{"id":342,"date":"2013-03-07T09:39:11","date_gmt":"2013-03-07T09:39:11","guid":{"rendered":"http:\/\/skrobotz.de\/de-mail\/?p=342"},"modified":"2013-03-08T08:16:34","modified_gmt":"2013-03-08T08:16:34","slug":"postident-nicht-de-mail-g-konform","status":"publish","type":"post","link":"https:\/\/skrobotz.de\/de-mail\/?p=342","title":{"rendered":"PostIdent nicht De-Mail-G-konform?"},"content":{"rendered":"

Bei heise.de hei\u00dft es<\/a>:<\/p>\n

Ralph Wiegand, CEO von E-Postbrief, erkl\u00e4rte dazu, man habe alle Zertifizierungen als De-Mail-Anbieter bestanden, sei aber mit dem eigenen PostIdent-Verfahren am Widerstand der Datensch\u00fctzer gescheitert. Weil bei PostIdent die Ausweisnummer nach den Bestimmungen des Geldw\u00e4schegesetzes gespeichert wird, sei man nicht De-Mail-konform. Das PostIdent-Verfahren will die Post auf keinen Fall \u00e4ndern.<\/p><\/blockquote>\n

[Update<\/strong> 2013-03-07 23:53]<\/strong> Ein Storify von Andreas Schumann<\/a> beleuchtet die Hintergr\u00fcnde<\/a>. [\/Update]<\/strong><\/p>\n

Das erstaunt mich, wurde doch einerseits PostIdent bislang allgemein als Mittel der Identifizierung mit Hilfe Dritter angesehen (Skrobotz, in: Manssen, K \u00a7 3 Rdnr. 22; Ro\u00dfnagel, NJW\u00a02011, 1473\/1474; LG K\u00f6ln, MMR 2011, 555<\/a>; dem folgend OLG K\u00f6ln<\/a>, VI-U (Kart) 14\/11<\/a> (BeckRS 2012, 01666<\/a>). Und andererseits sehe ich keinen so wesentlichen Unterschied zwischendem De-Mail-Gesetz und dem Geldw\u00e4schegsetz, dass nicht PostIdent nach beiden zul\u00e4ssig sein k\u00f6nnte.<\/p>\n

Zun\u00e4chst zur Identifizierung: Nach sowohl \u00a7 4 Abs. 3<\/a> und 4 des Geldw\u00e4schegesetzes auf der einen wie nach \u00a7 3 Abs. 2 und 3 des De-Mail-Gesetzes auf der anderen Seite<\/p>\n

erhebt und speichert [der Verpflichtete \/ der Anbieter] folgende Angaben:
\n1. bei einer nat\u00fcrlichen Person Name, Geburtsort, Geburtsdatum und Anschrift;<\/p><\/blockquote>\n

und verifiziert<\/em> er diese Angaben etwa mittels eines Personalausweises:<\/p>\n

anhand eines g\u00fcltigen amtlichen Ausweises, der ein Lichtbild des Inhabers enth\u00e4lt und mit dem die Pass- und Ausweispflicht im Inland erf\u00fcllt wird, insbesondere anhand eines inl\u00e4ndischen oder nach ausl\u00e4nderrechtlichen Bestimmungen anerkannten oder zugelassenen Passes, Personalausweises oder Pass- oder Ausweisersatzes…<\/p><\/blockquote>\n

<\/p>\n

Unterschiede gibt es aber in den Vorschriften zur Dokumentation. Nur im De-Mail-Gesetz findet sich folgende Bestimmung (\u00a7 3 Abs. 3 Satz 2 und 3 De-Mail-G):<\/p>\n

Der akkreditierte Diensteanbieter kann von dem amtlichen Ausweis eine Kopie erstellen. Er hat die Kopie unverz\u00fcglich nach Feststellung der f\u00fcr die Identit\u00e4t erforderlichen Angaben des Teilnehmers zu vernichten.<\/p><\/blockquote>\n

Diese S\u00e4tze gehen auf \u00a7\u00a095 Abs.\u00a04 Satz\u00a02<\/a> und 3 TKG zur\u00fcck. Sie bei\u00dfen sich etwas mit \u00a7\u00a013 Abs.\u00a01 Satz\u00a01 De-Mail-G, wonach der Diensteanbieter die Identifikation des Nutzers einschlie\u00dflich der Verifikation der erhobenen Daten so dokumentieren muss<\/b>, dass die Daten und ihre Unverf\u00e4lschtheit jederzeit nachpr\u00fcfbar sind. Hierzu im\u00a0Kommentar<\/strong><\/a><\/strong> (Skrobotz, in: Manssen, K \u00a7 3 Rdnr. 23):<\/p>\n

Die Technische Richtlinie des BSI macht deutlich, wie der Anbieter dieser \u2013 einer Pflichtenkollision nahe kommenden \u2013 Zwickm\u00fchle entkommen kann. Danach soll der Anbieter ein Protokoll der Identifizierung erstellen (TR\u00a001201, 89). Dieses sollte den Vermerk des Identifizierenden dahingehend enthalten, dass die erhobenen Daten anhand eines bestimmten amtlichen Papiers \u00fcberpr\u00fcft wurden. Bei der Angabe der Seriennummer etwa des Personalausweises in diesem Zusammenhang ist \u00a7\u00a020 Abs.\u00a03 PAuswG zu beachten: Danach darf die Seriennummer nicht so verwendet werden, dass mit ihrer Hilfe ein automatisierter Abruf personenbezogener Daten oder eine Verkn\u00fcpfung von Dateien m\u00f6glich ist. Ihre einfache Aufnahme in den Vermerk d\u00fcrfte aber zul\u00e4ssig sein.<\/p><\/blockquote>\n

Wesentlich ist wohl die Einschr\u00e4nkung, dass ein automatisierter<\/em> Abruf nicht zul\u00e4ssig ist, die Personalausweisnummer darf also nicht durchsuchbar gespeichert werden, wohl aber auf Papier niedergelegt.<\/p>\n

Im Geldw\u00e4schegesetz ist dagegen (in \u00a7 8 Abs. 1 GwG<\/a>) bestimmt:<\/p>\n

\u00a7 8 GwG<\/a>. Aufzeichnungs- und Aufbewahrungspflicht.<\/strong>(1) Soweit nach diesem Gesetz Sorgfaltspflichten bestehen, sind die erhobenen Angaben und eingeholten Informationen \u00fcber Vertragspartner, wirtschaftlich Berechtigte, Gesch\u00e4ftsbeziehungen und Transaktionen aufzuzeichnen. In den F\u00e4llen des \u00a7 4 Abs. 4 Satz 1 Nr. 1 [Anm.: Identifizierung mittels Personalausweis etc., JS<\/em>] sind auch die Art, die Nummer und die ausstellende Beh\u00f6rde des zur \u00dcberpr\u00fcfung der Identit\u00e4t vorgelegten Dokuments aufzuzeichnen. Die Anfertigung einer Kopie des zur \u00dcberpr\u00fcfung der Identit\u00e4t vorgelegten Dokuments nach \u00a7 4 Abs. 4 Satz 1 Nr. 1 und die Anfertigung einer Kopie der zur \u00dcberpr\u00fcfung der Identit\u00e4t vorgelegten oder herangezogenen Unterlagen nach \u00a7 4 Abs. 4 Satz 1 Nr. 2 gelten als Aufzeichnung der darin enthaltenen Angaben; im Falle einer Einsichtnahme auf elektronisch gef\u00fchrte Register- oder Verzeichnisdaten gilt die Anfertigung eines Ausdrucks als Aufzeichnung der darin enthaltenen Angaben. …<\/p><\/blockquote>\n

Und in Absatz 2 hei\u00dft es:<\/p>\n

(2) Die Aufzeichnungen k\u00f6nnen auch als Wiedergaben auf einem Bildtr\u00e4ger oder auf anderen Datentr\u00e4gern gespeichert werden. Es muss sichergestellt sein, dass die gespeicherten Daten mit den festgestellten Angaben \u00fcbereinstimmen, w\u00e4hrend der Dauer der Aufbewahrungsfrist verf\u00fcgbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden k\u00f6nnen.<\/p><\/blockquote>\n

Sie k\u00f6nnen es auch<\/em> \u2013 in erster Linie geht der Gesetzgeber also von einer papiernen Dokumentation aus.<\/p>\n

Der Unterschied ist also: De-Mail-Anbieter d\u00fcrfen keine Kopie des Ausweises behalten, Verpflichtete nach dem Geldw\u00e4schegesetz m\u00fcssen es. Doch auch f\u00fcr sie gilt \u00a7 20 Abs. 3 PAuswG, wie die Gesetzesbegr\u00fcndung zum Geldw\u00e4schegesetz deutlich macht (BT-Drs. 16\/9038<\/a> S. 42):<\/p>\n

Die Verpflichteten haben die datenschutzrechtlichen Bestimmungen des Gesetzes \u00fcber Personalausweise und des Passgesetzes zu beachten.<\/p><\/blockquote>\n

Die bei heise.de wiedergegebene Aussage von Wiegand kann ich mir nach alldem nur wie folgt erkl\u00e4ren: Die Post \u00fcbergibt ihrem Auftraggeber, dem Verpflichteten nach dem Geldw\u00e4schegesetz, eine Kopie des Ausweises, anhand dessen sie den B\u00fcrger identifiziert hat. Eine solche darf der De-Mail-Anbieter nicht aufbewahren; er muss statt dessen einen entsprechenden Vermerk fertigen. Warum eine solche Gestaltung entweder nicht De-Mail-Gesetz-konform sein soll, oder eine zu gro\u00dfe Abweichung vom \u00fcblichen Post-Ident-Ablauf darstellen, erschlie\u00dft sich mir nicht. Allerdings kenne ich auch, was ich einr\u00e4umen muss, die Einzelheiten nicht.<\/p>\n","protected":false},"excerpt":{"rendered":"

Bei heise.de hei\u00dft es: Ralph Wiegand, CEO von E-Postbrief, erkl\u00e4rte dazu, man habe alle Zertifizierungen als De-Mail-Anbieter bestanden, sei aber mit dem eigenen PostIdent-Verfahren am Widerstand der Datensch\u00fctzer gescheitert. Weil bei PostIdent die Ausweisnummer nach den Bestimmungen des Geldw\u00e4schegesetzes gespeichert … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/posts\/342"}],"collection":[{"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=342"}],"version-history":[{"count":9,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/posts\/342\/revisions"}],"predecessor-version":[{"id":346,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/posts\/342\/revisions\/346"}],"wp:attachment":[{"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=342"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=342"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=342"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}