Nach dem De-Mail-Gesetz vom 28. April 2011 bin ich für die datenschutzrechtliche Zertifizierung der Anbieter
von De-Mail-Diensten zuständig. Über meine ersten Erfahrungen in diesem für mich neuen Aufgabengebiet hatte ich bereits im letzten Tätigkeitsbericht berichtet (vgl. 24. TB Nr. 3.2.4). Nachdem ich seinerzeit bereits der
Mentana Claimsoft GmbH, der T-Systems International GmbH und der T-Deutschland GmbH entsprechende
Zertifikate erteilt hatte, ist im Jahr 2013 noch die 1&1 De-Mail GmbH dazu gekommen. Alle vier Dienstleister
haben seit ihrer erstmaligen Zertifizierung mehrere Re-Zertifizierungen zum Datenschutz durchlaufen, weil wesentliche Änderungen im Betrieb eingetreten sind. Diese Änderungen betrafen vor allem die Einbindung Dritter
in die zur Kundenidentifizierung eingerichteten Verfahren. Das De-Mail-Gesetz erlaubt es den De-Mail-Diensteanbietern, sich Dritter zur Erfüllung ihrer gesetzlichen Pflichten zu bedienen. Diese müssen dann aber ihrerseits die Anforderungen des De-Mail-Gesetzes erfüllen. Da die sorgfältige Identifizierung der Kunden einen wesentlichen Bestandteil von De-Mail darstellt, müssen die Anbieter nachweisen, dass auch die Identifizierung
durch Dritte den datenschutzrechtlichen Anforderungen genügt.
Der Prozess der Zertifizierung war für meine Dienststelle eine völlig neue Aufgabe, zu der keinerlei Erfahrungen vorlagen. Auch für die Anbieter aus dem Bereich der Telekommunikation war dieses Verfahren Neuland.
Gleichwohl konnten die einzelnen Zertifizierungsverfahren insgesamt zeitnah und erfolgreich abgeschlossen
werden. Aufgrund der dabei gewonnenen Erfahrungen und nach entsprechenden Rückmeldungen der Anbieter
habe ich meinen Kriterienkatalog, der Anhaltspunkte für die datenschutzrechtliche Prüfung geben soll, mehrfach überarbeitet. Mittlerweile liegt er in der Version 1.4 vor und ist auf meiner Internetseite unter www.datenschutz.bund.de abrufbar. Er ist sowohl auf meiner Website als auch im elektronischen Bundesanzeiger veröffentlicht, so dass sich alle De-Mail-Nutzer über die von mir gesetzten Datenschutzstandards informieren können. Bislang hat sich der Kriterienkatalog in der Praxis bewährt. Wie sich aus der sehr geringen Anzahl einge gangener Eingaben ergibt, arbeiten die Anbieter auch in der Praxis datenschutzkonform.
5.12 Das elektronische Passfoto
Passfotos können auch elektronisch an Personalausweisbehörden geschickt werden. Das BSI hat hierzu die
Technische Richtlinie „Elektronische Bildübermittlung unter Nutzung von De-Mail“ erarbeitet, die datenschutzrechtlichen Anforderungen genügt.
Bürgerinnen und Bürger, die einen neuen Personalausweis beantragen, bringen bislang ihr Foto ausgedruckt mit
ins Amt. Nach der Personalausweisverordnung ist es aber auch möglich, das Foto durch Dritte elektronisch ver schlüsselt und signiert zu übermitteln. Das BSI hat hierzu eine Technische Richtlinie (TR) erarbeitet. Dabei kam
es nach der Analyse verschiedener elektronischer Übermittlungsmöglichkeiten zu dem Ergebnis, eine Versendung mittels De-Mail stelle die erfolgversprechendste Lösung dar. Zur Vorbereitung eines Pilotprojektes mit
Personalausweisbehörden, Fotografen, De-Mail-Diensteanbietern und Verfahrensentwicklern, das im Frühjahr
2014 durchgeführt worden ist, hat mich das BSI vorab um datenschutzrechtliche Beratung gebeten.
Das Verfahren sieht wie folgt aus: Der Fotograf übermittelt mit Einwilligung des Betroffenen das digitale Foto
mittels De-Mail an die Personalausweisbehörde. Erscheint dieser dort, um den Ausweis zu beantragen, ist die
Behörde anhand einer Bildkennung in der Lage, das Foto dem Antragsteller zuzuordnen. Der Sachbearbeiter in
der Behörde kann dann das Foto direkt elektronisch in den Antrag aufnehmen und muss es nicht mehr wie bis her scannen. Dies erhöht die Qualität der Fotos und verringert die Fehlerquote beim Erstellen der Ausweise.
Hierfür musste zunächst eine datenschutzkonforme Einwilligungserklärung entworfen werden, da das Versenden des Fotos vom Fotografen an die Ausweisbehörde eine Datenverarbeitung darstellt, die einer entsprechenden Ermächtigung bedarf. Daneben stellten sich datenschutzrechtliche Fragen bei der Bezeichnung der Fotodateien und deren Speicherdauer. Da die Dateien vom Fotografen mittels De-Mail direkt an die Behörde gesendet
werden, müssen die Dateien so benannt werden, dass die Zuordnung des Fotos zum Antragsteller in der Behör de ohne großen Aufwand möglich ist. Auf meine Anregung hin hat sich das BSI dafür entschieden, die Bildkennung aus einem Hashwert über das Foto sowie den Initialen, Geburtstag und Geburtsort des Antragstellers zu
– 88 –
BfDI 25. Tätigkeitsbericht 2013-2014