{"id":312,"date":"2013-01-25T14:01:35","date_gmt":"2013-01-25T14:01:35","guid":{"rendered":"http:\/\/skrobotz.de\/de-mail\/?p=312"},"modified":"2013-02-22T22:43:59","modified_gmt":"2013-02-22T22:43:59","slug":"bundesdatenschutzbeauftragter-zu-de-mail-im-e-government-gesetz","status":"publish","type":"post","link":"https:\/\/skrobotz.de\/de-mail\/?p=312","title":{"rendered":"Bundesdatenschutzbeauftragter zu De-Mail im E-Government-Gesetz"},"content":{"rendered":"

Der Bundesdatenschutzbeauftragte<\/a> Peter Schaar <\/a>hat f\u00fcr den „Beh\u00f6rden Spiegel“<\/a>\u00a0einen Beitrag unter der \u00dcberschrift „De-Mail bietet viele Vorteile“<\/a> verfasst, in dem er die De-Mail vorstellt. Er zeigt hierbei M\u00f6glichkeiten und Risiken aus Sicht des Datenschutzes auf, und setzt sich en passant mit dem geplanten<\/a> E-Government-Gesetz<\/a> auseinander. Er fordert wiederum die Ende-zu-Ende-Verschl\u00fcsselung sensibler Daten.<\/p>\n

Zun\u00e4chst aber beschreibt er seine Rolle bei der Akkreditierung der Anbieter \u2013\u00a0er ist nach \u00a7 18 Abs. 3 Nr. 4 De-Mail-Gesetz\u00a0zust\u00e4ndig f\u00fcr die Erteilung eines Datenschutz-Zertifikates \u2013, und erg\u00e4nzt:<\/p>\n

Die Einhaltung der im Datenschutzzertifikat genannten Standards werde ich zuk\u00fcnftig auch kontrollieren.<\/p><\/blockquote>\n

Warum er, also der Bundesbeauftragte? Zun\u00e4chst: Die Datenschutzaufsicht ist nicht Aufgabe des BSI als sonst zust\u00e4ndiger Aufsichtsbeh\u00f6rde (K \u00a7 2 Rdnr. 11; BT-Drs. 17\/3630<\/a> S. 41, zu \u00a7 20). Das obliegt vielmehr den Datenschutz-Aufsichtsbeh\u00f6rden. Das sind grunds\u00e4tzlich die jeweiligen nach \u00a7 38 Abs. 5 BDSG<\/a> bestimmten Landesbeh\u00f6rden. Bei (D)E-Mail-Diensten besteht aber eine Sonderzust\u00e4ndigkeit des Bundesbeauftragten aus \u00a7 115 Abs. 4 TKG<\/a>. Danach tritt,<\/p>\n

soweit f\u00fcr die gesch\u00e4ftsm\u00e4\u00dfige Erbringung von Telekommunikationsdiensten Daten von nat\u00fcrlichen oder juristischen Personen erhoben, verarbeitet oder genutzt werden, [….] bei den Unternehmen an die Stelle der Kontrolle nach \u00a7 38<\/a> des Bundesdatenschutzgesetzes eine Kontrolle durch den Bundesbeauftragten f\u00fcr den Datenschutz[…].<\/p><\/blockquote>\n

Dass es sich beim Transport von\u00a0E-Mails um Telekommunikationsdienste im Sinne des TKG handelt, wird deutlich aus \u00a7 11 Abs. 3 TMG<\/a> und \u00a7 3 Nr. 24 TKG<\/a>. Denn das ist eine Leistung, „die \u00fcberwiegend in der \u00dcbertragung von Signalen \u00fcber Telekommunikationsnetze“ besteht. Zu beachten ist aber, dass die Erm\u00e4chtigung des Bundesbeauftragten begrenzt ist auf die Verwendung der personenbezogenen Daten „f\u00fcr die gesch\u00e4ftsm\u00e4\u00dfige Erbringung von Telekommunikationsdiensten“. Gegen eine unzul\u00e4ssige Datenverwendung etwa f\u00fcr Marketingzwecke m\u00fcsste die jeweilige Landesbeh\u00f6rde einschreiten (vgl. Petri, in: Simitis, Bundesdatenschutzgesetz<\/a>, \u00a7 38 BDSG<\/a> Rdnr. 18).<\/p>\n

<\/p>\n

Schaar begr\u00fc\u00dft sodann die Sicherheit, die aus der Notwendigkeit resultiere, sich bei der Anmeldung auszuweisen:<\/p>\n

Da auch Unternehmen und Beh\u00f6rden vor der Nutzung von De-Mail ein Identifizierungsverfahren durchlaufen m\u00fcssen, kann sich der B\u00fcrger sicher sein, dass eine De-Mail, die beispielsweise das Bundeskriminalamt als Absender angibt, auch von dort kommt.<\/p><\/blockquote>\n

Eventuell spielt er damit auf Nachrichten wie diese <\/a>an. Ich glaube indes nicht, dass allzu viele B\u00fcrger E-Mails vom BKA oder vom Verfassungsschutz<\/a> bekommen.<\/p>\n

Schlie\u00dflich aber wendet er sich der immer noch schwelenden Frage der Ende-zu-Ende-Verschl\u00fcsselung zu. Bereits im Gesetzgebeungsverfahren zum De-Mail-Gesetz hatte er \u2013 wie der CCC und viele andere auch \u2013 darauf gedr\u00e4ngt, eine solche verpflichtend vorzusehen. Der Gesetzgeber hat sich dem mit dem Bemerken\u00a0widersetzt, das verkompliziere das System nur und erschwere die Marktdurchsetzung. Entsprechend sind die Nachrichten nur auf dem Weg vom Provider, zwischen den Providern und auf dem Weg vom Provider verschl\u00fcsselt. Die Provider selbst k\u00f6nnen und m\u00fcssen auf den Inhalt der Nachrichten zugreifen, um sie auf „Schadsoftware“ zu \u00fcberpr\u00fcfen, \u00a7 2 Abs. 4 Nr. 4 De-Mail-Gesetz.<\/p>\n

Der Gesetzgeber nunmehr des E-Government-Gesetzes spielt\u00a0<\/a>die hiermit verbundenen Risiken herunter<\/a>:<\/p>\n

\u201cBei den De-Mail-Providern werden die Daten im Rahmen eines automatisierten Prozesses ohne menschliche Mitwirkung kurzzeitig umgeschl\u00fcsselt. Diese Umschl\u00fcsselung erfolgt in einer vom BSI zertifizierten Sicherheitsumgebung, f\u00fcr die die De-Mail-Provider im Rahmen des im De-Mail-G geregelten Akkreditierungsprozesses umfangreiche organisatorische und technische Sicherheitskriterien erf\u00fcllen m\u00fcssen. Eine Speicherung der Inhaltsdaten beim Provider erfolgt ausschlie\u00dflich in verschl\u00fcsseltem Zustand.\u201d<\/p><\/blockquote>\n

Schaar widerspricht:<\/p>\n

„Die Bundesregierung will mit dem E-Goverment-Gesetz diese Verunsicherung zerstreuen \u2013\u00a0 aus meiner Sicht allerdings nur mit m\u00e4\u00dfigen Erfolgsaussichten. Denn der Gesetzentwurf nebst Begr\u00fcndung liest sich so, als k\u00f6nnten alle personenbezogenen Daten regelm\u00e4\u00dfig ohne Ende-zu-Ende-Verschl\u00fcsselung mit De-Mail versendet werden. Daten mit erh\u00f6htem Schutzbedarf, etwa aus dem medizinischen Bereich, erfordern aber besondere Sicherungsma\u00dfnahmen, die \u00fcber die Standardsicherheit von De-Mail hinausgehen. Die f\u00fcr die Daten verantwortliche Stelle (im Regelfall der Versender) muss die erforderliche Sicherheit garantieren, etwa indem eine Analyse des Schutzbedarfs erstellt und darauf aufbauend zus\u00e4tzliche Ma\u00dfnahmen getroffen werden, etwa durch Gew\u00e4hrleistung einer zus\u00e4tzlichen (anwendungsbezogenen) Ende-zu-Ende-Verschl\u00fcsselung.“<\/p><\/blockquote>\n

Er spricht sich also, auch das wird deutlich, nicht mehr f\u00fcr eine generelle Ende-zu-Ende-Verschl\u00fcsselung bei elektronischen Beh\u00f6rdenkontakten aus, sondern nur bei „Daten mit erh\u00f6htem Schutzbedarf“. Das liegt nicht so weit entfernt von der Auffassung der Bundesregierung, die im Entwurf zum E-Government-Gesetz ausdr\u00fccklich ausf\u00fchrt (BT-Drs. 17\/11473<\/a> S. 24):<\/p>\n

\n

„Au\u00dferdem ist die Beh\u00f6rde nicht verpflichtet, per De-Mail zu antworten, wenn sie wegen der Versendung von Daten, z. B. Sozialdaten, mit sehr hohem Schutzbedarf verpflichtet ist, weitere Sicherungsma\u00dfnahmen, z. B. eine Ende-zu-Ende-Verschl\u00fcsselung, einzusetzen.“<\/p>\n<\/blockquote>\n

Der weitergehenden Forderung<\/a> Patrick Breyers<\/a>, in dem von Schaar angek\u00fcndigten<\/a>\u00a0Leitfaden zum datenschutzgerechten Einsatz von De-Mail durchgehend eine Ende-zu-Ende-Verschl\u00fcsselung vorzugeben, d\u00fcrfte Schaar damit wohl nicht nachkommen.<\/p>\n

Update:<\/strong> Der Bundesdatenschutzbeauftragte (bzw. eine Mitarbeiterin) reagiert <\/a>auf die Anfragen Patrick Breyers.<\/p>\n

Im Kommentar<\/a><\/strong>: Zur Aufsicht<\/strong> siehe K \u00a7\u00a02 Rdnr. 11 und K \u00a7 20, zur Kritik am Fehlen der Ende-zu-Ende-Verschl\u00fcsselung<\/strong> siehe K \u00a7 1 Rdnr. 35 ff. und 69 sowie K \u00a7 5 Rdnr. 25.<\/p>\n","protected":false},"excerpt":{"rendered":"

Der Bundesdatenschutzbeauftragte Peter Schaar hat f\u00fcr den „Beh\u00f6rden Spiegel“\u00a0einen Beitrag unter der \u00dcberschrift „De-Mail bietet viele Vorteile“ verfasst, in dem er die De-Mail vorstellt. Er zeigt hierbei M\u00f6glichkeiten und Risiken aus Sicht des Datenschutzes auf, und setzt sich en passant … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/posts\/312"}],"collection":[{"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=312"}],"version-history":[{"count":7,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/posts\/312\/revisions"}],"predecessor-version":[{"id":326,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/posts\/312\/revisions\/326"}],"wp:attachment":[{"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=312"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=312"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=312"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}