Rechtlicher Aspekt beim Anbieten von E-Mail-Accounts

[Markus002]

Hallo zusammen,

wir planen E-Mail Accounts als Option für unsere "Kunden" anzubieten (noch sind alle Dienste kostenlos).
Bevor wir jetzt einen Anwalt konsultieren folgende Frage, evtl. hat jemand ja schon einen Hinweis:
Welche rechtlichen Aspekte sind zu beachten, wenn man registrierten Kunden einen eigenen E-Mail-Account auf dem Server anbietet?
Spielt es dabei eine Rolle, ob der Dienst kostenlos oder kostenpflichtig ist?

Letztlich muss sich jeder, der b1gMail einsetzt, ja in irgendeiner Weise darüber Gedanken machen.

Vielen Dank schonmal
Grüße
Markus

 

[Karsten]

Dieses ist keine Rechtsauskunft. Rechtsauskünfte können nur Rechtsanwälte geben.

Dieses ist "nur“ meine Meinung:

Vorratsdatenspeicherung (VDS)​

Die Vorratsdatenspeicherung müssen alle Anbieter ab dem 1 (ersten) Kunden (User) vornehmen.

Umsetzen musst du sie ab Konto (User) 1.

Überwachungsmaßnahmen (TKÜV)​

Ab 10.000 Kunden (User) muss man eine Technik (TKÜV Sorftware/Sinabox/LogfileServer) vorrätig halten und sich selber bei der BNetzA melden und seine Lösung Prüfen lassen. Unter 10.000 musst du keine Technik vorrätig halten und dich nicht prüfen lassen. Kommt eine Anordnung (Überwachungsmaßnahme), musst du sie trotzdem umsetzen.

Umsetzung eine Angeordneten Maßnahme (ab 10.000 Kunden/User) 6 Stunden.

Unter 10.000 Kunden/User in einer angemessenen Zeit nach Absprache mit der ermittelnden Behörde.

Auskunftspflichten​

Jeder Betreibe muss gegenüber den ermittelnden Behören Auskunft auf verlangen geben. Das kann sein das du die Kundendaten (Name, Adresse) letzt IP Adresse und IP Adresse bei Anmeldung mitteilen musst. Dieses Kann jedoch ausgeweitet werden das Du alle vorhandenen Daten z.B. auf eine CD brennen musst und an die Staatsanwaltschaft senden musst.

Zusammenfassung​

1. VDS ab den 1. Kunden/User
2. TKÜV unter 10.000 User kommt eine Anordnung (Überwachungsmaßnahme), muss diese umgesetzt werden. In einer angemessenen Zeit.
3. TKÜV über 10.000 Kunden kommt eine Anordnung (Überwachungsmaßnahme) musst sie inner halb von 6 Stunden (maximal) umgesetzt werden.
4. Dienstanbieter sind immer Auskunftspflichtig gegenüber den ermittelnden Behörden

 

[SLM]

- Ebenfalls keine Rechtsauskunft, kann mich meinem Vorredner nur anschließen.

Das mit der Vorratsdatenspeicherung ist noch nicht ganz durch, kommt aber bestimmt spätestens 2009.

Siehe auch: http://board.b1g.de/showthread.php?t=10020


Zu beachten sind zusätzlich folgende Vorschriften:

§§ 88 - 90 TKG (Fernmeldegeheimnis)
§§ 91 - 107 TKG (Datenschutz)
§ 109 TKG (Technische Schutzmassnahmen)

Zudem ist ein Sicherheitsbeauftragter zu benennen (gemäß § 109 Abs. 3 Satz 1 TKG). Ausserdem ist ein Sicherheitskonzept zu erstellen und der Bundesnetzagentur (BNetzA) unaufgefordert vorzulegen.

Alles auch nachzulesen unter:

http://www.gesetze-im-internet.de oder http://www.bundesnetzagentur.de

 

[Sebijk]

2. TKÜV unter 10.000 User kommt eine Anordnung (Überwachungsmaßnahme), muss diese umgesetzt werden. In einer angemessenen Zeit.

Dies ist ebenfalls nur meine Meinung:

Ab 1 000 Kunden muss man dies erst machen, unter 1 000 Kunden nur, wenn du dazu verpflichtet wirst. Es steht aber jeden frei, den Dienst ins Ausland zu verfrachten, allerdings sollte man sich dort wegen E-Mail Anordnungen erkundigen.

persönliche Daten weitergeben sollte man nach meiner Meinung nur, wenn eine richterliche Anordnung dafür liegt, sonst in keinem Fall, auch wenn es Rechtsanwälte sind. Schließlich müssen Kunden auch vor Datenmissbrauch geschützt werden. Daher geben viele Kunden falsche Daten ein, dass ich meist auch verstehen kann, man möchte kein Opfer eines Datenmissbrauchs sein. Andererseits muss der Betreiber sich auch ein wenig schützen, damit z.B. der Mailserver nicht unnötig vom Spam oder sonstige Attacken überlastet wird.

Allgemein halte ich von der Datenspeicherung garnichts. Sie treffen meist nur auf unschuldige Kunden und wirkliche Verbrecher werden mit Sicherheit eigene Dienste benutzen und verschlüsseln die Nachricht.

Daher kämpfe ich ja gegen die VDS. Zurzeit wurde es vom Bundesverfassungsgericht eingeschränkt, nächstes Jahr kann man auf eine Entscheidung abwarten. Sollte die dennoch mit aller Gewalt die VDS durchgesetzt werden, werde ich meine Kunden ausdrücklich darauf hinweisen, auf Verschlüsselungsmethoden zu setzen. Ich selbst werde dann zusätzlich einen GPG-Webmailclient zur Verfügung stellen.

Aber wer weiß, vielleicht kommen die ja bald auf die Idee, Verschlüsselung zu verbieten. Dann wäre Deutschland wirklich arm dran

Allgemein achte ich, dass die persönliche Daten ordnungsgemäß eingegeben werden, sollte ich ungültige Daten entdecken, werden die sofort gesperrt.

Ich habe irgendwo mal gelesen, dass ein E-Mail-Dienst-Betreiber abgemahnt wurde, weil ein Kunde den Dienst missbraucht hat, falsche Daten eingegeben hat und er die Sache ausbaden musste. Selbst wenn die persönlichen Daten korrekt wären, man sollte es nur dann machen, wenn ein richterlicher Bescheid vorliegt, sonst würde ich es einfach ignorieren und der Kläger würde einfach auf seine Kosten sitzen bleiben.

 

[postmaster]

Allgemein achte ich, dass die persönliche Daten ordnungsgemäß eingegeben werden, sollte ich ungültige Daten entdecken, werden die sofort gesperrt.

Wie realisierst Du das, wenn ich Fragen darf? Google Maps? Oder Klicktel? Oder beides?

An dieser Sache bin ich schon gescheitert weil ich nicht weiß was richtig und falsch ist. Und selbst wenn man diese Methoden zur Prüfung einsetzt, ist fraglich ob dann noch das richtige Ergebnis ausgespuckt wird - so setzte ich momentan auf die Ehrlichkeit meiner Kunden.
Accounts ala Mustermann, Test oder sonstwiewas wo offensichtlichist das falsche Angaben gemacht werden werden natürlich gelöscht ...

LG

Steffen

 

[Karsten]

Hallo Sebijk

Ab 1 000 Kunden muss man dies erst machen, unter 1 000 Kunden nur, wenn du dazu verpflichtet wirst. Es steht aber jeden frei, den Dienst ins Ausland zu verfrachten, allerdings sollte man sich dort wegen E-Mail Anordnungen erkundigen.

Die von Dir angesprochene "Bagatellgrenze" gibt es nicht mehr. Es gibt "nur" noch die Regelung mit den 10.000 Kunden/Usern.

persönliche Daten weitergeben sollte man nach meiner Meinung nur, wenn eine richterliche Anordnung dafür liegt, sonst in keinem Fall, auch wenn es Rechtsanwälte sind......

Das ist nicht ganz richtig. Anfragenden Rechtsanwälten würde ich auch nie etwas geben. Ermittelnden Behören musst Du auf Verlangen Vorhandene Daten Aushändigen. Sonst kannst Du vorgeladen werden und was dann passiert wenn Du die Aussage dort verweigerst kannst Du dir bestimmt denken. Sie werden nicht davon ausgehen das Du ein ehrlicher Dienstleister bis sondern den Täter schützen willst. Daher werden dann bestimmt auch andere Maßnahmen gegen Dich eingeleitet.

Ich gehe davon aus das Du noch nicht so viel Anfrage hattest und auch nicht viel (z.B. 100.000 User/Kunden) verwaltest.

Daher kämpfe ich ja gegen die VDS. Zurzeit wurde es vom Bundesverfassungsgericht eingeschränkt, nächstes Jahr kann man auf eine Entscheidung abwarten. Sollte die dennoch mit aller Gewalt die VDS durchgesetzt werden, werde ich meine Kunden ausdrücklich darauf hinweisen, auf Verschlüsselungsmethoden zu setzen. Ich selbst werde dann zusätzlich einen GPG-Webmailclient zur Verfügung stellen.

Das kann ich verstehen und ist auch ok das Du dagegen kämpfst. Aber hast Du dir mal angesehen was überhaupt für Daten Gespeichert werden?

Email Adresse und IP des Absenders; Email Adresse und IP Adresse des Empfängers. Beginn und Ende der Sendezeit. Vielleicht noch den Betreff. Aber auf keine Fall die Ganze Email oder den Inhalt!!!

.... man sollte es nur dann machen, wenn ein richterlicher Bescheid vorliegt, sonst würde ich es einfach ignorieren und der Kläger würde einfach auf seine Kosten sitzen bleiben.

Es gibt hier 3 (drei) Arten der Auskunftsersuchen

1. Polizei (meist die Kripo)
2. Staatsanwaltschaft
3. Richterlicher Beschluss für TKÜV Einleitung Übermittlung der VDS-Daten

1. und 2. sind meist ein Fax oder Brief den Du bekommst zur Übermittlung bestimmt er Daten. Wie z.B. Anmeldedaten Adresse Name Anmelde IP Adresse und letzte IP Adresse. Wenn es weiter geht kommt ein oder es kommt gleich ein Fax oder Brief von eine(m/r) Staatsanwältin/Staatsanwalt. Die die oben genannten Daten fordern und alle vorhandenen Daten wie z.B. Emails etc. ähnlich einer Hausdurchsuchung.

Bei der 3. Variante wird eine Ausleitung via Sinabox vorgenommen die Du als Emailprovider erst hinterher z.B. über eine Rechung deines Erfüllungsgehilfen erfährst. Diese Variante ist bei vielen möglich wird aber meines Wissen ganz selten genutzt.

 

[Karsten]

.... Es steht aber jeden frei, den Dienst ins Ausland zu verfrachten, allerdings sollte man sich dort wegen E-Mail Anordnungen erkundigen.....

Wenn Du so etwas vorhaben solltest?

Solltest Du dich sehr gut rechtlich beraten lassen. Ein LTD. gründen sie z.B. in England lassen den Server auch England zu stellen und selbst der Geschäftsführer zu sein. Das bringt alles nichts. Du benötigst dort ein Betriebsstätte (nach Gesetzt) um dort den Standort anerkannt zu bekommen. Ein Rufweiterleitung und Postweiterleitung mit einem z.B. Rechtsanwalt der bei 100 andern LTD`s der Geschäftsführer ist bringt nichts.

Das haben schon einige vor Dir probiert und sind damit böse auf die Nase gefallen. Dort benötigst Du eine gute und ausführlicher Rechtliche Beratung und Begleitung.

Dieses wird dann teurer als sich einen Erfüllungsgehilfen (nach TKG) zu suchen (Dienstleister der TKÜV und VDS für Dich macht).

Da die Deutschen hier Vorreiter sind (wie in vielen Dingen) wird das auch "nur" deine Zeit aufschieben. Denn es wird im Europäischenausland auch kommen.

 

[Karsten]

Wie realisierst Du das, wenn ich Fragen darf? Google Maps? Oder Klicktel? Oder beides?

An dieser Sache bin ich schon gescheitert weil ich nicht weiß was richtig und falsch ist. Und selbst wenn man diese Methoden zur Prüfung einsetzt, ist fraglich ob dann noch das richtige Ergebnis ausgespuckt wird - so setzte ich momentan auf die Ehrlichkeit meiner Kunden.
Accounts ala Mustermann, Test oder sonstwiewas wo offensichtlichist das falsche Angaben gemacht werden werden natürlich gelöscht ...

LG

Steffen

Hallo Steffen

schau Dir doch mal den Artikel an:

http://www.heise.de/security/Bundesregierung-plant-sichere-E-Mail--/news/meldung/116142

ich denke das da was kommen wird in Verbindung mit dem neuen Pass. Dann kannst Du sicher sein.

 

[Sebijk]

Wie realisierst Du das, wenn ich Fragen darf? Google Maps? Oder Klicktel? Oder beides?

Nunja, ich kann es natürlich nicht auf Echtheit prüfen, das wäre auf für Privatleute einfach zu zeitintensiv, wie soll das denn gehen? Ich prüfe nur kurz, ob die Straße in der Stadt existiert oder nicht.

http://www.heise.de/security/Bundesregierung-plant-sichere-E-Mail--/news/meldung/116142

ich denke das da was kommen wird in Verbindung mit dem neuen Pass. Dann kannst Du sicher sein.

Nur bringen wird es nicht viel, da dann viele Kunden auf ausländische Dienste ausweichen, bzgl. Pass.

Wenn Du so etwas vorhaben solltest?

Solltest Du dich sehr gut rechtlich beraten lassen. Ein LTD. gründen sie z.B. in England lassen den Server auch England zu stellen und selbst der Geschäftsführer zu sein. Das bringt alles nichts. Du benötigst dort ein Betriebsstätte (nach Gesetzt) um dort den Standort anerkannt zu bekommen. Ein Rufweiterleitung und Postweiterleitung mit einem z.B. Rechtsanwalt der bei 100 andern LTD`s der Geschäftsführer ist bringt nichts.

Man kann doch einfach den Dienst an einem vertrauenswürdigen Kollegen im Ausland übertragen. Dann bin ich eben nur nicht mehr der Inhaber, bzw. muss ich das einfach aufgeben. Selbst wenn deutsche Gesetze Vorreiter sind, in nicht EU-Ländern (jetzt nicht die USA) interessiert sich dafür keiner bzw. wenig.

Dennoch schade, dass Deutschland immer mehr in Richtung Überwachung geht . Da kommt man sich als E-Mail-Anbieter wie ein potenzieller "Verbrecher" vor.

Die meisten weichen eh auf Instant Messaging aus, daher sind die ganzen Überwachungsmethoden alle irgendwie fragwürdig.

 

[postmaster]

Nunja, ich kann es natürlich nicht auf Echtheit prüfen, das wäre auf für Privatleute einfach zu zeitintensiv, wie soll das denn gehen? Ich prüfe nur kurz, ob die Straße in der Stadt existiert oder nicht.

Naja dann war mein Ansatz gar nicht mal so verkehrt ... natürlich kannst Du keine Echtheitsprüfung durchführen, aber es ist zumindest eine kleine Lösung.

@Karsten:
Danke für den Link aber wie Sebijk schon geschrieben hat glaube ich kaum das uns das nützen wird

LG

Steffen

 

[Markus002]

Hallo,

sind obige Regelungen und Gesetze wie VDS und Auskunftspflichten auch zu beachten bzw. zu befolgen, wenn ein E-Mail Dienst nur als Verteiler angeboten wird.
D.h. kein Postfach, kein Versenden von E-Mails möglich. Reine Weiterleitung auf bestehende Adressen.

Danke und Grüße
Markus

 

[SLM]

@Markus:

Die Gesetzgebung macht lediglich den Unterschied öffentlich und nichtöffentlich. Wenn Du den Service öffentlich, also für jedermann anbietest, dann unterliegst Du diesen Regelungen und Gesetzen.

 

[Markus002]

Wie ist denn öffentlich definiert?
Es dürfen und können sich nur Personen einer bestimmten Kundengruppe für diesen Dienst anmelden z.B. nur Mitarbeiter von Schulen.

 

[SLM]

Dazu solltest Du Dich mal mit der Bundesnetzagentur auseinander setzen.

Wie stellst Du sicher daß sich tatsächlich nur Mitarbeiter von Schulen etc. anmelden? Face-to-Face-Kontrolle?

M.E. ist öffentlich immer dann, wenn die Webseite bzw. Registrierung für jeden zugänglich ist. Die Frage ob Du manuell freischaltest oder nicht spielt hier wohl keine Rolle. Aber erkundige Dich am besten selbst.

 

[Karsten]

Hallo

wenn du etwas für Schulen machst und deren Personen.

Wie ist denn öffentlich definiert?
Es dürfen und können sich nur Personen einer bestimmten Kundengruppe für diesen Dienst anmelden z.B. nur Mitarbeiter von Schulen.

Dann ist das ganze in der zuständigen Stadt / Gemeinde aufgehängt. Träger der Schulen sind die Städte und / Gemeinden. Diese haben meist einen betreuenden Rechtsanwalt. Diesen solltest Du besuchen und dein Anliegen vortragen.

Denn keiner der User hier kann Dir zu 100% sagen wie Du dich Rechtlich verhalten musst. Ein besuch bei einem Rechtsanwalt und einem Gespräch mit der RegTp wirst Du nicht vorbeikommen.

Wir können Dir gerne helfen die Vorgaben umzusetzen. Die der Rechtsanwalt und die RegTp machen.

Eine Rechtliche Beratung und Betreuung macht/ darf nur ein Rechtsanwalt machen.

Grade weil eine mehrere? Schulen und Personen der Schule einbezogen sind sollte es ein leichtes sein den Rechtsdienst Deiner Stadt / Gemeinde zu fragen.

Alles andere ist sinnlos. Da die Stadt / Gemeinde auch Haftbar für die Internetseite ist als Träger der Schule.

Wenn Du das nicht willst kannst Du auch hier fragen:

http://www.frag-einen-anwalt.de/

 

[Markus002]

Dann bedanke ich mich zunächst einmal für die vielen hilfreichen Antworten und werde anwaltlichen Rat einholen.