Die Beauftragte für den Datenschutz und die Informationsfreiheit

De-Mail (Anbieter)

Informationen zur sicheren elektronischen Kommunikation mittels De-Mail für Anbieter.

Antragsstellung bei De-Mail

Welche Voraussetzungen muss ein Antrag auf Datenschutzzertifizierung erfüllen?

Dem Antrag auf Datenschutzzertifizierung im Sinne von § 18 Absatz 3 Nummer 4 De-Mail-Gesetz, der an die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zu richten ist, hat der De-Mail-Diensteanbieter ein Gutachten sowie ein Kurzgutachten sowohl in Papierform als auch in elektronischer Version beizufügen. Darüber hinaus muss die Sachkunde des Gutachters (der sachverständigen Stelle im Sinne von § 18 Absatz 3 Nummer 4 De-Mail-Gesetz) formal nachgewiesen werden.

Mit dem Gutachten soll der Nachweis geführt werden, dass das Datenschutzkonzept für den jeweiligen De-Mail-Dienst die einschlägigen Regelungen von De-Mail-Gesetz, Bundesdatenschutzgesetz, Telekommunikationsgesetz, Telemediengesetz und Signaturgesetz beachtet sowie die Vorgaben des De-Mail-Kriterienkataloges erfüllt.

Der Antrag ist schriftlich per Post an die Bundesbeauftrage für den Datenschutz und die Informationsfreiheit, Referat 21, Husarenstraße 30, 53117 Bonn, sowie per E-Mail an de-mail@bfdi.bund.de zur richten. Ansonsten ist für den Antrag keine bestimmte Form vorgeschrieben, insbesondere gibt es kein Antragsformular. Für die Zusendung des Antrages per E-Mail wird ein Verschlüsselungsverfahren angeboten.

Die verschlüsselte E-Mail-Kommunikation mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ist mittels öffentlichem PGP-Schlüssel der Bundesbeauftragten für den Datenschutz und der Informationsfreiheit oder Verschlüsselung über selbstextrahierende Chiffrate möglich.

Besteht die Möglichkeit zur Nachbesserung, sofern die BfDI datenschutzrechtliche Mängel im Gutachten feststellt?

Werden kleinere Mängel festgestellt, können diese im Rahmen des Zertifizierungsverfahrens zwar behoben werden, grundsätzlich sollen jedoch sämtliche vom De-Mail-Kriterienkatalog vorgegebenen Voraussetzungen bereits zum Zeitpunkt der Antragstellung vorliegen. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit behält sich vor, abhängig vom Einzelfall ein Zertifizierungsverfahren bis zur Behebung der Mängel auszusetzen oder den Antrag auf Zertifizierung abzulehnen. Im letzteren Fall kann nach Behebung der Mängel ein neuer Antrag gestellt werden.

Auf welche Prüfformen (beispielsweise Dokumentenprüfung oder auch Vor-Ort-Prüfung) haben sich die De-Mail-Diensteanbieter durch die BfDI einzustellen?

Nach den Vorgaben im De-Mail-Gesetz handelt es sich grundsätzlich um eine Dokumentenprüfung. Dies schließt aber nicht aus, dass im Einzelfall – etwa bei Zweifeln an den im Gutachten wiedergegebenen Sachverhalten – eine Vor-Ort-Prüfung stattfindet.

Wie wird sichergestellt, dass die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit einen einheitlichen Bewertungsmaßstab bei der Gutachtenprüfung anlegt?

Aufgrund der verbindlichen Vorgaben des De-Mail-Kriterienkataloges ist ein einheitlicher Maßstab bei der Beurteilung der Gutachten gewährleistet.

Auftragsdatenverarbeitung bei De-Mail

Muss der Auftragnehmer dem Auftraggeber ein eigenes Datenschutzkonzept vorlegen und ist dieses dann Bestandteil der Zertifizierung des Auftraggebers oder erfolgt die Zertifizierung modular?

Der DMDA ist bei Auslagerung von datenschutzrechtlich relevanten Arbeiten dafür verantwortlich, dass sein Auftragnehmer die datenschutzrechtlichen Vorgaben genau so einhält, wie es das De-MailG vom Auftraggeber fordert. Es muss dementsprechend im Vertrag festgelegt sein, welche Anforderungen der Auftragnehmer einhalten muss. Darüber hinaus muss das Datenschutzkonzept des Auftraggebers beschreiben,, wie er die Einhaltung der datenschutzrechtlichen Anforderungen beim Auftragnehmer kontrolliert. Diese Unterlagen muss der DMDA der sachverständigen Stelle gemäß § 18 Absatz 3 Nummer 4 De-MailG vorlegen. Die sachverständige Stelle wird diese Unterlagen prüfen, so dass sie Bestandteil der Zertifizierung werden.

Muss auch der Auftragnehmer selbst die datenschutzrechtlichen Anforderungen des De-Mail-Gesetz bzw. des De-Mail-Kriterienkataloges erfüllen?

Auch der Auftragnehmer muss hinsichtlich der ausgelagerten Tätigkeiten des De-Mail-Diensteanbieters die Anforderungen des De-Mail-Gesetzes erfüllen. Die Prüfung, ob die Voraussetzungen vorliegen, ist Teil des Gutachtens über den De-Mail-Dienst des Auftraggebers. Eine eigene Zertifizierung des Auftragnehmers ist nicht erforderlich. Zertifiziert wird nur der De-Mail-Diensteanbieter. Er muss dafür Sorge tragen, dass die datenschutzrechtlichen Verpflichtungen, die ihm selbst obliegen, bei ausgelagerten Tätigkeiten durch den Auftragnehmer eingehalten werden.

Gutachtenerstellung bei De-Mail

Wenn ein De-Mail-Diensteanbieter mehr als ein Geschäftsmodell besitzt, deren Datenschutzkonzepte sich ähneln, sind dann zwei voneinander unabhängige Gutachten zu erstellen?

Das hängt von der konkreten Fallgestaltung ab. Ist lediglich eine juristische Person Dienstleister und bietet sie zwei inhaltsgleiche De-Mail-Dienste an, ist nur ein Gutachten notwendig. Unterscheiden sich die Dienste (z.B. im technischen Aufbau, in Zahl und Umfang von beauftragten Dritten oder im Funktionsumfang) sind zwei Gutachten erforderlich. Existieren innerhalb eines Unternehmens zwei juristische Personen, die – wenn auch ansonsten gleich – jeweils einen eigenen De-Mail-Dienst anbieten, sind ebenfalls zwei Gutachten erforderlich, da diese juristischen Personen als zwei De-Mail-Diensteanbieter anzusehen sind.

Wie lange dauert eine Gutachtenerstellung und wie aufwändig ist sie?

Dauer, Aufwand und Kosten der Gutachten sind maßgeblich vom Umfang des Dienstesangebotes (Pflichtangebote und optionale Angebote) und der Komplexität der technischen Umsetzung der Dienste abhängig. Da es sich um einen Dienstleistungsbereich handelt, der staatlich nicht reguliert ist, werden die Kosten für die Gutachtenerstellung im freien Wettbewerb zwischen dem potentiellen De-Mail-Diensteanbieter und der sachverständigen Stelle ausgehandelt.

Wer darf mit der Durchführung der Gutachten beauftragt werden?

Als Gutachter kann eine vom Bund oder einem Land anerkannte oder öffentlich bestellte oder beliehene sachverständige Stelle für Datenschutz beauftragt werden (§18 Absatz 3 Nummer 4 De-Mail-Gesetz). Als sachverständige Stelle für den technischen und rechtlichen Bereich kommen zum Beispiel die vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannten sachverständigen Stellen in Betracht.

Muss die sachverständige Stelle für Datenschutz rechtliche und technische Fragen des De-Mail-Dienstes gleichermaßen fachkundig beurteilen können?

Um die datenschutzrechtlich relevanten Aspekte von De-Mail-Diensten umfassend beurteilen zu können, muss die sachverständige Stelle ausreichende Kompetenz aufweisen, um sowohl rechtliche als auch technische Sachverhalte bewerten zu können. Die sachverständige Stelle muss für beide Bereiche staatlich anerkannt beziehungsweise öffentlich bestellt oder beliehen sein. Es ist aber nicht erforderlich, dass diese Doppelqualifikation in einer Person gegeben sein muss.

 

Wie hoch sind die Kosten der Zertifizierung?

Für die Bearbeitung des Zertifizierungsantrages werden nach § 24 Absatz 1 Nummer 2 De-Mail-Gesetz Gebühren und Auslagen erhoben. Einzelheiten ergeben sich aus der gemäß § 24 Absatz 2 De-Mail-Gesetz erlassenen Kostenverordnung. Die Höhe hängt vom erforderlichen Prüfumfang der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit im Einzelfall ab.

Soweit bereits vorhandene Verfahren zum Datenschutzmanagement auch im Rahmen von De-Mail Anwendung finden, kann auf die dafür relevanten Festlegungen im Datenschutzkonzept verwiesen werden oder sind diese explizit noch einmal darzulegen?

Ein Verweis auf vorhandene Verfahren und Regelungen ist möglich. Insoweit wird aber das Datenschutzkonzept Bestandteil des Gutachtens und ist als solches in den fraglichen Punkten von dem Gutachter zu überprüfen.

Kriterienkatalog bei De-Mail

Wird es neben dem "De-Mail"-Kriterienkatalog mit seinen Maßnahmenzielen einen „Prüfkatalog“ für einzelne Maßnahmen geben?

Es wird keinen besonderen Prüfkatalog beziehungsweise kein spezielles Prüfschema geben, da der insoweit maßgebliche "De-Mail"-Kriterienkatalog als Bewertungsmaßstab ausreicht. Weitere allgemeine, darüber hinausgehende Anforderungen an die Gutachten wurden veröffentlicht.

Gibt es neben den Anforderungen des De-Mail-Kriterienkataloges beziehungsweise dem IT-Grundschutz-Baustein "Datenschutz" besondere Anforderungen oder Vorgaben zum Datenschutzkonzept?

De-Mail-Dienste haben die Vorgaben des De-Mail-Kriterienkataloges, der Technischen Richtlinien des BSI und der darin referenzierten Dokumente zu erfüllen.

Pflichten der De-Mail-Diensteanbieter

Wenn der Diensteanbieter bereits über eine betriebliche Datenschutzorganisation verfügt, müssen gleichwohl dedizierte Datenschutzorganisationselemente für De-Mail eingerichtet werden (z.B. eigener Datenschutzbeauftragter für De-Mail)?

Die datenschutzrelevanten Aspekte von De-Mail müssen im Datenschutzkonzept des Diensteanbieters berücksichtigt werden und sind dort einzuarbeiten. Entsprechend ist auch die Stellenbeschreibung des betrieblichen Datenschutzbeauftragten zu ergänzen. Eine vom betrieblichen Datenschutzkonzept getrennte Datenschutzorganisation für De-Mail ist dagegen nicht erforderlich.