Drucksache 17/13000
48 ––
–– 48
sächlich erforderlich ist. Ich lehne daher Vorschläge ab,
diese auch auf Melde-, Pass-, Personalausweis- und Personenstandsregister zu erstrecken.
Ersetzung der Schriftform oder wie sicher ist De-Mail
Der Gesetzentwurf sieht durch Änderungen verwaltungsverfahrensrechtlicher Bestimmungen (VwVfG, SGB X,
Abgabenordnung) vor, dass künftig die Schriftform u. a.
auch durch eine absenderbestätigte De-Mail ersetzt werden kann. Heute ist das nur bei Verwendung einer qualifizierten elektronischen Signatur möglich, die sich bislang
aber kaum durchgesetzt hat.
Diese Gleichsetzung der De-Mail mit der Schriftform ist
isoliert betrachtet zunächst kein Datenschutzproblem.
Durch die damit von der Bundesregierung erwartete sehr
viel häufigere Verwendung der De-Mail ist allerdings die
Frage der Datensicherheit dieses Verfahrens wieder in
den Mittelpunkt der Beratungen gerückt (vgl. 22. TB
Nr. 6.6 und 23. TB Nr. 3.3). Denn De-Mail bietet standardmäßig keine durchgehende Ende-zu-Ende-Verschlüsselung. Die Nachrichten werden bei den De-Mail-Anbietern entschlüsselt und wieder verschlüsselt. Dies wird vor
allem beim Versand besonders schutzbedürftiger Daten
per De-Mail als problematisch betrachtet, z. B. bei Gesundheitsdaten.
Aus meiner Sicht ist bei der Nutzung von De-Mail eine
Ende-zu-Ende-Verschlüsselung nur dann verzichtbar,
wenn der Schutzbedarf der Daten als „normal“ eingestuft
wird, etwa bei der Aktualisierung von Adressdaten durch
einen Sozialversicherungsträger. In diesen Fällen reicht
das im Vergleich zur einfachen E-Mail schon deutlich höhere Niveau an Datensicherheit der De-Mail aus (vgl.
auch Nr. 3.2.4). Auch bei hohem Schutzbedarf (z. B.
beim Versand von Bankdaten) kann dann auf die Endezu-Ende-Verschlüsselung verzichtet werden, wenn eine
Risikoanalyse ein geringes Restrisiko ergibt. Personenbezogene Daten mit einem sehr hohen Schutzbedarf (etwa
medizinische Gesundheitsdaten) erfordern hingegen stets
die Verwendung einer Ende-zu-Ende-Verschlüsselung.
Diese Position habe ich im Gesetzgebungsverfahren zum
E-Government-Gesetz deutlich gemacht.
3.2.4
De-Mail-Zertifizierung
Erste Datenschutzzertifikate konnten an De-Mail-Diensteanbieter erteilt werden. Trotzdem sind noch nicht alle
Fragen gelöst.
Am 3. Mai 2011 trat das De-Mail-Gesetz in Kraft. Über
das Gesetzgebungsverfahren hatte ich bereits in meinem
letzten Tätigkeitsbericht (vgl. 23. TB Nr. 3.3) informiert.
De-Mail ist eine einfache Möglichkeit, elektronische
Nachrichten und Dokumente vertraulich, sicher und
nachweisbar zu versenden. Ein Unternehmen, das DeMail-Dienste anbieten will, muss sich vorab beim Bundesamt für Sicherheit in der Informationstechnik (BSI)
akkreditieren lassen. Im Rahmen der Akkreditierung wird
die Einhaltung des Datenschutzes durch ein Gutachten ei-
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
ner sachverständigen und unabhängigen Stelle für Datenschutz festgestellt. Das Gutachten wird von mir geprüft
und bei Unbedenklichkeit ein Datenschutzzertifikat erteilt. Die Datenschutzprüfung basiert auf einem Kriterienkatalog, der in meiner Verantwortung liegt. Er ist derzeit
in der Fassung 1.2. auf meiner Internetseite (www.daten
schutz.bund.de) und über den Elektronischen Bundesanzeiger abrufbar.
Die Erteilung von Zertifikaten als Voraussetzung für die
Aufnahme einer gewerblichen Tätigkeit ist ein Novum
für mein Haus. Seit Inkrafttreten des Gesetzes habe ich
der Mentana Claimsoft GmbH, der T-Systems International GmbH und der T-Deutschland GmbH ein Datenschutzzertifikat nach dem De-Mail-Gesetz erteilt. Alle
drei Unternehmen haben zudem die für die Aufnahme ihres De-Mail-Dienstes notwendige Akkreditierung durch
das BSI erhalten.
Einige datenschutzrechtliche Forderungen, die ich bereits
im letzten Berichtszeitraum eingebracht hatte, wurden im
Gesetzgebungsverfahren leider nicht oder nur teilweise
berücksichtigt, insbesondere die Forderung nach kürzeren
Fristen für die Aufbewahrung von personenbezogenen
Daten. Die akkreditierten De-Mail-Diensteanbieter
(DMDA) müssen, um ihre Dokumentationspflicht zu erfüllen, Daten wie die Protokollierung der Kontoeröffnung
oder der Kündigung noch zehn Jahre nach dem Ende des
Vertragsverhältnisses speichern. Die ursprünglich vorgesehene Frist betrug 30 Jahre. Weiter sollte der Dokumentenablagedienst nach einer ausschließlich vom Nutzer zu
steuernden Verschlüsselung erfolgen und nicht, wie nun
vorgesehen, durch den DMDA. Allerdings haben die
DMDA die Dokumentenablage, die nach dem Gesetz optional angeboten werden kann, bislang nicht umgesetzt.
Gesetzlich nicht geklärt ist die Frage, ob auch besonders
schutzbedürftige Daten wie Sozial- oder Gesundheitsdaten mittels De-Mail versendet werden dürfen. Entgegen
meiner Forderung nach einer zwingenden Ende-zu-EndeVerschlüsselung hat sich der Gesetzgeber dafür entschieden, diese müsse von den Anbietern lediglich optional
angeboten werden. Die De-Mail ist vor einem unberechtigten Zugriff deutlich besser geschützt als die herkömmliche E-Mail, denn die Nachricht wird in einer sicheren
Umgebung erzeugt, versendet und zugestellt (Transportund Inhaltsverschlüsselung). Die Inhaltsverschlüsselung
wird aber vor dem Versand und vor der Zustellung kurzzeitig aufgehoben, um die vom Gesetz vorgesehene Überprüfung des De-Mail-Inhaltes auf Schadsoftware zu
ermöglichen. Aufgrund meiner Erkenntnisse aus den Zertifizierungsverfahren weiß ich, dass die Sicherheitsanforderungen an die IT-Sicherheit des DMDA sehr hoch sind,
damit ein unberechtigter Zugriff sowohl durch Außenwie durch Innentäter möglichst unterbunden wird. Die
Entschlüsselung und Schadsoftwareprüfung erfolgen in
einem Sicherheitsrechenzentrum, das den Anforderungen des BSI entsprechen muss. Gegen unberechtigte Zugriffe von innen muss der DMDA sicherstellen, dass die
Entschlüsselung zur Prüfung auf Schadsoftware automatisch erfolgt und sehr restriktive Zugriffsrechte bestehen.