Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

FAQ für Anbieter von De-Mail

Hier finden Sie Antworten auf immer wieder gestellte Fragen:

Antragsstellung bei De-Mail

Welche Voraussetzungen muss ein Antrag auf Datenschutzzertifizierung erfüllen?

Dem Antrag auf Datenschutzzertifizierung im Sinne von § 18 Absatz 3 Nummer 4 De-Mail-Gesetz, der an den BfDI zu richten ist, hat der De-Mail-Diensteanbieter ein Gutachten sowie ein Kurzgutachten sowohl in Papierform als auch in elektronischer Version beizufügen. Darüber hinaus muss die Sachkunde des Gutachters, d.h. der sachverständigen Stelle, formal nachgewiesen werden.

Mit dem Gutachten soll der Nachweis geführt werden, dass das Datenschutzkonzept für den jeweiligen De-Mail-Dienst die einschlägigen gesetzlichen Regelungen beachtet sowie die Vorgaben des De-Mail-Kriterienkataloges für den Datenschutz erfüllt.

Der Antrag ist schriftlich per Post an den BfDI zu richten. Ansonsten ist für den Antrag keine bestimmte Form vorgeschrieben. Allerdings besteht für das Gutachten selbst eine Formvorgabe (vgl. Kapitel 3 des De-Mail-Kriterienkatalogs)

Auf welche Prüfformen (beispielsweise Dokumentenprüfung oder Vor-Ort-Prüfung) haben sich die De-Mail-Diensteanbieter durch den BfDI einzustellen?

Nach den Vorgaben im De-Mail-Gesetz handelt es sich grundsätzlich um eine Dokumentenprüfung. Dies schließt aber nicht aus, dass im Einzelfall – etwa bei Zweifeln an den im Gutachten wiedergegebenen Sachverhalten – eine Vor-Ort-Prüfung stattfindet.

Besteht die Möglichkeit zur Nachbesserung, sofern der BfDI datenschutzrechtliche Mängel im Gutachten feststellt?

Werden kleinere Mängel festgestellt, können diese im Rahmen des Zertifizierungsverfahrens zwar behoben werden, grundsätzlich sollen jedoch sämtliche vom De-Mail-Kriterienkatalog vorgegebenen Voraussetzungen bereits zum Zeitpunkt der Antragstellung vorliegen. Der BfDI behält sich vor, abhängig vom Einzelfall ein Zertifizierungsverfahren bis zur Behebung der Mängel auszusetzen oder den Antrag auf Zertifizierung abzulehnen. Im letzteren Fall kann nach Behebung der Mängel ein neuer Antrag gestellt werden.

Wie wird sichergestellt, dass der BfDI einen einheitlichen Bewertungsmaßstab bei der Gutachtenprüfung anlegt?

Aufgrund der verbindlichen Vorgaben des De-Mail-Kriterienkataloges ist ein einheitlicher Maßstab bei der Beurteilung der Gutachten gewährleistet.

Auftragsverarbeitung bei De-Mail

Muss der Auftragnehmer dem Auftraggeber ein eigenes Datenschutzkonzept vorlegen und ist dieses dann Bestandteil der Zertifizierung des Auftraggebers oder erfolgt die Zertifizierung modular?

Der De-Mail-Diensteanbieter ist bei Auslagerung von datenschutzrechtlich relevanten Arbeiten dafür verantwortlich, dass sein Auftragnehmer die datenschutzrechtlichen Vorgaben genauso einhält, wie es das De-Mail-Gesetz vom Auftraggeber fordert. Es muss dementsprechend im Vertrag festgelegt sein, welche Anforderungen der Auftragnehmer einhalten muss. Die Vorlage eines eigenen Datenschutzkonzepts des Auftragnehmers ist daher nicht nötig.

Zudem muss das Datenschutzkonzept des Auftraggebers beschreiben, wie er die Einhaltung der datenschutzrechtlichen Anforderungen beim Auftragnehmer kontrolliert. Diese Unterlagen muss der De-Mail-Diensteanbieter der sachverständigen Stelle gemäß § 18 Absatz 3 Nummer 4 De-Mail-Gesetz vorlegen. Die sachverständige Stelle prüft diese Unterlagen, so dass sie Bestandteil der Zertifizierung werden.

Muss auch der Auftragnehmer selbst die datenschutzrechtlichen Anforderungen des De-Mail-Gesetzes bzw. des De-Mail-Kriterienkataloges erfüllen?

Auch der Auftragnehmer muss hinsichtlich der ausgelagerten Tätigkeiten des De-Mail-Diensteanbieters die Anforderungen des De-Mail-Gesetzes erfüllen. Die Prüfung, ob die Voraussetzungen vorliegen, ist Teil des Gutachtens über den De-Mail-Dienst des Auftraggebers. Eine eigene Zertifizierung des Auftragnehmers ist allerdings nicht erforderlich. Zertifiziert wird nur der De-Mail-Diensteanbieter. Er muss dafür Sorge tragen, dass die datenschutzrechtlichen Verpflichtungen, die ihm selbst obliegen, bei ausgelagerten Tätigkeiten durch den Auftragnehmer eingehalten werden.

Gutachtenerstellung bei De-Mail

Wer darf mit der Durchführung der Gutachten beauftragt werden?

Als Gutachter kann eine vom Bund oder einem Land anerkannte oder öffentlich bestellte oder beliehene sachverständige Stelle für Datenschutz beauftragt werden (§18 Absatz 3 Nummer 4 De-Mail-Gesetz).

Muss die sachverständige Stelle für Datenschutz rechtliche und technische Fragen des De-Mail-Dienstes gleichermaßen fachkundig beurteilen können?

Um die datenschutzrechtlich relevanten Aspekte von De-Mail-Diensten umfassend beurteilen zu können, muss die sachverständige Stelle ausreichende Kompetenz aufweisen, um sowohl rechtliche als auch technische Sachverhalte bewerten zu können. Die sachverständige Stelle muss für beide Bereiche staatlich anerkannt beziehungsweise öffentlich bestellt oder beliehen sein. Es ist aber nicht erforderlich, dass diese Doppelqualifikation in einer Person gegeben sein muss.

Wie lange dauert eine Gutachtenerstellung und wie aufwändig ist sie?

Dauer, Aufwand und Kosten der Gutachtenerstellung sind maßgeblich vom Umfang des Diensteangebotes (Pflichtangebote und optionale Angebote) und der Komplexität der technischen Umsetzung der Dienste abhängig. Da es sich um einen Dienstleistungsbereich handelt, der staatlich nicht reguliert ist, werden die Kosten für die Gutachtenerstellung im freien Wettbewerb zwischen dem potentiellen De-Mail-Diensteanbieter und der sachverständigen Stelle ausgehandelt.

Wie hoch sind die Kosten der Zertifizierung?

Für die Bearbeitung des Zertifizierungsantrages werden nach § 1 Nummer 8 Besondere Gebührenverordnung BMI (BMIBGebV) Gebühren und Auslagen erhoben. Einzelheiten ergeben sich aus Abschnitt 8 BMIBGebV. Die Höhe hängt vom erforderlichen Prüfumfang des BfDI im Einzelfall ab.

Wenn ein De-Mail-Diensteanbieter mehr als ein Geschäftsmodell besitzt, deren Datenschutzkonzepte sich ähneln, sind dann zwei voneinander unabhängige Gutachten zu erstellen?

Das hängt von der konkreten Fallgestaltung ab. Ist lediglich eine juristische Person Dienstleister und bietet sie zwei inhaltsgleiche De-Mail-Dienste an, ist nur ein Gutachten notwendig. Unterscheiden sich die beiden Dienste (z.B. im technischen Aufbau, in Zahl und Umfang von beauftragten Dritten oder im Funktionsumfang) sind zwei Gutachten erforderlich. Existieren innerhalb eines Unternehmens zwei juristische Personen, die – wenn auch ansonsten gleich – jeweils einen eigenen De-Mail-Dienst anbieten, sind ebenfalls zwei Gutachten erforderlich, da diese juristischen Personen als zwei De-Mail-Diensteanbieter anzusehen sind.

Soweit bereits vorhandene Verfahren zum Datenschutzmanagement auch im Rahmen von De-Mail Anwendung finden, kann auf die dafür relevanten Festlegungen im Datenschutzkonzept verwiesen werden oder sind diese explizit noch einmal darzulegen?

Ein Verweis auf vorhandene Verfahren und Regelungen ist möglich. Insoweit wird aber das Datenschutzkonzept Bestandteil des Gutachtens und ist als solches in den fraglichen Punkten von dem Gutachter zu überprüfen.

De-Mail-Kriterienkatalog

Gibt es neben den Anforderungen des De-Mail-Kriterienkataloges besondere Anforderungen oder Vorgaben zum Datenschutzkonzept?

De-Mail-Dienste haben die Vorgaben des De-Mail-Kriterienkataloges, der Technischen Richtlinien des BSI und der darin referenzierten Dokumente zu erfüllen.

KriterienkatalogNachweis

De-Mail-Kriterienkatalog

Technische Richtlinien De-Mail

Pflichten der De-Mail-Diensteanbieter

Wenn der Diensteanbieter bereits über eine betriebliche Datenschutzorganisation verfügt, müssen gleichwohl dedizierte Datenschutzorganisationselemente für De-Mail eingerichtet werden (z.B. eigener Datenschutzbeauftragter für De-Mail)?

Die datenschutzrelevanten Aspekte von De-Mail müssen im Datenschutzkonzept des Diensteanbieters berücksichtigt werden und sind dort einzuarbeiten. Entsprechend ist auch die Stellenbeschreibung des betrieblichen Datenschutzbeauftragten zu ergänzen. Eine vom betrieblichen Datenschutzkonzept getrennte Datenschutzorganisation für De-Mail ist dagegen nicht erforderlich.