Die Beauftragte für den Datenschutz und die Informationsfreiheit

Häufig gestellte Fragen

Hier finden Sie Antworten auf immer wieder gestellten Fragen.


Antragsstellung bei De-Mail

Welche Voraussetzungen muss ein Antrag auf Datenschutzzertifizierung erfüllen?

Dem Antrag auf Datenschutzzertifizierung im Sinne von § 18 Absatz 3 Nummer 4 De-Mail-Gesetz, der an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu richten ist, hat der De-Mail-Diensteanbieter ein Gutachten sowie ein Kurzgutachten sowohl in Papierform als auch in elektronischer Version beizufügen. Darüber hinaus muss die Sachkunde des Gutachters (der sachverständigen Stelle im Sinne von § 18 Absatz 3 Nummer 4 De-Mail-Gesetz) formal nachgewiesen werden.

Mit dem Gutachten soll der Nachweis geführt werden, dass das Datenschutzkonzept für den jeweiligen De-Mail-Dienst die einschlägigen Regelungen von De-Mail-Gesetz, Bundesdatenschutzgesetz, Telekommunikationsgesetz, Telemediengesetz und Signaturgesetz beachtet sowie die Vorgaben des De-Mail-Kriterienkataloges für den Datenschutz erfüllt.

Der Antrag ist schriftlich per Post an den Bundesbeauftragen für den Datenschutz und die Informationsfreiheit, Referat IV, Husarenstraße 30, 53117 Bonn, sowie per E-Mail an de-mail@bfdi.bund.de zur richten. Ansonsten ist für den Antrag keine bestimmte Form vorgeschrieben, insbesondere gibt es kein Antragsformular. Für die Zusendung des Antrages per E-Mail wird ein Verschlüsselungsverfahren angeboten.

Die verschlüsselte E-Mail Kommunikation mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ist mittels öffentlichem PGP-Schlüssel des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit oder Verschlüsselung über selbstextrahierende Chiffrate möglich.

Auf welche Prüfformen (beispielsweise Dokumentenprüfung oder auch Vor-Ort-Prüfung) haben sich die De-Mail-Diensteanbieter durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit einzustellen?

Nach den Vorgaben im De-Mail-Gesetz handelt es sich grundsätzlich um eine Dokumentenprüfung. Dies schließt aber nicht aus, dass im Einzelfall – etwa bei Zweifeln an den im Gutachten wiedergegebenen Sachverhalten – eine Vor-Ort-Prüfung stattfindet.

Besteht die Möglichkeit zur Nachbesserung, sofern der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit datenschutzrechtliche Mängel im Gutachten feststellt?

Festgestellte kleinere Mängel können im Rahmen des Zertifizierungsverfahrens zwar behoben werden. Grundsätzlich haben aber sämtliche vom De-Mail-Kriterienkatalog vorgegebenen Voraussetzungen zum Zeitpunkt der Antragstellung bereits vorzuliegen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit behält sich vor, je nach den Umständen des Einzelfalles ein Zertifizierungsverfahren bis zur Behebung der Mängel auszusetzen oder den Antrag auf Zertifizierung abzulehnen. In letzterem Fall kann nach Behebung der Mängel ein neuer Antrag gestellt werden.

Wie wird sichergestellt, dass der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit einen einheitlichen Bewertungsmaßstab bei der Gutachtenprüfung anlegt?

Aufgrund der verbindlichen Vorgaben des De-Mail-Kriterienkataloges ist ein einheitlicher Maßstab bei der Beurteilung der Gutachten gewährleistet.


Auftragsdatenverarbeitung bei De-Mail

Gemäß § 18 Absatz 4 De-Mail-Gesetz kann der Diensteanbieter zur Erfüllung von gesetzlichen Pflichten Dritte beauftragen. Dies muss er in seiner Konzepte nach § 18 Absatz 1 De-Mail-Gesetz einbeziehen, d.h. er muss die Beauftragung im Rahmen des Akkreditierungs- und des Zertifizierungsverfahren angeben und ausführen, dass er im Umfang der Beauftragung die Anforderungen nach dem De-Mail-Gesetz über den Dritten erfüllt.

Muss der Auftragnehmer dem Auftraggeber ein eigenes Datenschutzkonzept vorlegen und ist dieses dann Bestandteil der Zertifizierung des Auftraggebers oder erfolgt die Zertifizierung modular?

Der De-Mail-Diensteanbieter ist bei Auslagerung von datenschutzrechtlich relevanten Arbeiten dafür verantwortlich, dass sein Auftragnehmer die datenschutzrechtlichen Vorgaben genau so einhält, wie es das De-Mail-Gesetz vom Auftraggeber fordert. Es muss dementsprechend im Vertrag festgelegt sein, welche Anforderungen der Auftragnehmer einhalten muss. Darüber hinaus muss das Datenschutzkonzept des Auftraggebers beschreiben, wie er die Einhaltung der datenschutzrechtlichen Anforderungen beim Auftragnehmer kontrolliert. Diese Unterlagen muss der De-Mail-Diensteanbieter der sachverständigen Stelle gemäß § 18 Absatz 3 Nummer 4 De-Mail-Gesetz vorlegen. Die sachverständige Stelle wird diese Unterlagen prüfen, so dass sie Bestandteil der Zertifizierung werden.

Muss auch der Auftragnehmer selbst die datenschutzrechtlichen Anforderungen des De-Mail-Gesetzes bzw. des De-Mail-Kriterienkataloges erfüllen?

Auch der Auftragnehmer muss hinsichtlich der ausgelagerten Tätigkeiten des De-Mail-Diensteanbieters die Anforderungen des De-Mail-Gesetzes erfüllen. Die Prüfung, ob die Voraussetzungen vorliegen, ist Teil des Gutachtens über den De-Mail-Dienst des Auftraggebers. Eine eigene Zertifizierung des Auftragnehmers ist nicht erforderlich. Zertifiziert wird nur der De-Mail-Diensteanbieter. Er muss dafür Sorge tragen, dass die datenschutzrechtlichen Verpflichtungen, die an sich ihm selbst obliegen, bei ausgelagerten Tätigkeiten sein Auftragnehmer an seiner Stelle einhält.


Gutachtenerstellung bei De-Mail

Wer darf mit der Durchführung der Gutachten beauftragt werden?

Als Gutachter kann eine vom Bund oder einem Land anerkannte oder öffentlich bestellte oder beliehene sachverständige Stelle für Datenschutz beauftragt werden (§18 Absatz 3 Nummer 4 De-Mail-Gesetz). Als sachverständige Stelle für den technischen und rechtlichen Bereich kommen zum Beispiel die vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannten sachverständigen Stellen in Betracht.

Hier finden Sie die vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannten sachverständigen Stellen:

Sachverständigenregister

Muss die sachverständige Stelle für Datenschutz rechtliche und technische Fragen des De-Mail-Dienstes gleichermaßen fachkundig beurteilen können?

Um die datenschutzrechtlich relevanten Aspekte von De-Mail-Diensten umfassend beurteilen zu können, muss die sachverständige Stelle ausreichende Kompetenz aufweisen, um sowohl rechtliche als auch technische Sachverhalte bewerten zu können. Die sachverständige Stelle muss für beide Bereiche staatlich anerkannt beziehungsweise öffentlich bestellt oder beliehen sein. Es ist aber nicht erforderlich, dass diese Doppelqualifikation in einer Person gegeben sein muss.

Wie lange dauert eine Gutachtenerstellung und wie aufwändig ist sie?

Dauer, Aufwand und Kosten der Gutachtenerstellung sind maßgeblich vom Umfang des Diensteangebotes (Pflichtangebote und optionale Angebote) und der Komplexität der technischen Umsetzung der Dienste abhängig. Da es sich um einen Dienstleistungsbereich handelt, der staatlich nicht reguliert ist, werden die Kosten für die Gutachtenerstellung im freien Wettbewerb zwischen dem potentiellen De-Mail-Diensteanbieter und der sachverständigen Stelle ausgehandelt.

Wie hoch sind die Kosten der Zertifizierung?

Für die Bearbeitung des Zertifizierungsantrages werden nach § 24 Absatz 1 Nummer 2 De-Mail-Gesetz Gebühren und Auslagen erhoben. Einzelheiten ergeben sich aus der aufgrund § 24 Absatz 2 De-Mail-Gesetz erlassenen Kostenverordnung. Die Höhe hängt vom erforderlichen Prüfumfang des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit im Einzelfall ab.

Kostenverordnung für Amtshandlungen nach dem De-Mail-Gesetz

Hat ein De-Mail-Diensteanbieter mehr als ein Geschäftsmodell, bei denen die Datenschutzkonzepte ähnlich sind, sind dann zwei vollständig unabhängige Gutachten zu erstellen?

Das hängt von der konkreten Fallgestaltung ab. Ist lediglich eine juristische Person Dienstleister und bietet sie zwei inhaltsgleiche De-Mail-Dienste an, ist nur ein Gutachten notwendig. Unterscheiden sich die Dienste (z.B. im technischen Aufbau, in Zahl und Umfang von beauftragten Dritten oder im Funktionsumfang) sind zwei Gutachten erforderlich. Existieren innerhalb eines Unternehmens zwei juristische Personen, die – wenn auch ansonsten gleich – jeweils einen eigenen De-Mail-Dienst anbieten, sind ebenfalls zwei Gutachten erforderlich, da diese juristischen Personen als zwei De-Mail-Diensteanbieter anzusehen sind.

Soweit bereits vorhandene Verfahren zum Datenschutzmanagement auch im Rahmen von De-Mail Anwendung finden, kann auf die dafür relevanten Festlegungen im Datenschutzkonzept verwiesen werden oder sind diese explizit noch einmal darzulegen?

Ein Verweis auf vorhandene Verfahren und Regelungen ist möglich. Insoweit wird aber das Datenschutzkonzept Bestandteil des Gutachtens und ist als solches in den fraglichen Punkten von dem Gutachter zu überprüfen.


De-Mail-Kriterienkatalog

Gibt es neben den Anforderungen des De-Mail-Kriterienkataloges beziehungsweise dem IT-Grundschutz-Baustein "Datenschutz" besondere Anforderungen oder Vorgaben zum Datenschutzkonzept?

De-Mail-Dienste haben die Vorgaben des De-Mail-Kriterienkataloges, der Technischen Richtlinien des BSI und der darin referenzierten Dokumente zu erfüllen.

De-Mail-Kriterienkatalog

Technische Richtlinien De-Mail


Pflichten der De-Mail-Diensteanbieter

Wenn der Diensteanbieter bereits über eine betriebliche Datenschutzorganisation verfügt, müssen gleichwohl dedizierte Datenschutzorganisationselemente für De-Mail eingerichtet werden (zum Beispiel eigener Datenschutzbeauftragter für De-Mail)?

Die datenschutzrelevanten Aspekte von De-Mail müssen im Datenschutzkonzept des Diensteanbieters berücksichtigt werden und sind dort einzuarbeiten. Entsprechend ist auch die Stellenbeschreibung des betrieblichen Datenschutzbeauftragten zu ergänzen. Eine vom betrieblichen Datenschutzkonzept getrennte Datenschutzorganisation für De-Mail ist dagegen nicht erforderlich.