- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Recht » Datenschutz und Compliance

Eintrag einer De-Mail-Adresse ins Melderegister


Sicherheit und Datenschutz: Peter Schaar sieht Verbesserungsbedarf beim Bürgerportalgesetz
Kommunikation sollte durch eine Ende-zu-Ende-Verschlüsselung zwischen Absender und Empfänger gesichert werden


(06.02.09) - Zu dem jetzt vom Bundeskabinett beschlossenen Entwurf eines Bürgerportalgesetzes erklärt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Peter Schaar:

"Grundsätzlich begrüße ich die Absicht der Bundesregierung, mehr Sicherheit und Datenschutz bei der Kommunikation der Bürgerinnen und Bürger mit der Verwaltung zu ermöglichen. Von zentraler Bedeutung ist für mich dabei, dass die Kommunikation der Nutzer wirksam gegen die Kenntnisnahme Dritter geschützt wird. Mir reicht es nicht aus, dass die Diensteanbieter bei DE-Mail untereinander verschlüsselt kommunizieren sollen. Damit könnten Nachrichten bei den Anbietern weiterhin von Dritten gelesen und ggf. verändert werden. Deshalb sollte die Kommunikation durch eine Ende-zu-Ende-Verschlüsselung zwischen Absender und Empfänger gesichert werden. Auch die Ablage persönlicher Daten in einem elektronischen 'Safe' ist nur wirklich sicher, wenn die Daten verschlüsselt gespeichert werden und ausschließlich der Betroffene den elektronischen Schlüssel dazu besitzt."

Schaar wird auch zu den folgenden Punkten im weiteren Gesetzgebungsverfahren auf Verbesserungen hinwirken:

Die Diensteanbieter sollten nach den Regelungen des vorgesehenen Datenschutzaudits zertifiziert werden. Die von ihnen zu erfüllenden Mindestanforderungen müssen verbindlich vorgegeben werden. Von daher bietet sich eine enge Verzahnung mit dem bereits von der Bundesregierung beschlossenen Entwurf zum Datenschutzauditgesetz an. Eine Zertifizierung unterhalb der Regelungen des Datenschutzaudits wäre unzureichend.

Die Feststellung der Identitätsdaten sowie die Verwendung und Aufdeckung von Pseudonymen sind bisher nicht eindeutig geregelt. Der Eintrag einer De-Mail-Adresse ins Melderegister und die Folgen müssen für Bürger und Bürgerinnen erkennbar sein. Eine Benachteiligung, z.B. dann, wenn kein Eintrag erfolgt, ist auszuschließen. Auch weiterhin muss es möglich sein, dass Bürgerinnen und Bürger bestimmte Dienste der Verwaltung in Anspruch nehmen können, ohne sich persönlich zu identifizieren.

Da der Nachweis des Absenders nur durch die Anmeldung am Bürgerportal erfolgen soll, kann der Absender einer De-Mail nicht sicher bestimmt werden. So wäre die Versendung von De-Mail ohne Einwirken einer Person allein durch ein Trojanisches Pferd möglich. In gleicher Weise könnten auch die Daten im De-Safe gelöscht oder verändert werden. Hier sind zusätzliche Sicherheitsanforderungen sinnvoll.

Die geschlossene Infrastruktur und die sichere Erstregistrierung sollen weit reichenden Schutz vor Spam und Identitätsdiebstahl bieten. Das wird nach Einschätzung des BfDI nur möglich sein, wenn die Bürgerinnen und Bürger das Postfach nicht für Absender außerhalb der De-Mail öffnen, bzw. ihr eigenes bereits vorhandenes Postfach nicht mit der De-Mail zusammenführen. Diese strikte Trennung erscheint kaum praxistauglich.

Der beschlossene Gesetzentwurf verfolgt die Ziele, die Vertraulichkeit, die Integrität und die Authentizität im E-Mail Verkehr zu gewährleisten. Hierfür werden Anforderungen an die Systeme im Hinblick auf die IT-Sicherheit, den Datenschutz und den Verbraucherschutz festgelegt. Dies ist dringend geboten, denn heute können E-Mails abgefangen, mitgelesen oder inhaltlich verändert werden und Absender und Empfänger können nie sicher sein, mit wem sie tatsächlich kommunizieren.

Um dem abzuhelfen, soll die Infrastruktur für eine sichere E-Mail-Kommunikation und für sichere Datenspeicher geschaffen werden. Mit der Einführung derartiger Dienste soll jede natürliche oder juristische Person auf Wunsch eine so genannte De-Mail-Adresse erhalten und eine sichere Dokumentenablage (De-Safe) nutzen können. Die Realisierung und der Betrieb der De-Mail oder des De-Safe soll allein privaten Unternehmen obliegen. (BfDI: ra)

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • Zertifizierung des DSGVO-konformen Datenschutzes

    Bei der ersten Sitzung des Europäischen Datenschutzausschusses (EDSA) im neuen Jahr wurden erneut wichtige Weichen für den europäischen Datenschutz gestellt. Themen waren unter anderem der EU-US Privacy Shield, Leitlinien zur Zertifizierung und die Verbesserung der Kommunikation mit Social-Media-Anbietern bei Datenschutzvorfällen. Ein wichtiger Tagesordnungspunkt war der Beschluss des Berichts zur Zweiten Jährlichen Gemeinsamen Überprüfung des Privacy Shield. In diesem finden sich Anregungen, wie das Abkommen weiter verbessert werden kann. Denn auch wenn die US-Behörden wichtige Schritte unternommen haben, um die Vorgaben des Privacy Shield effektiver zu überprüfen, bleiben nach wie vor gewichtige Kritikpunkte.

  • Illegal veröffentlichten Daten

    Anlässlich der Sondersitzung des Ausschusses für Inneres und Heimat des Deutschen Bundestages am 10.01.2019 erklärt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber: "Der aktuelle Vorfall beweist einmal mehr, dass mit der Digitalisierung auch erhebliche datenschutzrechtliche Risiken verbunden sein können. Nur wenn man sich dieser bewusst ist, wird man in Zukunft diese Risiken auch bestmöglich minimieren können. Dabei ist zunächst natürlich ein jeder selbst verpflichtet, Maßnahmen zum Schutz seiner digitalen Identität zu ergreifen. Um dies zu ermöglichen, bedarf es zum einen einer weitergehenden Sensibilisierung der Bevölkerung. Wenn wir wollen, dass die Leute ihre Türen abschließen, müssen wir Ihnen verständlich machen, warum dies erforderlich ist und wo sie die entsprechenden Schlüssel finden.

  • Welche Daten werden zu welchen Zwecken verarbeitet

    Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein (ULD), macht deutlich: "Das Urteil bezieht sich ursprünglich auf einen Fall von 2011 und muss daher die damals geltende europäische Rechtlage berücksichtigen. Diese Klärung der Grundlagenfrage ist aber keineswegs als rückwärtsgewandt abzutun. Im Gegenteil: Die Vorgaben des Europäischen Gerichtshofs betreffen ebenso die Gegenwart, die von dem Rechtsrahmen der Datenschutz-Grundverordnung geprägt ist." Facebook-Chef Mark Zuckerberg hatte am 22. Mai 2018 gegenüber den Abgeordneten im Europaparlament ausgesagt, dass Facebook die Anforderungen der Datenschutz-Grundverordnung erfüllen werde.

  • Rechtskonformität der Fanpages zu überprüfen

    Der Europäische Gerichtshof (EuGH) hat klargestellt, dass Betreiber einer Facebook-Fanpage für die dort stattfindende Datenverarbeitung datenschutzrechtlich mitverantwortlich sind. Für die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Andrea Voßhoff, ist die Entscheidung eine klare Bestätigung der Rechtsauffassung deutscher Datenschutzaufsichtsbehörden: Wieder einmal hat der EuGH mit einem Urteil die wichtige Rolle des Datenschutzes hervorgehoben. Gerade in der immer weiter digitalisierten Welt darf es nicht die Möglichkeit geben, sich seiner datenschutzrechtlichen Verantwortung zu entziehen.

  • Facebook-Fanpages & Datenschutz-Verantwortung

    Der Gerichtshof der Europäischen Union (EuGH) hat mit einem Urteil bestätigt, dass der Betreiber einer Facebook-Fanpage - neben Facebook - datenschutzrechtlich dafür verantwortlich ist, dass Facebook Daten der Fanpagebesucher zur Erstellung von Besucherstatistiken erhebt. Ausgangspunkt der Entscheidung ist ein seit 2011 anhängiger Verwaltungsrechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Das Unternehmen vertrat die Auffassung, es dürfe eine Facebook-Fanpage betreiben, ohne sich darum kümmern zu müssen, ob Facebook das Datenschutzrecht einhält.