Die Beauftragte für den Datenschutz und die Informationsfreiheit

Datenschutz und Sicherheit innerhalb von De-Mail

Datenschutz und Datensicherheit sind integrale Bestandteile des De-Mail-Verbunds.

Um ein möglichst hohes und vertrauenswürdiges Datenschutzniveau zu erreichen, können sich De-Mail-Diensteanbieter nur unter der Voraussetzung akkreditieren lassen, dass sie einen Datenschutznachweis erbringen. Diesen Nachweis erteilt die / der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit auf der Grundlage eines unabhängigen Gutachtens. Der Prüfung und Zertifizierung liegt ein von der / vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit verantworteter De-Mail-Kriterienkatalog für den Datenschutznachweis zugrunde. Durch die Fortschreibung des De-Mail-Kriterienkataloges werden aktuelle technische Entwicklungen berücksichtigt und die Transparenz innerhalb des Zertifizierungsverfahrens garantiert.

Für den Bereich der Sicherheit überprüft das Bundesamt für Sicherheit in der Informationstechnik die Erfüllung der technischen und organisatorischen Anforderungen an einen De-Mail-Diensteanbieter. Das Bundesamt für Sicherheit in der Informationstechnik ist zudem für die Akkreditierung eines De-Mail-Diensteanbieters zuständig und verteilt infolgedessen Zulassungen, die die festgelegten Anforderungen an die Sicherheit und an den Datenschutz bestätigen.

Nachrichten und ihr Inhalt werden bei De-Mail stärker geschützt als bei E-Mails. Der Weg vom Versender zum Empfänger ist transportverschlüsselt. Zusätzlich ist die Nachricht auf dem Weg zwischen dem De-Mail-Diensteanbieter des Versenders und dem De-Mail-Diensteanbieter des Empfängers inhaltsverschlüsselt. Das Abfangen, Mitlesen und Verändern von Nachrichten wird somit verhindert. Allerdings werden die De-Mails vor der Weiterleitung an den Empfänger kurzfristig automatisch entschlüsselt. Dies ist notwendig, weil der Gesetzgeber die De-Mail-Diensteanbieter verpflichtet, De-Mails auf Schadsoftware wie Viren oder Trojaner zu prüfen. Beim automatisierten Entschlüsseln der De-Mails besteht ein Restrisiko, das Unbefugte, insbesondere Mitarbeiter des De-Mail-Diensteanbieters, vom Nachrichteninhalt Kenntnis erlangen. Daher sollte der Versender genau prüfen, wie schutzbedürftig seine Nachricht ist, und diese gegebenenfalls selbst verschlüsseln. Dann ist eine Prüfung auf Schadsoftware allerdiengs nicht möglich.

Die / Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat eine Handreichung zur datenschutzgerechten Nutzung von De-Mail herausgegeben.

Die Erbringung von De-Mail-Diensten ist ein Telekommunikationsdienst. Daher finden neben dem De-Mail-Gesetz auch die Vorschriften des Telekommunikationsgesetzes Anwendung. Im Rahmen des Datenschutzes ist dies vor allem relevant, weil eine De-Mail dem Fernmeldegeheimnis unterliegt. Schon aus diesem Grund muss der De-Mail-Diensteanbieter sicherstellen, dass niemand vom Nachrichteninhalt Kenntnis nehmen kann. Alle Mitarbeiter sind auf das Fernmeldegeheimnis zu verpflichten. Das grundrechtlich geschützte Fernmeldegeheimnis unterliegt allerdings gewissen Einschränkungen. Zur Aufklärung von Straftaten dürfen beispielsweise Postfächer oder einzelne Nachrichten beschlagnahmt werden. Auch die Überwachung der Kommunikation ist unter engen Voraussetzungen zulässig. Der De-Mail-Diensteanbieter muss den zuständigen Behörden bei Vorliegen der gesetzlichen Voraussetzungen Zugang zu den Postfächern seiner Kunden gewähren.

Da De-Mail-Diensteanbieter gleichzeitig Anbieter von Telekommunikationsdienstleistungen sind, unterliegen sie der datenschutzrechtlichen Aufsicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (§ 115 Absatz 4 Telekommunikationsgesetz).

De-Mail-Kriterienkatalog für den Datenschutznachweis:

Handreichung zur datenschutzgerechten Nutzung von De-Mail:

Technische Aspekte von De-Mail: