Empfangs- und Lesebestätigung

Moin,

ich hatte gerade dein Einfall, dass man eventuell eine Empfangs- und Lesebestätigung in die Mails integrieren kann. Das mag zwar vlt nicht immer nötig sein, ist aber teilweise ganz interessant um herauszufinden, ob und wann eine Nachricht gelesen wurde. Zudem könnte man so auch einen leichten Druck auf die Behördenmitarbeiter aufbauen wenn diese wissen, dass eine Nachricht gelesen wurde.

Ich habe, als ich mich im Rahmen eines Schulprojektes mit Datenschutz befasst habe, mich an den HmbBfDI gewandt und konnte durch diese Bestätigung nachvollziehen, dass meine Mails zum einen als Spamverdacht deklariert wurden und teilweise auch ungelesen gelöscht. Insofern glaube ich, dass dieses Feature nicht schaden könnte. Insbesondere, falls eine Nachricht mal wieder nicht angekommen sein soll…

Habt ihr noch Ideen dazu?

~ Jasper

1 Like

Ich weiß nicht, ob das so sinnvoll ist.
Schließlich sind meines Wissens nach Empfangs- und Lesebestätigungen freiwillig, d.h. der Empfänger kann, aber muss Sie nicht senden.
Dann ist man effektiv so schlau wie vorher, da man nie weiß, ob die Mail nicht gelesen wurde oder einfach keine Bestätigung versendet wurde.

Und was ist eigentlich der Unterschied zwischen Empfangs- und Lesebestätigung?
In Thunderbird konnte ich z.B. nur eine Empfangsbestätigung aktivieren.

1 Like

Joa, die Sachen sind freiwillig, aber teilweise ist es so eingestellt, dass man immer die automatisierte Antwort bekommt.

Im Kopf von versandten E-Mails gibt es bei FdS den “Status”. Dort steht meistens ein Häckchen und dahinter “E-Mail wurde erfolgreich versendet.” Wenn man darauf klickt, öffnet sich ein Sendeprotokoll, an dem man (wenn man sich besser auskennt als ich) erkennen kann, ob die E-Mail zugestellt wurde. Das erfüllt dann quasi die Funktion eines Einwurfeinschreibens. Ob die Nachricht gelesen wurde, kann man daraus aber nicht entnehmen.

3 Like

Das ist teilweise das Problem. Aber ja: In diesem Sinne könnte man eine gesonderte Empfangsbestätigung getrost sein lassen. Wobei ich wichtig fände, dass technisch weniger versierte auch eine Anleitung bekommen den Log vernünftig zu lesen.

Upsi. Das hatte ich heute morgen übersehen. Eine Empfangsbestätigung wird gesendet, wenn die Mail auf dem anderen Server angekommen ist. Eine Lesebestätigung wird gesendet, sofern eine Nachricht geöffnet wurde. Allerdings kann man beides als Empfänger deaktivieren.

Ich kann in Thunderbird eigentlich beides anfordern und bekomme auch beides…

1 Like

Möglicherweise interessant könnte auch eine Empfangs- und Lesebestätigung an die Behörden sein. Denn: einige Behörden fordern auch wenn pseudonyme Antragstellung gesetzlich möglich wäre, die Postanschrift, um Zugang und Bekanntgabe (§ 41 BVwVfG) bestimmen zu können; ähnliche Regelungen in versch. LVwVfGen.

Dem Argument könnte man begegnen, wenn FragDenStaat.de solche Bestätigungen versenden würde, ohne dass der Nutzer darauf Einfluss nehmen könnte.

Ist nur ein erster Gedanke, den man in allen fachlichen Facetten für Theorie und Praxis durchdenken müsste.
Wenn es den “Postanschrift-Freunden” unter den Behörden ein wenig Wind aus den Segeln nähme, wäre das ein Schritt in die richtige Richtung.

1 Like

Beitrag wegen inhaltlicher Inkorrektheit zurück gezogen.

Alte Version (Falsch)

Nja. Da eine Lesebestätigung rechtlich nicht bindend ist, wird das wahrscheinlich wenig verbessern.

2 Like

Wie kommst Du darauf?

Upsi. Ich glaube, da habe ich etwas verwechselt. Grundsätzlich ist nach §3a VwVfG die Behörde ermächtigt auf einen Antrag per Mail auch per Mail zu antworten. Ich habe da wohl irgendetwas durcheinander bekommen.
Ich gehe so aber nicht davon aus, dass sich mit einer Empfangsbestätigung mehr Behörden umentscheiden werden. Die Postanschriftfreunde wird es danach nach wie vor geben, denke ich.

Ich vermut mal, dass bezog sich auf die Lesebestätigung als Ersatz für die förmliche Zustellung.

Die Frage ist hier natürlich: Wie groß ist der übrig bleibende Spielraum für gewaltsam konstruierte Gegenargumente?

Ich sehe das so: Das gängiste Argument für die Angabe einer Postanschrift ist es, dass bei einer Kommunikation per E-Mail der Beginn der Rechtsbehelfsfrist nicht eindeutig bestimmt werden kann.

Wie müsste eine Empfangs- und Lesebestätigung aussehen, damit die Behörde im Zweifel (1.) den Zugang (2.) den Zeitpunkt des Zugangs des Verwaltungsaktes gemäß § 41 Abs. 2 S. 3 2. Hs. VwVfG nachweisen könnte?

Technische These: Ein Zugang wäre durch eine DKIM-signierte (RFC 6376) Delivery-Status-Notification (RFC 6522) unter Anhang der zu bestätigenden Nachricht (RFC 6522 Sec. 3 Nr. 3 "OPTIONAL … ") nachweisbar. Die DKIM-Signatur müsste mindestens den Body der RFC-6522-Nachricht, sowie den Date-Header mit einschließen. (Für den TXT-Record wäre DNSSEC nicht schlecht.)

Rechtliche Grundlagen der These:

  1. Für IFG-Bescheide gilt zumeist kein Schriftformerfordernis, § 10 S. 1 VwVfG.
  2. Dann richtet sich die Zustellung und Bekanntgabe nach § 41 VwVfG.
  3. Selbst die Schriftform kann unter bestimmten Bedingungen durch die elektronische Form ersetzt werden, § 3a Abs. 2 VwVfG. Eine Möglichkeit ist hier die De-Mail, § 3a Abs. 2 S. 4 Nr. 3 VwVfG.
  4. Eine Empfangsbestätigung von FragDenStaat für nicht schriftformbedürftige Verwaltungsakte müsste deshalb die Zweifel über Zugang gemäß § 41 Abs. 2 S. 3 VwVfG spätestens dann ausräumen können, wenn die Authentizität der Zugangsbestätigung in den wesentlichen Aspekten mit § 5 Abs. 8 De-MailG vergleichbar wäre.
  5. Sie wäre vergleichbar, wenn die notwendigen Angaben nach § 5 Abs. 8 S. 4 De-MailG mit einem Signaturverfahren versehen sind, das Zweifel iSv § 41 Abs. 2 S. 3 VwVfG beseitigt.
  6. Eine (einfache) elektronische Signatur iSv Art. 3 Nr. 10 eIDAS-Vo wäre nach Art. 25 Abs. 1 eIDAS-Vo grundsätzlich als Beweismittel zulässig.
  7. Wenn die begehrte Zustellungsform keine Zweifel über den Zeitpunkt des Zugangs aufwürfe, dürfte auch keine Postadresse verlangt werden, da kein wichtiger Grund vorläge, von der begehrten Form des Informationszugangs abzuweichen (z.B. § 1 Abs. 2 S. 2 IFG).

Technische oder rechtliche Gegenargumente?

1 Like

Hallo zusammen,

tatsächlich haben wir für Admins auf FdS seit längerem einen Test laufen, bei dem E-Mails mit Delivery Status Notifications (DSN) NOTIFY=SUCCESS,DELAY,FAILURE und den E-Mail-Headern Disposition-Notification-To (Lesebestätigung) und Return-Receipt-To (Server-Empfangsbestätigung) ausgeliefert werden. Unser E-Mail-Server hat natürlich bei allen E-Mails SPF, DKIM und DMARC.

Ergebnis nach mehreren Monaten: es gibt so gut wie keine Mailserver die DSN mitmachen und Lesebestätigungen haben wir gar keine bekommen.

DSNs vom Behörden-Server helfen jetzt auch nicht so super viel. Lesebestätigungen sind in gewisser Form auch ein Datenschutzproblem und sind natürlich auch keine Garantie, dass der Antrag wirklich an der richtigen Stelle angekommen und bearbeitet wird. Der Test läuft weiter, vielleicht kommt ja noch was bei rum.

Der Behörde eine Empfangsbestätigung zu schicken wäre schon eine Idee, aber eigentlich müsste sie die dann auch beim Versenden der E-Mail durch Header etc. anfordern, oder? Nutzer erhalten erst beim Lesen auf FdS von der Nachricht Kenntnis und da finde ich die Lesebestätigung auch wieder etwas datenschutzproblematisch. Letztlich wollen wir ja nicht De-Mail nachbauen. :slight_smile:

2 Like

Hallo @stefan,

habe mich heute morgen erst etwas durch den froide-Code gelesen und gesehen, dass Ihr mit schon DSNs experimentiert.

Was Deine Anmerkungen angeht:

(1) Zugangsnachweis an Behörden

Ich hätte zunächst gedacht, dass eine Delivery Status Notification durch den MTA am einfachsten wäre. Postfix lässt sich hier aber leider nicht flexibel genug konfigurieren, dass auch der Original Message-Body angehängt würde.

Somit wäre es wahrscheinlich einfacher/ besser Message Disposition Notification’s (RFC 8098) in froide einzubauen.

In RFC 8098 Sec. 3.2.6.2 sind verschiedene ‘disposition types’ beschrieben. Neben ‘displayed’ (= Lesebestätigung) gibt es auch den ‘processed’-Status:

‘The message has been processed in some manner […] without being displayed to the user.’

Dieser wäre aus der Sicht des Datenschutzes nicht problematisch, da ja nur bestätigt würde, dass die Nachricht im Anfragenpostfach des Nutzers angekommen ist. § 41 Abs. 2 S. 2 und 3 VwVfG fingiert ja ohnehin, dass die Nachricht 3 Tage nach dem nachgewiesenen Zugang auch bekanntgegeben ist, sodass es keiner Lesebestätigung bedarf:

Ein Verwaltungsakt, der […] elektronisch übermittelt wird, gilt am dritten Tag nach der Absendung als bekannt gegeben. Dies gilt nicht, wenn der Verwaltungsakt nicht oder zu einem späteren Zeitpunkt zugegangen ist; im Zweifel hat die Behörde den Zugang des Verwaltungsaktes und den Zeitpunkt des Zugangs nachzuweisen.

Einige Behörden meinen deshalb sinngemäß:

Weil wir im Zweifel den Zugang nachweisen müssen und das per E-Mail nicht geht, müssen wir eine Postanschrift erheben, da wir per Post (Einschreiben, Postzustellungsauftrag) den Zugang nachweisen können.

Umgekehrt heißt das, dass eine datenschutzrechtliche Grundlage zur Erhebung der Postanschrift spätestens ausscheidet, wenn der Zugang per E-Mail ohne Zweifel nachweisbar ist. (Andere Rechtsgrundlagen ausgenommen.)

Der Verweis auf De-Mail ist eine reine Analogie. Denn: wenn eine Empfangsbestätigung ein ähnliches Authentizitätsniveau böte, wie das De-MailG für De-Mail vorsieht, muss das spätestens dann auch für einfache Zustellungen nach § 41 Abs. 2 S. 2 VwVfG genügen.
Mein Vorschlag im Vergleich mit De-Mail ist insoweit abzüglich:

  1. des arkanen Zertifizierungsverfahrens,
  2. der Wirren der qualifizierten elektronischen Signatur.
§ 5 Abs. 8 S. 4 Nr. X De-MailG Vorschlag, RFC 8098
Nr. 1: Absender & Empfängeradresse JA. To-Header, Final-Recipient-Feld.
Nr. 2: Datum und Uhrzeit des Eingangs JA, Date-Header.
Nr. 3 analog: Name des Dienstanbeiters Könnte man in den human-readable Teil schreiben.
Nr. 4: die Prüfsumme der zu bestätigenden Nachricht JA, mittelbar durch Anhang der Originalnachricht mit DKIM-Signatur
Satz 5 analog: elektronische Signatur. JA, über DKIM.

De-Mail ist und bleibt Unsinn. Aber es ist Unsinn der Juristen wenigstens etwas geläufig ist. Deshalb vermutlich eine ganz gute Analogie.

Zumindest sieht RFC 8098 Sec. 2 vor, dass der ‘Disposition-Notification-To’-Header gesetzt sein müsste. Man könnte also in den Behördenleitfaden schreiben, dass beim Aktivieren dieser Option in Outlook ein zuverlässiger Zustellungsnachweis verschickt wird.
Nicht sicher bin ich mir, ob es den Standard in grober Weise verletzt, wenn man sie generell verschickt, wenn eine ‘is_publicbody_response’-Nachricht eingeht; explizit (z.B. ‘MUST NOT’) jedenfalls nicht.

Der Nutzen wäre meiner Ansicht nach, dass der Spielball für das “Bekanntgabe-Argument” wieder bei den Behörden wäre. Ein Justiziar, der hiergegen Argumente konstruieren wollte, müsste sich intensiv mit SMTP auseinandersetzen.

(2) Zugangsnachweis für Nutzer

Frag Den Staat bietet ja bereits die Maillogs. Im Zivilrecht gibt es Stimmen, die bereits Zugang iSv RFC 5321 Sec. 6.1 – also “250 OK” – ausreichen lassen.
Grundsätzlich würde ich das auch so sehen. Leider hat das auch böse Auswirkungen auf die technische Praxis, weil “da Draußen” nicht wenige Mailserver furchtbar administriert werden.
Und theoretisch kann man die Echtheit eines vorgelegten Maillogs immer bestreiten.
Das konsequente Versenden von DSN oder MDN wäre eigentlich auch im Interesse der Behörde. Denn sonst ist man sehr davon abhängig, dass der Postmaster keinen Mist baut.

Grundsätzlich sind die Log-Auszüge von FragDenStaat schon ganz gut, da der Antragsteller diese ja – außer er ist froide-Admin – nicht selbst manipulieren kann.

Das würde aber nur in dem Fall relevant, in dem die Behörde den Zugang einer nicht schriftformbedürftigen Erklärung – z.B. eines Antrags im Rahmen einer Untätigkeitsklage – bestritte.

(Oben stehendes stellt wie immer meine persönliche und theoretische Meinung zu dem Thema dar und soll nicht als Rechtsberatung verstanden werden.)


Wenn auch andere hier der Meinung sind, dass sich das lohnen könnte, würde ich anbieten mal Python-Code schreiben, der diesen rechtlichen Vorgaben Genüge täte. An welcher Stelle im froide-Code wäre das sinnvoll/ erwünscht?

Rechtliches To-Do wäre natürlich noch zu prüfen, in welchen Landesgesetzen das überhaupt etwas bringen würde.

4 Like