneigene Konfigurationen möglich sind und De-Mails nur für das eige-

ne Postfach versandt und empfangen werden können. Die interne E-Mail-Infrastruktur wird dann an

12

(den Mandanten) dieses zentral bereitgestellten De-Mail-Gateways angebunden. In Abbildung 2 sind die

drei Nutzungsvarianten von De-Mail skizziert zusammengefasst.

Abbildung 2: Nutzungsvarianten De-Mail-Anbindung

2.2.6.1 De-Mail-Web (Variante 1)

Die einfachste Art, De-Mails zu senden und zu empfangen, ist die Nutzung einer Weboberfläche. Dar-

über erfolgt der Zugriff auf das jeweilige De-Mail-Konto. Bei Einrichtung eines De-Mail-Kontos bei einem

De-Mail-Diensteanbieter wird automatisch der Zugang zu dem De-Mail-Webportal freigeschaltet. Dieses

Verfahren ist verpflichtend von jedem DMDA anzubieten. Die grundlegenden Funktionen von De-Mail

sind ebenso von allen DMDAs zu implementieren. D.h. über das Portal können De-Mails erstellt und

versandt sowie empfangene De-Mails geöffnet und gelesen werden. Ebenso können über das Portal alle

definierten De-Mail-Optionen gesetzt werden, die für die Anforderung von Bestätigungsnachrichten

benötigt werden. Gleichwohl ist die grafische Gestaltung des Webportals jedem Anbieter selbst überlas-

sen.

Auf Wunsch des Nutzers können auch Unterkonten unterhalb eines eröffneten De-Mail-Kontos mit ei-

genen Zugriffberechtigungen eingerichtet werden. Unterkonten können verschiedene Organisationsein-

heiten einer Behörde repräsentieren. Die Mitarbeiter einer Organisationseinheit sollen nur die De-Mails

lesen können, die an diese Organisationseinheit adressiert sind. Mehrere Organisationseinheiten bzw.

Mitarbeiter können De-Mail unabhängig voneinander nutzen, ohne ein eigenes De-Mail-Konto besitzen

zu müssen.

De-Mail-Diensteanbieter

Behörde BBehörde A

Behörde DBehörde BBehörde A Behörde C

De-Mail-GatewayBeh. C Beh. D

De-Mail-Gateway

Beh. B

Behörde C Behörde D

Variante 1 Variante 2 Variante 3

13

Mittels der Oberfläche kann De-Mail leicht bedient werden, sodass keine Umgewöhnung bzw. kein gro-

ßer Schulungsaufwand für die Nutzung notwendig ist. Allerdings können wesentliche Vorteile der De-

Mail nicht ausgeschöpft werden, da keine Integration und Anbindung an die eigene IT-Infrastruktur

stattfindet und insbesondere große Massenversendungsverfahren nicht über De-Mail realisiert werden

können. Durch die Portalnutzung müssen Daten unter Umständen mehrfach eingegeben werden, um sie

sowohl in der Bearbeitung vorzuhalten als auch zur Kommunikation nutzen zu können. Die grundlegen-

den Vor- und Nachteile sind in Tabelle 1 zusammengefasst.

Tabelle 1: Vor- und Nachteile der Nutzung von De-Mail-Webportalen

Vorteile Nachteile

Einfache Bedienung wie Web-E-Mail

Für die Anfangsphase mit wenigen Nutzungen (gut) geeignet

Sehr geringe Investitionskosten

Keine Anbindung an behördeneigene IT-Infrastruktur -> Medienbrüche

Kein Massenversand

Sehr eingeschränkte Weiterlei-tung/Sachbearbeitung möglich

Internetzugang der De-Mail-Bearbeiter not-wendig

Archivierung und Langzeitspeicherung nur manuell möglich

2.2.6.2 Dezentrales De-Mail-Gateway (Variante 2)

Unabhängig von der Nutzung eines Webportals kann De-Mail auch über ein lokales, d.h. in der behör-

deninternen IT-Infrastruktur betriebenes De-Mail-Gateway genutzt werden. Das De-Mail-Gateway wird

zwischen DMDA und den internen E-Mail-Komponenten aufgestellt. Damit wird die interne E-Mail- an

die De-Mail-Infrastruktur angebunden. Das Gateway übernimmt in dieser Rolle verschiedene Aufgaben,

von denen die wichtigsten sind:

Authentisierung gegenüber dem DMDA für den Zugriff auf das De-Mail-Konto der Behörde

Abholen von De-Mails aus dem De-Mail-Postfach beim DMDA über einen sicheren Kanal

Weiterleiten/Versenden von De-Mails aus der eigenen E-Mail-Infrastruktur heraus über einen

sicheren Kanal

Zu versendende De-Mails werden dabei als E-Mails durch den Anwender in seinem E-Mail-Client erzeugt

und über den Standard-E-Mail-Server der Behörde versandt. Der E-Mail-Server erkennt (über eine hin-

terlegte Regel) anhand der eindeutigen De-Mail-Domäne der Empfängeradresse, dass eine De-Mail ver-

schickt werden soll und leitet die Nachricht an das De-Mail-Gateway weiter, welches die Weiterleitung

(jetzt als De-Mail) an den DMDA vornimmt.

Bei eingehenden De-Mails werden diese zunächst im De-Mail-Postfach der Behörde beim DMDA abge-

legt. Das De-Mail-Gateway hat die Aufgabe, in definierbaren Abständen dieses De-Mail-Postfach darauf-

hin zu prüfen, ob neue Nachrichten eingegangen sind. Diese werden von dem De-Mail-Gateway abge-

holt und nach konfigurierbaren Regeln an den E-Mail-Server der Einrichtung weitergeleitet, der die ein-

14

gegangenen De-Mails in die internen E-Mail-Postfächer des Anwenders verteilt. Von dort kann die De-

Mail durch den E-Mail-Client des Sachbearbeiters abgeholt, gelesen und bearbeitet werden.

Zusätzlich zur Anbindung an E-Mail-Clients besteht durch die Nutzung der E-Mail-Technologie die Mög-

lichkeit, Fachverfahren über die E-Mail-De-Mail-Gateway-Schnittstelle an De-Mail anzubinden. Dadurch

können medienbruchfreie Fachverfahrensintegrationen (z.B. auch mit automatisierte Verarbeitung ma-

schinenlesbarer Bescheide im XML-Format) mit De-Mail realisiert werden. Insbesondere für Massenver-

sendungsverfahren ist diese Variante 2 der oben dargestellten Variante 1 vorzuziehen. In Tabelle 2sind

die grundlegenden Vor- und Nachteile zusammengefasst.

Tabelle 2: Vor- und Nachteile der Nutzung eines lokalen De-Mail-Gateways

Vorteile Nachteile

Nutzung der bestehenden internen E-Mail-Infrastruktur

Massenversand möglich

Archivierung und Langzeitspeicherung auto-matisiert möglich

Keine Medienbrüche

Lokale (behördenseitige) Administration des Gateways notwendig

Zugang zum/über Internet notwendig

Höhere Investitions- und Betriebskosten für Beschaffung, Integration und Betrieb des De-Mail-Gateways

2.2.6.3 Zentrales De-Mail-Gateway (Variante 3)

Insbesondere aus Wirtschaftlichkeitsgründen können De-Mail-Gateways auch zentral bereitgestellt

werden. D.h. es muss nicht von jeder Behörde ein eigenes De-Mail-Gateway beschafft und betrieben

werden. Analog zu der Konfiguration des lokalen Gateways erhält bei dieser Variante jede Behörde ei-

nen eigenen Bereich auf dem zentralen Gateway, der eigenständig durch die jeweilige Behörde admi-

nistriert werden kann. Die angeschlossenen Behörden greifen auf das zentrale Gateway über gesicherte

Internetverbindungen oder über Behördenleitungen zu. Zentrale Gateways bieten sich insbesondere an,

wenn bereits IT-Infrastrukturen in einem gemeinsamen Rechenzentrum für mehrere Behörden zentral

betrieben werden. Die grundlegenden Vor- und Nachteile einer zentralisierten Lösung sind in Tabelle 3

zusammengefasst. Für die Anbindung der Bundesverwaltung ist die Nutzung des zentral bereitgestellten

De-Mail-Gateway als Regelfall vorgesehen.

Tabelle 3: Vor- und Nachteile der Nutzung eines zentralen De-Mail-Gateways

Vorteile Nachteile

Beschaffung, Installation, Konfiguration und Betrieb nur eines zentralen (mandantenfähi-gen) Gateways an Stelle vieler dezentraler Ga-teways

Zentrale und automatische Archivierung und Langzeitspeicherung möglich

Spezielle Kenntnisse für Installation, Konfigu-ration und Betrieb des Gateways in der Be-hörde nicht erforderlich

zentraler Betrieb nur wirtschaftlich, wenn die zusätzlichen Kosten für Beschaffung und Be-trieb eines zentralen Gateways durch die An-zahl der nutzenden Behörden gedeckt sind.

Zwischen dem zentralen Gateway und der nutzenden Behörde wird die De-Mail über die intern vorhandene Netzinfrastruktur technisch als E-Mail transportiert. Daher muss über ge-eignete Maßnahmen sichergestellt werden,

15

Pflege und Support des Gateways können zentral bereitgestellt werden

dass die Nachricht auch hier sicher transpor-tiert wird (Schutz vor Verlust, Schutz der Ver-traulichkeit, etc.).

16

3 Gesetzliche Rahmenbedingungen

3.1 De-Mail-Gesetz

Das De-Mail-Gesetz vom 28. April 2011 regelt die Grundlagen des Dienstes De-Mail. Es ist insbesondere

für die Anbieter von De-Mail-Diensten (De-Mail-Diensteanbieter/DMDA) von Bedeutung, da hier die

Pflichtangebote sowie die Nutzung bzw. Durchführung der Dienstebereitstellung und Akkreditierung

geregelt werden. Zusammen mit den Technischen Richtlinien des BSI TR 01201 bildet es die Basis von

De-Mail.

3.2 E-Government-Gesetz

Ziel des E-Government-Gesetzes des Bundes („Gesetz zur Förderung der elektronischen Verwaltung

sowie zur Änderung weiterer Vorschriften“) ist es unter anderem, die elektronische Kommunikation mit

der Verwaltung zu fördern. Dazu wurden und werden erkannte Hürden und Hemmnisse abgebaut, in-

dem bspw. Änderungen an weiteren Gesetzen vorgenommen wurden. Das Gesetz soll über alle födera-

len Ebenen hinweg Wirkung entfalten und es Bund, Ländern und Kommunen ermöglichen, einfachere,

nutzerfreundlichere und effizientere elektronische Verwaltungsdienste anzubieten.

Das Gesetz ist am 1. August 2013 vorbehaltlich einiger Ausnahmen (wie in Tabelle 4 dargestellt) in Kraft

getreten und gilt grundsätzlich für die öffentlich-rechtliche Verwaltungstätigkeit der Behörden des Bun-

des sowie für die Behörden der Länder und Kommunen, wenn sie Bundesrecht ausführen.

Es regelt insbesondere den elektronischen Zugang zur Verwaltung, elektronische Bezahlmöglichkeiten

und die elektronische Aktenführung. Relevant für De-Mail sind vor allem Änderungen des Verwaltungs-

verfahrensgesetzes des Bundes, dahingehend, dass die (absenderbestätigte) De-Mail die Schriftform im

Bereich des Verwaltungsrechts ersetzt. Diese Regelungen werden von den einzelnen Bundesländern

sukzessive in Landesrecht übernommen. Die Regelungen der Abgabenordnung sowie des Sozialgesetz-

buches I zur Schriftform werden inhaltsgleich angepasst.

Tabelle 4: Relevante Fristen aus dem EGovG mit Bezug zu De-Mail

Inkrafttreten am Bedeutung

1. Juli 2014 Pflicht der Behörden von Bund und Ländern, elektroni-

sche Dokumente anzunehmen, auch dann, wenn diese mit

einer qualifizierten elektronischen Signatur versehen sind

(„Pflicht zur Zugangseröffnung“).

Möglichkeit, in der Bundesverwaltung De-Mail als Ersatz

der Schriftform einzusetzen.

1 Jahr nach Bereitstellung des zentralen De-Mail-

Gateways für die Bundesverwaltung

Pflicht für Bundesbehörden, per De-Mail erreichbar zu

sein.

Auf Landesebene werden die Verwaltungsverfahren teilweise in eigenen Verwaltungsverfahrensgeset-

zen geregelt, teilweise wird auf das Verwaltungsverfahrensgesetz des Bundes verwiesen. Dort, wo es

17

eigene Verwaltungsverfahrensgesetze gibt, werden diese sukzessive nach dem Vorbild des Bundes-

VwVfG angepasst. Tabelle 5 gibt eine Übersicht, in welchen Landesverwaltungsverfahrensgesetzen dies

bereits geschehen ist.

Tabelle 5: Übersicht Geltungsbereiche des VwVfG (Stand: August 2014)

Land Gesetzesform De-Mail erfasst

Baden-Württemberg Vollgesetz Ja

Bayern Vollgesetz noch nicht

Berlin Verweisungsgesetz (dynamisch) Ja

Brandenburg Verweisungsgesetz (dynamisch) Ja

Bremen Vollgesetz Ja

Hamburg Vollgesetz Ja

Hessen Vollgesetz noch nicht

Mecklenburg-Vorpommern Vollgesetz Ja

Niedersachsen Verweisungsgesetz (dynamisch) Ja

Nordrhein-Westfalen Vollgesetz Ja

Rheinland-Pfalz Verweisungsgesetz (dynamisch) Ja

Saarland Vollgesetz Ja

Sachsen Verweisungsgesetz (dynamisch) Ja

Sachsen-Anhalt Verweisungsgesetz (dynamisch) Ja

Schleswig-Holstein Vollgesetz noch nicht

Thüringen Vollgesetz Ja

3.3 Verwaltungszustellungsgesetz

Das Verwaltungszustellungsgesetz regelt die Form und das Verfahren der Zustellung für die Bundesbe-

hörden. Für De-Mail ist hier insbesondere §5a VwZG relevant, der die elektronische Zustellung gegen

Abholbestätigung über De-Mail-Dienste regelt. Es ist somit möglich, förmliche Zustellungen, die bislang

per Postzustellungsauftrag versandt wurden, durch De-Mail (mit Abholbestätigung) zu ersetzen.

Analog der Verwaltungsverfahrensgesetze werden auch im Bereich der Zustellung auf Landesebene

teilweise eigene Gesetze verabschiedet. Die meisten Landesgesetze verweisen hier dynamisch auf das

Bundesgesetz. Tabelle 6 gibt einen Überblick über die Verwaltungszustellungsgesetze der Länder.

Tabelle 6: Übersicht Geltungsbereiche des VwZG (Stand: August 2014)

Land Gesetzesform De-Mail erfasst

Baden-Württemberg Vollgesetz noch nicht

Bayern Vollgesetz Ja

Berlin Verweisungsgesetz (dynamisch) Ja

Brandenburg Verweisungsgesetz (dynamisch) Ja

Bremen Verweisungsgesetz (dynamisch) Ja

18

Land Gesetzesform De-Mail erfasst

Hamburg Verweisungsgesetz (dynamisch) Ja

Hessen Verweisungsgesetz (dynamisch) Ja

Mecklenburg-Vorpommern Vollgesetz Ja

Niedersachsen Verweisungsgesetz (dynamisch) Ja

Nordrhein-Westfalen Vollgesetz Ja

Rheinland-Pfalz Verweisungsgesetz (dynamisch) Ja

Saarland Verweisungsgesetz (dynamisch) Ja

Sachsen Verweisungsgesetz (dynamisch) Ja

Sachsen-Anhalt Verweisungsgesetz (dynamisch) Ja

Schleswig-Holstein Vollgesetz noch nicht

Thüringen Vollgesetz Ja

3.4 E-Justice-Gesetz

Das „Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten“ vom 10. Oktober 2013

ist ein Änderungsgesetz und verfolgt unter anderem das Ziel, den elektronischen Zugang zu Gerichten zu

erweitern und die elektronische Aktenführung zu fördern. So wird insbesondere De-Mail als ein „siche-

rer Übermittlungsweg“ festgelegt. Damit können elektronische Dokumente künftig auch per De-Mail bei

Gericht eingereicht werden.

19

4 Einführung von De-Mail

Im folgenden Kapitel sind verschiedene Handreichungen und Hinweise zur Einführung von De-Mail zu-

sammengefasst. Diese Handreichungen und Hinweise sind strukturiert entlang von Projektphasen, die

im Rahmen der Einführung von De-Mail häufig durchlaufen werden.

Die folgenden möglichen Projektphasen wurden dabei zu Grunde gelegt:

Vorbereitung und Analyse

Design

Wirtschaftlichkeitsbetrachtung

Vergabeverfahren

Umsetzungsplanung

Umsetzung

In den folgenden Kapiteln werden für jede Projektphase zunächst mögliche Aktivitäten aufgelistet. Im

Anschluss daran werden relevante Themenfelder detaillierter beschrieben, die als Handreichungen bei

der Durchführung der genannten Aktivitäten unterstützen sollen.

Welche Projektphasen und Aktivitäten jeweils im Vordergrund stehen, ist abhängig von den organisato-

rischen und technischen Rahmenbedingungen des entsprechenden Einzelfalls.

Alle Projektphasen und möglichen Aktivitäten sind im Anhang zusätzlich als Checkliste aufbereitet.

4.1 Vorbereitung und Analyse

Im Rahmen der Projektphase „Vorbereitung und Analyse“ kommen die folgenden Aktivitäten in Be-

tracht:

Definition der Handlungsfelder

Auswahl der Verwaltungsprozesse

Prüfung der Rechtsgrundlagen

Analyse der Formerfordernisse

Analyse beteiligter Akteure

Analyse beteiligter Fachverfahren

Berücksichtigung der elektronischen Aktenführung

Definition der technische Integration

Sicherheitstechnische Betrachtung

Nutzung von Best-Practice Lösungen

Die folgenden Themenfelder sollen als Handreichung bei der Durchführung der genannten Aktivitäten

unterstützen.

20

4.1.1 Strukturierung der Prozesse und Identifikation möglicher De-Mail-Einsatzszenarien

Im Rahmen der Projektphase „Vorbereitung und Analyse“ steht die Betrachtung möglicher Einsatzszena-

rien für De-Mail im Vordergrund. Grundlage hierfür ist zunächst eine detaillierte Untersuchung der

Kommunikationsprozesse. Dabei ist zu beobachten, dass Kommunikationsprozesse zwischen der Ver-

waltung und einem weiteren Kommunikationspartner immer wieder aus denselben oder ähnlichen Pro-

zessbausteinen zusammengesetzt sind. Im Ergebnisbericht des Kompetenzzentrums CC De-Mail wurden

fünf Prozessbausteine identifiziert und näher beschrieben2 – siehe auch Abbildung 4.

Meldung Mitteilung eines Sachverhaltes an eine Behörde

Antrag/Anfrage Nach dem Stellen eines „Antrags“ oder einer „Anfrage“ wird meist von der

Behörde eine Antwort erwartet.

Bescheid In der Regel sind „Bescheide“ schriftliche Verwaltungsakte und damit be-

hördliche Schreiben, die in einer bestimmten Form verfasst werden müs-

sen. Sie können Ergebnis eines Antrages sein oder von der Behörde von

sich aus versendet werden.

Auskunft „Auskunft“ ist die Mitteilung eines Sachverhaltes durch eine Behörde – in

der Regel als Reaktion auf eine Anfrage.

Allgemeine Kommunikation Unter „Allgemeine Kommunikation“ werden Kommunikationsprozesse

verstanden, die keinem der vorgenannten Prozessbausteine zugeordnet

werden können.

Der Gesamtprozess eines Szenarios besteht zumeist aus mehreren Bausteinen, die in verschiedenen

Prozessschritten zum Tragen kommen.

2 Vgl. BMI; Kompetenzzentrum De-Mail für die öffentliche Verwaltung, „De-Mail-Einsatzszenarien“, V 1.0

vom 21. Juni 2012; S.5ff. (http://www.cio.bund.de/Web/DE/Innovative-Vorhaben/De-Mail/De-Mail-integrieren/de-mail_integrieren_node.html)

21

Abbildung 3: Kommunikationsbausteine bei Einsatzszenarien mit der Verwaltung3.

4.1.2 Prozessanalyse

Ausgehend von der groben Strukturierung möglicher Prozesse sollten die grundsätzlich in Frage kom-

menden Prozesse im nächsten Schritt detaillierter analysiert werden. Ergebnis der Betrachtung ist eine

Empfehlung für oder gegen die Umsetzung/Unterstützung des betrachteten Prozesses mit De-Mail:

Definition der Handlungsfelder, bei denen im nächsten Schritt Prozesse bzgl. ihrer Eignung ana-

lysiert werden sollen. Der Fokus der Handlungsfelder liegt auf den Kommunikationsbeziehungen

zwischen Verwaltung und Unternehmen sowie zwischen Verwaltung und Bürgerinnen/Bürgern.

Festlegung auf eine maximale Anzahl zu untersuchender Prozesse. Um im Rahmen des Projekts

möglichst fundierte Ergebnisse zur Einführung von De-Mail erzielen zu können, wird die Anzahl

der relevanten Prozesse (bspw. auf 10) limitiert.

Vorüberlegung von Nutzenargumenten, warum der untersuchte Prozess eines Handlungsfeldes

geeignet für die Nutzung von De-Mail ist. Wesentliche Treiber dieser Untersuchung werden sein:

Kosteneinsparungen, Zeitgewinn (schnellere Bearbeitungszeit), qualitative Aspekte wie Kunden-

bindung und Imagegewinn.

Sicherheitsbetrachtungen bezüglich der Prozesse und De-Mail-Inhalte zur Ableitung von Sicher-

heitsmaßnahmen (De-Mail-Optionen, Ende-zu-Ende-Sicherheit bzgl. Signatur und Verschlüsse-

lung)

Im letzten Schritt dieses Arbeitspaketes werden die ausgewählten Prozesse hinsichtlich ihrer

Machbarkeit zur Umsetzung gegen einen definierten Fragenkatalog untersucht.

3 Quelle: nach CC De-Mail, „De-Mail-Einsatzszenarien“

Behörden

Natürliche Personen

Bescheid

Allg. Kommunikation

Auskunft

Unternehmen

Meldung

Antrag/Anfrage

22

Als Ergebnis der Machbarkeit sowie der ersten Nutzenargumentation wird eine Empfehlung zur

Umsetzung der betrachteten Prozesse ausgesprochen.

Im Folgenden wird ein Szenario aus dem Grobkonzept zur Einführung von De-Mail beim Paul-Ehrlich-

Institut als Beispiel für einen Antrag-Bescheid-Prozess dargestellt.

Praxisbeispiel: Paul-Ehrlich-Institut

Das PEI erwartete von der Einführung der De-Mail eine weiteren Reduktion der papierbasierten Kommunika-tion sowie allgemein eine Verbesserungen bei der Kommunikation mit seinen Zielgruppen. Es wurden zwei Prozesse auf die Tauglichkeit für den Einsatz von De-Mail überprüft:

Prozess Antrag Chargenfreigabe/Änderungsanzeige

Prozess Bescheidversand

Der Prozess „Antrag Chargenfreigabe/Änderungsanzeige“ beschreibt die Abläufe bei Antragseingang eines Kunden. Es kann sich hier um einen Antrag auf Chargenfreigabe bzw. um eine Änderungsanzeige handeln. In Abbildung 5 wird der Prozess in EPK-Form dargestellt. Auf der linken Seite ist der zum Zeitpunkt der Untersu-chung vorhandene Ist-Prozess aufgezeigt. Zu erkennen ist, dass die Bearbeitung rein auf papierbasierter Kommunikation beruht. Auf der rechten Seite ist der De-Mail-Soll-Prozess definiert. Die Arbeitsschritte sind im Wesentlichen gleich, d.h. es muss keine organisatorische Umstellung durchgeführt werden. Die Eingangs-bearbeitung wird lediglich um ein elektronisches Pendant erweitert und löst die manuelle Bearbeitung schrittweise ab.

23

Abbildung 4: Soll-Prozess „Antrag Chargenfreigabe/Änderungsanzeige“

Der Umfang des Prozesses „Bescheidversand“ wurde etwas weiter gefasst, sodass nicht nur Bescheide, son-dern der komplette ausgehende Schriftverkehr in diesem Bereich betrachtet wird. Im Gegensatz zum An-tragseingang sind, wie in Abbildung 6 zu erkennen, deutliche Vereinfachungen des Prozesses möglich gewe-sen. Der vierstufige Teilprozess der Versandvorbereitung wird komplett ersetzt durch den vom Sachbearbei-ter initiierten De-Mail-Versand.

Eingang eines Antrags auf Chargenfreigabe

oder Änderungsanzeige

Prozessende

Antrag bearbeitet

De-Mail-Eingang

XOR

registrieren

Antrag registriert

5

De-Mail an Fachgebiet weiterleiten

De-Mail im Fachgebiet eingetroffen

6

Registratur

Registratur

Antrag bearbeiten

7 Sachbearbeiter

XOR

Antrag per De-Mail

Antrag per De-Mail/ interne E-

Mail

Antrag per De-Mail/ interne E-

Mail

Antrag bei PEI ein-getroffen

Antrag registrieren

Antragseingang ist registriert

2

Antrag an Fachgebiet weiterleiten

Brief im Fachgebiet eingetroffen

3

RegistraturAntrag

Antrag Zentrale Poststelle

Antrag bearbeiten

4

AntragSachbearbeiter

Antrag entgegennehmen

1Zentrale

PoststelleAntrag

24

Abbildung 5: De-Mail-Soll-Prozess „Bescheidversand“

Quelle: Konzept des Paul-Ehrlich-Instituts, Ergebnis der E-Government-Initiative, abrufbar unter http://www.cio.bund.de/Web/DE/Innovative-Vorhaben/De-Mail/De-Mail-integrieren/de-mail_integrieren_node.html

4.1.3 Möglichkeit der stufenweisen Einführung von De-Mail

Im Rahmen der Vorbereitungen sollte berücksichtigt werden, dass es bei der Einführung von De-Mail

unterschiedliche Herangehensweisen gibt im Hinblick darauf, wie tief De-Mail in die vorhandene Organi-

sation und Technik integriert werden soll. Wichtig ist, dass die Anbindung an De-Mail beginnend mit

Versandprozess

Bescheid erstellen

Bescheid erstellt

1

Prozessende

Bescheid

Sachbearbeiter

Bescheid per De-Mail versenden

3Sachbearbeiter

Bescheid

Bescheid per De-Mail

Brief versandt

Versandart prüfen

XOR

Papierbasierter Versand De-Mail-Versand

XOR

2

Bescheid dezentral drucken

Bescheid gedruckt

4

Bescheid

Sachbearbeiter

Bescheid an Poststelle weiterleiten

Brief in Poststelle

5

Bescheid

Zentrale Poststelle

Bescheid für Versand vorbereiten

Briefe sortiert

6

Brief

Zentrale Poststelle

Brief an Postdienstleister übergeben/versenden

7

Frankierter Brief

Postdienst-leister

Bescheid

Bescheid

Bescheid

Brief

25

einer einfachen Einstiegslösung bis hin zur engen Verzahnung der Posteingangs- und Postausgangspro-

zesse sowie der automatisierten Integration in vorhandene IT-Systeme/Fachverfahren stufenweise auf-

einander aufbauend erfolgen kann. Diese Stufen werden im Folgenden kurz vorgestellt.

4.1.3.1 Stufe 1: Passive De-Mail-Nutzung

In der Einstiegsstufe, die mit geringem Aufwand umzusetzen ist, wird lediglich auf eingehende De-Mails

geantwortet. Ein aktiver Versand seitens der Behörde erfolgt nicht.

Dazu ist es erforderlich, dass die Behörde auf geeignete Art und Weise (vgl. 4.2.3 Zugangseröffnung) den

Zugang für De-Mail eröffnet. So kann zum Beispiel im öffentlichen De-Mail-Verzeichnisdienst oder auf

den Webseiten der Behörde eine zentrale De-Mail-Adresse angegeben werden, z.B. poststel-

le@behoerde.de-mail.de. Der Abruf der beim De-Mail-Anbieter eingegangenen De-Mails kann mittels

Webbrowser oder Gateway erfolgen. Hierbei ist es empfehlenswert, dass die so empfangenen De-Mails

von einer zentralen Stelle (z.B. Poststelle) gesichtet und an den zuständigen internen Empfänger weiter-

geleitet werden.

Ist eine Antwort auf eine De-Mail erforderlich, so kann diese ebenfalls von der zentralen Stelle aus (z.B.

Poststelle) mit der entsprechenden Absenderadresse (z.B. poststelle@behoerde.de-mail.de) verschickt

werden.

Vorteil dieser Nutzung ist, dass keine gesonderte elektronische Zugangseröffnung des Kommunikations-

partners erforderlich ist, da der Eingang der De-Mail bereits eine (konkludente) Zugangseröffnung dar-

stellt. Daher ist die Behörde berechtigt, in dieser Angelegenheit auch per De-Mail zu antworten.

Voraussetzungen/Merkmale Stufe 1

De-Mail-Konto der Behörde bei einem De-Mail-Anbieter

Web-Lösung oder De-Mai-Gateway

Zugangseröffnung der Behörde für De-Mail (z.B. im De-Mail-Verzeichnisdienst oder auf der

Webseite der Behörde)

Zentrale Bearbeitungsstelle für ein- und ausgehende De-Mails (z.B. Poststelle) inkl. Einwei-

sung/Schulung des Personals

(Ggf. manuelles) Verfahren zur Veraktung ein- und ausgehender De-Mails

4.1.3.2 Stufe 2: Aktive De-Mail-Nutzung

In der zweiten Stufe reagiert die Behörde nicht nur auf eingehende De-Mails, sondern verschickt diese

auch aktiv.

Im Unterschied zur Stufe 1 ist dafür eine (i.d.R. explizite) Zugangseröffnung für De-Mail seitens des

Kommunikationspartners erforderlich. Allein dadurch, dass die Behörde die De-Mail-Adresse eines Bür-

gers kennt, ist der Zugang i.d.R. nicht eröffnet.

26

Im Zusammenhang mit der Zugangseröffnung sind folgende Maßnahmen erforderlich:

1. Ermittlung der De-Mail-Adresse des Kommunikationspartners, z.B.

im Rahmen des Prozesses zur Zugangseröffnung (s.u.),

durch Mitteilung der De-Mail-Adresse auf Formularen oder per E-Mail an die Behörde,

bei Telefongesprächen oder Vor-Ort-Terminen,

durch Suche im Öffentlichen Verzeichnisdienst der De-Mail-Anbieter.

(Voraussetzung ist, dass der Bürger seinen Namen und seine Anschrift veröffentlicht

hat.)

2. Zuordnung der De-Mail-Adresse zum jeweiligen Kommunikationspartner und Speicherung an

geeigneter Stelle (z.B. Fachverfahren, Datenbank)

3. Zugangseröffnung des Kommunikationspartners, z.B.:

Einsatz einer eigenen Webseite „Registrierung/Zugangangseröffnung“, auf der De-Mail-

Adresse und persönliche Daten (z.B. Vor-/Nachname, Adresse, Geburtsdatum) eingege-

ben und entsprechende Häkchen für die Zugangseröffnung gesetzt werden können. Die

Kommunikationspartner sind auf die rechtlichen Folgen der Zugangseröffnung hinzu-

weisen.

Bekundung der Zugangseröffnung auf (Papier-)Formularen inkl. Angabe der De-Mail-

Adresse.

Versand einer De-Mail an die Behörde mit Bekundung der Zugangseröffnung.

Globale Zugangseröffnung durch Auswahl der entsprechenden Option („Häkchen“) im

Öffentlichen Verzeichnisdienst von De-Mail (vgl. 4.2.5 Öffentlicher De-Mail-

Verzeichnisdienst (ÖVD).

Für den Versand gibt es ebenfalls verschiedene Möglichkeiten, je nachdem wie viele De-Mails von wel-

chen Mitarbeitern/Organisationseinheiten verschickt werden sollen:

1. Versand über eine zentrale Stelle (z.B. Poststelle) mit einheitlicher Absenderadresse (z.B. post-

stelle@behoerde.de-mail.de)

2. Versand nur von Organisationspostfächern/-adressen (z.B. steueramt@behoerde.de-mail.de,

standesamt@behoerde.de-mail.de, dezernat2@behoerde.de-mail.de)

3. (Persönlicher) Versand auch durch Mitarbeiter der Behörde (z.B. franz.meier@behoerde.de-

mail.de )4

4 Im rechtlichen Sinne ist der Absender der De-Mail auch hier die Behörde, über deren De-Mail-Konto die De-Mail

verschickt wird – und nicht der Mitarbeiter (als natürliche Person).

27

Voraussetzungen/Merkmale Stufe 2

De-Mail-Konto der Behörde bei einem De-Mail-Anbieter

Zugangseröffnung der Behörde für De-Mail (z.B. im De-Mail-Verzeichnisdienst oder auf der

Webseite der Behörde)

De-Mail-Adresse und Zugangseröffnung der Kommunikationspartner

Organisatorische Regelungen zum De-Mail-Empfang und -Versand (Organisationspostfächer

und/oder Mitarbeiter) inkl. entsprechender Einweisungen/Schulungen

4.1.3.3 Stufe 3: De-Mail-Integration

Die größten Nutzeffekte werden durch die Integration von De-Mail in Verwaltungsprozesse und Fachver-

fahren erzielt. Hierbei wird das IT-Fachverfahren automatisiert an De-Mail angebunden. Bürger können

dann gegenüber der Behörde bekunden, dass sie Vorgänge grundsätzlich über De-Mail bekommen wol-

len. Die Behörde hinterlegt daraufhin die De-Mail-Adresse des Bürgers in ihrem IT-Fachverfahren. Im

Ergebnis werden anschließend alle De-Mail-fähigen-Vorgänge (also die entsprechend im Fachverfahren

als De-Mail-fähig markierten Postausgangsprozesse) automatisch als De-Mail geschickt und nicht mehr

als Papierbrief.

Die Stufen 2 und 3 können auch parallel realisiert sein. So können bestimmte Kommunikationsprozesse

der Behörde per De-Mail über Organisations- und/oder Mitarbeiter-Postfächer abgewickelt werden,

andere dagegen über die De-Mail-Integration in Fachverfahren.

Daher werden nachstehend nur jene Voraussetzungen/Merkmale aufgelistet, die zusätzlich zu denen

der Stufe 2 zu berücksichtigen sind.

Voraussetzungen/Merkmale Stufe 3

Anpassung von Fachverfahren, um automatisiert De-Mails versenden, empfangen und bearbei-

ten zu können und/oder

Integration von De-Mail in Input-/Output-Management-Systeme

Organisatorische und technische Regelungen zur Integration von De-Mail

28

4.1.4 Veraktung und Langzeitspeicherung5

Für Behörden gilt im Umgang mit De-Mail das Prinzip der Aktenmäßigkeit ebenso wie bei der E- oder

Papier-Akte. Aktenrelevante Dokumente sind nach den Vorgaben der Aktenordnung aufzubewahren.

Insbesondere sind Authentizität, Integrität und Vertraulichkeit über den gesamten Lebenszyklus der

Akte zu gewährleisten. Dies erfordert, nach Abschluss der Akten und Vorgänge deren beweissichere

Langzeitspeicherung und nach Ablauf der geltenden Aufbewahrungsfristen die Anbietung des Schriftguts

an die zuständigen Archive.

Abbildung 6: Lebenszyklus behördlichen Schriftguts

Die Möglichkeiten zur Veraktung und Langzeitspeicherung von De-Mails sind sehr vielfältig und hängen

insbesondere davon ab, ob die Weblösung (Variante 1) oder ein zentrales/dezentrales De-Mail-Gateway

(Varianten 2 und 3) eingesetzt wird, ob das Gateway über eine geeignete „Archivierungs-“Schnittstelle

verfügt und ob E-Akten und Dokumentenmanagementsysteme im Einsatz sind. Müssen zum Beispiel

bereits qualifiziert elektronisch signierte Dokumente veraktet und beweiswerterhaltend aufbewahrt

werden, so können in ähnlicher Art und Weise auch die (signierten) De-Mails behandelt werden.

5 Zum Thema Veraktung und Langzeitspeicherung wurden im Rahmen der E-Government-Initiative für

De-Mail und den Personalausweis (Bundesministerium des Innern) mehrere Konzepte erarbeitet und unter http://www.cio.bund.de/Web/DE/Innovative-Vorhaben/De-Mail/De-Mail-integrieren/de-mail_integrieren_node.html veröffentlicht.

29

4.2 Design

Im Rahmen der Projektphase „Design“ kommen die folgenden möglichen Aktivitäten in Betracht:

Definition der Soll-Prozesse

Erstellung eines Architekturmodells

Konzeption der Zugangseröffnung

Ermittlung der Supportstruktur

Die folgenden Themenfelder sollen als Handreichung bei der Durchführung der genannten Aktivitäten

unterstützen.

4.2.1 Fachliches/organisatorisches und technisches Design

Aufbauend auf den Ergebnissen der Analyse-Phase werden die erforderlichen fachlich/organisatorischen

und technischen Designentscheidungen getroffen und die entsprechenden Konzepte erstellt, die später

Grundlage für die Umsetzung sind.

Primäre Aufgaben im Bereich des fachlichen/organisatorischen Designs sind:

Anhand der Umsetzungsempfehlung wird für jeden untersuchten, geeigneten Prozess ein Soll-

Prozess zur Umsetzung mit De-Mail (De-Mail-Prozess) konzipiert.

In Vorbereitung auf die spätere Beschaffung der Accounts bei einem DMDA werden Kriterien für

die Auswahl des möglichen DMDA definiert. Darauf aufbauend werden konzeptionelle Vorberei-

tungen für die spätere Auswahl getroffen.

Um De-Mail nutzen zu können, müssen Accounts bei einem DMDA beantragt werden. Die not-

wendigen Vorbereitungen wie die Beschaffung benötigter Handlungsvollmachten, einzu-

reichender Unterlagen sowie der Anmeldeprozess werden geplant.

Für die Nutzung von De-Mail müssen die jeweiligen Kommunikationspartner den Zugang eröff-

nen. Es wird untersucht, wie diese Zugangseröffnung auf eigener Seite durchgeführt werden

kann und welche Anforderungen an den Prozess der Zugangseröffnung auf externer Seite ge-

stellt werden müssen. Zudem sind datenschutzrechtliche Fragestellungen zu Speicherung, Zu-

griff und Nutzung zu beachten. Eine Abstimmung mit IT-Sicherheits- und Datenschutzbeauftrag-

ten findet statt.

Beim Eingang von De-Mails bei einer entsprechenden Stelle wird definiert, wie De-Mails an die

sachbearbeitenden Stellen weitergereicht werden können. Es werden Aufbau- und Ablauforga-

nisationen konzipiert.

In Zusammenhang mit bestehenden Supportorganisationen wird konzipiert, wie sich De-Mail in

diese eingliedern kann. Eine entsprechende Beschreibung der Aufgaben dieser Stellen wird er-

stellt.

30

Primäre Aufgaben im Bereich des technischen Designs sind:

Die Art der Anbindung an die De-Mail-Infrastruktur wird untersucht. Grundlage dieses Konzepts

bildet die Entscheidung, ob lediglich ein Webportal oder eine direkte Anbindung an die De-Mail-

Infrastruktur über ein De-Mail-Gateway realisiert werden soll. Im Fall der Gatewayanbindung

wird konzipiert, ob und wie eine zentrale Infrastruktur und/oder dezentrale Anbindungen jeder

Einrichtung an De-Mail aufgebaut bzw. eingerichtet werden kann.

Zur Nutzung von De-Mail innerhalb einer Einrichtung müssen De-Mails in die E-Mail-

Infrastruktur geleitet werden. Diese Anbindung an den entsprechenden E-Mail-Server wird kon-

zipiert.

In Abhängigkeit von der Anbindung und dem Konzept zur Nutzung der internen E-Mail-

Infrastruktur müssen entsprechende Anpassungen an Firewalls und Mail-Relays durchgeführt

werden, die konzipiert werden.

Analog zum Konzept der Firewallanpassungen wird konzipiert, wie der interne Viren- und Mal-

wareschutz mit eingehenden De-Mails umgehen darf und muss. Weitere notwendige Maßnah-

men zur IT-Sicherheit beim Versand und Empfang von De-Mails über die Behörden-E-Mail-

Infrastruktur müssen definiert werden.

Sofern ein „Massenversand“ von De-Mail relevant ist, werden die Anbindungen der für die un-

tersuchten Prozesse relevanten Fachverfahren betrachtet und technisch konzipiert.

Die Belange des Datenschutzes sowie der fachlichen Anforderungen an die Zugangseröffnung

werden in technische Konzepte zur Adressspeicherung übersetzt. Insbesondere werden hier

Verfahren dargestellt, wie die Integration von eigenen Verfahren/Systemen mit von De-Mail be-

reitgestellten Verfahren wie dem Öffentlichen Verzeichnisdienst in Einklang gebracht werden

können.

De-Mails sind im Ein- und Ausgang zumeist aktenrelevante, elektronische Dokumente, die ne-

ben der Veraktung auch in die Archivierung bzw. Langzeitspeicherung überführt werden müs-

sen.

Wenn Ende-zu-Ende-Sicherheit (Signatur oder/und Verschlüsselung) erforderlich sein sollte,

muss ein Konzept für die Integration der dafür erforderlichen Hard- und Softwarekomponenten

(z.B. Krypto-Gateways, Verschlüsselungs-Plug-Ins, Signaturanwendungen usw.) in die IT-Systeme

und Anwendungen erstellt werden.

4.2.2 Domainkonzept

Da die Kommunikation von De-Mail auf verbreiteten Internet- und E-Mailstandards basiert, können zur

Adressierung von Absendern und Empfängern etablierte E-Mail-Verfahren genutzt werden. De-Mail-

Adressen sind analog zu normalen E-Mail-Adressen aufgebaut. In Abbildung 7 ist der mögliche Aufbau

einer De-Mail-Adresse dargestellt.

31

Zu jedem De-Mail-Konto gehört eine eindeutige De-Mail-Adresse. Aufbauend auf dieser kann das De-

Mail-Adressschema der jeweiligen Behörde festgelegt werden.

Gelesen wird eine De-Mail-Adresse von rechts nach links, wobei ein hierarchisches Prinzip verfolgt wird.

Ganz rechts steht die Top-Level-Domain, die häufig die Zugehörigkeit zu einem Land kennzeichnet. Bei

De-Mail folgt an zweiter Stelle von rechts die Kennzeichnung, dass es sich um eine De-Mail handelt.

Hierbei wird vor allem von der Sammeldomain „de-mail“ Gebrauch gemacht. Die De-Mail-Anbieter kön-

nen aber auch eigene De-Mail-Domains registrieren lassen. An dritter Stelle von rechts folgt die Kenn-

zeichnung des Inhabers des De-Mail-Kontos, wie bspw. „landkreis-schwandorf“. Diese drei Hierarchien

werden vom De-Mail-Anbieter verwaltet und können nicht durch den Inhaber des Kontos geändert wer-

den. Nach der dritten Stelle können weitere Subdomains, Unterbezeichnungen oder lokale Adressen

durch den Konteninhaber frei vergeben werden (im Regelfall über entsprechende Konfiguration im De-

Mail-Gateway), z.B. poststelle@gesundheitsamt.landkreis-schwandorf.de-mail.de. Die Bezeichnungen

links vom „@“ können ebenfalls vom Kontoinhaber frei gewählt werden, z.B. „poststelle“ oder

„franz.meier“.

Abbildung 7: Domaindarstellung

Im Hinblick auf die Frage, welche Behörden/Ämter eigene De-Mail-Konten benötigen, sind die Regelun-

gen des VwVfG zur Schriftformersetzung durch De-Mail zu beachten. So kann gemäß § 3a Abs. 2 Satz 4

Nr. 3 VwVfG eine durch Rechtsvorschrift angeordnete Schriftform bei elektronischen Verwaltungsakten

oder sonstigen elektronischen Dokumenten der Behörden durch Versendung einer absenderbestätigten

De-Mail ersetzt werden. Bei solchen schriftformbedürftigen Bescheiden muss die De-Mail dabei die er-

lassende Behörde als Nutzer des De-Mail-Kontos erkennen lassen.

Im kommunalen Bereich ist im Regelfall der/die Oberbürgermeister/in die erlassende Behörde, da es

insoweit nicht auf das jeweils handelnde Amt, Referat, Dezernat o.dgl. ankommt.

(d.h „kommune/stadt.de-mail.de“). Ausnahmen hiervon können sich auf Grundlage landesspezifischer

und/oder von Kommunalverfassungen ergeben, wenn einzelnen Behörden gesetzlich oder durch ent-

sprechende Organisationsverfügung Aufgaben zur eigenständigen Erledigung zugewiesen wurden.

4.2.3 Zugangseröffnung

Nach den Verwaltungsverfahrensgesetzen des Bundes und der Länder ist die elektronische Kommunika-

tion nur dann zulässig, wenn beide Kommunikationspartner den elektronischen Zugang (z.B. für De-

Mail) eröffnet haben. Voraussetzungen für die Zugangseröffnung sind:

32

1. die technische Anbindung an De-Mail, um De-Mails empfangen und versenden zu können,

2. die Bekanntmachung der Kommunikationsmöglichkeit sowie

3. die Erklärung gegenüber dem Kommunikationspartner, dass der Zugang eröffnet worden ist.

Die Erklärung der Zugangseröffnung gestaltet sich für die Behörde einfach. Durch Angabe der De-Mail-

Adresse auf der Internetseite der Behörde ist, im Regelfall, der Zugang eröffnet, sodass Kunden und

Kommunikationspartner De-Mails (wie bspw. Anträge, Anfragen, …) übersenden können und eine Bear-

beitung sichergestellt ist. In manchen Bundesländern ist zudem eine Bekanntmachung im Amtsblatt o. a.

notwendig.

Damit die Behörde bspw. mit einem Kunden per De-Mail kommunizieren darf, muss dieser der Behörde

ebenfalls den Zugang eröffnet haben. Dabei können verschieden Arten der Zugangseröffnung hinsicht-

lich Dauer und Umfang gewählt bzw. definiert werden.

Juristische Personen können gleichfalls, wie eine Behörde, den Zugang eröffnen, indem die De-Mail-

Adresse auf der Internetseite, auf Visitenkarten, Werbematerialien oder ähnlichem angegeben wird.

Bei natürlichen Personen wird davon ausgegangen, dass höhere Anforderungen der Zugangseröffnung

erfüllt werden müssen. So soll der Bürger vor den Folgen seines möglicherweise unwissenden Handelns

geschützt werden. Der Zugang kann

für ein bestimmtes Verfahren, d.h. einen konkreten Einzelfall, oder

global für alle (auch zukünftigen) Verfahren eröffnet werden.

Wendet sich der Kommunikationspartner in einer bestimmten Angelegenheit per De-Mail an die Behör-

de, kann davon ausgegangen werden, dass auch eine Antwort auf diesem Kanal erwünscht ist und der

Anfragende/Antragsteller damit implizit (konkludent) den Zugang für die elektronische Kommunikation

per De-Mail eröffnet hat. Eine Möglichkeit für die Behörde, aus anderen Anlässen heraus eine Kommu-

nikation zu beginnen, kann daraus allerdings grundsätzlich nicht abgeleitet werden.

Sollen für andere Verfahren die Möglichkeiten der elektronischen Kommunikation genutzt werden,

muss der Kommunikationspartner diesem ausdrücklich zugestimmt haben. So kann bspw. per De-Mail

angegeben werden, dass zukünftig der Empfang von De-Mails erlaubt und gewünscht ist. Alternativ oder

zusätzlich kann die Behörde Registrierungsseiten anbieten, auf denen sich der Kommunikationspartner

einträgt und damit den Zugang eröffnet.

Mit Änderung des De-Mail-Gesetzes durch das E-Government-Gesetz besteht zudem für De-Mail-Nutzer

die Möglichkeit, über die Aktivierung einer Auswahlfunktion im Öffentlichen Verzeichnisdienst von De-

Mail den Zugang behördenübergreifend zu eröffnen.

33

4.2.4 Designentscheidungen im Hinblick auf die Anbindung an De-Mail

Die allgemeinen Ausführungen aus Kapitel 2.2.6 zu möglichen Architekturen der Anbindung an De-Mail

(Nutzung über Web vs. Nutzung über Gateway) werden im Folgenden im Hinblick auf die dieser Phase

anstehenden technischen Designentscheidungen detaillierter dargestellt.

4.2.4.1 De-Mail-Web

Falls De-Mail in Form einer Webanwendung genutzt wird, müssen die empfangenen und ggf. auch die

gesendeten De-Mails in geeigneter Form exportiert und in die Verwaltungsprozesse der Behörde über-

nommen werden können. De-Mail sieht dazu einen manuellen Export vor. Der Nutzer kann innerhalb

seines Kontos auf dem Webportal einen Export anstoßen. Dazu markiert er die zu exportierenden De-

Mails und startet den Export. Die De-Mails werden nun standardmäßig im „mbox“-Format exportiert.

Das mbox-Format ist ein textbasiertes Format, welches alle exportierten Nachrichten in ihrer originären

Form, d.h. ohne Veränderung, in einer Datei speichert. Zusätzlich ist der Export einzelner De-Mails mög-

lich, so dass diese im Dateisystem (z.B. mit der Endung .msg) durch vorhandene E-Mail-Programme ge-

öffnet werden können.

So ist seit Anfang 2014 gemäß Technischer Richtlinie De-Mail des BSI (TR 01201 Teil 3.4, Vers. 1.1.1)

neben dem Export im mbox-Format auch der Export einzelner Nachrichten im plain-text-Format gemäß

RFC 2822 mit allen Headern, Nachrichten-Body und Anhängen möglich. Der Export einzelner De-Mails in

einem gängigen E-Mail-Format (das z.B. auf einen Datenträger gespeichert und dann in Outlook geöffnet

werden kann) ist wichtig für die allgemeine Verkehrsfähigkeit von De-Mails. Die exportierten De-Mails

beinhalten bei Nutzung der entsprechenden Versandoptionen (z.B. absenderbestätigte De-Mail) auch im

Exportformat die vom DMDA angebrachte Signatur, so dass die Integrität der Nachricht außerhalb der

De-Mail-Infrastruktur (z.B. bei Gericht) geprüft werden kann.

Die De-Mail-Anbieter stellen auch bei Web-basierter Nutzung, auf Wunsch der Behörde, Unterkonten

für De-Mails mit bestimmten Adressen zur Verfügung. So können z.B. Referate oder Abteilungen einer

Behörde eigene De-Mail-Unterkonten mit eigenen Zugriffrechten erhalten. Unterkonten werden durch

Definition von Subdomänen realisiert. So könnte zum Beispiel bei einer bestehenden Domäne „behoer-

de.de-mail.de“ vorgesehen werden, dass das Grundsatzreferat über ein eigenes Unterkonto auf De-

Mails zugreifen kann. Hierfür würde die Subdomäne „grundsatz“ definiert und das Unterkonto dieser

Adresse zugeordnet. Im Ergebnis könnten eingehende De-Mails der Form XYZ@grundsatz.behoerde.de-

mail.de von den Berechtigten dieses Unterkontos bearbeitet werden.

Dieses Verfahren ist nur relevant, wenn keine De-Mail-Gatewayanbindung realisiert wird, sondern der

Zugang lediglich per Webbrowser auf das De-Mail-Konto erfolgt. Durch die Definition von Unterkonten

können zusätzliche Rechte und Rollen für das Unterkonto und den Zugang hierzu definiert werden.

Beim Einsatz eines De-Mail-Gateways wird die Administration von Subdomänen im Gateway vorge-

nommen.

34

4.2.4.2 De-Mail-Gateway (zentral und dezentral)

Das De-Mail-Gateway ist der zentrale Knoten für die Anbindung einer Behörde an die De-Mail-

Infrastruktur des DMDA und somit an De-Mail.

Dabei werden vom Gateway folgende Aufgaben wahrgenommen:

Authentisierung gegenüber dem DMDA

Abholen von De-Mails vom Postfach beim DMDA

Weiterleiten von zu sendenden De-Mails an den DMDA zum weiteren Versand

Weiterleiten von eingehenden De-Mails an den internen E-Mail-Server zur Darstellung auf ei-

nem Benutzerclient oder in einem Fachverfahren

Umwandeln der internen E-Mail-Adressen in externe De-Mail-Adressen und umgekehrt

Authentifizierung und Autorisierung interner Benutzer, die De-Mail nutzen dürfen

Verwaltung der wesentlichen Konten wie bspw. das Catch-All-Postfach

Unterstützung von Ausleitungsmöglichkeiten zur Ablage/Langzeitspeicherung von ein- und aus-

gegangenen De-Mails

35

Abbildung 8: Darstellung der Funktionen eines De-Mail-Gateways

Die Authentisierung gegenüber dem DMDA erfolgt über eine Verbindung, die mittels standardisierter

Sicherheitsverfahren wie Transport Layer Security (TLS, Transportverschlüsselung) gesichert ist. Zur Au-

thentisierung kommen Hardwaretoken oder spezielle Smartcards zum Einsatz, die eine eindeutige Zu-

ordnung des De-Mail-Gateways zu einem oder auch mehreren De-Mail-Konten realisieren. Die Verbin-

dung wird ausgehend vom De-Mail-Gateway aufgebaut - kein Verbindungsaufbau zum Gateway. Zur

Freigabe in den DMZs einer Behörde oder eines DLZ-IT müssen also keine eingehenden Regeln in der

Firewall definiert werden.

Im De-Mail-Gateway müssen neben den Kontodaten beim DMDA zudem die Verbindungsmöglichkeiten

bzw. Adressen zu den internen E-Mail-Servern konfiguriert werden. Beim Eingang einer De-Mail kann

das Gateway eine Verbindung zum internen E-Mail-Server aufbauen und mittels SMTP die Nachricht

über eine sichere Verbindung in die interne E-Mail-Infrastruktur weiterleiten.

Im Bereich der internen E-Mail-Infrastruktur bilden die E-Mail-Server bzw. -Relays die Schnittstelle zum

Gateway. Beim Empfang von De-Mails müssen die Nachrichten lediglich in das adressierte Postfach des

Empfängers gelegt werden. Die Adresstransformation wird durch das De-Mail-Gateway durchgeführt.

Beim Versand muss der E-Mail-Server zunächst unterscheiden, ob „normale“ E-Mails verschickt werden

sollen oder De-Mails über das De-Mail-Gateway. Daher sind in diesem Server entsprechende Regeln für

den Postausgang zu definieren. Bei De-Mail-Empfängeradressen muss die Nachricht nach Identifikation

36

anhand einer De-Mail-Domäne zwecks Weiterleitung an das De-Mail-Gateway geschickt werden. Zu

achten ist darauf, dass neben der Standard-Sammel-Domain „*.de-mail.de“ auch weitere Domänen von

den DMDAs für die Nutzung von De-Mail bekannt gemacht worden sind. Das BSI stellt eine entspre-

chende Liste zur Verfügung, auf der alle De-Mail-Domänen verzeichnet sind.6

Sobald eine größere Anzahl an internen „De-Mail-Adressen“ eingerichtet werden soll oder mit häufigen

Änderungen der Adressen zu rechnen ist, empfiehlt es sich, um die Mappingtabelle des Gateways nicht

manuell pflegen zu müssen, einen lokalen Verzeichnisdienst (z.B. LDAP oder AD) an das Gateway anzu-

schließen und die Adressen zwischen den Komponenten zu synchronisieren.

Neben der Anbindung an die De-Mail-Infrastruktur hat das De-Mail-Gateway die Aufgabe, ein- und aus-

gehende Nachrichten mit den weiterleitbaren Absender- bzw. Empfängeradressen zu versehen. Im

Nachrichtenausgang werden De-Mails mit einem De-Mail-Empfänger adressiert. Da die Nachrichten

aber per E-Mail an das Gateway geleitet werden und zudem aus der internen E-Mail-Infrastruktur kom-

men, gehört die Absender-E-Mail-Adresse zur E-Mail-Domäne der Behörde. Das Gateway muss diese

Adresse auf die Absender-De-Mail-Adresse der Behörde umschreiben.

Beispiel: Eine Sachbearbeiterin des Fachreferats „Zulassung“ möchte eine De-Mail an einen Kunden senden. Intern wird die E-Mail-Absenderadresse zulassung@behoerde.de benutzt. Der Empfänger hat die De-Mail-Adresse antragsteller@kunde.de-mail.de. Das Gateway validiert zunächst auf Basis der Adressmapping-Tabelle, ob der Absender für den Versand von De-Mails zugelassen ist. Dann setzt es die interne E-Mail-Adresse in die lt. Adressmapping-Tabelle zugehörige De-Mail-Adresse um (z.B. zulassung@behoerde.de zulassung@behoerde.de-mail.de). Somit wird sichergestellt, dass der interne Empfänger der Nachricht direkt über die Antworten-Funktion seines E-Mail-Clients eine Nach-richt zurücksenden kann. Bei Eingang einer solchen Nachricht an zulassung@behoerde.de-mail.de muss das De-Mail-Gateway zunächst in der Adressmapping-Tabelle nachschlagen, welche interne E-Mail-Adresse dieser De-Mail-Adresse zugeordnet ist. Danach leitet es die Nachricht intern weiter an zulassung@behoerde.de. Der interne E-Mail-Server kann die Nachricht dann in das Postfach des Referats Zulassung einstellen.

Nachrichten im Eingang, für die keine Zuordnung in der Adressmapping-Tabelle existiert, können nicht

abgewiesen werden, da sie bereits als eingegangen gelten – schließlich haben sie das De-Mail-Postfach

des Empfängers erreicht und entsprechende Bestätigungsnachrichten wurden gegebenenfalls bereits

verschickt. In diesem Fall wird das Standardpostfach oder Catch-All-Postfach der Behörde (z. B. clearing-

stelle@behoerde.de) als Weiterleitungsadresse für die Nachricht benutzt und die De-Mail dorthin aus-

geliefert.

Lokales De-Mail-Gateway (Variante 2)

Beim Einsatz eines lokalen Gateways ist eine Internetanbindung zwingend erforderlich, da der DMDA

über das Internet angesprochen wird. Zur Konfiguration der Firewalls gelten die oben gemachten Aussa-

6 https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/EGovernment/DeMail/Akkreditierte_DMDA/Akkreditierte_DMDA_node.html

37

gen, dass lediglich ausgehende Verbindungen zum DMDA zugelassen werden müssen. Unter Umständen

können Aktualisierungen ebenfalls über Zugriff auf den DMDA heruntergeladen und/oder installiert

werden. Sollte eine Aktualisierungsschnittstelle genutzt werden, muss ebenfalls eine Änderung des Re-

gelwerks der Firewall vorgenommen werden.

Abbildung 9: Architektur der De-Mail-Anbindung

Zentrales De-Mail-Gateway (Variante 3)

Ein zentrales De-Mail-Gateway bildet die Schnittstelle zwischen einem DMDA und mehreren ange-

schlossenen Behörden, denen Gateway-Funktionalitäten zur Verfügung gestellt werden sollen. Auf dem

Gateway müssen somit die jeweiligen Konfigurationen je Mandant vorgenommen werden. Zudem au-

thentisiert sich das Gateway stellvertretend für die Inhaber der verwalteten De-Mail-Konten gegenüber

dem DMDA. Die lokalen De-Mail-Administratoren jeder einzelnen angeschlossenen Behörde sind für die

Pflege der behördenspezifischen Parameter auf dem zugeordneten Mandanten des De-Mail-Gateways

verantwortlich. Zu den Aufgaben der (behördlichen) Gateway-Administratoren zählen:

Anlegen von Nutzern der Konfigurationsoberfläche

Zuweisung/Rücknahme von Rollen für Nutzer der Konfigurationsoberfläche

Konfiguration der lokalen Netzwerkparameter des De-Mail-Gateways (u.a. Konfiguration Adres-

se des lokalen E-Mail-Servers)

Analyse der Informationen des De-Mail-Gateways

De-Mail-Gateway

Internet/

WAN

De-Mail-Mailserver

Postfach- und Versanddienst

Konfigurations- und

Administrations-

schnittstelle

Öffentlicher Verzeichnisdienst

Mailserver der Institution

Mailserver

(Langzeit-)

Speicherung

De-Mail-Konzentrator

Smartcardleser

DMDA

Konfigurations-PC

Benutzer-APC

SAN etc

Interner Verzeichnisdienst

Alertserver

z.B. XMPP

LDAP-

Proxy

Fachverfahren

Institution

Updateserver

38

(Behördenspezifische) Administration des Systems

Festlegung des Benutzernamens und Passworts für die Authentisierung des E-Mail-Servers der

Behörde am Gateway

Pflege der Adressmapping-Datenbank (Festlegung, an welche internen E-Mail-Adressen die ein-

gehenden De-Mails weitergeleitet werden sollen bzw. wer zur Versendung von De-Mails berech-

tigt ist)

Zudem müssen Prozesse definiert werden, wie mit Leistungsstörungen umgegangen werden soll. Insbe-

sondere sollten die lokalen Administratoren Unterstützung durch den Betreiber des zentralen Gateways

anfordern können, um schnell den Ort der Störung ausfindig machen und entsprechende Gegenmaß-

nahmen einleiten zu können.

4.2.5 Öffentlicher De-Mail-Verzeichnisdienst (ÖVD)

Die De-Mail-Anbieter stellen den De-Mail-Nutzern einen anbieterübergreifenden öffentlichen Verzeich-

nisdienst zur Verfügung. Hier werden Identitätsdaten der Nutzer auf deren ausdrückliches Verlangen hin

veröffentlicht, z.B. Titel, Name, Vorname, De-Mail-Adresse, postalische Adresse, Verschlüsselungszertifi-

kat, Zugangseröffnung.

Im ÖVD kann anbieterspezifisch oder anbieterübergreifend nach De-Mail-Nutzern gesucht werden. Vo-

raussetzung ist, dass der Anfragende an seinem De-Mail-Konto angemeldet ist. Zwei grundsätzliche

Möglichkeiten zur ÖVD-Abfrage sind zu unterscheiden:

1. Abfrage per Webzugriff

Dazu stellen die De-Mail-Anbieter entsprechende Suchmasken für den Webzugriff zur Verfü-

gung, z.B.

Die Angabe eines Sternchens (*) als Platzhalter für eine beliebige Anzahl von Zeichen ist möglich.

2. Technisch automatisierte Abfrage zur Darstellung der Abfrageergebnisse in bereits vorhande-

nen IT-Anwendungen (z.B. vorhandenes Intranet)

Durch Nutzung einer standardisierten Schnittstelle (LDAP) können automatisierte Anfragen an

den ÖVD gestellt werden, um Verzeichniseinträge auch außerhalb der providerspezifischen

Suchmasken anzeigen zu können. Die konkrete Realisierung dieser Zugriffe ist anbieterabhängig.

Zugangseröffnung durch Eintrag im Verzeichnisdienst

39

Gemäß § 7 Absatz 3 De-Mail-Gesetz muss der De-Mail-Anbieter auf Verlangen des Nutzers dessen Zu-

gangseröffnung im Sinne von § 3a VwVfG, § 36a Absatz 1 SGB I und § 87a Absatz 1 Satz 1 der AO veröf-

fentlichen.

Der Bürger kann die Erklärung, den Zugang eröffnen zu wollen, in den persönlichen Einstellungen seines

De-Mail-Kontos z.B. wie folgt angeben:

Bei der Suche im ÖVD per Webzugriff wird die Zugangseröffnung beispielsweise wie folgt angezeigt:

Hierbei ist zu berücksichtigen, dass es nicht immer möglich ist, nur anhand des Namens und der Adresse

eine Person eindeutig zu identifizieren. Oftmals ist dafür die zusätzliche Angabe von Geburtsdatum und

–ort erforderlich, also von Angaben, die im ÖVD nicht ausgewiesen sind.

Ist der Behörde jedoch die De-Mail-Adresse der betroffenen Person bereits bekannt, so kann die o.g.

Zugangseröffnung im ÖVD uneingeschränkt als Absichtserklärung zur Eröffnung des elektronischen Zu-

gangs für De-Mail aufgefasst werden.

4.2.6 Standard-Konto (sog. „Catch All-Postfach“)

Empfängeradresse einer De-Mail ist immer die Adresse des De-Mail-Kontos (d.h. bei Unternehmen und

öffentlichen Einrichtungen die gewählte Domäne wie z.B. behörde.de-mail.de). Alle De-Mails an diese

Domäne werden an das entsprechende Gateway dieser Behörde weitergeleitet. Im Gateway selbst kön-

nen Regeln hinterlegt werden wie bestimmte De-Mail-Empfänger-Adressen (wie z.B. Ein-

kauf@behörde.de-mail.de) an interne E-Mail-Empfänger-Adressen (wie z.B. einkauf@behörde.de) wei-

tergeleitet werden. Sofern für eine eingehende De-Mail keine Zuordnung zu einer internen E-Mail-

40

Adresse hinterlegt ist, werden solche De-Mails in einem Standardpostfach oder auch „Catch-all-

Postfach“ abgelegt. Da auch diese De-Mails mit Eingang im De-Mail-Konto der Behörde zugegangen

sind, müssen organisatorische Regelungen für die Bearbeitung des „Catch-all-Postfachs“ vorgesehen

werden. Die Behörde sollte z.B. sicherstellen, dass regelmäßig De-Mails aus dem Catch-All-Postfach ab-

geholt und bearbeitet werden. Eine Clearingstelle oder De-Mail-Poststelle könnte eine initiale Sichtung

der De-Mail vornehmen und direkt beantworten oder manuell der Sachbearbeitung zuführen.

4.3 Wirtschaftlichkeitsbetrachtung

Im Rahmen der Projektphase „Wirtschaftlichkeitsbetrachtung“ kommen die folgenden möglichen Aktivi-

täten in Betracht:

Ermittlung der quantitativen Faktoren

o Abschätzung der Einführungskosten

o Abschätzung der Betriebskosten

o Abschätzung des monetären Nutzens

Ermittlung der qualitativen Faktoren

Die folgende Handreichung soll bei der Durchführung der genannten Aktivitäten unterstützen:

Durchführung einer Wirtschaftlichkeitsbetrachtung auf Grundlage eines Excel-basierten WiBe-

Werkzeugs für De-Mail-Projekte

Auf Basis der Methode WiBe 4.1 werden in diesem Arbeitspaket Kosten-/Nutzen-Analysen durchgeführt

und diese durch weitere qualitative Aspekte angereichert:

In der quantitativen Analyse werden Kostenbestandteile für die Einrichtung (Investition) und

den Betrieb einem Nutzen im Sinne von Kosteneinsparungen gegenübergestellt.

Qualitative Bestandteile der Analyse sind die Standardkriterien gemäß der Methode WiBe 4.1

(Dringlichkeit, qualitative Aspekte und externe Faktoren) sowie zusätzliche sonstige qualitative

Nutzenfaktoren.

Als Ergebnis der Wirtschaftlichkeitsbetrachtung wird ein Votum über die Wirtschaftlichkeit der

Einführung von De-Mail in Abhängigkeit der untersuchten Prozesse bzw. beteiligten Einrichtung

abgegeben.

Die Excel-Vorlagen sowie Anleitungen hierzu stehen unter http://www.cio.bund.de/Web/DE/Innovative-

Vorhaben/De-Mail/De-Mail-integrieren/de-mail_integrieren_node.html zur Verfügung.

41

4.4 Sicherheitsbetrachtung

Mit De-Mail wird die elektronische Kommunikation sicherer. Vielfältigen Bedrohungen der Vertraulich-

keit, Integrität und Authentizität kann damit besser begegnet werden. Ein sicherer Einsatz von De-Mail

ist aber nur dann gewährleistet, wenn dieser neue Zugangskanal in das Sicherheitskonzept der Behörde

integriert wird. Besonders beim Einsatz von Ende-zu-Ende-verschlüsselten De-Mails ist zu berücksichti-

gen, dass diese nicht mehr beim De-Mail-Anbieter auf Schadsoftware geprüft werden können. Eine Prü-

fung ist erst nach der Entschlüsselung bei der Behörde möglich.

Auch muss dafür gesorgt werden, dass keine „gefälschten“ De-Mails, also E-Mails mit De-Mail-Absender-

adressen auf die E-Mail-Server in der Behörde gelangen.

Für eine optional einzusetzende Ende-zu-Ende-Verschlüsselung oder die Nutzung von Signaturen inner-

halb der De-Mail sind weitere Betrachtungen der Integration der Krypto-Systeme nötig. Beispielhaft

seien hier dezentrale Krypto-Gateways für S/MIME oder PGP, Schlüsselmaterial-Prozesse und Systeme

für die Nutzung der qualifizierten elektronischen Signatur und deren Langzeitspeicherung/Archivierung

genannt.

4.5 Vergabeverfahren

Im Rahmen der Projektphase „Vergabeverfahren“ kommen die folgenden möglichen Aktivitäten in Be-

tracht:

Festlegung der Vergabeart

Erarbeitung der Vergabeunterlagen

Durchführung des Vergabeverfahrens

Die folgende Handreichung soll bei der Durchführung der genannten Aktivitäten unterstützen.

In der Regel müssen De-Mail-Dienste und –Komponenten (z.B. Gateway) im Rahmen einer Vergabe aus-

geschrieben werden. In diesem Kapitel wird grob skizziert, welche Vergabearten existieren und welche

Leistungen und Komponenten ausgeschrieben werden können.

Im Bereich der De-Mail-Vergabe hat sich ein Vorgehen bewährt, welches exemplarisch in Abbildung 10

dargestellt ist.

42

Abbildung 10: Beispielhaftes Vorgehensmodell zur Vergabe von De-Mail-Diensten

4.5.1 Organisatorische Vergabevorbereitung

Auf Grundlage der Design-Konzepte und mit der Wirtschaftlichkeitsbetrachtung liegen die erforderli-

chen Informationen für die Durchführung des Vergabeverfahrens vor. Nachdem der Bedarf für die Nut-

zung der De-Mail festgestellt und spezifiziert wurde, sind die beschaffungs- und verfahrenstechnischen

Fragen zu klären:

Betrachtung der Wirtschaftlichkeit

In Vorbereitung des Vergabeverfahrens ist zu klären, welche finanziellen Konsequenzen die Be-

schaffung von De-Mail haben wird. Die durchgeführte WiBe gibt hier wesentliche Informationen

bzgl. der Investitions- und Betriebskosten. Die WiBe kann auch als Erfolgskontrolle für das ge-

samte Vergabeverfahren genutzt werden, um nach Zuschlagserteilung einen Soll-Ist-Vergleich

durchzuführen. Das notwendige bzw. geplante einzusetzende Kapital bzw. die notwendigen

Haushaltsmittel müssen vor der Vergabe zur Verfügung stehen bzw. es muss der Abruf dieser

Mittel gewährleistet sein.

Bestimmung und Festlegung der Vergabeart

In Abhängigkeit der Untersuchungen der WiBe ergibt sich der wahrscheinliche Auftragswert für

die Beschaffung. Der Auftragswert muss mit den internen sowie europaweit geltenden Schwel-

lenwerten verglichen werden, um die geografische Weite der Beschaffung abgrenzen zu können

(nationale vs. EU-weite Vergabearten). Zudem sollte sich der Bedarfsträger darüber informieren,

ob Abrufe von Leistungen aus bestehenden Rahmenverträgen möglich sind. Bei einer eigenen

Beschaffung sind unterschiedliche Vergabearten möglich, die entsprechend begründet werden

müssen, sobald sie nicht dem Standardverfahren (Öffentliche Ausschreibung bzw. EU-weit: Of-

fenes Verfahren) entsprechen. Unter Umständen ist der Auftragswert so gering, dass auch eine

freihändige Vergabe in Betracht kommt.

43

Bildung von Losen

Gerade bei der Einführung und Beschaffung von De-Mail können unterschiedliche Vergabege-

genstände Teil der Vergabe sein: so können z. B. die Nutzung, Inbetriebnahme und Schulung von

De-Mail Teil einer Dienstleistung sein und das De-Mail-Gateway ein Kauf. Entsprechend kann

überlegt werden, ob und wie eine losweise Aufteilung der einzelnen Vergabegegenstände mög-

lich ist.

Vorbereitung Vertragsentwurf

Mit dem zukünftigen Dienstleister muss nach Zuschlagserteilung ein Vertrag geschlossen wer-

den. Der Bedarfsträger sollte hier vorbereiten, welche grundsätzliche Ausgestaltung der Vertrag

haben sollte, ob auf Standardvertragsmuster wie den EVB IT-Verträgen oder der eigenen Behör-

de zurückgegriffen werden soll und kann.

4.5.2 Fachliche Vergabevorbereitung

Bei der fachlichen Vergabevorbereitung fällt vor allem die Definition des Vergabegegenstands ins Ge-

wicht. Um De-Mail nutzen zu können, müssen insbesondere De-Mail-Dienste, d.h.

Identifizierung des Kontoinhabers,

Eröffnung des De-Mail-Kontos,

Nutzung der De-Mail-Dienste (Standard-De-Mail und Versandoptionen) sowie

Zugriff auf das Konto mindestens über Webbrowser und De-Mail-Gateway

vergeben werden. Besonders relevant für die Nutzung ist, welche Kosten für den Versand entstehen.

Hier kann unterschieden werden in:

Standardversand,

Anforderung von „normalen“ Bestätigungsnachrichten,

Anforderung von Abholbestätigungen und

Versand von De-Mails mit gesetzten De-Mail-Optionen (insb. Absenderbestätigung).

Die geplante Nutzungsverteilung sollte abgeschätzt werden, damit der zukünftige Dienstleister eine

passende Preisstruktur seiner De-Mail-Dienstleistungen anbieten kann. Die der WiBe zugrundeliegende

Zahlen für die Nutzungsverteilung können hierfür herangezogen werden.

Soll De-Mail in die Infrastruktur der Behörde integriert werden, wird zudem ein De-Mail-Gateway benö-

tigt. Wenn nicht auf ein bereits vorhandenes zentrales Gateway zurückgegriffen werden kann, muss ein

lokales De-Mail-Gateway mit in die Vergabeunterlagen aufgenommen werden. Zu beachten ist, dass die

De-Mail-Anbieter grundsätzlich eigene De-Mail-Gateways anbieten. Darüber hinaus gibt es auf dem

Markt aber auch Gatewaylösungen von Drittanbietern. In der Vergabeunterlage sollte darauf hingewie-

sen werden, dass das angebotene Gateway auch zu dem ausgewählten De-Mail-Anbieter passt, d.h. mit

44

diesem eine Anbindung an De-Mail möglich und nutzbar ist. Von Vorteil ist, wenn das Gateway unab-

hängig von einem De-Mail-Anbieter auch mit anderen De-Mail-Anbietern funktioniert, sodass ein Wech-

sel des Anbieters ohne wesentliche Änderungen an der Hardware stattfinden kann. Das Gateway sollte

einen möglichst großen Umfang an Konfigurationsmöglichkeiten bieten. Dazu zählen insbesondere:

Anbindung an zentrale Adressverzeichnisse wie LDAP oder AD zur Aktualisierung der Adress-

mapping-Tabellen

Monitoring des Gateways über Standardprotokolle wie bspw. SNMP

Um aus den E-Mail-Clients heraus De-Mail mit allen Versandoptionen sinnvoll nutzen zu können, bietet

sich die Installation eines Add-Ins, Plugins oder die Anpassung einer entsprechenden E-Mail-Schablone

an. Die Bereitstellung eines solchen „Hilfsprogramms“ für die lokale E-Mail-Nutzung unterstützt die Be-

dienung durch grafische Elemente und sollte daher gefordert werden.

Innerhalb der Vergabevorbereitung sollten auch die Ergebnisse der Sicherheitsbetrachtungen ausgewer-

tet sowie mögliche externe Dienstleistungen und nötige Komponenten zur Umsetzung eines angemes-

senen IT-Sicherheitsniveaus für De-Mail integriert werden.

4.6 Umsetzungsplanung und Umsetzung

Im Rahmen der Projektphase „Umsetzungsplanung“ kommen die folgenden möglichen Aktivitäten in

Betracht:

Beantragung des De-Mail-Kontos und Identifikation

Umsetzung der Zugangseröffnung

Einrichtung einer De-Mail-Clearingstelle

Erarbeitung eines technischen Umsetzungsplans

Erarbeitung eines organisatorischen Umsetzungsplans

Erarbeitung eines IT-Sicherheitskonzeptes für die De-Mail-Nutzung

Installation und Konfiguration des De-Mail-Gateways

Anbindung des De-Mail-Gateways an die E-Mail-Infrastruktur

Konfiguration der E-Mail-Server

Anpassung der E-Mail-Clients

Ggf. Integration von weiteren Sicherheitskomponenten, z.B. für Ende-zu-Ende-Sicherheit (Signatur

und Verschlüsselung)

Die folgende Handreichung soll bei der Durchführung der genannten Aktivitäten unterstützen. Darüber

hinaus wird auf die entsprechenden Kapitel dieses Dokuments (u.a. zur Zugangseröffnung und zur Ga-

teway-Architektur) sowie auf die ergänzenden Informationen der Checkliste in Kapitel 5 verwiesen.

45

Beantragung De-Mail-Konto7

Gemäß De-Mail-Gesetz muss bei öffentlichen Stellen für den Domänenteil eine Bezeichnung gewählt

werden, die in direktem Bezug zur Bezeichnung der öffentlichen Stelle steht. Es soll allein an der De-

Mail-Adresse erkennbar sein, welche öffentliche Stelle (Behörde) Inhaber des De-Mail-Kontos ist. Im

Rahmen der Beantragung eines De-Mail-Kontos wird dieses Kriterium vom De-Mail-Anbieter überprüft.

Darüber hinaus ist der De-Mail-Anbieter verpflichtet, die Identität der Behörde und ihres gesetzlichen

Vertreters zuverlässig festzustellen. Der gesetzliche Vertreter kann seine Identität mit einem amtlichen

Ausweis (z.B. Personalausweis) nachweisen.

Die im Rahmen der Beantragung erfassten Identitätsattribute der Behörde (Name/Bezeichnung, Adres-

se, Namen der gesetzlichen Vertreter) müssen ebenfalls durch den Antragsteller nachgewiesen werden.

Gemäß Technischer Richtlinie De-Mail (Accountmanagement)8 kann dies wie folgt geschehen:

Ministerien des Bundes und der Länder

Richtet sich nach der jeweiligen Gemeinsamen Geschäftsordnung der Bundes - bzw. jeweiligen

Landesministerien (GGO der Bundesministerien z.B. §§ 6,17 und 18; Zeichnungsvollmacht zur

analogen Anwendung der Vertretungsvollmacht); ggf. mit Vorlage einer Urkunde mit Siegel

Sonstige Behörden des Bundes und der Länder

entsprechende Geschäftsordnungen der Länder

Gemeinden, Kommunen etc.

Gemeindeordnung für Gebietskörperschaften bzw. entsprechende zur Identifizierung geeignete

Dokumente

Die konkrete Ausgestaltung des Beantragungsverfahrens hängt vom jeweiligen De-Mail-Anbieter ab. In

der Regel erfolgt die Identifizierung der vertretungsberechtigten Person durch Identifizierungsdienstleis-

ter vor Ort. Zum Teil ist eine elektronische Identifizierung durch Nutzung der Online-Ausweisfunktion

des Personalausweises möglich.

Darüber hinaus werden Möglichkeiten angeboten, wie mehrere De-Mail-Konten in einem einzigen An-

tragsverfahren beantragt werden können. Dies könnte beispielsweise für kommunale Rechenzentren

von Bedeutung sein, die von ihren Kommunen mit der Beantragung beauftragt werden.

Die Einrichtung eines De-Mail-Kontos erfolgt grundsätzlich in den folgenden vier Schritten:

1. Beantragung des De-Mail-Kontos

2. Reservierung der gewünschten De-Mail-Adresse

7 Vgl. auch Kap. 2.3 De-Mail-Account-Beantragung im Dokument „Grundlagen für den Einsatz von De-

Mail in der öffentlichen Verwaltung“, 21. Juni 2012 (http://www.cio.bund.de/SharedDocs/Publikationen/DE/Innovative-Vorhaben/De-Mail/2012_06_21_cc_de_mail_grundlagen_v1_0_download.pdf?__blob=publicationFile )

8 BSI – Technische Richtlinie De-Mail, Accountmanagement, Funktionalitätsspezifikation (BSI TR 01201

Teil 2.1), Version 1.1.1

46

3. Identifizierung und Registrierung der Behörde und ihres gesetzlichen Vertreters

4. Freischaltung des De-Mail-Kontos zur Nutzung

47

5 Checkliste

Folgende Tabelle beinhaltet eine Checkliste für die Einführung von De-Mail in einer öffentlichen Einrich-

tung. Ohne Anspruch auf Vollständigkeit kann die Checkliste für die Fortschrittskontrolle genutzt wer-

den.

Die Checkliste beschränkt sich auf Aktivitäten, die für die Basisanbindung an De-Mail über ein Gateway

erforderlich sind. Die Integration von De-Mail in Fachverfahren oder Input-/Output-Systeme wird auf-

grund der Vielfältigkeit der Aufgaben nicht betrachtet. Auch werden die unterschiedlichen Ansätze zu

den Möglichkeiten der beweiswerterhaltenen Langzeitspeicherung von De-Mails in Verbindung mit Do-

kumentenmanagementsystemen/E-Akten in der Checkliste nicht berücksichtigt.

48

Schritte zur Einführung von De-Mail

Fragen Erläuterungen zum Umsetzungsstand

Status (z.B. offen, in Arbeit,

umgesetzt)

Verantwortlich

1. Vorbereitung und Analyse

1.1 Definition der Hand-lungsfelder

Welche Handlungsfelder sollen für De-Mail analysiert werden? Welche Akteure bzw. relevanten Kommunikationspartner sollen betrachtet werden? Existiert ein fachlicher Schwerpunkt für elektronische Kommunikationsprozesse? Soll die Analyse der Prozesse auf eine bestimmte Anzahl beschränkt werden - wenn ja, auf wie viele maximal?

1.2 Auswahl der Verwal-tungsprozesse

Welche potenziellen Verwaltungsprozesse innerhalb der defi-nierten Handlungsfelder sind für die Nutzung von De-Mail rele-vant?

Auswahlkriterien sind u.a. Sende- und Empfangsvolumina, An-zahl beteiligter Kommunikationspartner sowie rechtliche und Sicherheitsanforderungen.

1.3 Prüfung der Rechts-grundlagen

Sind die relevanten Rechtsgrundlagen (z.B. Fachgesetze, Verfah-rensanweisungen, Satzungen, Ermessensbereiche, etc.) geprüft? Ist De-Mail unter den bestehenden rechtlichen Rahmen-bedingungen einsetzbar oder sind Anpassungen erforderlich?

1.4 Analyse der Former-fordernisse

Sind die bestehenden Formerfordernisse (z.B. gesetzliche Schrift-form, „gewillkürte“ Schriftform, Ausschluss der elektronischen Form) bewertet? Welche Auswirkungen ergeben sich daraus auf den Einsatz von De-Mail – z.B. Notwendigkeit absenderbestätig-ter De-Mails?

1.5 Analyse beteiligter Sind alle relevanten Akteure innerhalb und außerhalb der Be-

49

Akteure hörde berücksichtigt, z.B. IT- und Organisationsabteilung, Daten-schutz- und Sicherheitsbeauftragte, betroffene Fachbereiche, Fachverfahrenshersteller oder andere IT-Dienstleister (z.B. kommunales Rechenzentrum)?

1.6 Analyse beteiligter Fachverfahren

In welchen Fachverfahren kann De-Mail sinnvoll eingesetzt wer-den? Wie komplex ist die Integration von De-Mail in das jeweili-ge Fachverfahren – qualitative Aussage?

1.7 Berücksichtigung der elektronischen Akten-führung

Was sind die technischen Voraussetzungen für eine elektroni-sche Aktenführung in der Behörde? Wie kann De-Mail in der elektronischen Aktenführung berücksichtigt werden? Welche Möglichkeiten zur Langzeitspeicherung/ Archivierung gibt es?

1.8 Nutzung von Best-Practice Lösungen

Können bei der Definition der Soll-Prozesses Best-Practice-Lösungen anderer Behörden berücksichtigt werden? (Eine Über-sicht bietet z.B. www.de-mail.de)

2. Design

2.1 Definition der Soll-Prozesse

Welche Arbeitsschritte des Verwaltungsprozesses ändern sich durch die Nutzung von De-Mail? Wo lassen sich Vereinfachungen realisieren? Welche Prozessbeteiligten werden adressiert? Müs-sen begleitende Anlagen in Papierform berücksichtigt werden? Welche Medienbrüche gibt es ggf. weiterhin?

2.2 Erstellung eines Archi-tekturmodells

Welche architektonischen Rahmenbedingungen müssen berück-sichtigt werden? Ist ein grundlegendes (technisches und ggf. organisatorisches) Architekturmodell für die Integration und Nutzung der De-Mail-Komponenten entwickelt worden? Wurden die Kommunikationsprozesse innerhalb der Behörde in Bezug auf De-Mail konzipiert?

50

2.3 Konzeption der Zu-gangseröffnung

Welche Anforderungen werden an die Nachweisbarkeit und Verifizierbarkeit der Zugangseröffnung der Kommunikations-partner gestellt? Wie sollen die Kommunikationspartner den elektronischen Zugang für De-Mail gegenüber den Behörden eröffnen können? Wie soll die Speicherung der De-Mail-Adressen realisiert werden?

2.4 Ermittlung der Sup-portstruktur

Welche Stellen sollen Support für De-Mail leisten? Welche Ser-vice-Level-Anforderungen werden für den Support benötigt?

2.5 Sicherheitsbetrachtun-gen

Welcher Schutzbedarf besteht und welche IT-Sicherheitsmaßnahmen müssen getroffen werden, um eine an-gemessene Sicherheit bei der Nutzung von De-Mail zu gewähr-leisten? Sind optional zusätzliche Ende-zu-Ende-Sicherheitsmaßnahmen (Verschlüsselung und Signatur) nötig oder reichen die Sicherheitsmaßnahmen von De-Mail aus?

3. Wirtschaftlichkeitsbetrachtung

3.1 Ermittlung der quanti-tativen Faktoren

Welche monetären Faktoren (Kosten und Nutzen) werden bei der Einführung/Integration von De-Mail betrachtet?

3.1.1 Abschätzung der Einführungskosten

Über welche Nutzungsvariante wird De-Mail genutzt? Sind Inves-titionskosten, die für die Einführung von De-Mail notwendig sind, berücksichtigt? Erfolgt eine Betrachtung von Personalbe-darfen (-kosten) sowie Software- und Hardwarekosten?

3.1.2 Abschätzung der Betriebskosten

Über welche Nutzungsvariante wird De-Mail genutzt? Sind Kos-ten, die für den Betrieb und die Wartung der De-Mail-Anbindung anfallen, ermittelt?

3.1.3 Abschätzung des monetären Nutzens

Sind alle Nutzeffekte einer De-Mail-Einführung berücksichtigt, z.B. Einsparung von Druck-, Papier- und Portokosten, Entfall von

51

Medienbruchkosten, Reduzierung von Prozesskosten – sowohl im Posteingang als auch im Postausgang?

3.2 Ermittlung der qualita-tiven Faktoren

Welche externen Effekte, Faktoren mit qualitativ-strategischer Bedeutung (z.B. Qualitäts- und Leistungssteigerungen, Benutzer-freundlichkeit, Qualitätszuwachs bei der Erledigung von Fach-aufgaben) und/oder Dringlichkeitskriterien wie gesetzliche Ver-pflichtungen sind zu berücksichtigen?

4. Vergabeverfahren

4.1 Festlegung der Verga-beart

Wurde auf Basis der WiBe die Vergabeart festgelegt?

4.2 Erarbeitung der Verga-beunterlagen

Sind die auszuschreibenden Leistungen hinreichend konkret definiert – insbesondere De-Mail-Dienste, De-Mail-Gateway, Support?

4.3 Durchführung des Vergabeverfahrens

Wurden Angebote eingeholt, bewertet und der Zuschlag erteilt?

5. Umsetzungsplanung

5.1 Beantragung des De-Mail-Kontos und Identifi-kation

Ist das spezifische Verfahren des jeweiligen De-Mail-Anbieters zur zuverlässigen Identifikation von öffentlichen Einrichtungen bekannt? Werden alle Voraussetzungen für die Identifikation der Behörde als Kontoinhaber erfüllt? Ist eine vertretungs-berechtigte (natürliche) Person der Behörde benannt?

5.2 Umsetzung der Zu-gangseröffnung

Sind die Voraussetzungen zur De-Mail-Zugangseröffnung der Behörde getroffen? Wie können die unter 2. konzipierten Mög-lichkeiten zur Zugangseröffnung der Kommunikationspartner umgesetzt werden?

52

5.3 Einrichtung einer De-Mail-Clearingstelle

Wurde eine organisatorische Stelle geschaffen, um nicht auto-matisch zuordenbare Eingangs-De-Mails manuell einer Sachbe-arbeitung zuführen zu können (Clearingstelle für De-Mail bzw. De-Mail-Poststelle)?

5.4 Erarbeitung eines technischen Umsetzungsplans

Wurde die Integration und/oder Nutzung eines De-Mail-Gateways innerhalb der bestehenden IT-Infrastruktur der Be-hörde konzipiert und geplant? Sind die erforderlichen Anpassun-gen der existierenden E-Mail-Infrastruktur (insbesondere Rou-tingregeln auf den E-Mail-Servern) geplant?

5.5. Erarbeitung eines organisatorischen Umset-zungsplans

Wurden alle organisatorischen Aspekte einer De-Mail-Einführung betrachtet, z.B.: Wird nur über Funktions-/Organisationspostfächer kommuniziert oder sind auch perso-nenbezogene De-Mail-Adressen gestattet? Wie wird mit Misch-adressierung umgegangen? Wer darf De-Mails versenden, ggf. in Abhängigkeit von De-Mail-Optionen (z.B. „absenderbestätigt“)? Ist das De-Mail-Domain-Konzept der Behörde festgelegt? Wer darf wie den öffentlichen Verzeichnisdienst der De-Mail-Anbieter nutzen?

6. Technische Umsetzung

6.1 Installation und Konfi-guration des De-Mail-Gateways

Wurde ein De-Mail-Gateway beschafft und in der IT-Infrastruktur der Behörde installiert und konfiguriert? Konnte das De-Mail-Gateway an den zugehörigen De-Mail-Anbieter der Behörde angebunden werden?

6.2 Anbindung des De-Mail-Gateways an die E-Mail-Infrastruktur

Konnte die interne E-Mail-Infrastruktur (E-Mail-Server bzw. E-Mail-Relays) an das eigene oder zentrale De-Mail-Gateway an-gebunden werden?

6.3 Konfiguration der E- Sind die internen E-Mail-Server und sonstigen technischen Kom-

53

Mail-Server ponenten entsprechend vorkonfiguriert – insbesondere Routing-regeln und Einrichtung entsprechender (E-Mail-)Postfächer für die eingehenden De-Mails?

6.4 Anpassung der E-Mail-Clients

Wie werden möglicherweise notwendige Add-Ins etc. für E-Mail-Clients ausgerollt?

6.5. Anpassung der Sicher-heitskomponenten

Wie werden vorhandene Sicherheitssysteme (Schadsoftware-Prüfung, Mail-Relays, Firewalls, ggf. Ende-zu-Ende-Sicherheitslösungen für Verschlüsselung und Signatur) geändert bzw. installiert und konfiguriert?

7. Test und Aufnahme Live-Betrieb

7.1 Testszenarien und Testinfrastruktur

Welche Testszenarien sind entwickelt und ist eine Testinfrastruk-tur (ggf. durch den De-Mail-Anbieter) eingerichtet? Nach erfolg-reichem Abschluss der Testphase kann der Übergang in den Live-Betrieb vorbereitet werden.

7.2 Aufnahme Live-Betrieb Zu welchem Datum ist die Aufnahme des Live-Betriebs geplant?

8. Kommunikation

Ermittlung von Zielgrup-pen und Definition von Maßnahmen

Welche Aktivitäten im Bereich der Kommunikation für interne (z.B. Verwaltungsbeschäftigte) und externe Zielgruppen (z.B. Bürgerinnen und Bürger, Unternehmen) sind geplant, um die Nutzung von De-Mail zu fördern?

9. Evaluierung/Erfolgsmessung

54

Auswertungen Erfolgen eine Evaluation der Umsetzung und ein Monitoring, um den konkreten Nutzen der De-Mail-Anbindung in einem Verwal-tungsprozess zu bewerten?

Dazu können verschiedene Auswertungen vorgenommen wer-den (z.B. Anzahl eingegangener und versandter De-Mails, Befra-gungen).