Deutscher Bundestag – 17. Wahlperiode
213 ––
–– 213
Drucksache 17/13000
Abbildung 1
versehen, ob die Überprüfung zu einem Befund geführt
hat. Dieser Prüfprozess erfolgt zwar automatisiert auf
Servern in einem Rechenzentrum des DMDA, das den
Vorgaben des BSI entspricht. Zudem gibt es weitere technische und organisatorische Maßnahmen, die einen Zugriff durch einen Innen- wie auch einen Außentäter verhindern sollen. Gleichwohl besteht ein Restrisiko, dass
insbesondere Administratoren des Anbieters vom Nachrichteninhalt Kenntnis nehmen.
Im Gegensatz dazu stellt die Ende-zu-Ende-Verschlüsselung eine durchgängige Verschlüsselung zwischen Versender und Empfänger dar und bietet sich daher für eine
Versendung besonders schutzbedürftiger Daten an. Dies
wird vom De-Mail-Gesetz jedoch nicht gefordert. Für den
DMDA ergeben sich dementsprechend keine Pflichten.
Er darf den Versand Ende-zu-Ende-verschlüsselter Nachrichten lediglich nicht verhindern. Faktisch bedeutet dies,
dass sich die Nutzer selbst um die Installation und Nutzung einer Verschlüsselungssoftware kümmern müssen.
Eine Prüfung auf Schadsoftware kann der DMDA dann
allerdings nicht durchführen. Problematisch ist zudem,
dass Nachrichten nur dann verschlüsselt versendet werden können, wenn auch der Empfänger eine entsprechende Kryptografiesoftware einsetzt. Dies führt zu Verunsicherungen und Erschwernissen, die sich hätten
vermeiden lassen, wenn die Ende-zu-Ende-Verschlüsselung zu den mit De-Mail bereitgestellten Standardmaßnahmen gehören würde.
Da die bisher akkreditierten DMDA für den Privatanwender bislang nur den Zugang per Web-Client ermöglichen,
ist eine Ende-zu-Ende-Verschlüsselung für diesen derzeit
kaum praktikabel. Der Versender muss die zu übermittelnde Nachricht auf seinem lokalen Rechner erstellen
und mit einer Kryptografiesoftware verschlüsseln. Danach meldet er sich über den Web-Client an seinem DeMail Konto an, erzeugt eine leere „Pseudo“-De-Mail und
hängt dieser per Upload die verschlüsselte Datei an. Wirtschaftsunternehmen und die öffentliche Verwaltung haben es hier einfacher, da die Anbindung an De-Mail über
ein Gateway erfolgt, d. h. im Firmen- bzw. Behördennetzwerk können normale E-Mail-Clients wie Outlook oder
Lotus Notes genutzt werden, die von Hause aus eine Verschlüsselung unterstützen, so dass diese weitestgehend
automatisiert erfolgen kann.
Es ist ein Grundsatz des Datenschutzes, dass bei der elektronischen Übertragung personenbezogener Daten die Integrität, Authentizität und Vertraulichkeit der Daten sichergestellt sein muss. Je schützenswerter ein Datum ist,
desto strenger sind die technisch-organisatorischen Maßnahmen, die die verantwortliche Stelle einhalten muss.
Bei bestimmten personenbezogenen Daten wie zum Beispiel Gesundheitsdaten, spielt besonders die Vertraulichkeit eine große Rolle. Unbefugte sollen in keinen Fall
Kenntnis von diesen Daten erhalten. Bei der elektronischen Kommunikation wird die Vertraulichkeit dadurch
gewährleistet, dass die Nachricht und ihre Anhänge mit
einer geeigneten Software verschlüsselt werden. Betroffen sind hiervon alle besonders schutzbedürftigen personenbezogenen Daten, also solche, die potentiell eine besondere Sensibilität aufweisen. Dies gilt etwa für
personenbezogene Daten an deren Verarbeitung und Nutzung besondere gesetzliche Anforderungen gestellt werden, wie z. B. die so genannten besonderen Arten personenbezogener Daten nach § 3 Abs. 9 BDSG oder die dem
Sozialdatenschutz unterfallenden personenbezogenen Daten. Welche Schutzmaßnahmen für diese Daten angemessen sind, ergibt sich allerdings nicht automatisch, sondern
BfDI 24. Tätigkeitsbericht 2011-2012