Gemäß § 18 Absatz 3 Nummer 4 De-Mail-Gesetz ist für die Akkreditierung eines Diensteanbieters der Nachweis erforderlich, dass er bei Gestaltung und Betrieb von De-Mail-Diensten die datenschutzrechtlichen Anforderungen erfüllt. Der Nachweis wird durch ein Zertifikat der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit erbracht ( § 18 Absatz 3 Nummer 4 De-Mail-Gesetz). Hierfür ist die Vorlage eines Gutachtens erforderlich, mit dem die Erfüllung der datenschutzrechtlichen Kriterien nachgewiesen wird. Der De-Mail-Kriterienkatalog dient als Grundlage für die Begutachtung. Er stellt die datenschutzrechtlichen Anforderungen dar, die durch die sachverständigen Stellen für Datenschutz zu prüfen sowie im Gutachten zu erläutern und zu bewerten sind. Kapitel 3 listet die typischen Anforderungen und Fragestellungen für die Prüfung auf. Die sachverständigen Stellen für Datenschutz haben sich hieran zu orientieren und müssen im Einzelfall entsprechend den tatsächlichen Gegebenheiten Anpassungen, Konkretisierungen und Erweiterungen in gutachterlicher Form vornehmen.
BSI - Bundesamt für Sicherheit in der Informationstechnik
BT-Drs. - Bundestags-Drucksache DoS - Denial of Service
EGBGB - Einführungsgesetz zum Bürgerlichen Gesetzbuche
EGovG - E-Government-Gesetz (Gesetz zur Förderung der elektronischen Verwaltung)
EGVP - Elektronisches Gerichts- und Verwaltungspostfach
eIDAS-VO - Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG HTTPS - Hyper Text Transfer Protocol Secure
Das Gutachten muss von einer vom Bund oder einem Land anerkannten oder öffentlich bestellten oder beliehenen sachverständigen Stelle für Datenschutz erstellt werden. Da die Begutachtung sowohl rechtliche als auch technische Aspekte betrifft, muss die Anerkennung von sachverständigen Stellen für Datenschutz neben den üblichen Anforderungen an Zuverlässigkeit und Unabhängigkeit der fachlichen Eignung in den beiden Bereichen Recht und Technik explizit Rechnung tragen.
Anerkannt werden können Nachweise aufgrund von Prüfungen, die mindestens folgende vier Kriteriengruppen umfassen:
Rechtliche Zulässigkeit unter Angabe der rechtlichen Erlaubnistatbestände (vgl. Nummer 3.1)
Dienstespezifische Umsetzung der technischorganisatorischen Anforderungen einschließlich Verschlüsselung, Authentifizierung und Signaturen sowie Anforderungen an Datensparsamkeit (vgl. Nummer 3.2)
Einrichten eines Datenschutzmanagementsystems (vgl. Nummer 3.4).
Der jeweilige Sachverhalt muss beschrieben werden und es muss dargestellt werden, welche Anforderungen hierfür gelten, wie diese umgesetzt wurden und ob es sich um geeignete Maßnahmen zur Umsetzung handelt. Sofern dabei Mängel identifiziert werden, muss geprüft werden, ob diese auf andere Art ausgeglichen werden (z.B. organisatorische Lösung).
Die dem Nachweis zugrunde liegenden Begutachtungen müssen neben den allgemeinen datenschutzrechtlichen Anforderungen explizit auch die für De-Mail und ihre einzelnen Dienste einschlägigen Rechtsvorschriften berücksichtigen. Ausdrücklich müssen insbesondere die im De-Mail-Gesetz für die einzelnen Dienste genannten Anforderungen sowie die Einhaltung datenschutzrechtlicher Vorschriften bei der Umsetzung der technischen Anforderungen behandelt werden. Dies umfasst insbesondere Regelungen von BDSG , TKG , TMG und eIDAS-VO.
Insbesondere ist bei der Prüfung auf die folgenden Punkte zu achten.
Die folgenden generellen Kriterien müssen bei allen Funktionalitäten bzw. Diensten jeweils geprüft werden. Für spezielle Dienste (siehe Nummer 3.1.3 ff.) können Ergänzungen bzw. Modifikationen gelten.
3.1.1.1 Ermächtigungsgrundlage für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten
Für jede Erhebung, Verarbeitung (Speichern, Verändern, Übermitteln, Sperren und Löschen) und Nutzung personenbezogener Daten ist entweder eine gesetzliche Ermächtigung oder die Einwilligung des Betroffenen erforderlich.
3. 1. 1. 1.1 Gesetzliche Ermächtigung zur Verarbeitung der Daten
Gesetzliche Ermächtigungen können sich insbesondere aus folgenden Gesetzen ergeben: De-Mail-Gesetz, BDSG , TKG , TMG und eIDAS-VO.
Für die Wirksamkeit der Einwilligung sind insbesondere folgende Punkte zu überprüfen:
Einhaltung von Formvorschriften
Die Einwilligung muss auf freier und informierter Entscheidung beruhen. Der Betroffene muss ausdrücklich zustimmen und im Vorfeld umfassend informiert worden sein (vgl. § 4a BDSG ) v Bei einer Einwilligung im elektronischen Verfahren (§ 94 TKG , § 13 Absatz 2 TMG) ist sicherzustellen,
dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt,
die Einwilligung protokolliert wird,
der Teilnehmer oder Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
der Teilnehmer oder Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Es ist sicherzustellen, dass der Abschluss eines Vertrages nicht von einer Einwilligung des Betroffenen in die Nutzung personenbezogener Daten zwecks Adresshandel oder Werbung abhängig gemacht wird (§ 28 Absatz 3b BDSG ).
Die Einwilligung muss vor der entsprechenden Datenverarbeitung erfolgen.
Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten darf nur erfolgen, soweit dies zur Bereitstellung eines De-Mail-Kontos, der De-Mail-Dienste und deren Durchführung erforderlich ist (§ 15 De-Mail-Gesetz).
Die Verarbeitung von personenbezogenen Daten darf nur im Rahmen der vorher festgelegten Zwecke erfolgen (vgl. u. a. § 95 TKG , § 12 TMG).
Der Zweck muss dokumentiert werden.
Auch für eine Zweckänderung ist eine Rechtsgrundlage oder eine Einwilligung des Betroffenen erforderlich.
Erfolgt im Rahmen des Vertragszwecks eine Übermittlung, dann ist Folgendes zu beachten:
Kann eine Zweckbindung technisch überwacht werden, dann dürfen die Daten, die nicht von der Zweckbindung umfasst sind, nicht übermittelt werden. Der Empfänger ist auf die Zweckbindung der empfangenen Daten hinzuweisen bzw. zu verpflichten.
Soweit möglich, sollte eine Kennzeichnung von Datensätzen bezüglich der entsprechenden Zwecke erfolgen bzw. eine Trennung der Daten nach den verfolgten Zwecken und Betroffenen erfolgen (Trennungsgebot).
3.1.1.3 Löschung nach Wegfall der Erforderlichkeit
Nach Erreichen des Zwecks entfällt in der Regel die Erforderlichkeit und Daten müssen unverzüglich nach dem Stand der Technik sicher gelöscht werden.
Es können für bestimmte Daten längere Aufbewahrungsfristen gelten (vgl. § 13 Absatz 2 De-Mail Gesetz, AO etc.).
Für Daten zur Entgeltermittlung gilt die Frist des § 97 Absatz 3 TKG (6 Monate).
Für Daten, die der Beseitigung von Störungen oder Sicherheitszwecken dienen, gilt u. a. § 100 TKG und eine Aufbewahrungsfrist von in der Regel 7 Tagen.
Sonstige Daten (z.B. Verkehrsdaten) sind nach Erbringung des Dienstes umgehend unverzüglich nach dem Stand der Technik sicher zu löschen (vgl. oben erster Aufzählungspunkt).
Erforderlich ist eine vollständige und sichere Löschung und nicht nur eine Markierung als gelöscht.
Die sichere Löschung betrifft auch Sicherheitskopien und Backups.
Auch Dritte können gegebenenfalls mit der Verarbeitung von personenbezogenen Daten beauftragt werden. Hierbei sind jedoch besondere Anforderungen zu beachten.
Zu untersuchen ist, ob die Verarbeitung der Daten durch Dritte überhaupt zulässig ist.
Wenn Daten von Berufsgeheimnisträgern verarbeitet werden, kann gegebenenfalls eine Auftragsdatenverarbeitung unzulässig sein, wenn hierdurch vom Geheimnisträger ein fremdes Geheimnis im Sinne des § 203 StGB offenbart wird.
Der Auftragnehmer darf kein überwiegendes Eigeninteresse an der Datenverarbeitung haben. Er darf insbesondere die personenbezogenen Daten der Nutzer nicht für eigene Zwecke erheben, verarbeiten oder nutzen.
Bei der Auftragsdatenverarbeitung sind insbesondere die Vorgaben des § 11 BDSG einzuhalten.
Der Auftraggeber muss den Auftragnehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen.
Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Dies ist zu dokumentieren.
Zu untersuchen ist, wie die Kontrollen des Auftraggebers beim Auftragnehmer von diesem unterstützt werden.
Es muss ein schriftlicher Auftragsdatenverarbeitungsvertrag im Sinne des § 11 Absatz 2 Satz 2 BDSG zwischen Auftraggeber und Auftragnehmer geschlossen werden.
Der Auftraggeber muss ein Weisungsrecht gegenüber dem Auftragnehmer haben.
Wie wird das Recht des Auftraggebers, dem Auftragnehmer Weisungen zu erteilen, umgesetzt?
Es müssen diejenigen technischen und organisatorischen Maßnahmen beim Auftragnehmer nach Anlage zu § 9 Satz 1 BDSG umgesetzt sein, die die Bindung des Auftragnehmers an die Weisungen des Auftraggebers sicherstellen.
Es muss sichergestellt sein, dass der Auftragnehmer ebenfalls die Anforderungen insbesondere des De-Mail-Gesetzes erfüllt.
Es darf in der Regel keine Übermittlung bzw. Weitergabe von Daten an Drittländer erfolgen, die nicht dem Datenschutzniveau der EU entsprechen.
Die Besonderheiten bei der Verarbeitung besonders sensibler Daten (vgl. § 3 Absatz 9 BDSG ) sind zu beachten.
Unter Berücksichtigung der einschlägigen Rechtsvorschriften und der ergriffenen technischorganisatorischen Maßnahmen soll die Gewährleistung des Fernmeldegeheimnisses nach § 88 TKG begutachtet werden. Darunter fallen die Inhalte und die näheren Umstände der Telekommunikation. Zu prüfen ist neben der Vertraulichkeit der Kommunikation insbesondere die Einhaltung der gesetzlichen Grenzen für staatliche Überwachungsmaßnahmen nach den §§ 110 bis 114 TKG , §§ 5 und 8 des Artikel-10- Gesetzes, §§ 100a ff. StPO.
Ebenso ist die Gewährleistung des vom Bundesverfassungsgericht 2008 formulierten Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme zu prüfen (Urteil vom 27. Februar 2008 - 1 BvR 370/07; 1 BvR 595/07).
Die Prüfung umfasst u. a. folgende Punkte:
Verpflichtung der Mitarbeiter (sowohl des Dienstenanbieters als auch gegebenenfalls von Auftragnehmern) auf das Fernmeldegeheimnis
Erforderlichkeit bei der internen Regelung von Zugriffs- bzw. Kontrollrechten betreffend Verkehrs- und Protokolldaten
Technischer Schutz (vor Viren und anderer Malware)
Einhaltung der Bestimmungen der §§ 110 bis 114 TKG mit Vorgaben der Bundesnetzagentur, der TKÜV sowie der einschlägigen Vorschriften des achten Abschnitts der StPO.
Bereitstellung entsprechender Schnittstellen und Prozesse:
Insbesondere: Wie wird sichergestellt, dass die Zugriffsmöglichkeiten des Diensteanbieters auf De Mails und Inhalte der Dokumentenablage auf die Umsetzung dieser Vorgaben beschränkt sind?
Prozesse zur Überprüfung der Berechtigung entsprechender Kontrollen durch berechtigte Stellen, insbesondere nach der StPO
Einhaltung der nachträglichen Unterrichtungspflicht
Maßnahmen zur Gewährleistung der Integrität der Daten
Schutz der Verkehrs-, Inhalts- und Protokolldaten gegen unberechtigte interne und externe Zugriffe.
Im Rahmen der Eröffnung eines De-Mail-Kontos ist bei der Prüfung zu trennen zwischen dem De-Mail-Konto und einem gegebenenfalls weiteren Konto, das zusätzlich für die Erbringung anderer Dienste oder Vertragsverhältnisse desselben Diensteanbieters betrieben wird (z.B. ISP, Web-Mail-Konten, Hosting, etc.). Die Prüfung umfasst zwar grundsätzlich nur die Gestaltung und den Betrieb der De-Mail-Dienste, jedoch ist auch auf die Trennung der Daten gegenüber anderen Diensten des Diensteanbieters oder Dritter zu achten.
Der Nutzer ist vor der erstmaligen Nutzung des De-Mail-Kontos gemäß § 9 Absatz 1 De-Mail-Gesetz über die Rechtsfolgen und Kosten der Nutzung zu informieren. Dies umfasst nach § 9 Absatz 1 Satz 1 De-Mail-Gesetz alle Funktionen von De-Mail wie den Postfach- und Versanddienst, den Verzeichnisdienst, die Dokumentenablage, die Sperrung und Auflösung des Kontos sowie Informationen im Falle der Einstellung der Tätigkeit des Diensteanbieters, der Vertragsbeendigung und der Einsichtnahme in die beim Diensteanbieter vorhandenen personenbezogenen Daten. Besonders relevant sind darüber hinaus Informationen über:
Die Möglichkeit und Bedeutung einer sicheren Anmeldung (§ 9 Absatz 1 Satz 2 Nummer 1 De-Mail-Gesetz)
Die Belehrung darüber, dass die Anmeldung mithilfe nur eines Sicherungsmittels nicht den gleichen Schutz bietet wie eine sichere Anmeldung ( § 9 Absatz 1 Satz 2 Nummer 1 De-Mail-Gesetz)
Die Rechtsfolgen und Kosten der Nutzung des De-Mail-Dienstes (§ 9 Absatz 1 Satz 1 De-Mail-Gesetz)
Maßnahmen, die notwendig sind, um einen unbefugten Zugriff auf das De-Mail-Konto zu verhindern ( § 9 Absatz 1 Satz 1 De-Mail-Gesetz)
Wie mit schadsoftwarebehafteten De-Mail-Nachrichten umgegangen wird (§ 9 Absatz 1 Satz 1 De-Mail-Gesetz)
Über den Inhalt und die Bedeutung der Transportverschlüsselung, der Inhaltsverschlüsselung und über die Unterschiede dieser Verschlüsselungen zur Endezu-Ende-Verschlüsselung (§ 9 Absatz 1 Satz 2 Nummer 2 De-Mail-Gesetz).
Eine Zulassung der erstmaligen Nutzung des De-Mail-Kontos darf erst erfolgen, wenn der Nutzer die erforderlichen Informationen in Textform erhalten und in Textform bestätigt hat, dass er die Informationen erhalten und zur Kenntnis genommen hat.
Zur Einhaltung der Textform muss die Erklärung in einer Urkunde oder auf andere zur dauerhaften Wiedergabe in Schriftzeichen geeignete Weise abgegeben werden, die Person des Erklärenden genannt und der Abschluss der Erklärung durch Nachbildung der Namensunterschrift oder anders erkennbar gemacht werden ( § 126b BGB).
Weitere Informationspflichten sind ebenfalls zu beachten (vgl. § 9 Absatz 3 De-Mail-Gesetz), insbesondere
§ 93 TKG für Telekommunikationsdienste im Sinne des § 3 Nummer 24 TKG (z.B. E-Mail-Dienst)
Diensteanbieter haben ihre Teilnehmer bei Vertragsabschluss über Art, Umfang, Ort und Zweck der Erhebung und Verwendung personenbezogener Daten so zu unterrichten, dass die Teilnehmer in allgemein verständlicher Form Kenntnis von den grundlegenden Verarbeitungstatbeständen der Daten erhalten.
Es muss ein Hinweis auf Wahl- und Gestaltungsmöglichkeiten erfolgen.
Der Nutzer ist durch allgemein zugängliche Informationen über die Erhebung und Verwendung personenbezogener Daten zu unterrichten.
Es muss eine Unterrichtung über besondere Risiken (z.B. Missbrauch der Zugangsdaten) und mögliche Abhilfen erfolgen.
13 Absatz 1 TMG für Telemediendienste im Sinne des § 1 Absatz 1 TMG, die nicht unter § 11 Absatz 3 TMG fallen (z.B. Webseite)
Die Unterrichtung muss über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nummer L 281 S. 3 1) informieren.
Die Unterrichtung muss zu Beginn des Nutzungsvorgangs erfolgen, sofern sie nicht in anderer Form schon zuvor erfolgte.
Die Unterrichtung hat in allgemein verständlicher Form zu erfolgen.
Der Inhalt der Unterrichtung muss jederzeit abrufbar sein.
Informationspflichten gegenüber dem Nutzer gemäß allgemeinem Vertragsrecht, insbesondere wenn tatsächliche oder rechtliche Änderungen im laufenden Betrieb bevorstehen. Hier ist zum Beispiel an die mit Artikel 2 Nummer 4 des Gesetzes vom 25. Juli 20131 eingeführte Möglichkeit zu denken, dass der Nutzer nach § 7 Absatz 3 De-Mail-Gesetz durch einen geeigneten Zusatz zu seinen im Verzeichnisdienst veröffentlichten Daten gegenüber Behörden den Zugang nach § 3a Absatz 1 des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch oder des § 87a Absatz 1 Satz 1 der Abgabenordnung eröffnen kann. Der Nutzer muss über die Möglichkeit und die Rechtsfolgen der Zugangseröffnung aufgeklärt werden. Weiter muss der Nutzer über die zum 1. Juli 2014 in Kraft getretene Rechtsänderung aufgrund von Artikel 3 Nummer 1, Artikel 4 und Artikel 7 Nummer 2 des Gesetzes vom 25. Juli 20131 darüber informiert werden, dass die De-Mail in den Fällen der § 3a Absatz 2 Satz 4 Nummer 2 und 3 VwVfG , § 36 Absatz 2 Satz 4 Nummer 2 und 3 SGB I, § 87a Absatz 3 Nummer 2 und Absatz 4 Satz 3 AO schriftformersetzend eingesetzt werden kann.
Ist der Nutzer zur Sperrung des Zugangs zum De-Mail-Konto berechtigt, so ist ihm eine Rufnummer bekannt zu geben, unter der die Sperrung des Zugangs unverzüglich veranlasst werden kann (§ 10 Absatz 1 Satz 3 De-Mail-Gesetz).
Der Diensteanbieter sollte den Nutzer über die Funktionsweise der qualifizierten elektronischen Signatur in allgemein verständlicher Form unterrichten und entsprechende Dokumente zum jederzeitigen Abruf vorhalten.
Die Eröffnung eines De-Mail-Kontos bzw. die Anmeldung zu einem De-Mail-Dienst darf nicht von einer Einwilligung in die Nutzung der Daten für andere als für Zwecke des jeweiligen De-Mail-Dienstes abhängig gemacht werden (z.B. Adresshandel oder Werbung).
Das Kopplungsverbot soll im Bereich von De-Mail den Kunden davor schützen, dass er aufgrund der Marktmacht eines Unternehmens gezwungen wird, Daten von sich preiszugeben oder einer Verarbeitung seiner Daten zu Zwecken zuzustimmen, die nach objektiven Kriterien für den Kunden ungünstig sind oder denen er aus sonstigen Gründen freiwillig nicht zustimmen würde. Ein generelles Kopplungsverbot von De-Mail mit anderen Diensten besteht daher nicht, sondern ist im Einzelfall anhand des Gesetzeszwecks zu prüfen.
Die Eröffnung eines Kontos darf nicht von einer Veröffentlichung im Verzeichnisdienst abhängig gemacht werden (§ 7 Absatz 1 Satz 2 De-Mail-Gesetz).
Die Erhebung der folgenden Daten ist zu dem jeweils genannten Zweck in der Regel zulässig.
3.1.2.3.1 Erhebung von Daten zur Identitätsfeststellung nach § 3 Absatz 3 Satz 1 Nummer 1 Buchstabe a bis d
Die Erhebung folgender Daten ist nach § 3 Absatz 2 De-Mail-Gesetz zur zuverlässigen Feststellung der Identität zulässig:
bei natürlichen Personen:
Name, dazu kann auch ein Titel oder ein Künstlername gehören,
Geburtsort,
Geburtsdatum,
Anschrift;
bei einer juristischen Person oder Personengesellschaft oder öffentlichen Stelle:
Firma,
Name oder Bezeichnung, Rechtsform, Registernummer,
soweit vorhanden: Anschrift des Sitzes oder der Hauptniederlassung,
Namen, Geburtsort, Geburtsdatum und Anschrift der Mitglieder des Vertretungsorgans oder der gesetzlichen Vertreter;
bei juristischen Personen als Mitglied des Vertretungsorgans/gesetzlicher Vertreter:
Firma, Name oder Bezeichnung,
Rechtsform,
Registernummer, soweit vorhanden,
Anschrift des Sitzes oder der Hauptniederlassung.
Die in § 3 Absatz 2 De-Mail-Gesetz genannten Daten hat der Diensteanbieter vor Freischaltung des Kontos zu überprüfen, und zwar
bei natürlichen Personen
anhand eines gültigen amtlichen Ausweises, der ein Lichtbild des Inhabers enthält und mit dem die Pass- und Ausweispflicht im Inland erfüllt wird, also Personalausweis, Reisepass oder Passersatz mit aktueller Meldebestätigung oder Aufenthaltstitel,
anhand von Dokumenten, die bezüglich ihrer Sicherheit einem Dokument nach § 3 Absatz 3 Satz 1 Nummer 1 Buchstabe a De-Mail-Gesetz gleichwertig sind,
anhand eines elektronischen Identitätsnachweises nach § 18 des Personalausweisgesetzes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes,
anhand einer qualifizierten elektronischen Signatur oder
anhand sonstiger geeigneter technischer Verfahren mit gleichwertiger Sicherheit für eine Identifizierung anhand der Dokumente nach § 3 Absatz 3 Satz 1 Nummer 1 Buchstabe a De-Mail-Gesetz;
bei juristischen Personen oder Personengesellschaften oder bei öffentlichen Stellen
anhand eines Auszugs aus dem Handels- oder Genossenschaftsregister oder aus einem vergleichbaren amtlichen Register oder Verzeichnis,
anhand der Gründungsdokumente,
anhand von Dokumenten, die bezüglich ihrer Beweiskraft den Dokumenten nach § 3 Absatz 3 Satz 1 Nummer 2 Buchstaben a oder b De-Mail-Gesetz gleichwertig sind, oder
durch Einsichtnahme in die Register- oder Verzeichnisdaten.
Ausweise dürfen kopiert werden, wenn es zur Überprüfung der Angaben der Person erforderlich ist (vgl. die Gesetzesbegründung zu § 3 Absatz 3 Satz 2 und 3 De-Mail-Gesetz mit Verweis auf § 95 Absatz 4 Satz 2 und 3 TKG , BT-Drs. 17/4893, S. 13). Dies ergibt sich im Einzelfall aus den Arbeitsabläufen des Diensteanbieters bei der Identifizierung des Kunden. Auf der Kopie dürfen nur die Daten erkennbar sein, die zur Überprüfung erforderlich sind. Die Kopien müssen sicher aufbewahrt und übermittelt werden und es sind Vorkehrungen zu deren unverzüglicher Vernichtung nach Identitätsfeststellung zu treffen, § 3 Absatz 3 Satz 2 und 3 De-Mail-Gesetz.
Wenn gemäß § 3 Absatz 3 Satz 4 De-Mail-Gesetz zur Identifikationsfeststellung bereits früher erhobene Daten verwendet werden sollen, ist zu prüfen, ob hierfür eine Einwilligung des Nutzers in die Verwendung dieser Daten vorliegt.
3.1.2.3.2 Erhebung von Daten zur Identitätsüberprüfung nach § 3 Absatz 3 Satz 1 Nummer 1 Buchstabe e
Beim Einsatz von geeigneten technischen Verfahren mit gleichwertiger Sicherheit gemäß § 3 Absatz 3 Satz 1 Nummer 1 Buchstabe e De-Mail-Gesetz kann es erforderlich sein, zusätzlich zu den in § 3 Absatz 2 Satz 2 Nummer 1 De-Mail-Gesetz genannten Daten vorübergehend weitere Daten zu erheben, um die gleichwertige Sicherheit zur Identifizierung mittels Dokumenten nach § 3 Absatz 3 Satz 1 Nummer 1 Buchstabe a De-Mail-Gesetz herzustellen. Dazu kann es ebenfalls erforderlich sein, vollständige Kopien der Ausweise vorübergehend anzufertigen. Mit der Einfügung des Buchstaben e in § 3 Absatz 3 Satz 1 Nummer 1 De-Mail-Gesetz hat der Gesetzgeber neue Möglichkeiten zur Identifizierung anerkannt, wenn eine gleichwertige Sicherheit für eine Identifizierung gegeben ist. Die Erforderlichkeit, zusätzliche Daten zur Herstellung der gleichwertigen Sicherheit zu erheben, ist im Einzelfall darzulegen. Da der Zweck in der Herstellung der gleichwertigen Sicherheit liegt, fällt mit der Zweckerreichung (d.h. Abschluss des Identifizierungsprozesses) der Grund für die Speicherung und Verarbeitung der entsprechenden Daten weg, so dass sie danach unverzüglich sicher zu löschen sind.
3.1.2.3.3 Erhebung weiterer Daten für die Nutzung von De-Mail-Diensten
Für die Erbringung und Abrechnung von De-Mail-Diensten können, je nach technischer und vertraglicher Ausgestaltung, weitere Daten für die Anmeldung erforderlich sein, beispielsweise Daten zur Abrechnung (Rechnungsadresse, Kontonummer und Bankleitzahl, Kreditkartennummer etc.), Zertifikate des Betroffenen für Verschlüsselungen oder Identifizierungsmerkmale für die sichere Anmeldung gemäß § 4 De-Mail-Gesetz, etwa Mobilfunknummern. Der Prüfungsumfang hängt von den konkreten Geschäftsprozessen und den erhobenen Daten ab. Für die Verarbeitung ist eine Einwilligung des Betroffenen erforderlich.
Ein De-Mail-Konto darf nur genau einer Person zugeordnet sein (§ 3 Absatz 1 Satz 2 De-Mail-Gesetz).
Der Nutzer muss vor Freischaltung des De-Mail-Kontos eindeutig identifiziert werden ( § 3 Absatz 4 Satz 2 Nummer 1 De-Mail-Gesetz).
Der Diensteanbieter muss vor Freischaltung des De-Mail-Kontos dem Nutzer dessen für die Erstanmeldung notwendigen Anmeldedaten auf geeignetem Wege übermitteln ( § 3 Absatz 4 Satz 2 Nummer 2 De-Mail-Gesetz).
Der Diensteanbieter muss vor Freischaltung des De-Mail-Kontos die Einwilligung des Nutzers in die Prüfung seiner Nachrichten auf Schadsoftware einholen ( § 3 Absatz 4 Satz 2 Nummer 4 De-Mail-Gesetz).
Das De-Mail-Konto darf erst freigeschaltet werden, wenn der Nutzer im Rahmen einer Erstanmeldung nachgewiesen hat, dass er die Anmeldedaten erfolgreich nutzen kann.
Für die Anmeldung muss ein geeignetes Verfahren eingesetzt werden (§ 4 Absatz 1 De-Mail-Gesetz, vgl. Nummer 3.2.1.5).
Der Diensteanbieter muss das De-Mail-Konto so konfigurieren, dass auf Wunsch des Nutzers ausschließlich eine sichere Anmeldung möglich ist (§ 4 Absatz 1 Satz 4 De-Mail-Gesetz).
Der Nutzer muss zwischen mindestens zwei Verfahren zur sicheren Anmeldung wählen können ( § 4 Absatz 2 De-Mail-Gesetz).
Ein Verfahren muss unter Nutzung des elektronischen Identitätsnachweises nach § 18 Personalausweisgesetz angeboten werden.
Die Kommunikationsverbindung zwischen dem Nutzer und dem De-Mail-Konto muss verschlüsselt erfolgen.
Für eventuell weitere bei der Anmeldung anfallende Nutzungsdaten und Verkehrsdaten sind u. a. § 15 TMG und § 96 TKG zu beachten. Insbesondere dürfen IP-Adressen nur zur Erbringung des Dienstes, zu Abrechnungszwecken und gegebenenfalls zu Sicherheitszwecken erhoben werden. Sie müssen in der Regel unverzüglich nach Wegfall der Erforderlichkeit nach dem Stand der Technik sicher gelöscht werden. Für die Speicherung zu Sicherheitszwecken (z.B. Abfangen oder Verfolgen von DoS-Angriffen oder Hackingversuchen) dürfen IP-Adressen maximal 7 Tage gespeichert werden. Ansonsten müssen sie in der Regel unverzüglich gelöscht werden.
Nach § 13 Absatz 2 De-Mail-Gesetz ist die Dokumentation bzgl. der Eröffnung des De-Mail-Kontos, die Änderung der Daten, die hinsichtlich der Führung eines De-Mail-Kontos relevant sind, sowie jede Änderung hinsichtlich des Zustands eines De-Mail-Kontos für die Dauer des Vertragsverhältnisses und dann 10 Jahre darüber hinaus aufzubewahren. Danach müssen die Daten unverzüglich und nach dem Stand der Technik sicher gelöscht werden.
Es müssen technische und organisatorische Maßnahmen ergriffen werden, um eine Sperrung der Dokumentationsdaten im Sinne des § 35 Absatz 3 Nummer 1 BDSG zwischen Wegfall der Erforderlichkeit und der Löschungspflicht zu gewährleisten.
Es müssen Prozesse bzw. Verfahren beim Diensteanbieter etabliert sein, die die nach dem Stand der Technik sichere Löschung nach 10 Jahren gewährleisten.
Nach § 13 Absatz 1 De-Mail-Gesetz ist die Eröffnung des De-Mail-Kontos, die Änderung der Daten, die hinsichtlich der Führung eines De-Mail-Kontos relevant sind, sowie jede Änderung hinsichtlich des Zustands eines De-Mail-Kontos zu dokumentieren.
Die Dokumentation hat so zu erfolgen, dass die Authentizität und Integrität der Daten jederzeit nachprüfbar sind.
3.1.3 Postfach- und Versanddienst (§ 5 De-Mail-Gesetz)
Auf Wunsch kann eine Bereitstellung pseudonymer De-Mail-Adressen für Nutzer erfolgen, bei denen es sich um natürliche Personen handelt (§ 5 Absatz 2 De-Mail-Gesetz).
Die Inanspruchnahme eines Dienstes durch den Nutzer unter Pseudonym muss für Dritte erkennbar sein.
Vertraulichkeit, Integrität und Authentizität der Nachrichten sind zu gewährleisten ( § 5 Absatz 3 De-Mail-Gesetz).
Transportverschlüsselung ( § 5 Absatz 3 Satz 2 Nummer 1 De-Mail-Gesetz) o Inhaltsverschlüsselung (§ 5 Absatz 3 Satz 2 Nummer 2 De-Mail-Gesetz)
Eine Endezu-Ende-Verschlüsselung muss bei eigener Aktivität des Nutzers möglich sein. Der Diensteanbieter hat dies zu unterstützen.
Der Absender muss eine sichere Anmeldung nach § 4 De-Mail-Gesetz für den Abruf der Nachricht durch den Empfänger bestimmen können (§ 5 Absatz 4 De-Mail-Gesetz).
Der Nutzer muss die Möglichkeit haben, seine sichere Anmeldung bestätigen zu lassen (vgl. § 5 Absatz 5 De-Mail-Gesetz).
Die Bestätigung muss durch eine qualifizierte elektronische Signatur erfolgen.
Der Diensteanbieter des Absenders hat die Versandbestätigung und die Eingangsbestätigung mit einer qualifizierten elektronischen Signatur zu versehen ( § 5 Absatz 7 Satz 3 und Absatz 8 Satz 5 De-Mail-Gesetz).
Für die Versandbestätigung ( § 5 Absatz 7 De-Mail-Gesetz) und die Eingangsbestätigung (§ 5 Absatz 8 De-Mail-Gesetz) sind die Löschfristen sowie die Zugriffs- bzw. Weitergabekontrolle zu prüfen.
Die Protokolle über die Versand- und die Eingangsbestätigung sind in der Regel nach ihrer Auslieferung nach dem Stand der Technik sicher zu löschen.
Nachrichten, für die eine Eingangsbestätigung (§ 5 Absatz 8 De-Mail-Gesetz) oder eine Abholbestätigung ( § 5 Absatz 9 De-Mail-Gesetz) erteilt wurde, dürfen durch den Empfänger ohne eine sichere Anmeldung an seinem De-Mail-Konto erst 90 Tage nach ihrem Eingang gelöscht werden können ( § 5 Absatz 10 De-Mail-Gesetz).
Berechtigten öffentlichen Stellen muss gegebenenfalls eine Abholbestätigung zur Verfügung gestellt werden können (§ 5 Absatz 9 De-Mail-Gesetz).
Die Abholbestätigung muss mit einer qualifizierten elektronischen Signatur versehen werden ( § 5 Absatz 9 Satz 6 De-Mail-Gesetz).
Nutzern (natürlichen Personen) muss eine automatische Weiterleitung an eine De-Mail-Adresse angeboten werden (§ 5 Absatz 11 De-Mail-Gesetz).
Der Nutzer muss ausschließen können, dass im Sinne des § 5 Absatz 4 De-Mail-Gesetz an ihn gesendete Nachrichten weitergeleitet werden.
Der Nutzer muss die automatische Weiterleitung jederzeit zurücknehmen können.
Die automatische Weiterleitung darf nur nutzbar sein, wenn der Nutzer sicher an seinem De-Mail-Konto angemeldet ist.
Die De-Mail-Nachricht zur Identitätsbestätigung muss mit einer qualifizierten elektronischen Signatur versehen sein.
Der Diensteanbieter hat Vorkehrungen dafür zu treffen, dass Identitätsdaten nicht unbemerkt gefälscht oder verfälscht werden können. Dies können sein:
Wiederholte interne Kontrollen,
Dokumentierter stichprobenartiger Vergleich der Daten mit den jeweiligen Anträgen,
Anwendung elektronischer Signaturen und Zeitstempel bei der Datenspeicherung und Datenübermittlung.
Das BSI muss die Möglichkeit haben, die Sperrung eines nach § 3 De-Mail-Gesetz hinterlegten Identitätsdatums durchführen zu lassen ( § 6 Absatz 3 De-Mail-Gesetz).
Bei dem Verzeichnisdienst handelt es sich um ein Verzeichnis, welches ausschließlich für De-Mail-Nutzer angelegt ist, damit diese die für eine De-Mail-Kommunikation notwendigen Informationen erhalten. Das Verzeichnis wird nicht in Form eines öffentlichen Telefonbuches mit der Möglichkeit einer Einsichtnahme durch beliebige Dritte geführt.
Die De-Mail-Adressen, die hinterlegten Identitätsdaten und die für die Verschlüsselung von Nachrichten notwendigen Informationen dürfen vom Dienstanbieter nur auf ausdrückliches Verlangen des Nutzers in einem Verzeichnisdienst im De-Mail-Verbund veröffentlicht werden.
Die Daten müssen auf Verlangen des Nutzers wieder aus dem Verzeichnisdienst sicher gelöscht werden.
Dies muss u. a. auch erfolgen, wenn die Daten auf Grund falscher Angaben ausgestellt wurden oder das BSI die Löschung aus dem Verzeichnisdienst anordnet. Dies muss mittels interner Prozesse gewährleistet sein.
Auf Verlangen des Nutzers muss der akkreditierte Diensteanbieter durch einen geeigneten Zusatz die Erklärung des Nutzers im Verzeichnisdienst veröffentlichen, den Zugang im Sinne von § 3a VwVfG , § 36a Absatz 1 SGB I und des § 87a Absatz 1 Satz 1 AO öffnen zu wollen.
Auf Verlangen des Nutzers ist der Zusatz für die oben genannte Zugangseröffnung zurückzunehmen.
ë Die Ablage von Dokumenten in einer dem Nutzer angebotenen Dokumentenablage muss sicher erfolgen. Dabei sind auch die technischorganisatorischen Maßnahmen nach der Anlage zu § 9 Satz 1 BDSG zu prüfen. Außerdem ist zu prüfen, ob die zur Gewährleistung der Sicherheit ergriffenen Maßnahmen mit den datenschutzrechtlichen Anforderungen in Einklang stehen.
Vertraulichkeit, Integrität und ständige Verfügbarkeit der abgelegten Dokumente sind zu gewährleisten.
Die Dokumente sind verschlüsselt abzulegen.
Der Nutzer muss die Möglichkeit haben, für jede einzelne Datei eine für den Zugriff erforderliche sichere Anmeldung im Sinne des § 4 De-Mail-Gesetz festzulegen.
Der Diensteanbieter hat ein Protokoll über die Einstellung und Herausnahme von Dokumenten bereitzustellen, wenn der Nutzer dieses wünscht. Das Protokoll ist mit einer qualifizierten elektronischen Signatur zu versehen.
Der Diensteanbieter muss Auskunft über Name und Anschrift eines Nutzers in den in § 16 Absatz 1 De-Mail-Gesetz genannten Fällen geben.
Die Auskunftsansprüche müssen vom Diensteanbieter auf Einhaltung ihrer Voraussetzungen überprüft werden. Dies beinhaltet auch eine Überprüfung der nach § 16 Absatz 2 De-Mail-Gesetz eingereichten Unterlagen.
Der Nutzer muss vom Diensteanbieter unverzüglich über das Auskunftsersuchen unter Benennung des Dritten informiert und es muss ihm Gelegenheit zur Stellungnahme gewährt werden.
Der Diensteanbieter muss mit einem entsprechenden Verfahren gewährleisten, dass die Information an den Nutzer dann nicht erfolgt, wenn sie die Verfolgung des Rechtsanspruchs des Dritten im Einzelfall etwa durch zu frühe Kenntnis über den Anfragenden gefährden würde.
Die durch das Auskunftsverfahren erlangten Daten müssen zweckgebunden verwendet werden.
Jede Auskunftserteilung ist entsprechend § 16 Absatz 6 De-Mail-Gesetz zu dokumentieren.
Die Dokumentation der Auskunftserteilung muss 3 Jahre aufbewahrt werden.
Es muss sichergestellt sein, dass die Dokumentation nach Ablauf der 3 Jahre nach dem Stand der Technik sicher gelöscht bzw. vernichtet wird.
Es muss sichergestellt sein, dass der Nutzer von der Erteilung der Auskunft informiert wird.
Auf Anordnung der zuständigen Stellen darf der Diensteanbieter im Einzelfall Auskunft über Bestandsdaten erteilen, soweit dies für Zwecke der Strafverfolgung, zur Gefahrenabwehr durch die Polizeibehörden der Länder, zur Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes oder des Bundeskriminalamtes im Rahmen seiner Aufgabe zur Abwehr von Gefahren des internationalen Terrorismus oder zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist ( § 113 TKG, § 14 Absatz 2 TMG). Dies muss dem Diensteanbieter möglich sein.
Weitere behördliche Auskunftsanordnungen bzw. Überwachungsanordnungen nach TKG , TKÜV , TMG und StPO müssen nach angemessener Prüfung zeitnah umgesetzt werden können.
Für die Verarbeitung personenbezogener Daten zur Entgeltermittlung und Entgeltabrechnung von Telekommunikationsdienstleistungen gelten die Regelungen des TKG (u.a. § 97 TKG ). Bei der Nutzung von Telemedien, die nicht unter § 11 Absatz 3 TMG fallen (etwa bei der Dokumentenablage nach § 8 De-Mail-Gesetz), richtet sich die Datenverarbeitung nach den Vorschriften des TMG (insbesondere § 15TMG).
Nach der Freischaltung eines De-Mail-Kontos hat der Diensteanbieter die Richtigkeit der zu dem Nutzer gespeicherten Identitätsdaten sicherzustellen ( § 3 Absatz 5 Satz 1 De-Mail-Gesetz).
Der Diensteanbieter muss Verfahren eingerichtet haben, dass er die gespeicherten Identitätsdaten in angemessenen zeitlichen Abständen auf ihre Richtigkeit prüft und soweit erforderlich berichtigt (§ 3 Absatz 5 Satz 2 De-Mail-Gesetz).
Wenn Tatsachen die Annahme rechtfertigen, dass die zur eindeutigen Identifizierung des Nutzers beim Diensteanbieter gespeicherten Daten nicht ausreichend fälschungssicher sind, ist der Zugang zum De-Mail-Konto zu sperren ( § 10 Absatz 1 Satz 1 Nummer 2 De-Mail-Gesetz). Gleiches gilt für den Fall, dass die sichere Anmeldung gemäß § 4 De-Mail-Gesetz Mängel aufweist, die eine unbemerkte Fälschung oder Kompromittierung des Anmeldevorgangs zulassen. Für beide Sperrpflichten müssen Verfahren vorgesehen sein.
Bei einer Sperrung des De-Mail-Kontos ist zwischen einer vollständigen Sperrung, einer Zugangssperre und einer Nutzungseinschränkung zu unterscheiden (vgl. Abschnitt 3.6 De-Mail Accountmanagement Funktionalitätsspezifikation, BSI TR 0 1201 Teil 2. 1).
Vollständige Sperrung:
Der Diensteanbieter muss auf Verlangen des Nutzers das De-Mail-Konto unverzüglich sperren können (§ 10 Absatz 1 Satz 1 Nummer 1 De-Mail-Gesetz).
Das BSI muss die Sperrung eines De-Mail-Kontos anordnen können (§ 10 Absatz 1 Satz 1 Nummer 3 De-Mail-Gesetz).
Bei Eintritt eines vertraglich vereinbarten Sperrgrundes muss der Abruf von Nachrichten möglich bleiben ( § 10 Absatz 1 Satz 2 De-Mail-Gesetz), sofern dieses nicht ausgeschlossen wurde.
Der Diensteanbieter muss sich vor einer Sperrung nach § 10 Absatz 1 De-Mail-Gesetz oder der Auflösung nach Absatz 4 auf geeignete Weise von der Identität des zur Sperrung oder Auflösung berechtigten Nutzers überzeugen können.
Nachrichten an ein gesperrtes oder aufgelöstes De-Mail-Konto dürfen nicht in den Eingang des De-Mail-Postfaches gelangen. Der Absender ist hierüber zu informieren.
Bei Sperrung des De-Mail-Kontos auf Veranlassung des Diensteanbieters oder des BSI ist der Nutzer zu informieren.
Zugangssperre:
Wie wird eine Zugangssperre im Fall einer mehrfachen Falscheingabe der Authentisierungsdaten gewährleistet? Wie erfolgt die Entsperrung?
Wird die Zugangssperre in Form des Authentisierungsniveaus der sicheren Anmeldung nach § 4 Absatz 1 De-Mail-Gesetz umgesetzt (vgl. Nummer 3.1.2.4)?
Nutzungseinschränkung:
Existiert die Möglichkeit der Sperrung im Sinne einer Nutzungseinschränkung der verschiedenen De-Mail-Dienste?
Gemäß Abschnitt 3.6.3 der TR - De-Mail Accountmanagement Funktionalitätsspezifikation, BSI TR 01201 Teil 2.1 ist diese Möglichkeit der Nutzungseinschränkung (kein Versenden, keine Neueinstellung von Dokumenten in Dokumentenablage usw.) z.B. für Kunden mit Zahlungsrückstand vorgesehen. Es muss aber - sofern der Diensteanbieter davon Gebrauch macht - in diesem Fall der Empfang von Nachrichten und das Herunterladen von Dokumenten weiter möglich sein.
Bei Auflösung des De-Mail-Kontos auf Veranlassung des Diensteanbieters oder des BSI ist der Nutzer zu informieren.
Der Nutzer muss die sofortige Auflösung des De-Mail-Kontos verlangen können.
Der Nutzer muss noch drei Monate Zugriff auf die im Postfach und in der Dokumentenablage abgelegten Daten im Sinne des § 12 De-Mail-Gesetz zugreifen können.
Der Nutzer muss mindestens einen Monat vor Löschung hierauf in Textform hingewiesen werden.
Die personenbezogenen Daten müssen nach dem Stand der Technik sicher gelöscht bzw. gesperrt werden.
Eine Pseudonym-De-Mail-Adresse ist, nachdem sie einem De-Mail-Konto zugeordnet war und die Zuordnung aufgehoben wurde, für eine Verwendung durch eine andere natürliche Person zu sperren und darf auch keinem anderen De-Mail-Konto zugeordnet werden (vgl. Abschnitt 4.3.1.2 der TR - De-Mail Accountmanagement Funktionalitätsspezifikation, BSI TR 0 1201 Teil 2. 1).
Gibt es eine Möglichkeit, eine Pseudonym-De-Mail-Adresse freizugeben (vgl. Abschnitt 4.3.1.2 der TR - De-Mail Accountmanagement Funktionalitätsspezifikation, BSI TR 0 1201 Teil 2. 1)?
Für die einzelnen Tätigkeiten des Help-Desks können unterschiedliche Rechtsgrundlagen und Zweckbindungen bestehen (z.B. allgemeine Beratung, Behebung von Fehlern, Aufnahme von Missbrauchsfällen). Diese Tätigkeiten sind je nach Zweckrichtung bei der Begutachtung getrennt zu untersuchen.
Die Nutzer des Help-Desks sind über die hierbei gegebenenfalls erfolgte Datenverarbeitung (insbesondere Speicherung) zu informieren.
Der Zugriff der Help-Desk-Mitarbeiter ist auf die für ihre definierte Tätigkeit erforderlichen Daten zu beschränken.
Die Authentifizierung des Anfragenden muss in geeigneter Art und Weise erfolgen.
Maßnahmen oder Änderungen durch die Help-Desk-Mitarbeiter sind im Rahmen der Erforderlichkeit zu dokumentieren. Hierbei darf keine vollständige Überwachung der Mitarbeitertätigkeit erfolgen.
Soweit möglich, sind die vom Help-Desk erhobenen Daten von denen des De-Mail-Dienstes zu trennen.
Eine Geolokalisierung zu Statistikzwecken oder zur Profilerstellung auf Basis von IP-Adressen darf in der Regel nur anhand einer anonymisierten IP-Adresse erfolgen.
Standortdaten dürfen nur im zur Bereitstellung von Diensten mit Zusatznutzen erforderlichen Umfang und innerhalb des dafür erforderlichen Zeitraums verarbeitet werden, wenn sie anonymisiert wurden oder wenn der Nutzer dem Anbieter des Dienstes mit Zusatznutzen seine Einwilligung erteilt hat. Im Übrigen sind die Vorgaben von § 98 TKG zu beachten, der die datenschutzgerechte Verarbeitung und Nutzung von Standortdaten regelt.
Wenn keine Standortdaten verarbeitet werden, sollte der Nutzer an geeigneter Stelle darauf hingewiesen werden, dass keine Standortdaten verarbeitet werden bzw. dass IP-Adressen, sofern erforderlich, jedenfalls nicht für derartige Zwecke gespeichert werden.
Es muss unterschieden werden zwischen Protokollierung der Nutzeraktivitäten und Protokollierung der internen Aktivitäten (Administratorentätigkeit, Help-Desk-Tätigkeit etc.).
Übermittlungsvorgänge müssen protokolliert werden.
Die Speicherung von personenbezogenen Daten in Protokollen bedarf einer jeweiligen Rechtsgrundlage und es müssen die Grundsätze der Erforderlichkeit und Zweckbindung eingehalten werden.
Sowohl dynamische IP-Adressen mit Zeitstempel als auch statische IP-Adressen sind als personenbezogene Daten anzusehen.
Personenbezogene Daten sind nach Wegfall der Erforderlichkeit unverzüglich in Protokollen nach dem Stand der Technik sicher zu löschen bzw. zu anonymisieren. Dies bezieht sich auch auf Protokolle, die in Sicherungskopien oder Backups enthalten sind.
Protokolle, die die internen Aktivitäten (wann, durch wen und in welcher Weise wurden Daten gespeichert oder verändert) protokollieren, müssen in der Regel nach einem Jahr nach dem Stand der Technik sicher gelöscht werden.
Die Revisionssicherheit muss gewahrt sein.
Es müssen Verfahren und Prozesse beim Diensteanbieter eingerichtet sein, die die Überprüfung der Protokolle sicherstellen.
3.2 Dienstespezifische Umsetzung der technischorganisatorischen Anforderungen
Für in den Nummern 3.1.3 bis 3.1.6 genannten De-Mail-Dienste sind die Anforderungen nach der Anlage zu § 9 Satz 1 BDSG (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle etc.) sowie die Verarbeitung personenbezogener Daten im Zusammenhang mit Verschlüsselung, Authentifizierung und Signaturen zu prüfen. Darüber hinaus muss die Umsetzung des Gebots der Datensparsamkeit (§ 3a Satz 1 BDSG ) und die Möglichkeit der pseudonymen Nutzung ( § 3a Satz 2 BDSG ) Gegenstand der Prüfung sein. Die besonderen, sich aus TKG und TMG ergebenden Anforderungen an Datensicherheit, Datenvermeidung und Datensparsamkeit sind ebenfalls zu berücksichtigen.
Die Anforderungen verweisen auf die jeweils geltende Fassung der Technischen Richtlinien des BSI (siehe Kapitel 7).
3.2. 1.1 Anforderungen nach Anlage zu § 9 Satz 1 BDSG u. a.
Zutritts- und Zugangskontrolle zu allen IT-Einrichtungen:
Werden Zutrittskontrollmaßnahmen und gegebenenfalls welche wirksam umgesetzt? Wurden diese zumindest stichprobenartig kontrolliert? Wenn diese nicht im Rahmen der Zertifizierung des ISMS überprüft wurden, ist eine stichprobenartige Kontrolle erforderlich.
Werden Zugangskontrollmaßnahmen und gegebenenfalls welche wirksam umgesetzt? Wurden diese zumindest stichprobenartig kontrolliert? Wenn diese nicht im Rahmen der Zertifizierung des ISMS überprüft wurden, ist eine stichprobenartige Kontrolle erforderlich. Mögliche Maßnahmen sind u. a.:
Administration im 4-Augen-Prinzip
Erzwingung starker Passwörter.
Kopplung mit weiteren Systemen:
Sowohl auf Seiten eines Diensteanbieters als auch auf Seiten der Nutzer (und dort insbesondere bei Organisationen) sind vielfältige Kopplungen mit weiteren technischen Systemen, die nicht unmittelbar zu den De-Mail-Komponenten gehören, denkbar. Beispiele für Infrastrukturkopplungen sind Strom- und Netzversorgung, Beispiele für Kopplungen auf Anwendungsebene sind Datenbanken für De-Mail-Kunden und andere (Nicht-De-Mail-)Kunden (vgl. dazu Nummer 3.1.2) oder die Integration von Nicht-De-Mail-Diensten und Mechanismen (etwa Postfächer für Internet-E-Mails, das EGVP oder Transportmechanismen wie OSCI-Transport). Beispiele für Kopplungen von Kundensystemen sind integrierte Clients für De-Mails und andere E-Mails oder Integrationen in eine virtuelle Poststelle.
Finden solche Kopplungen beim Nutzer statt, sind diese Kopplungen nicht Gegenstand des Datenschutz-Nachweises. Kopplungen mit Nicht-De-Mail-Systemen beim Diensteanbieter dürfen die Informationssicherheit nicht beeinträchtigen. Darauf ist bei der Überprüfung der technischen und organisatorischen Anforderungen im Rahmen der von § 18 Absatz 3 Nummer 3 De-Mail-Gesetz geforderten Testate zu achten (vgl. BSI TR 01201).
3.2.1.2 Für Telemedien, die nicht unter § 11 Absatz 3 TMG fallen, gelten die Anforderungen u. a. nach § 13 Absatz 4 TMG
Kann der Nutzer die Nutzung des Dienstes jederzeit beenden (§ 13 Absatz 4 Nummer 1 TMG)?
Können Daten über die Nutzung von De-Mail-Diensten getrennt von Daten über andere Nutzungen bei dem gleichen Diensteanbieter verarbeitet werden?
Welche Daten werden bei einer erfolgreichen Authentifizierung auf der Login-Seite im Web-Frontend protokolliert (Benutzername, Kennwort-Hash, IP-Adresse, Datum und Uhrzeit) und sind diese erforderlich?
Welche Daten werden bei einer fehlgeschlagenen Authentifizierung auf der Login-Seite im Web-Frontend protokolliert (falscher Benutzername oder Passwort)? Bei der Auswertung dieser Protokolle dürfen keine Klartextangaben des Nutzers angezeigt werden, da fälschlicherweise Passwörter in das Feld der Benutzerkennung eingegeben sein könnten.
Wie lange werden Authentisierungsprotokolle für Nutzerauthentisierungen gespeichert? Ist diese Frist angemessen?
Ist die Nutzerauthentisierung mit den verschiedenen Niveaus wirksam?
Können nur die nach dem jeweiligen Authentisierungsniveau zulässigen Aktionen vorgenommen werden?
Der Nutzer muss festlegen können, dass eine Nutzung des Kontos nur nach sicherer Anmeldung erfolgen kann ( § 4 Absatz 1 Satz 4 De-Mail-Gesetz) (vgl. BSI TR 01201).
Sind die verschiedenen Sperrstufen des Kontos und die vorgegebenen Nutzungseinschränkungen wirksam (vgl. BSI TR 01201)?
Können Dritte vorsätzlich den Empfang und die Kenntnisnahme von De-Mails von Nutzern verhindern, z.B. durch vorsätzliches Fehlschlagenlassen von Authentisierungsversuchen (Erzwingung einer Kontosperrung)?
Die Entsperrmöglichkeiten des Nutzers mittels Entsperrkennwort und Anmeldung mit hohem Authentifizierungsniveau sind umzusetzen (vgl. BSI TR 01201).
Mit welchen Authentifizierungsdaten erfolgt eine Authentifizierung, wenn die Login-Seite im Web-Frontend nicht genutzt wird oder werden kann (z.B. telefonischer Kontakt zu einem Help-Desk, postalisch, mittels E-Mail)?
Zugriffe der Diensteanbieter:
Welche Zugriffsmöglichkeiten bestehen für den Diensteanbieter (z.B. Help-Desk, Administration) auf Konfigurationsdaten (z.B. Authentisierungsniveaus, IP-Bereichseinschränkungen, Auswahl der genutzten Dienste)?
Werden ausschließlich die in Abschnitt 2.2 der TR - De-Mail Accountmanagement Funktionalitätsspezifikation, BSI TR 01201 Teil 2.1 genannten Identitätsdaten gespeichert?
Erfolgt eine Löschung von accountbezogenen Daten nach Auflösung des Accounts (vgl. Abschnitt 3.8.3 der TR - De-Mail Accountmanagement Funktionalitätsspezifikation, BSI TR 01201 Teil 2.1)? Werden die Vorgaben der Spezifikation eingehalten?
Werden die Dokumentationspflichten befolgt (vgl. Abschnitt 5 der TR - De-Mail Accountmanagement Funktionalitätsspezifikation, BSI TR 01201 Teil 2.1)?
Welche Prozesse gibt es, um die sichere Löschung der Dokumentationsdaten sicherzustellen?
Wie erfolgt eine "Ablichtung" des Ausweises, ohne gegen die in § 3 Absatz 2 Satz 2 Nummer 1 De-Mail-Gesetz abschließend geregelte Erhebungsbefugnis zu verstoßen? Ist eine Schwärzung (z.B. des Fotos und weiterer Daten, gegebenenfalls der Unterschrift) vorgesehen?
Die Zweckbindung der im Rahmen der Dokumentationspflichten verarbeiteten Daten muss sowohl bei einem bestehenden Account als auch darüber hinaus nach Ende des Vertragsverhältnisses zur Erfüllung der in § 13 Absatz 2 De-Mail-Gesetz genannten Frist ausreichend sichergestellt sein.
Pseudonym-De-Mail-Adressen (vgl. Abschnitt 4.3.1.2 der TR - De-Mail Accountmanagement Funktionalitätsspezifikation, BSI TR 0 1201 Teil 2. 1):
Werden Pseudonym-De-Mail-Adressen gemäß § 5 Absatz 2 De-Mail-Gesetz angeboten?
Können mehrere Pseudonym-De-Mail-Adressen verwendet werden?
Kann ein Nutzer selbst Pseudonym-De-Mail-Adressen verwalten (d. h. einrichten, verändern und löschen)? Erfolgt eine Überprüfung der einzurichtenden Pseudonym-De-Mail-Adressen gegen eine Liste gesperrter Pseudonym-De-Mail-Adressen (z.B. schon vorher verwendete Adressen, Prominentennamen etc.)?
Werden Pseudonym-De-Mail-Adressen für die weitere Verwendung automatisiert gesperrt? Wenn ja, erfolgt dieses ausreichend lange?
Kann ein Nutzer eine Pseudonym-De-Mail-Adresse bei Löschung "freigeben" (vgl. BSI TR 01201)?
Welche Prozesse wurden eingerichtet, um ein Ersuchen nach Aufdeckung (§ 16 De-Mail-Gesetz) einer Pseudonym-De-Mail-Adresse zu bearbeiten?
Auf welche Weise erfolgt eine Prüfung der Berechtigung zur Aufdeckung einer Pseudonym-De-Mail-Adresse?
Welche Zugriffsmöglichkeiten bestehen für den Diensteanbieter (z.B. Help-Desk, Administration) auf Konfigurationsdaten (z.B. Authentisierungsniveaus, IP-Bereichseinschränkungen, Auswahl der genutzten Dienste)?
3.2.2.2 Postfach- und Versanddienst (§ 5 De-Mail-Gesetz)
3.2.2.2.1. Art und Qualität der angebotenen bzw. vorgeschriebenen Verschlüsselung
Datenspeicherung beim Diensteanbieter:
Erfolgt die Datenspeicherung verschlüsselt gemäß den Anforderungen der Technischen Richtlinien, sowohl bei längerfristiger Speicherung (Postfach), als auch bei kurzfristiger Speicherung (z.B. Warteschlangen für Malware-Überprüfung) (vgl. Abschnitt 5.2.5 der TR - De-Mail Postfach- und Versanddienst IT-Sicherheit, BSI TR 0 1201 Teil 3.3)?
Erfolgt die Entschlüsselung nur zur Prüfung auf Malware und Viren, um die Nachricht anschließend dem Nutzer zuzustellen (vgl. Abschnitt 5.2.4 der TR - De-Mail Postfach- und Versanddienst IT-Sicherheit, BSI TR 0 1201 Teil 3.3)?
Ist sichergestellt, dass auch Sicherungs- und Backup-Dateien verschlüsselt sind?
Wie wird die dauerhafte Lesbarkeit von Nachrichten im Postfach des Nutzers bei turnusgemäßem Wechsel der Domänen-Verschlüsselung des Diensteanbieters sichergestellt?
Schlüsselmanagement: Wer hat Zugriff auf Schlüssel oder kann sie parametrisieren?
Ist die Verfügbarkeit von Schlüsseln auch bei Ausfall von Hardware (Festplatten, Kryptohardware) sichergestellt?
Zwischen Diensteanbietern:
Erfolgt für den Transport zwischen Diensteanbietern eine Verschlüsselung mit den Schlüsseln des absendenden und des empfangenden Diensteanbieters (vgl. Abschnitt 5.2.3 der TR - De-Mail Postfach- und Versanddienst IT-Sicherheit, BSI TR 0 1201 Teil 3.3)?
Werden die Vorgaben zur Transport- und Domänenverschlüsselung eingehalten (vgl. die Abschnitte 2 und 3 der TR - De-Mail IT-Basisinfrastruktur Interoperabilitätsspezifikation, BSI TR 0 1201 Teil 1.4)?
Endezu-Ende-Verschlüsselung für Nutzer:
Wird durch den Diensteanbieter angeboten, Verschlüsselungszertifikate zu veröffentlichen?
Kann der Nutzer das Zertifikat ändern und zurückziehen?
Wie werden die Zertifikate zum Diensteanbieter übertragen? Wird dazu eine sichere Authentisierung verwendet?
Ist sichergestellt, dass verschlüsselte Dateien nicht mangels Prüffähigkeit auf Malware und Viren unterdrückt werden?
Erfolgt bei der Nutzung von öffentlichen Verschlüsselungszertifikaten, die durch den Verzeichnisdienst bereitgestellt werden, eine Überprüfung im Hinblick auf Gültigkeit und Vertrauenswürdigkeit (vgl. Abschnitt 5.2.3 der TR - De-Mail Postfach- und Versanddienst IT-Sicherheit, BSI TR 0 1201 Teil 3.3)?
Weiterleitung von De-Mail-Nachrichten ( § 5 Absatz 11 De-Mail-Gesetz):
Bietet der Diensteanbieter natürlichen Personen (wie von § 5 Absatz 11 De-Mail-Gesetz gefordert) eine automatische Weiterleitung von Nachrichten (Kopie), die an ihre De-Mail-Adresse gerichtet sind, an eine vom Nutzer angegebene De-Mail-Adresse (Weiterleitungsadresse) an?
Ist die Anforderung umgesetzt, dass der Nutzer bei der Konfiguration der Weiterleitung mit hohem Authentisierungsniveau (§ 4 De-Mail-Gesetz) angemeldet sein muss?
Kann der Nutzer bei der Konfiguration der Weiterleitungsfunktion die Weiterleitung solcher Nachrichten ausschließen, die eine sichere Anmeldung ( § 5 Absatz 11 Satz 2 De-Mail-Gesetz) erfordern?
Kann der Nutzer die Weiterleitung jederzeit deaktivieren?
Können nur die nach dem jeweiligen Authentisierungsniveau zulässigen Aktionen innerhalb des Postfach- und Versanddienstes (insbesondere das Versenden und Lesen von Nachrichten) vorgenommen werden (vgl. die Abschnitte 3.1, 3.1.1.1 und 3.1.2.3 der TR - De-Mail Postfach- und Versanddienst Funktionalitätsspezifikation, BSI TR 0 1201 Teil 3. 1)?
Zugriffe der Diensteanbieter:
Welche Zugriffsmöglichkeiten bestehen für den Diensteanbieter auf Nachrichteninhalte?
Welche Zugriffsmöglichkeiten bestehen für den Diensteanbieter auf Verkehrsdaten (z.B. Zeitpunkt oder Anzahl gesendeter Nachrichten, Einblick in den Ordner "gesendete Nachrichten" des Nutzers)?
Welche Zugriffsmöglichkeiten bestehen für den Diensteanbieter auf Daten, die mittelbar der Kommunikation zuzuordnen sind (z.B. persönliche Adressbücher)?
Ist die Funktionalität, dass ein Absender einer Nachricht die sichere Anmeldung des Empfängers fordern kann (§ 5 Absatz 4 De-Mail-Gesetz), angemessen umgesetzt?
Ist die Funktionalität, dass der Diensteanbieter dem Absender einer Nachricht die sichere Anmeldung gemäß § 4 De-Mail-Gesetz durch eine qualifiziert elektronisch signierte Nachricht bestätigt (§ 5 Absatz 5 De-Mail-Gesetz), angemessen umgesetzt?
Ist die Funktionalität, dass der Diensteanbieter dem Absender einer Nachricht den Versand gemäß § 5 Absatz 7 De-Mail-Gesetz mit den in den Nummern 1 bis 4 genannten Daten (Absender- und Empfängeradresse, Datum und Uhrzeit des Versands, Identifizierungsdaten des Diensteanbieters, Prüfsumme der Nachricht) bestätigt, angemessen umgesetzt?
Ist die Funktionalität, dass der Diensteanbieter des Empfängers dem Absender einer Nachricht den Eingang in das Postfach des Empfängers gemäß § 5 Absatz 8 De-Mail-Gesetz mit den in den Nummern 1 bis 4 von Satz 2 genannten Daten (Absender- und Empfängeradresse, Datum und Uhrzeit des Eingangs, Identifizierungsdaten des Diensteanbieters, Prüfsumme der Nachricht) bestätigt, angemessen umgesetzt?
Wird die Empfangsbestätigung auch dem Empfänger zugesandt?
Durch welche Mechanismen wird sichergestellt, dass die Anforderung einer Abholbestätigung gemäß § 5 Absatz 9 Satz 1 De-Mail-Gesetz nur öffentlichen Stellen, die zur förmlichen Zustellung berechtigt sind, möglich ist?
Ist die Funktionalität, dass der Diensteanbieter des Empfängers gemäß § 5 Absatz 9 De-Mail-Gesetz einem dazu befugten Absender einer Nachricht die sichere Anmeldung (§ 4 De-Mail-Gesetz) des Empfängers mit den unter § 5 Absatz 9 Satz 5 Nummern 1 bis 5 De-Mail-Gesetz genannten Daten (Absender- und Empfängeradresse, Datum und Uhrzeit des Eingangs, Datum und Uhrzeit der sicheren Anmeldung, Identifizierungsdaten des Diensteanbieters, Prüfsumme der Nachricht) bestätigt, angemessen umgesetzt?
Wird die Abholbestätigung auch dem Empfänger zugesandt?
Sind die Daten, die zur Verifikation der dabei verwendeten qualifizierten elektronischen Signaturen verwendet werden, für die Empfänger der Nachrichten verfügbar?
Wird eine automatisierte Verifikation der Signaturen angeboten? Wie wird dies den Empfängern der Bestätigungen dargestellt?
Welche Verfahren gibt es für die Empfänger der Bestätigungen, die Prüfsummen der zu bestätigenden Nachricht (§ 5 Absatz 7 Nummer 4, Absatz 8 Satz 2 Nummer 4 und Absatz 9 Satz 3 Nummer 5 De-Mail-Gesetz) mit den Prüfsummen der übermittelten Nachrichten zu vergleichen? Erfolgt eine solche Verifikation automatisch?
Wurde überprüft, dass das Vergleichsverfahren von Prüfsummen im Fall unverändert übermittelter Nachrichten ein positives Ergebnis ergibt?
Wurde überprüft, dass das Vergleichsverfahren von Prüfsummen im Fall verändert übermittelter Nachrichten (oder beim Vergleich mit Nachrichten, die nach dem Empfang verändert wurden) ein negatives Ergebnis ergibt?
Falls der Diensteanbieter Mechanismen zur Erhaltung des Beweiswertes qualifiziert elektronisch signierter Bestätigungen bereithält (z.B. Übersignatur nach Zeitablauf): Sind diese angemessen ausgestaltet?
Werden Kopien von Versandbestätigungen beim absendenden Dienstanbieter unmittelbar nach dem Stand der Technik sicher gelöscht?
Welche Daten werden bezüglich nicht zugestellter oder nicht versendeter De-Mails protokolliert (z.B. bei Fund von Malware) (vgl. Abschnitt 3.1.3.1 der TR - De-Mail Postfach- und Versanddienst Funktionalitätsspezifikation, BSI TR 01201 Teil 3.1)?
Wie erfolgt die Begrenzung der Anzahl der bereits versendeten Mails bei Authentisierungsniveau "normal" (vgl. Abschnitt 3.1.1.1 der TR - De-Mail Postfach- und Versanddienst Funktionalitätsspezifikation, BSI TR 01201 Teil 3.1)?
Gibt es einen spezifischen tagesaktuellen Zähler für die Anzahl der an diesem Tag bereits versandten De-Mails?
Falls die Anzahl der an diesem Tag bereits versandten De-Mails durch die Analyse eines Sendeprotokolls bestimmt wird: Wie verträgt sich dies mit den Anforderungen aus Nummer 3.2.2.2.5 nach sofortiger Löschung der technischen Protokolle über Versand und Empfang?
Ist sichergestellt, dass bei Fehlern lediglich Fehlermeldungen, aber keine Protokolle erzeugt werden?
Falls abweichend davon Protokolleinträge erzeugt werden:
Welche Aufbewahrungsfristen gibt es? Sind diese angemessen?
Wer hat unter welchen Bedingungen Zugriff auf diese Protokolldaten?
Ist sichergestellt, dass Nachrichten, für die eine Eingangsbestätigung oder eine Abholbestätigung ( § 5 Absatz 8 und 9 De-Mail-Gesetz) erzeugt wird, durch den Empfänger ohne eine sichere Anmeldung an seinem De-Mail-Konto erst 90 Tage nach ihrem Eingang gelöscht werden können?
Ist sichergestellt, dass der Nutzer jederzeit alle Nachrichten, für die diese Einschränkung nicht gilt, löschen kann?
Werden die Vorgaben zum notwendigen Authentisierungsniveau bei der Löschung von Nachrichten eingehalten (vgl. Abschnitt 3.1.3.9 der TR - De-Mail Postfach- und Versanddienst Funktionalitätsspezifikation, BSI TR 01201 Teil 3.1)?
Gibt es eine "Papierkorb-Funktion" oder eine explizite Nachfrage gegen unbeabsichtigtes Löschen von Nachrichten?
Mit welcher zeitlichen Verzögerung werden Nachrichten von Backup-Medien nach dem Stand der Technik sicher gelöscht? Ist dieses angemessen zügig?
Gibt es, sofern zulässig, einen Wiederherstellungsprozess, mit dem Nutzer eine irrtümliche Löschung durch Recovery-Prozesse aus dem Backup anstoßen können? Ist in diesen Fällen eine sichere Authentisierung des Nutzers sichergestellt?
Umfassen die Veröffentlichungen des Diensteanbieters ausschließlich die in § 7 Absatz 1 De-Mail-Gesetz genannten Daten (De-Mail-Adresse, Name und Anschriften, Informationen zur Verschlüsselung und zur sicheren Anmeldung)?
Kann ein Nutzer für alle in § 7 Absatz 1 De-Mail-Gesetz genannten Daten einzeln festlegen, ob eine Veröffentlichung gewünscht ist (vgl. die Abschnitte 2.2.1 und 2.2.2 der TR - De-Mail IT-Basisinfrastruktur Funktionalitätsspezifikation, BSI TR 01201 Teil 1. 1)?
Wie ist der Prozess der Veröffentlichung oder Veränderung von Veröffentlichungen implementiert? Ist sichergestellt, dass Nutzer hinreichend informiert sind, z.B. dass eine Suche innerhalb aller Verzeichnisdienste aller Diensteanbieter im De-Mail-Verbund erfolgt und eine bewusste Entscheidung für eine Veröffentlichung erfolgt (vgl. die Abschnitte 2 und 2.1 der TR - De-Mail IT-Basisinfrastruktur Funktionalitätsspezifikation, BSI TR 01201 Teil 1. 1)?
Wird die Anforderung eines Nutzers, Daten im Verzeichnisdienst zu löschen ( § 7 Absatz 2 De-Mail-Gesetz), unmittelbar umgesetzt?
Erfolgen Replikationen von Verzeichnisdienstinformationen an weitere Verzeichnisdienste innerhalb des De-Mail-Verbundes? Ist dann sichergestellt, dass die Löschung auch in diesen Diensten erfolgt?
Welche Prozesse wurden eingerichtet, um die Löschung von Identitätsdaten aus anderen Gründen (§ 7 Absatz 2 De-Mail-Gesetz) zu ermöglichen?
Ist die Beschränkung auf maximal 200 Suchergebnisse wirksam (vgl. Abschnitt 2.1 der TR - De-Mail IT-Basisinfrastruktur Funktionalitätsspezifikation, BSI TR 0 1201 Teil 1. 1)?
Wie wird eine automatisierte "Massenabfrage" verhindert (z.B. durch eine Begrenzung der möglichen Abfragen pro Zeiteinheit)? Ist die Beschränkung auf die Nutzer wirksam (vgl. Abschnitt 2.1 der TR - De-Mail IT-Basisinfrastruktur Funktionalitätsspezifikation, BSI TR 0 1201 Teil 1. 1)?
Wie reagiert das System auf unvollständige Vornamen (es könnte bei mehreren registrierten Vornamen nur nach einem Vornamen gesucht werden)? Gibt es eine Ähnlichkeitssuche (Meyer/Meier/Mayer/Maier)?
Bietet der Diensteanbieter einen Identitätsbestätigungsdienst an?
Ist der Umfang der vom Identitätsbestätigungsdienst nutzbaren Identitätsdaten identisch mit den in § 3 De-Mail-Gesetz genannten Identitätsdaten des Nutzers?
Werden die durch den Identitätsbestätigungsdienst genannten Identitätskarten bereitgestellt (vgl. Abschnitt 3 der TR - De-Mail Identifizierungsdienst Funktionalitätsspezifikation, BSI TR 01201 Teil 4. 1)?
Werden genau die Daten eines Ident-Auftrages übermittelt, die der Nutzer freigegeben hat (vgl. die Abschnitte 3.2 und 6.2.2. Schritt 4 der TR - De-Mail Identifizierungsdienst Funktionalitätsspezifikation, BSI TR 0 1201 Teil 4. 1)?
Enthalten die Identitätsbestätigungen neben den bestätigten Identitätsdaten auch den Zeitpunkt der Verifikation dieser Daten (vgl. die Abschnitte 3.3 und 6.2.2 Schritt 7 der TR - De-Mail Identifizierungsdienst Funktionalitätsspezifikation, BSI TR 0 1201 Teil 4. 1)?
Ist die Verwendung des Identitätsbestätigungsdienstes nur mit sicherer Anmeldung ( § 4 De-Mail-Gesetz) möglich (vgl. Ident-Auftrag in Abschnitt 3.2 der TR - De-Mail Identifizierungsdienst Funktionalitätsspezifikation, BSI TR 0 1201 Teil 4. 1)?
Wird eine Identitätsbestätigungsnachricht dem beauftragenden Nutzer in Kopie zugesandt (vgl. Ident-Bestätigungs-Nachricht in Abschnitt 3.4 der TR - De-Mail Funktionalitätsspezifikation Identifizierungsdienst, BSI TR 01201 Teil 4.1)? Wird dabei durch Versandoptionen sichergestellt, dass der Empfänger zum Lesen dieser Nachricht mit sicherer Authentisierung angemeldet sein muss (Versandoption "persönlich", § 5 Absatz 4 De-Mail-Gesetz)?
Hat der Diensteanbieter technische Vorkehrungen getroffen, um eine technisch bedingte Verfälschung der Daten zu bemerken (z.B. Signaturen oder Zeitstempel)?
Hat der Diensteanbieter technischorganisatorische Vorkehrungen getroffen, um eine Verfälschung der Daten (z.B. durch Innentäter) zu verhindern oder zumindest zu bemerken?
Welche wiederholten stichprobenartigen Kontrollen gibt es, um die Integrität der Identitätsdaten zu überprüfen (Kontrolle der Protokolle, Vergleich von Identitätsdaten mit Anträgen)?
Wurden durch den Diensteanbieter Prozesse eingerichtet, um eine Anordnung der Sperrung von Identitätsdaten ( § 6 Absatz 3 De-Mail-Gesetz) durch das BSI umzusetzen?
Wie wird die Authentizität einer solchen Anordnung überprüft? Protokollierung:
Welche Daten werden bezüglich Erstellung, Versand, Überprüfung durch den Nutzer und gegebenenfalls Verwerfen eines Ident-Auftrages protokolliert?
Welche Aufbewahrungsfristen gibt es? Sind diese angemessen?
Ist der Zugriff auf diese Protokolldaten eingeschränkt?
3.2.2.5.1 Art und Qualität der angebotenen bzw. vorgeschriebenen Verschlüsselung
Ist die Verschlüsselung gemäß den Anforderungen umgesetzt (vgl. Abschnitt 5.1 der TR - De-Mail Dokumentenablage IT-Sicherheit, BSI TR 01201 Teil 5.3)?
Ist die Verschlüsselung gemäß den Anforderungen (verschlüsselte Speicherung auf den Backup-Systemen, Kryptokonzept) umgesetzt (vgl. die Abschnitte 6.1.7 und 6.1.8 der TR - De-Mail Informationssicherheit nach ISO 27001 auf der Basis von IT-Grundschutz, BSI TR 01201 Teil 6.1 bzw. die Abschnitte 10 und 12.3 der TR - De-Mail Informationssicherheit auf der Basis von ISO/IEC 27001, BSI TR 01201 Teil 6.2)?
Werden die Empfehlungen des Abschnitts 7.1.3.2 der TR - De-Mail Informationssicherheit nach ISO 27001 auf der Basis von IT-Grundschutz BSI TR 0 1201 Teil 6.1 bzw. des Abschnitts 10. 1. 1 der TR - De-Mail Informationssicherheit auf der Basis von ISO/IEC 27001, BSI TR 01201 Teil 6.2, zu Kryptohardware beachtet? Wenn ja: Werden im Sicherheitskonzept auch die Besonderheiten des Schlüsselmanagements von Kryptohardware bezüglich Verfügbarkeit beachtet?
Welche Programme zur clientseitigen Verschlüsselung (unter Verantwortung des Nutzers) stellt der Diensteanbieter bereit bzw. empfiehlt er (vgl. Abschnitt 2.5 der TR - De-Mail Dokumentenablage Funktionalitätsspezifikation, BSI TR 01201 Teil 5.1)?
Es ist sicherzustellen, dass nur Nutzer Zugriff auf die in der Dokumentablage niedergelegten Dokumente haben.
Es ist sicherzustellen, dass der Zugriff auf ein Dokument nur entsprechend des durch den Nutzer konfigurierten Authentifizierungsniveaus erfolgen kann (vgl. Abschnitt 2.1.1 der TR - De-Mail Dokumentenablage Funktionalitätsspezifikation, BSI TR 0 1201 Teil 5. 1).
Dabei müssen die Vorgaben des Abschnitts 2.1.1 der TR - De-Mail Dokumentenablage Funktionalitätsspezifikation, BSI TR 01201 Teil 5.1, zum aktuellen Authentisierungsniveau des Nutzers bei der Herabstufung oder Erhöhung des Authentisierungsniveaus eines Dokumentes beachtet werden.
Sind die in Abschnitt 2.1.2 der TR - De-Mail Dokumentenablage Funktionalitätsspezifikation, BSI TR 01201 Teil 5.1, genannten Zugriffsoperationen "Lesen" sowie "Lesen und Schreiben" sowie die zu den Operationen gehörigen Authentisierungsniveaus konfigurierbar? Wurde die Funktionsfähigkeit durch Tests überprüft?
Wie wird ausgeschlossen, dass der Diensteanbieter Zugriff auf Dokumente nehmen kann (während des Uploads, Downloads, Malware-Scannings und der Bereitstellung per Webserver liegen die Daten unverschlüsselt im Arbeitsspeicher vor; der Diensteanbieter hat weiterhin Zugriff auf die Schlüssel, die für die verschlüsselte Speicherung verwendet werden)?
3.2.2.5.3 Protokolle und Nachweise (§ 8 De-Mail-Gesetz)
Stellt der Diensteanbieter auf Verlangen des Nutzers ein Protokoll über die Einstellung und Herausnahme von Dokumenten bereit?
Ist dies mit einer qualifizierten elektronischen Signatur gesichert?
Welche Daten enthält ein solches Protokoll (Aufzählung von Dokumentennamen, Prüfsummen von Dokumenten, Daten der letzten Lese- oder Schreibzugriffe)? Die Abschnitte 7.1 und 7.2 der TR - De-Mail Dokumentenablage Funktionalitätsspezifikation, BSI TR 01201 Teil 5.1 sind mehrdeutig und müssen vom Gutachter im Einzelfall bewertet werden.
Wie werden Metadaten, die Aktivitäten bezüglich einzelner Ordner/Dateien betreffen, nach dem Stand der Technik sicher gelöscht? Werden die Metadaten ordner- oder dateibasiert gespeichert oder werden Protokolle aus einer chronologischen Aufzeichnung aller Änderungen erzeugt und gespeichert?
Wie wird ausgeschlossen, dass ein Diensteanbieter Zugriff auf Protokolldaten erhält?
Wie wird ausgeschlossen, dass durch Dritte ein Zugriff auf Inhalte der Dokumentenablage (Schutz der Dokumentenablage durch das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme, § 8 De-Mail-Gesetz) erfolgt?
Wenn ein De-Mail-Dienst besondere, über die gesetzlichen Verpflichtungen hinausgehende Maßnahmen zur Gewährleistung eines überdurchschnittlich hohen Datenschutzniveaus ergreift, soll dies im Gutachten besonders erwähnt und in die zur Veröffentlichung bestimmte Kurzfassung des Gutachtens aufgenommen werden. Die folgende Aufzählung von Beispielen ist nicht vollständig, da eine Vielzahl von datenschutzfördernden Gestaltungsmöglichkeiten denkbar ist:
Dabei kann es sich z.B. handeln um:
Auf Wunsch Filterung von Absender-Daten des Nutzers bei der Übertragung (über Schadcode hinaus, z.B. im Hinblick auf Metadaten des Browsers oder De-Mail-Clients des Nutzers)
Angebot pseudonymer De-Mail-Adressen mit beschränkter Gültigkeit ("Einmal-Adresse")
Feingranularer Zugriffsschutz (z.B. durch Nutzung verschiedener Verschlüsselungssysteme wie separate Festplattenverschlüsselung für Backups und Protokolldatenbanken, Dokumentenablage), Nutzung von Datenbankinternen Verschlüsselungen
Endezu-Ende-Sicherheit für Nachrichten durch Bereitstellung sicherer Browser-Plug-Ins für die Verschlüsslung von Nachrichten
Endezu-Ende-Sicherheit für Nachrichten durch Bereitstellung von De-Mail-Clients mit implementierten oder durch externe Plug-Ins nachzurüstender Verschlüsslungsfunktionen
Endezu-Ende-Sicherheit für Dokumente in der Dokumentenablage durch Bereitstellung von De-Mail Clients mit implementierten oder durch externe Plug-Ins nachzurüstender Verschlüsslungsfunktionen
Es ist darzulegen, wie die Rechte der Betroffenen auf Benachrichtigung sowie Auskunft, Löschung und Sperrung durch geeignete Verfahren gewährleistet werden.
Es muss eine Unterrichtung über Erhebung, Verarbeitung, Weitergabe oder Nutzung von personenbezogenen Daten in allgemeiner Form als Datenschutzerklärung erfolgen, vgl. § 93 TKG , § 13 Absatz 7 TMG.
Wünschenswert: "Layer-Prinzip" bei Datenschutzerklärung (zunächst nur die wichtigen Punkte, dann auf Wunsch Konkretisierungen).
Der Nutzer muss über seine Rechte als Betroffener und deren Inanspruchnahme informiert werden (Recht auf Auskunft, Berichtigung, Löschung und Sperrung).
Erfolgt eine Erhebung von Daten ohne Kenntnis des Betroffenen, so ist in der Regel eine Benachrichtigung im Sinne des § 33 BDSG erforderlich.
Erfolgte Einwilligungen müssen durch den Nutzer abrufbar sein.
Eine Sperrung von Daten ist nur zulässig, wenn die Löschung aufgrund von Aufbewahrungsfristen nicht möglich ist.
Es müssen konkrete Verfahrensgestaltungen bzw. definierte Prozesse zur Gewährleistung der Sperrung eingerichtet sein.
Die Sperrung muss so erfolgen, dass gesperrte Daten eindeutig markiert bzw. möglichst ausgesondert sind und nur noch von einem eingeschränkten Personenkreis im Rahmen der Zweckbindung eingesehen werden können.
Der Berechtigte muss authentisiert werden.
Die zeitnahe Umsetzung der Sperrung muss gewährleistet sein.
Es muss gewährleistet sein, dass nach Ablauf der Aufbewahrungsfrist eine nach dem Stand der Technik sichere Löschung der gesperrten Daten erfolgt.
Es muss gewährleistet sein, dass auch bei Einschaltung eines Auftragnehmers/Datenempfängers dieses Recht umgesetzt werden kann.
3.3.6 Widerspruch gegen die Verarbeitung/Rücknahme einer Einwilligung
Es müssen definierte Prozesse zur Gewährleistung des Widerspruchs bzw. der Rücknahme einer Einwilligung eingerichtet sein.
Der Berechtigte muss authentisiert werden.
Die zeitnahe Umsetzung des Widerspruchs muss gewährleistet sein.
Es muss gewährleistet sein, dass auch bei Einschaltung eines Auftragnehmers/Datenempfängers dieses Recht umgesetzt werden kann.
Die Prüfung muss auch die betriebliche Organisation zur Gewährleistung der rechtlichen und technischen Vorschriften für den Datenschutz umfassen. Dazu gehört die organisatorische Stellung des betrieblichen Beauftragten für den Datenschutz, seine Einbeziehung in technische und organisatorische Änderungen der informationstechnischen Einrichtungen und Verfahren, die Existenz und Aussagefähigkeit eines Verfahrensverzeichnisses sowie die datenschutzgerechte Gestaltung und Einbindung einer eventuellen Datenverarbeitung im Auftrag in die Datenschutzmanagementprozesse.
Der IT-Grundschutz-Baustein B 1.5 Datenschutz stellt für die umzusetzenden Maßnahmen eine Grundlage dar. Die Prüfung kann hier zweckmäßigerweise weitgehend anhand der Umsetzung dieses Bausteins erfolgen. Dabei ist zu beachten, dass der Baustein eine organisationsweite Umsetzung von Datenschutzmanagementaspekten zum Ziel hat. Eine Umsetzung des Datenschutzmanagementbausteins in der gesamten Organisation (d. h. auch außerhalb der De-Mail-Verfahren) ist nicht erforderlich. Daher sind nicht alle Maßnahmen des Bausteins gleichermaßen relevant. In einigen Fällen werden die Maßnahmen des IT-Grundschutz-Bausteins B 1.5 Datenschutz bereits durch andere Prüfpunkte des Abschnitts 3 abgedeckt.
Besonders relevant im IT-Grundschutz-Baustein B 1.5 Datenschutz sind:
M 2.501 Datenschutzmanagement im eigentlichen Sinne (z.B. Aufrechterhaltung des Datenschutzes im laufenden Betrieb, vor allem bei Änderungen im Datenschutzrecht oder in den IT-Verfahren) - Hier kann direkt auf die Maßnahmenbeschreibung M 2.501 zurückgegriffen werden.
M 2.502 Regelung der Verantwortlichkeiten im Bereich Datenschutz - Hier kann direkt auf die Maßnahmenbeschreibung M 2.502 zurückgegriffen werden.
M 2.503 Aspekte eines Datenschutzkonzeptes: "Das Datenschutzkonzept hat zum Ziel, in einer zusammenfassenden Dokumentation die datenschutzrechtlichen Aspekte darzustellen und kann auch als Grundlage für datenschutzrechtliche Prüfungen genutzt werden." - Hier kann auf die Maßnahmenbeschreibung M 5.503 zurückgegriffen werden. Zu prüfen ist insbesondere, ob die in Nummer 3.4 des De-Mail-Kriterienkataloges genannten Maßnahmen und
Verfahrensweisen hinreichend dokumentiert sind. M 2.506 Verpflichtung/Unterrichtung der Mitarbeiter bei der Verarbeitung personenbezogener Daten
- Zu prüfen ist insbesondere, ob die Mitarbeiterinnen und Mitarbeiter, die im Rahmen von De-Mail mit der Verarbeitung personenbezogener Daten betraut sind (insbesondere. Accountmanagement und technische Administration), gemäß § 5 BDSG verpflichtet und im Hinblick auf Datenschutzaspekte hinreichend sensibilisiert sind. Dazu sollten stichprobenartige Befragungen der Mitarbeiter erfolgen.
M 2.508 Führung von Verfahrensverzeichnissen und Erfüllung der Meldepflichten bei der Verarbeitung personenbezogener Daten -Zu prüfen ist insbesondere, ob die im Rahmen von De-Mail betriebenen Verfahren in einem Verfahrensverzeichnis (§ 4e BDSG ) dokumentiert sind und ob dieses öffentlich zugänglich ist ( § 4g Absatz 2 BDSG ). Weiterhin ist zu prüfen, ob es spezifische Meldepflichten gibt und diese erfüllt wurden (vgl. auch M 2.5 10).
M 2.509 Datenschutzrechtliche Freigabe - Zu prüfen ist insbesondere, ob Tests und Freigaben im Sinne der Maßnahmenbeschreibung M 2.509 vorgenommen werden. Dies gilt insbesondere bei Änderungen und Erweiterungen von Funktionalitäten.
M 2.514 Aufrechterhaltung des Datenschutzes im laufenden Betrieb - Hier kann direkt auf die Maßnahmenbeschreibung M 2.514 zurückgegriffen werden.
M 2.515 Datenschutzgerechte Löschung/Vernichtung: - Wenn im Rahmen der Betrachtung der Zertifizierung nach IT-Grundschutz der Baustein B 1.15 Löschen und Vernichten von Daten überprüft wurde, kann auf diese Ergebnisse zurückgegriffen werden. Andernfalls ist stichprobenartig die Umsetzung des Bausteins B 1.15 Löschen und Vernichten von Daten zu überprüfen.
Weitere Aspekte:
Wenn personenbezogene Daten unrechtmäßig Dritten zur Kenntnis gelangten und schwerwiegende Beeinträchtigungen der Nutzer drohen, ist eine Meldung an die Bundesnetzagentur und den BfDI nach § 109a TKG sowie (gegebenenfalls) den Betroffenen (vgl. § 93 Absatz 3, § 109a Absatz 1 Satz 2 TKG , § 15a TMG) erforderlich. Zu überprüfen ist, ob der Diensteanbieter Verantwortlichkeiten für diese Tätigkeit zugewiesen und entsprechende Prozesse eingerichtet hat, um die Information der Verantwortlichen sicherzustellen. Im Rahmen von Datenschutznachweisen, die einen laufenden Betrieb betreffen, ist zu überprüfen, ob in der Vergangenheit die Vorschriften beachtet wurden und gegebenenfalls Meldungen erfolgt sind.
Einbindung des betrieblichen Datenschutzbeauftragten bei der Prüfung von Auskunftsersuchen/ TKÜV nach Nummer 3.3.1 des De-Mail-Kriterienkataloges: Ist sichergestellt, dass der Datenschutzbeauftragte in die Prozesse der Beauskunftung und Überwachung eingebunden ist?
Soweit einschlägig, sind die Mitarbeiter des Dienstenanbieters sowie die Mitarbeiter des Auftragnehmers nach § 88 TKG auf das Fernmeldegeheimnis zu verpflichten (vgl. auch Nummer 3.1.1.7).
Eingeschränkt relevant:
M 2.504 Prüfung rechtlicher Rahmenbedingungen und Vorabkontrolle bei der Verarbeitung personenbezogener Daten: - Die materielle Prüfung rechtlicher Rahmenbedingungen erfolgt im Rahmen des Datenschutznachweises in Abschnitt 3.1 des De-Mail-Kriterienkataloges. An dieser Stelle ist zu überprüfen, inwieweit der Diensteanbieter des De-Mail-Verfahrens seinen Verpflichtungen zur Prüfung und Dokumentation nachkommt.
M 2.505 Festlegung von technischorganisatorischen Maßnahmen entsprechend dem Stand der Technik bei der Verarbeitung personenbezogener Daten: Die Aspekte dieser Maßnahme dürften durch IT- und Sicherheitskonzepte weitestgehend abgedeckt sein. Es kann bei der Prüfung auf diese Konzepte verwiesen werden. Zu prüfen ist allerdings, dass -Maßnahmen zur Sicherstellung der Trennung und Zweckbindung (Nummer 8 der Anlage 1 zu § 9 Satz 1 BDSG ) dokumentiert sind, -die festgelegten Maßnahmen nicht unzulässig in Datenschutzrechte der Arbeitnehmerinnen und Arbeitnehmer eingreifen und im Rahmen der betrieblichen Mitbestimmung abgestimmt wurden.
M 2.507 Organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen bei der Verarbeitung personenbezogener Daten: -Die Aspekte dieser Maßnahme werden oben in Nummer 3.3 des De-Mail-Kriterienkataloges untersucht; es kann auf diese Prüfung verwiesen werden.
M 2.5 10 Meldung und Regelung von Abrufverfahren bei der Verarbeitung personenbezogener Daten: -Diese Regelungen könnten gegebenenfalls für Abrufverfahren nach § 112 TKG relevant sein.
M 2.511 Regelung bei der Auftragsdatenverarbeitung: -Diese Aspekte werden in Nummer 3.1.1.6 De-Mail-Kriterienkatalog eingehend geprüft, so dass an dieser Stelle eine Prüfung entfallen kann.
M 2.512 Regelung der Verknüpfung und Verwendung von Daten bei der Verarbeitung personenbezogener Daten: -Diese Regelungen könnten für Suchfunktionen für den Diensteanbieter in (Kunden-)Datenbanken und Protokolldateien relevant sein.
M 2.513 Dokumentation der datenschutzrechtlichen Zulässigkeit: -Diese Aspekte werden in den Nummern 3.1.1.1 und 3.1.1.4 inhaltlich geprüft. Aus Sicht der Maßnahme M 2.513 ist zu prüfen, ob die Zulässigkeit und insbesondere Zweckbindungen und Abwägungen durch den Diensteanbieter hinreichend dokumentiert wurden.
M 2.110 Datenschutzaspekte bei der Protokollierung: Die Datenschutzaspekte bei der Protokollierung einzelner Dienste werden dienstespezifisch geprüft (siehe Nummer 3.2). An dieser Stelle verbleibt die Überprüfung der Protokollierung von Aktivitäten, die diensteübergreifend sind (z.B. Basisinfrastruktur) oder auf tiefer technischer Ebene erfolgen (z.B. Netzinfrastruktur, Speichermanagement, etc.). Es können auf die Hinweise zu M 2.110 Datenschutz bei der Protokollierung (Maßnahmenkatalog M 2 Organisation) der IT-Grundschutzkataloge zurückgegriffen werden.
Innenrevision/Prüfung anhand von Indikatoren: -Für die Überprüfung der korrekten Funktion des Datenschutzmanagementsystems können Indikatoren festgelegt werden, die eine Messbarkeit ermöglichen (z.B. Anzahl der vom betrieblichen Datenschutzbeauftragten überprüften Prozesse).
4 Verweis auf Prüfungen im Rahmen der IT-Sicherheit
Bei der technischen Beurteilung der zum Einsatz kommenden informationstechnischen Einrichtungen kann auf die Ergebnisse entsprechender Prüfungen im Rahmen der Zertifizierung der IT-Sicherheit ( § 18 Absatz 1 Nummer 3 in Verbindung mit Absatz 3 Nummer 3 De-Mail-Gesetz) verwiesen werden. Die datenschutzrechtliche Beurteilung der einzelnen Einrichtungen (Komponenten, Produkte) muss im Rahmen der Beurteilung der Verfahren erfolgen.
Der Diensteanbieter veröffentlicht eine Kurzfassung des Nachweises zur Erfüllung der datenschutzrechtlichen Anforderungen (Kurzfassung des Gutachtens) in geeigneter Form (z.B. auf seiner Internetseite).
Regelwerk Allgemein