Drucksache 17/13000
214 –
–
–– 214
Deutscher Bundestag – 17. Wahlperiode
bedarf einer Prüfung im Einzelfall, die im Folgenden weiter ausgeführt wird.
von Daten mit dem Schutzbedarf „normal“ ist eine
Ende-zu-Ende-Verschlüsselung dann nicht notwendig.
Mangels entsprechender gesetzlicher Vorgaben im DeMail-Gesetz sind nicht die DMDA, sondern die Versender von De-Mails für die Beachtung datenschutzrechtlich
angemessener Verfahren verantwortlich. Um ein angemessenes Schutzniveau bei der Versendung besonders
schutzbedürftiger personenbezogener Daten (z. B. Sozialdaten oder Daten die Rückschlüsse auf den Gesundheitszustand einzelner Betroffener zulassen) mittels De-Mail
zu gewährleisten, ist aus datenschutzrechtlicher Sicht
eine Ende-zu-Ende-Verschlüsselung grundsätzlich erforderlich. Die Vorgaben des De-Mail-Gesetzes, die Technische Richtlinie des BSI nach § 18 Abs. 2 De-Mail-Gesetz
und der Kriterienkatalog des BfDI gemäß § 18 Abs. 3
Nr. 4 De-Mail-Gesetz machen zwar deutlich, dass bei DeMail das Datenschutz- und Datensicherheitsniveau im
Vergleich zum E-Mail-Versand erheblich höher ist. Trotzdem müssen über diesen Mindeststandard hinaus beim
Versand besonders schutzbedürftiger Daten grundsätzlich
zusätzliche Schutzvorkehrungen getroffen werden.
– Beim Schutzbedarf „hoch“ können die Schadensauswirkungen beträchtlich sein. Beim Versand von Daten
mit dem Schutzbedarf „hoch“ ist eine Ende-zu-EndeVerschlüsselung grundsätzlich erforderlich. Auf sie
kann jedoch dann verzichtet werden, wenn die datenverarbeitende Stelle anhand einer Risikoanalyse zu
dem Ergebnis kommt, dass sie aufgrund der getroffenen technischen und organisatorischen Sicherheitsmaßnahmen das Restrisiko im Bereich des Versenders
als vertretbar bewertet. Versender und Empfänger
müssen sich aber auf jeden Fall an ihrem Konto im
Sinne des § 4 Abs. 1 Satz 2 De-Mail-Gesetz sicher anmelden.
Ob eine Ende-zu-Ende-Verschlüsselung im Einzelfall die
datenschutzrechtlich angemessene Sicherungsmaßnahme
darstellt, orientiert sich an dem konkreten Schutzbedarf
der Daten. Dieser ist zunächst anhand der Grundschutzmethodik des BSI von der datenverarbeitenden Stelle
festzustellen:
– Bei der Schutzbedarfsanalyse ist Folgendes zu beachten:
– Bei einer Schutzbedarfsfeststellung ist grundsätzlich
danach zu fragen, welcher Schaden entstehen kann,
wenn die Grundwerte Vertraulichkeit, Integrität oder
Verfügbarkeit verletzt werden. Es muss also gefragt
werden, welcher Schaden eintritt, wenn vertrauliche
Informationen unberechtigt zur Kenntnis genommen
oder weitergegeben werden (Verletzung der Vertraulichkeit), die Korrektheit der Informationen und die
Funktionsweise von Systemen nicht mehr gegeben ist
(Verletzung der Integrität) oder autorisierte Benutzer
am Zugriff auf Informationen und Systeme behindert
werden (Verletzung der Verfügbarkeit). Dabei wird
zwischen den Schutzbedarfskategorien „normal“,
„hoch“ und „sehr hoch“ unterschieden. Der Schaden,
der von einer Verletzung der Grundwerte ausgehen
kann, kann sich auf verschiedene Schadensszenarien
beziehen:
– Verstöße gegen Gesetze, Vorschriften oder Verträge,
– Beeinträchtigungen des informationellen Selbstbestimmungsrechts,
– Beeinträchtigungen der persönlichen Unversehrtheit,
– Beeinträchtigungen der Aufgabenerfüllung,
– negative Außenwirkung oder
– finanzielle Auswirkungen.
– Beim Schutzbedarf „normal“ sind die Schadensauswirkungen begrenzt und überschaubar. Beim Versand
BfDI 24. Tätigkeitsbericht 2011-2012
– Beim Schutzbedarf „sehr hoch“ können die Schadensauswirkungen bei unberechtigtem Zugriff ein existentiell bedrohliches Ausmaß erreichen. Beim Versand
von Daten mit dem Schutzbedarf „sehr hoch“ ist eine
Ende-zu-Ende-Verschlüsselung zwingend notwendig.
– Die Einstufung des jeweiligen personenbezogenen
Datums kann je nach Kontext, in dem das Datum
verwendet wird, unterschiedlich sein. So ist beispielsweise der Schutzbedarf einer Adresse im Regelfall behördlicher Anwendungen normal oder
hoch. Befindet sich die betroffene Person aber in
einem Zeugenschutzprogramm, ist der Schutzbedarf sehr hoch und die Daten dürften nur mit Endezu-Ende-Verschlüsselung übertragen werden.
– Sozial- und Steuergeheimnisdaten sind zwar nach
dem Gesetz insofern als besonders schützenswert
eingestuft, als ihre Verarbeitung zum Teil besonderen Restriktionen unterliegt. Allerdings bedeutet
dies nicht, dass sämtliche Sozial- und Steuergeheimnisdaten Ende-zu-Ende-verschlüsselt werden
müssen. Die Tatsache, dass eine Person beispielsweise bei einer bestimmten gesetzlichen Krankenkasse versichert ist, ist im Regelfall kein besonders
schützenswertes Datum.
– Gesundheitsdaten unterliegen dagegen in aller
Regel dem Schutzbedarf „sehr hoch“. Dies gilt
wiederum auch unabhängig vom Kontext als Sozialdatum. Auch die Angabe von besonderen Belastungen bei Krankheitsaufwendungen im Zusammenhang mit einer Einkommenssteuererklärung
sind besonders schutzbedürftig, auch wenn Steuergeheimnisdaten nicht automatisch Ende-zu-Endeverschlüsselt werden müssen.
Neben der Schutzbedarfsanalyse muss für eine Einschätzung der notwendigen Sicherheitsmaßnahmen beim Versand besonders schutzbedürftiger Daten auch berücksichtigt werden, wer Versender und Empfänger der De-Mail
ist:
– Versenden Behörden oder andere Institutionen besonders schutzbedürftige personenbezogene Daten unmit-