D -Kriterienkatalog für den Datenschutz-Nachweis

Transkript

1 nach 18 Absatz 3 Nummer 4 D -Gesetz

2 Die Bundesbeauftragte Datenschutz und die Informationsfreiheit Husarenstraße 30 D Bonn Telefon: +49 (0) Telefax: +49 (0) Internet: Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 2015

3 Inhaltsverzeichnis 1 Abkürzungsverzeichnis 7 2 Fachliche Eignung für Recht und Technik 8 3 Vier inhaltliche Kriteriengruppen Rechtliche Zulässigkeit Generell Ermächtigungsgrundlage für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Gesetzliche Ermächtigung zur Verarbeitung der Daten Einwilligung des Betroffenen Erforderlichkeit/Zweckbindung/Zweckänderung Löschung nach Wegfall der Erforderlichkeit Datenverarbeitung im Auftrag Fernmeldegeheimnis Account-Eröffnung und Verwaltung Aufklärungs- und Informationspflichten Kopplungsverbot Erhebung der Daten Erhebung von Daten zur Identitätsfeststellung nach 3 Absatz 3 Satz 1 Nummer 1 Buchstabe a bis d Erhebung von Daten zur Identitätsüberprüfung nach 3 Absatz 3 Satz 1 Nummer 1 Buchstabe e Erhebung weiterer Daten für die Nutzung von D -Diensten Weitere Anforderungen Nutzungsdaten/Verkehrsdaten Löschfristen Protokollierung Postfach- und Versanddienst ( 5 D -Gesetz) Identitätsbestätigungsdienst ( 6 D -Gesetz) Verzeichnisdienst ( 7 D -Gesetz) Dokumentenablage ( 8 D -Gesetz) Auskunft gegenüber Dritten Abrechnung (Missbrauchs-)Kontrolle Sperrung Kündigung und Auflösung Help-Desk 26

4 Standortbestimmung Protokollierung Dienstespezifische Umsetzung der technisch-organisatorischen Anforderungen Diensteübergreifende Anforderungen Anforderungen nach Anlage zu 9 Satz 1 BDSG u. a Für Telemedien, die nicht unter 11 Absatz 3 TMG fallen, gelten die Anforderungen u. a. nach 13 Absatz 4 TMG Art und Qualität der Verschlüsselung Datensparsamkeit Zugriffskontrolle Dienstespezifische Anforderungen Accountmanagement ( 3 D -Gesetz) Datensparsamkeit beim Accountmanagement Pseudonym-D -Adressen Zugriffe der Diensteanbieter Postfach- und Versanddienst ( 5 D -Gesetz) Art und Qualität der angebotenen bzw. vorgeschriebenen Verschlüsselung Weiterleitung Zugriffskontrolle Versandoptionen Bestätigungen Interne Protokollierungen Löschung von Nachrichten Verzeichnisdienst Umfang der Veröffentlichung Suche in Verzeichnisdiensten Protokolle Identitätsbestätigungsdienst ( 6 D -Gesetz) Dokumentenablage ( 8 D -Gesetz) Art und Qualität der angebotenen bzw. vorgeschriebenen Verschlüsselung Zugriffskontrolle Protokolle und Nachweise ( 8 D -Gesetz) Löschung und Datensparsamkeit Auskunft an Dritte Datenschutzfördernde Gestaltung 41

5 3.3 Rechte der Betroffenen Aufklärung und Benachrichtigung Auskunft Berichtigung Vollständige Löschung Sperrung von Daten Widerspruch gegen die Verarbeitung/Rücknahme einer Einwilligung Datenschutzmanagement 43 4 Verweis auf Prüfungen im Rahmen der IT-Sicherheit 47 5 Veröffentlichung 47 6 Webadressen 47 7 Technische Richtlinien 48

6 D -Kriterienkatalog nach 18 Absatz 3 Nummer 4 D -Gesetz Gemäß 18 Absatz 3 Nummer 4 D -Gesetz ist für die Akkreditierung eines Diensteanbieters der Nachweis erforderlich, dass er bei Gestaltung und Betrieb von D -Diensten die datenschutzrechtlichen Anforderungen erfüllt. Der Nachweis wird durch ein Zertifikat der Bundesbeauftragten Datenschutz und die Informationsfreiheit erbracht ( 18 Absatz 3 Nummer 4 D -Gesetz). Hierfür ist die Vorlage eines Gutachtens erforderlich, mit dem die Erfüllung der datenschutzrechtlichen Kriterien nachgewiesen wird. Der D -Kriterienkatalog dient als Grundlage für die Begutachtung. Er stellt die datenschutzrechtlichen Anforderungen dar, die durch die sachverständigen Stellen für Datenschutz zu prüfen sowie im Gutachten zu erläutern und zu bewerten sind. Kapitel 3 listet die typischen Anforderungen und Fragestellungen für die Prüfung auf. Die sachverständigen Stellen für Datenschutz haben sich hieran zu orientieren und müssen im Einzelfall entsprechend den tatsächlichen Gegebenheiten Anpassungen, Konkretisierungen und Erweiterungen in gutachterlicher Form vornehmen. Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 6

7 1 Abkürzungsverzeichnis AO Abgabenordnung BDSG Bundesdatenschutzgesetz BfDI Die Bundesbeauftragte Datenschutz und die Informationsfreiheit BGB Bürgerliches Gesetzbuch BSI Bundesamt für Sicherheit in der Informationstechnik BT-Drs. Bundestags-Drucksache DoS Denial of Service EGBGB Einführungsgesetz zum Bürgerlichen Gesetzbuche EGovG E-Government-Gesetz (Gesetz zur Förderung der elektronischen Verwaltung) EGVP Elektronisches Gerichts- und Verwaltungspostfach HTTPS HyperText Transfer Protocol Secure IP Internet Protocol ISP Internet Service Provider IT Informationstechnik OSCI Online Service Computer Interface SigG Signaturgesetz SSL Secure Socket Layer StGB Strafgesetzbuch StPO Strafprozessordnung TKG Telekommunikationsgesetz TKÜV Telekommunikations-Überwachungsverordnung TLS Transport Layer Security TMG Telemediengesetz Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 7

8 TR Technische Richtlinie 2 Fachliche Eignung für Recht und Technik Das Gutachten muss von einer vom Bund oder einem Land anerkannten oder öffentlich bestellten oder beliehenen sachverständigen Stelle für Datenschutz erstellt werden. Da die Begutachtung sowohl rechtliche als auch technische Aspekte betrifft, muss die Anerkennung von sachverständigen Stellen für Datenschutz neben den üblichen Anforderungen an Zuverlässigkeit und Unabhängigkeit der fachlichen Eignung in den beiden Bereichen Recht und Technik explizit Rechnung tragen. 3 Vier inhaltliche Kriteriengruppen Anerkannt werden können Nachweise aufgrund von Prüfungen, die mindestens folgende Kriteriengruppen umfassen: 3.1 Rechtliche Zulässigkeit unter Angabe der rechtlichen Erlaubnistatbestände 3.2 Dienstespezifische Umsetzung der technisch-organisatorischen Anforderungen einschließlich Verschlüsselung, Authentifizierung und Signaturen sowie Anforderungen an Datensparsamkeit 3.3 Rechte der Betroffenen 3.4 Einrichten eines Datenschutzmanagementsystems. Der jeweilige Sachverhalt muss beschrieben werden und es muss dargestellt werden, welche Anforderungen hierfür gelten, wie diese umgesetzt wurden und ob es sich um geeignete Maßnahmen zur Umsetzung handelt. Sofern dabei Mängel identifiziert werden, muss geprüft werden, ob diese auf andere Art ausgeglichen werden (z. B. organisatorische Lösung). 3.1 Rechtliche Zulässigkeit Die dem Nachweis zugrunde liegenden Begutachtungen müssen neben den allgemeinen datenschutzrechtlichen Anforderungen explizit auch die für D und ihre einzelnen Dienste einschlägigen Rechtsvorschriften berücksichtigen. Ausdrücklich müssen insbesondere die im D - Gesetz für die einzelnen Dienste genannten Anforderungen sowie die Einhaltung datenschutzrechtlicher Vorschriften bei der Umsetzung der technischen Anforderungen behandelt werden. Dies umfasst insbesondere Regelungen von BDSG, TKG, TMG und SigG. Insbesondere ist bei der Prüfung auf die folgenden Punkte zu achten. Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 8

9 3.1.1 Generell Die folgenden Kriterien müssen bei allen Funktionalitäten bzw. Diensten jeweils geprüft werden. Für spezielle Dienste (siehe Nummer ff.) können Ergänzungen bzw. Modifikationen gelten Ermächtigungsgrundlage für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Für jede Erhebung, Verarbeitung (Speichern, Verändern, Übermitteln, Sperren und Löschen) und Nutzung personenbezogener Daten ist entweder eine gesetzliche Ermächtigung oder die Einwilligung des Betroffenen erforderlich Gesetzliche Ermächtigung zur Verarbeitung der Daten Gesetzliche Ermächtigungen können sich insbesondere aus folgenden Gesetzen ergeben: D -Gesetz, BDSG, TKG, TMG und SigG Einwilligung des Betroffenen Für die Wirksamkeit der Einwilligung sind insbesondere folgende Punkte zu überprüfen: Einhaltung von Formvorschriften Die Einwilligung muss auf freier und informierter Entscheidung beruhen. Der Betroffene muss ausdrücklich zustimmen und im Vorfeld umfassend informiert worden sein (vgl. 4a BDSG) Bei einer Einwilligung im elektronischen Verfahren ( 94 TKG, 13 Absatz 2 TMG) ist sicherzustellen, o dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt, o die Einwilligung protokolliert wird, o der Teilnehmer oder Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und o der Teilnehmer oder Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Es ist sicherzustellen, dass der Abschluss eines Vertrages nicht von einer Einwilligung des Betroffenen in die Nutzung personenbezogener Daten zwecks Adresshandel oder Werbung abhängig gemacht wird ( 28 Absatz 3b BDSG). Die Einwilligung muss vor der entsprechenden Datenverarbeitung erfolgen. Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 9

10 Erforderlichkeit/Zweckbindung/Zweckänderung Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten darf nur erfolgen, soweit dies zur Bereitstellung eines D -Kontos, der D -Dienste und deren Durchführung erforderlich ist ( 15 D -Gesetz). Die Verarbeitung von personenbezogenen Daten darf nur im Rahmen der vorher festgelegten Zwecke erfolgen (vgl. u. a. 95 TKG, 12 TMG). Der Zweck muss dokumentiert werden. Auch für eine Zweckänderung ist eine Rechtsgrundlage oder eine Einwilligung des Betroffenen erforderlich. Erfolgt im Rahmen des Vertragszwecks eine Übermittlung, dann ist Folgendes zu beachten: o Kann eine Zweckbindung technisch überwacht werden, dann dürfen die Daten, die nicht von der Zweckbindung umfasst sind, nicht übermittelt werden. o Der Empfänger ist auf die Zweckbindung der empfangenen Daten hinzuweisen bzw. zu verpflichten. Soweit möglich, sollte eine Kennzeichnung von Datensätzen bzgl. der entsprechenden Zwecke erfolgen bzw. eine Trennung der Daten nach den verfolgten Zwecken und Betroffenen erfolgen (Trennungsgebot) Löschung nach Wegfall der Erforderlichkeit Nach Erreichen des Zwecks entfällt in der Regel die Erforderlichkeit und Daten müssen sicher gelöscht werden (vgl. Maßnahme M und M 4.32 IT-Grundschutzkataloge, BSI). Es können für bestimmte Daten längere Aufbewahrungsfristen gelten (vgl. 13 Absatz 2 D - Gesetz, AO etc.). Für Daten zur Entgeltermittlung gilt die Frist des 97 Absatz 3 TKG (6 Monate). Für Daten, die der Beseitigung von Störungen oder Sicherheitszwecken dienen, gilt u. a. 100 TKG und eine Aufbewahrungsfrist von in der Regel 7 Tagen. Sonstige Daten (z. B. Verkehrsdaten) sind nach Erbringung des Dienstes umgehend sicher zu löschen (vgl. Maßnahme M und M 4.32 IT-Grundschutzkataloge, BSI). o Erforderlich ist eine vollständige Löschung und nicht nur eine Markierung als gelöscht. o Die Löschung betrifft auch Sicherheitskopien und Backups. Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 10

11 Datenverarbeitung im Auftrag Auch Dritte können ggf. mit der Verarbeitung von personenbezogenen Daten beauftragt werden. Hierbei sind jedoch besondere Anforderungen zu beachten. Zu untersuchen ist, ob die Verarbeitung der Daten durch Dritte überhaupt zulässig ist. o Wenn Daten von Berufsgeheimnisträgern verarbeitet werden, kann ggf. eine Auftragsdatenverarbeitung unzulässig sein, wenn hierdurch vom Geheimnisträger ein fremdes Geheimnis im Sinne des 203 StGB offenbart wird. o Der Auftragnehmer darf kein überwiegendes Eigeninteresse an der Datenverarbeitung haben. Er darf insbesondere die personenbezogenen Daten der Nutzer nicht für eigene Zwecke erheben, verarbeiten oder nutzen. Bei der Auftragsdatenverarbeitung sind insbesondere die Vorgaben des 11 BDSG einzuhalten. o Der Auftraggeber muss den Auftragnehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. o Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Dies ist zu dokumentieren. o Zu untersuchen ist, wie die Kontrollen des Auftraggebers beim Auftragnehmer von diesem unterstützt werden. o Es muss ein schriftlicher Auftragsdatenverarbeitungsvertrag im Sinne des 11 Absatz 2 Satz 2 BDSG zwischen Auftraggeber und Auftragnehmer geschlossen werden. Der Auftraggeber muss ein Weisungsrecht gegenüber dem Auftragnehmer haben. o Wie wird das Recht des Auftraggebers, dem Auftragnehmer Weisungen zu erteilen, unterstützt? Es müssen diejenigen technischen und organisatorischen Maßnahmen beim Auftragnehmer nach Anlage zu 9 Satz 1 BDSG umgesetzt sein, die die Bindung des Auftragnehmers an die Weisungen des Auftraggebers sicherstellen. Es muss sichergestellt sein, dass der Auftragnehmer ebenfalls die Anforderungen insbesondere des D -Gesetzes erfüllt. Es darf in der Regel keine Übermittlung bzw. Weitergabe von Daten an Drittländer erfolgen, die nicht dem Datenschutzniveau der EU entsprechen. Die Besonderheiten bei der Verarbeitung besonders sensibler Daten (vgl. 3 Absatz 9 BDSG) sind zu Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 11

12 beachten Fernmeldegeheimnis Unter Berücksichtigung der einschlägigen Rechtsvorschriften und der ergriffenen technischorganisatorischen Maßnahmen soll die Gewährleistung des Fernmeldegeheimnisses nach 88 TKG begutachtet werden. Darunter fallen die Inhalte und die näheren Umstände der Telekommunikation. Zu prüfen ist neben der Vertraulichkeit der Kommunikation insbesondere die Einhaltung der gesetzlichen Grenzen für staatliche Überwachungsmaßnahmen nach den 110 bis 114 TKG, 5 und 8 des Artikel-10- Gesetzes, 100a ff. StPO. Ebenso ist die Gewährleistung des vom Bundesverfassungsgericht 2008 formulierten Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme zu prüfen (Urteil vom 27. Februar BvR 370/07; 1 BvR 595/07). Die Prüfung umfasst u. a. folgende Punkte: Verpflichtung der Mitarbeiter (sowohl des Dienstenanbieters als auch ggf. von Auftragnehmern) auf das Fernmeldegeheimnis Erforderlichkeit bei der internen Regelung von Zugriffs- bzw. Kontrollrechten betreffend Verkehrsund Protokolldaten Technischer Schutz (vor Viren und anderer Malware) Einhaltung der Bestimmungen der 110 bis 114 TKG mit Vorgaben der Bundesnetzagentur, der TKÜV sowie der einschlägigen Vorschriften des achten Abschnittes der StPO. Bereitstellung entsprechender Schnittstellen und Prozesse: o Insbesondere: Wie wird sichergestellt, dass die Zugriffsmöglichkeiten des Diensteanbieters auf De- Mails und Inhalte der Dokumentenablage auf die Umsetzung dieser Vorgaben beschränkt sind? o Prozesse zur Überprüfung der Berechtigung entsprechender Kontrollen durch berechtigte Stellen, insbesondere nach der StPO o Einhaltung der nachträglichen Unterrichtungspflicht o Maßnahmen zur Gewährleistung der Integrität der Daten o Schutz der Verkehrs-, Inhalts- und Protokolldaten gegen unberechtigte interne und externe Zugriffe. Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 12

13 3.1.2 Account-Eröffnung und Verwaltung Im Rahmen der Eröffnung eines D -Kontos ist bei der Prüfung zu trennen zwischen dem D - Konto und einem ggf. weiteren Konto, das zusätzlich für die Erbringung anderer Dienste oder Vertragsverhältnisse desselben Diensteanbieters betrieben wird (z. B. ISP, Web-Mail-Konten, Hosting, etc.). Die Prüfung umfasst zwar grundsätzlich nur die Gestaltung und den Betrieb der D -Dienste, jedoch ist auch auf die Trennung der Daten gegenüber anderen Diensten des Diensteanbieters oder Dritter zu achten Aufklärungs- und Informationspflichten Der Nutzer ist vor der erstmaligen Nutzung des D -Kontos gemäß 9 Absatz 1 D -Gesetz über die Rechtsfolgen und Kosten der Nutzung zu informieren. Dies umfasst nach 9 Absatz 1 Satz 1 D -Gesetz alle Funktionen von D wie den Postfach- und Versanddienst, den Verzeichnisdienst, die Dokumentenablage, die Sperrung und Auflösung des Kontos sowie Informationen im Falle der Einstellung der Tätigkeit des Diensteanbieters, der Vertragsbeendigung und der Einsichtnahme in die beim Diensteanbieter vorhandenen personenbezogenen Daten. Besonders relevant sind darüber hinaus Informationen über: o Die Möglichkeit und Bedeutung einer sicheren Anmeldung ( 9 Absatz 1 Satz 2 Nummer 1 De- Mail-Gesetz) o Die Belehrung darüber, dass die Anmeldung mithilfe nur eines Sicherungsmittels nicht den gleichen Schutz bietet wie eine sichere Anmeldung ( 9 Absatz 1 Satz 2 Nummer 1 D - Gesetz) o Die Rechtsfolgen und Kosten der Nutzung des D -Dienstes ( 9 Absatz 1 Satz 1 D - Gesetz) o Maßnahmen, die notwendig sind, um einen unbefugten Zugriff auf das D -Konto zu verhindern ( 9 Absatz 1 Satz 1 D -Gesetz) o Wie mit schadsoftwarebehafteten D -Nachrichten umgegangen wird ( 9 Absatz 1 Satz 1 De- Mail-Gesetz) o Über den Inhalt und die Bedeutung der Transportverschlüsselung, der Inhaltsverschlüsselung und über die Unterschiede dieser Verschlüsselungen zur Ende-zu-Ende-Verschlüsselung ( 9 Absatz 1 Satz 2 Nummer 2 D -Gesetz). Eine Zulassung der erstmaligen Nutzung des D -Kontos darf erst erfolgen, wenn der Nutzer die erforderlichen Informationen in Textform erhalten und in Textform bestätigt hat, dass er die Informationen erhalten und zur Kenntnis genommen hat. Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 13

14 o Zur Einhaltung der Textform muss die Erklärung in einer Urkunde oder auf andere zur dauerhaften Wiedergabe in Schriftzeichen geeignete Weise abgegeben werden, die Person des Erklärenden genannt und der Abschluss der Erklärung durch Nachbildung der Namensunterschrift oder anders erkennbar gemacht werden ( 126b BGB). Weitere Informationspflichten sind ebenfalls zu beachten (vgl. 9 Absatz 3 D -Gesetz), insbesondere o 93 TKG für Telekommunikationsdienste im Sinne des 3 Nummer 24 TKG (z. B. - Dienst) Diensteanbieter haben ihre Teilnehmer bei Vertragsabschluss über Art, Umfang, Ort und Zweck der Erhebung und Verwendung personenbezogener Daten so zu unterrichten, dass die Teilnehmer in allgemein verständlicher Form Kenntnis von den grundlegenden Verarbeitungstatbeständen der Daten erhalten. Es muss ein Hinweis auf Wahl- und Gestaltungsmöglichkeiten erfolgen. Der Nutzer ist durch allgemein zugängliche Informationen über die Erhebung und Verwendung personenbezogener Daten zu unterrichten. Es muss eine Unterrichtung über besondere Risiken (z. B. Missbrauch der Zugangsdaten) und mögliche Abhilfen erfolgen. o 13 Absatz 1 TMG für Telemediendienste im Sinne des 1 Absatz 1 TMG, die nicht unter 11 Absatz 3 TMG fallen (z. B. Webseite) Die Unterrichtung muss über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nummer L 281 S. 31) informieren. Die Unterrichtung muss zu Beginn des Nutzungsvorgangs erfolgen, sofern sie nicht in anderer Form schon zuvor erfolgte. Die Unterrichtung hat in allgemein verständlicher Form zu erfolgen. Der Inhalt der Unterrichtung muss jederzeit abrufbar sein. o Informationspflichten gegenüber dem Nutzer gemäß allgemeinem Vertragsrecht, insbesondere Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 14

15 wenn tatsächliche oder rechtliche Änderungen im laufenden Betrieb bevorstehen. Hier ist zum Beispiel an die mit Artikel 2 Nummer 4 des Gesetzes vom 25. Juli eingeführte Möglichkeit zu denken, dass der Nutzer nach 7 Absatz 3 D -Gesetz durch einen geeigneten Zusatz zu seinen im Verzeichnisdienst veröffentlichen Daten gegenüber Behörden den Zugang nach 3 a Absatz 1 des Verwaltungsverfahrensgesetzes, 36a Absatz 1 des Ersten Buches Sozialgesetzbuch oder des 87a Absatz 1 Satz 1 der Abgabenordnung eröffnen kann. Der Nutzer muss über die Möglichkeit und die Rechtsfolgen der Zugangseröffnung aufgeklärt werden. Weiter muss der Nutzer über die zum 1. Juli 2014 in Kraft getretende Rechtsänderung aufgrund von Artikel 3 Nummer 1, Artikel 4 und Artikel 7 Nummer 2 des Gesetzes vom 25. Juli darüber informiert werden, dass die D in den Fällen der 3a Absatz 2 Satz 4 Nummer 2 und 3 VwVfG, 36 Absatz 2 Satz 4 Nummer 2 und 3 SGB I, 87a Absatz 3 Nummer 2 und Absatz 4 Satz 3 AO schriftformersetzend eingesetzt werden kann. Ist der Nutzer zur Sperrung des Zugangs zum D -Konto berechtigt, so ist ihm eine Rufnummer bekannt zu geben, unter der die Sperrung des Zugangs unverzüglich veranlasst werden kann ( 10 Absatz 1 Satz 3 D -Gesetz). Der Diensteanbieter sollte den Nutzer über die Funktionsweise der qualifizierten elektronischen Signatur in allgemein verständlicher Form unterrichten und entsprechende Dokumente zum jederzeitigen Abruf vorhalten Kopplungsverbot Die Eröffnung eines D -Kontos bzw. die Anmeldung zu einem D -Dienst darf nicht von einer Einwilligung in die Nutzung der Daten für andere als für Zwecke des jeweiligen D - Dienstes abhängig gemacht werden (z. B. Adresshandel oder Werbung). Das Kopplungsverbot soll im Bereich von D den Kunden davor schützen, dass er aufgrund der Marktmacht eines Unternehmens gezwungen wird, Daten von sich preiszugeben oder einer Verarbeitung seiner Daten zu Zwecken zuzustimmen, die nach objektiven Kriterien Kunden ungünstig sind oder denen er aus sonstigen Gründen freiwillig nicht zustimmen würde. Ein generelles Kopplungsverbot von D mit anderen Diensten besteht daher nicht, sondern ist im Einzelfall anhand des Gesetzeszwecks zu prüfen. 1 Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften, BGBl. I S Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften, BGBl. I S Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 15

16 Die Eröffnung eines Kontos darf nicht von einer Veröffentlichung im Verzeichnisdienst abhängig gemacht werden ( 7 Absatz 1 Satz 2 D -Gesetz) Erhebung der Daten Die Erhebung der folgenden Daten ist zu dem jeweils genannten Zweck in der Regel zulässig Erhebung von Daten zur Identitätsfeststellung nach 3 Absatz 3 Satz 1 Nummer 1 Buchstabe a bis d Die Erhebung folgender Daten ist nach 3 Absatz 2 D -Gesetz zur zuverlässigen Feststellung der Identität zulässig: o bei natürlichen Personen: Name, dazu kann auch ein Titel oder ein Künstlername gehören Geburtsort, Geburtsdatum, Anschrift; o bei einer juristischen Person oder Personengesellschaft oder öffentlichen Stelle: Firma, Name oder Bezeichnung, Rechtsform, Registernummer, soweit vorhanden: Anschrift des Sitzes oder der Hauptniederlassung, Namen der Mitglieder des Vertretungsorgans oder der gesetzlichen Vertreter; o bei juristischen Personen als Mitglied des Vertretungsorgans/gesetzlicher Vertreter: Firma, Name oder Bezeichnung, Rechtsform, Registernummer, soweit vorhanden, Anschrift des Sitzes oder der Hauptniederlassung. Die in 3 Absatz 2 D -Gesetz genannten Daten hat der Diensteanbieter vor Freischaltung des Kontos zu überprüfen, und zwar o bei natürlichen Personen Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 16

17 anhand eines gültigen amtlichen Ausweises, der ein Lichtbild des Inhabers enthält und mit dem die Pass- und Ausweispflicht im Inland erfüllt wird, also Personalausweis, Reisepass oder Passersatz mit aktueller Meldebestätigung oder Aufenthaltstitel, anhand von Dokumenten, die bezüglich ihrer Sicherheit einem Dokument nach 3 Absatz 3 Satz 1 Nummer 1 Buchstabe a D -Gesetz gleichwertig sind, anhand eines elektronischen Identitätsnachweises nach 18 des Personalausweisgesetzes oder nach 78 Absatz 5 des Aufenthaltsgesetzes, anhand einer qualifizierten elektronischen Signatur nach 2 Nummer 3 des Signaturgesetzes oder anhand sonstiger geeigneter technischer Verfahren mit gleichwertiger Sicherheit für eine Identifizierung anhand der Dokumente nach 3 Absatz 3 Satz 1 Nummer 1 Buchstabe a De- Mail-Gesetz; o bei juristischen Personen oder Personengesellschaften oder bei öffentlichen Stellen anhand eines Auszugs aus dem Handels- oder Genossenschaftsregister oder aus einem vergleichbaren amtlichen Register oder Verzeichnis, anhand der Gründungsdokumente, anhand von Dokumenten, die bezüglich ihrer Beweiskraft den Dokumenten nach 3 Absatz 3 Satz 1 Nummer 2 Buchstaben a oder b D -Gesetz gleichwertig sind, oder durch Einsichtnahme in die Register- oder Verzeichnisdaten. Ausweise dürfen kopiert werden, wenn es zur Überprüfung der Angaben der Person erforderlich ist (vgl. die Gesetzesbegründung zu 3 Absatz 3 Satz 2 und 3 D -Gesetz mit Verweis auf 95 Absatz 4 Satz 2 und 3 TKG, BT-Drs. 17/4893, S. 13). Dies ergibt sich im Einzelfall aus den Arbeitsabläufen des Diensteanbieters bei der Identifizierung des Kunden. Auf der Kopie dürfen nur die Daten erkennbar sein, die zur Überprüfung erforderlich sind. Die Kopien müssen sicher aufbewahrt und übermittelt werden und es sind Vorkehrungen zu deren unverzüglicher Vernichtung nach Identitätsfeststellung zu treffen, 3 Absatz 3 Satz 2 und 3 D -Gesetz. Wenn gemäß 3 Absatz 3 Satz 4 D -Gesetz zur Identifikationsfeststellung bereits früher erhobene Daten verwendet werden sollen, ist zu prüfen, ob hierfür eine Einwilligung des Nutzers in die Verwendung dieser Daten vorliegt. Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 17

18 Erhebung von Daten zur Identitätsüberprüfung nach 3 Absatz 3 Satz 1 Nummer 1 Buchstabe e Beim Einsatz von geeigneten technischen Verfahren mit gleichwertiger Sicherheit gemäß 3 Absatz 3 Satz 1 Nummer 1 Buchstabe e D -Gesetz kann es erforderlich sein, zusätzlich zu den in 3 Absatz 2 Satz 2 Nummer 1 D -Gesetz genannten Daten vorübergehend weitere Daten zu erheben, um die gleichwertige Sicherheit zur Identifizierung mittels Dokumenten nach 3 Absatz 3 Satz 1 Nummer 1 Buchstabe a De- Mail-Gesetz herzustellen. Dazu kann es ebenfalls erforderlich sein, vollständige Kopien der Ausweise vorübergehend anzufertigen. Mit der Einfügung des Buchstaben e in 3 Absatz 3 Satz 1 Nummer 1 De- Mail-Gesetz hat der Gesetzgeber neue Möglichkeiten zur Identifizierung anerkannt, wenn eine gleichwertige Sicherheit für eine Identifizierung gegeben ist. Die Erforderlichkeit, zusätzliche Daten zur Herstellung der gleichwertigen Sicherheit zu erheben, ist im Einzelfall darzulegen. Da der Zweck in der Herstellung der gleichwertigen Sicherheit liegt, fällt mit der Zweckerreichung (d.h. Abschluss des Identifizierungsprozesses) der Grund für die Speicherung und Verarbeitung der entsprechenden Daten weg, so dass sie danach unverzüglich zu löschen sind Erhebung weiterer Daten für die Nutzung von D -Diensten Für die Erbringung und Abrechnung von D -Diensten können, je nach technischer und vertraglicher Ausgestaltung, weitere Daten für die Anmeldung erforderlich sein, beispielsweise Daten zur Abrechnung (Rechnungsadresse, Kontonummer und Bankleitzahl, Kreditkartennummer etc.), Zertifikate des Betroffenen für Verschlüsselungen oder Identifizierungsmerkmale für die sichere Anmeldung gemäß 4 D - Gesetz, etwa Mobilfunknummern. Der Prüfungsumfang hängt von den konkreten Geschäftsprozessen und den erhobenen Daten ab. Für die Verarbeitung ist eine Einwilligung des Betroffenen erforderlich Weitere Anforderungen Ein D -Konto darf nur genau einer Person zugeordnet sein ( 3 Absatz 1 Satz 2 D - Gesetz). Der Nutzer muss vor Freischaltung des D -Kontos eindeutig identifiziert werden ( 3 Absatz 4 Satz 2 Nummer 1 D -Gesetz). Der Diensteanbieter muss vor Freischaltung des D -Kontos dem Nutzer dessen für die Erstanmeldung notwendigen Anmeldedaten auf geeignetem Wege übermitteln ( 3 Absatz 4 Satz 2 Nummer 2 D -Gesetz). Der Diensteanbieter muss vor Freischaltung des D -Kontos die Einwilligung des Nutzers in die Prüfung seiner Nachrichten auf Schadsoftware einholen ( 3 Absatz 4 Satz 2 Nummer 4 D - Gesetz). Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 18

19 Das D -Konto darf erst freigeschaltet werden, wenn der Nutzer im Rahmen einer Erstanmeldung nachgewiesen hat, dass er die Anmeldedaten erfolgreich nutzen kann. Für die Anmeldung muss ein geeignetes Verfahren eingesetzt werden ( 4 Absatz 1 D -Gesetz, vgl. Nummer ). Der Diensteanbieter muss das D -Konto so konfigurieren können, dass auf Wunsch des Nutzers ausschließlich eine sichere Anmeldung möglich ist ( 4 Absatz 1 Satz 4 D -Gesetz). Der Nutzer muss zwischen mindestens zwei Verfahren zur sicheren Anmeldung wählen können ( 4 Absatz 2 D -Gesetz). o Ein Verfahren muss unter Nutzung des elektronischen Identitätsnachweises nach 18 Personalausweisgesetz angeboten werden. Die Kommunikationsverbindung zwischen dem Nutzer und dem D -Konto muss verschlüsselt erfolgen Nutzungsdaten/Verkehrsdaten Für eventuell weitere bei der Anmeldung anfallende Nutzungsdaten und Verkehrsdaten sind u. a. 15 TMG und 96 TKG zu beachten. Insbesondere dürfen IP-Adressen nur zur Erbringung des Dienstes, zu Abrechnungszwecken und ggf. zu Sicherheitszwecken erhoben werden. Sie müssen in der Regel unverzüglich nach Wegfall der Erforderlichkeit sicher gelöscht werden (vgl. Maßnahme M und M 4.32 IT-Grundschutzkataloge, BSI). Für die Speicherung zu Sicherheitszwecken (z. B. Abfangen oder Verfolgen von DoS-Angriffen oder Hackingversuchen) dürfen IP-Adressen maximal 7 Tage gespeichert werden. Ansonsten müssen sie in der Regel unverzüglich gelöscht werden Löschfristen Nach 13 Absatz 2 D -Gesetz ist die Dokumentation bzgl. der Eröffnung des D -Kontos, die Änderung der Daten, die hinsichtlich der Führung eines D -Kontos relevant sind, sowie jede Änderung hinsichtlich des Zustands eines D -Kontos für die Dauer des Vertragsverhältnisses und dann 10 Jahre darüber hinaus aufzubewahren. Danach müssen die Daten unverzüglich und sicher gelöscht werden (vgl. Maßnahme M und M 4.32 IT-Grundschutzkataloge, BSI). o Es müssen technische und organisatorische Maßnahmen ergriffen werden, um eine Sperrung der Dokumentationsdaten im Sinne des 35 Absatz 3 Nummer 1 BDSG zwischen Wegfall der Erforderlichkeit und der Löschungspflicht zu gewährleisten. o Es müssen Prozesse bzw. Verfahren beim Diensteanbieter etabliert sein, die die sichere Löschung Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 19

20 nach 10 Jahren gewährleisten (vgl. Maßnahme M und M 4.32 IT-Grundschutzkataloge, BSI) Protokollierung Nach 13 Absatz 1 D -Gesetz ist die Eröffnung des D -Kontos, die Änderung der Daten, die hinsichtlich der Führung eines D -Kontos relevant sind, sowie jede Änderung hinsichtlich des Zustands eines D -Kontos zu dokumentieren. Die Dokumentation hat so zu erfolgen, dass die Authentizität und Integrität der Daten jederzeit nachprüfbar sind Postfach- und Versanddienst ( 5 D -Gesetz) Auf Wunsch kann eine Bereitstellung pseudonymer D -Adressen für Nutzer erfolgen, bei denen es sich um natürliche Personen handelt ( 5 Absatz 2 D -Gesetz). o Die Inanspruchnahme eines Dienstes durch den Nutzer unter Pseudonym muss für Dritte erkennbar sein. Vertraulichkeit, Integrität und Authentizität der Nachrichten sind zu gewährleisten ( 5 Absatz 3 De- Mail-Gesetz). o Transportverschlüsselung ( 5 Absatz 3 Satz 2 Nummer 1 D -Gesetz) o Inhaltsverschlüsselung ( 5 Absatz 3 Satz 2 Nummer 2 D -Gesetz) o Eine Ende-zu-Ende-Verschlüsselung muss bei eigener Aktivität des Nutzers möglich sein. Der Diensteanbieter hat dies zu unterstützen. Der Absender muss eine sichere Anmeldung nach 4 D -Gesetz Abruf der Nachricht durch den Empfänger bestimmen können ( 5 Absatz 4 D -Gesetz). Der Nutzer muss die Möglichkeit haben, seine sichere Anmeldung bestätigen zu lassen (vgl. 5 Absatz 5 D -Gesetz). Die Bestätigung muss durch eine qualifizierte elektronische Signatur erfolgen. Der Diensteanbieter des Absenders hat die Versandbestätigung und die Eingangsbestätigung mit einer qualifizierten elektronischen Signatur nach dem SigG zu versehen ( 5 Absatz 7 Satz 3 und Absatz 8 Satz 5 D -Gesetz). Für die Versandbestätigung ( 5 Absatz 7 D -Gesetz) und die Eingangsbestätigung ( 5 Absatz 8 D -Gesetz) sind die Löschfristen sowie die Zugriffs- bzw. Weitergabekontrolle zu prüfen. Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 20

21 o Die Protokolle über die Versand- und die Eingangsbestätigung sind in der Regel nach ihrer Auslieferung sicher zu löschen (vgl. Maßnahme M und M 4.32 IT-Grundschutzkataloge, BSI). o Nachrichten, für die eine Eingangsbestätigung ( 5 Absatz 8 D -Gesetz) oder eine Abholbestätigung ( 5 Absatz 9 D -Gesetz) erteilt wurde, dürfen durch den Empfänger ohne eine sichere Anmeldung an seinem D -Konto erst 90 Tage nach ihrem Eingang gelöscht werden können ( 5 Absatz 10 D -Gesetz). Berechtigten öffentlichen Stellen muss ggf. eine Abholbestätigung zur Verfügung gestellt werden können ( 5 Absatz 9 D -Gesetz). o Die Abholbestätigung muss mit einer qualifizierten elektronischen Signatur nach dem SigG versehen werden ( 5 Absatz 9 Satz 6 D -Gesetz). Nutzern (natürlichen Personen) muss eine automatische Weiterleitung angeboten werden ( 5 Absatz 11 D -Gesetz). o Der Nutzer muss ausschließen können, dass im Sinne des 5 Absatz 4 D -Gesetz an ihn gesendete Nachrichten weitergeleitet werden. o Der Nutzer muss die automatische Weiterleitung jederzeit zurücknehmen können. o Die automatische Weiterleitung darf nur nutzbar sein, wenn der Nutzer sicher an seinem D - Konto angemeldet ist Identitätsbestätigungsdienst ( 6 D -Gesetz) Die D -Nachricht zur Identitätsbestätigung muss mit einer qualifizierten elektronischen Signatur nach dem SigG versehen sein. Der Diensteanbieter hat Vorkehrungen dafür zu treffen, dass Identitätsdaten nicht unbemerkt gefälscht oder verfälscht werden können. Dies können sein: o Wiederholte interne Kontrollen, o Dokumentierter stichprobenartiger Vergleich der Daten mit den jeweiligen Anträgen, o Anwendung elektronischer Signaturen und Zeitstempel bei der Datenspeicherung und Datenübermittlung. Das BSI muss die Möglichkeit haben, die Sperrung eines nach 3 D -Gesetz hinterlegten Identitätsdatums durchführen zu lassen ( 6 Absatz 3 D -Gesetz). Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 21

22 3.1.5 Verzeichnisdienst ( 7 D -Gesetz) Bei dem Verzeichnisdienst handelt es sich um ein Verzeichnis, welches ausschließlich für D - Nutzer angelegt ist, damit diese die für eine D -Kommunikation notwendigen Informationen erhalten. Das Verzeichnis wird nicht in Form eines öffentlichen Telefonbuches mit der Möglichkeit einer Einsichtnahe durch beliebige Dritte geführt. Die D -Adressen, die hinterlegten Identitätsdaten und die für die Verschlüsselung von Nachrichten notwendigen Informationen dürfen vom Dienstanbieter nur auf ausdrückliches Verlangen des Nutzers in einem Verzeichnisdienst im D -Verbund veröffentlicht werden. Die Daten müssen auf Verlangen des Nutzers wieder aus dem Verzeichnisdienst gelöscht werden. o Dies muss u. a. auch erfolgen, wenn die Daten auf Grund falscher Angaben ausgestellt wurden oder das BSI die Löschung aus dem Verzeichnisdienst anordnet. Dies muss mittels interner Prozesse gewährleistet sein Dokumentenablage ( 8 D -Gesetz) Die Ablage von Dokumenten in einer dem Nutzer angebotenen Dokumentenablage muss sicher erfolgen. Dabei sind auch die technisch-organisatorischen Maßnahmen nach der Anlage zu 9 Satz 1 BDSG zu prüfen. Außerdem ist zu prüfen, ob die zur Gewährleistung der Sicherheit ergriffenen Maßnahmen mit den datenschutzrechtlichen Anforderungen in Einklang stehen. Vertraulichkeit, Integrität und ständige Verfügbarkeit der abgelegten Dokumente sind zu gewährleisten. Die Dokumente sind verschlüsselt abzulegen. Der Nutzer muss die Möglichkeit haben, für jede einzelne Datei eine Zugriff erforderliche sichere Anmeldung im Sinne des 4 D -Gesetz festzulegen. Der Diensteanbieter hat ein Protokoll über die Einstellung und Herausnahme von Dokumenten bereitzustellen, wenn der Nutzer dieses wünscht. Das Protokoll ist mit einer qualifizierten elektronischen Signatur nach SigG zu versehen Auskunft gegenüber Dritten Der Diensteanbieter muss Auskunft über Name und Anschrift eines Nutzers in den in 16 Absatz 1 D -Gesetz genannten Fällen geben. Die Auskunftsansprüche müssen vom Diensteanbieter auf Einhaltung ihrer Voraussetzungen überprüft Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 22

23 werden. Dies beinhaltet auch eine Überprüfung der nach 16 Absatz 2 D -Gesetz eingereichten Unterlagen. o Der Nutzer muss vom Diensteanbieter unverzüglich über das Auskunftsersuchen unter Benennung des Dritten informiert und es muss ihm Gelegenheit zur Stellungnahme gewährt werden. o Der Diensteanbieter muss mit einem entsprechenden Verfahren gewährleisten, dass die Information an den Nutzer dann nicht erfolgt, wenn sie die Verfolgung des Rechtsanspruchs des Dritten im Einzelfall etwa durch zu frühe Kenntnis über den Anfragenden gefährden würde. Die durch das Auskunftsverfahren erlangten Daten müssen zweckgebunden verwendet werden. Jede Auskunftserteilung ist entsprechend 16 Absatz 6 D -Gesetz zu dokumentieren. o Die Dokumentation der Auskunftserteilung muss 3 Jahre aufbewahrt werden. o Es muss sichergestellt sein, dass die Dokumentation nach Ablauf der 3 Jahre sicher gelöscht bzw. vernichtet wird (vgl. Maßnahme M und M 4.32 IT-Grundschutzkataloge, BSI). o Es muss sichergestellt sein, dass der Nutzer von der Erteilung der Auskunft informiert wird. o Auf Anordnung der zuständigen Stellen darf der Diensteanbieter im Einzelfall Auskunft über Bestandsdaten erteilen, soweit dies für Zwecke der Strafverfolgung, zur Gefahrenabwehr durch die Polizeibehörden der Länder, zur Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes oder des Bundeskriminalamtes im Rahmen seiner Aufgabe zur Abwehr von Gefahren des internationalen Terrorismus oder zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist ( 113 TKG, 14 Absatz 2 TMG). Dies muss dem Diensteanbieter möglich sein. o Weitere behördliche Auskunftsanordnungen bzw. Überwachungsanordnungen nach TKG, TKÜV, TMG und StPO müssen nach angemessener Prüfung zeitnah umgesetzt werden können Abrechnung Für die Verarbeitung personenbezogener Daten zur Entgeltermittlung und Entgeltabrechnung von Telekommunikationsdienstleistungen gelten die Regelungen des TKG (u.a. 97 TKG). Bei der Nutzung von Telemedien, die nicht unter 11 Absatz 3 TMG fallen (etwa bei der Dokumentenablage nach 8 D - Gesetz), richtet sich die Datenverarbeitung nach den Vorschriften des TMG (insbesondere 15 TMG). Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 23

24 3.1.9 (Missbrauchs-)Kontrolle Nach der Freischaltung eines D -Kontos hat der Diensteanbieter die Richtigkeit der zu dem Nutzer gespeicherten Identitätsdaten sicherzustellen ( 3 Absatz 5 Satz 1 D -Gesetz). Der Diensteanbieter muss Verfahren eingerichtet haben, dass er die gespeicherten Identitätsdaten in angemessenen zeitlichen Abständen auf ihre Richtigkeit prüft und soweit erforderlich berichtigt ( 3 Absatz 5 Satz 2 D -Gesetz). Wenn Tatsachen die Annahme rechtfertigen, dass die zur eindeutigen Identifizierung des Nutzers beim Diensteanbieter gespeicherten Daten nicht ausreichend fälschungssicher sind, ist der Zugang zum De- Mail-Konto zu sperren ( 10 Absatz 1 Satz 1 Nummer 2 D -Gesetz). Gleiches gilt Fall, dass die sichere Anmeldung gemäß 4 D -Gesetz Mängel aufweist, die eine unbemerkte Fälschung oder Kompromittierung des Anmeldevorgangs zulassen. Für beide Sperrpflichten müssen Verfahren vorgesehen sein Sperrung Bei einer Sperrung des D -Kontos ist zwischen einer vollständigen Sperrung, einer Zugangssperre und einer Nutzungseinschränkung zu unterscheiden (vgl. Abschnitt 3.6 D Accountmanagement Funktionalitätsspezifikation, BSI TR Teil 2.1). Vollständige Sperrung: Der Diensteanbieter muss auf Verlangen des Nutzers das D -Konto unverzüglich sperren können ( 10 Absatz 1 Satz 1 Nummer 1 D -Gesetz). Das BSI muss die Sperrung eines D -Kontos anordnen können ( 10 Absatz 1 Satz 1 Nummer 3 D -Gesetz). Bei Eintritt eines vertraglich vereinbarten Sperrgrundes muss der Abruf von Nachrichten möglich bleiben ( 10 Absatz 1 Satz 2 D -Gesetz), sofern dieses nicht ausgeschlossen wurde. Der Diensteanbieter muss sich vor einer Sperrung nach 10 Absatz 1 D -Gesetz oder der Auflösung nach Absatz 4 auf geeignete Weise von der Identität des zur Sperrung oder Auflösung berechtigten Nutzers überzeugen können. Nachrichten an ein gesperrtes oder aufgelöstes D -Konto dürfen nicht in den Eingang des De- Mail-Postfaches gelangen. Der Absender ist hierüber zu informieren. Bei Sperrung des D -Kontos auf Veranlassung des Diensteanbieters oder des BSI ist der Nutzer zu informieren. Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 24

25 Zugangssperre: Wie wird eine Zugangssperre im Fall einer mehrfachen Falscheingabe der Authentisierungsdaten gewährleistet? Wie erfolgt die Entsperrung? Wird die Zugangssperre in Form des Authentisierungsniveaus der sicheren Anmeldung nach 4 Absatz 1 D -Gesetz umgesetzt (vgl. Nummer )? Nutzungseinschränkung: Existiert die Möglichkeit der Sperrung im Sinne einer Nutzungseinschränkung der verschiedenen De- Mail-Dienste? Gemäß Abschnitt der TR D Accountmanagement Funktionalitätsspezifikation, BSI TR Teil 2.1 ist diese Möglichkeit der Nutzungseinschränkung (kein Versenden, keine Neueinstellung von Dokumenten in Dokumentenablage usw.) z. B. für Kunden mit Zahlungsrückstand vorgesehen. Es muss aber - sofern der Diensteanbieter davon Gebrauch macht - in diesem Fall der Empfang von Nachrichten und das Herunterladen von Dokumenten weiter möglich sein Kündigung und Auflösung Bei Auflösung des D -Kontos auf Veranlassung des Diensteanbieters oder des BSI ist der Nutzer zu informieren. Der Nutzer muss die sofortige Auflösung des D -Kontos verlangen können. Der Nutzer muss noch drei Monate Zugriff auf die im Postfach und in der Dokumentenablage abgelegten Daten im Sinne des 12 D -Gesetz zugreifen können. Der Nutzer muss mindestens einen Monat vor Löschung hierauf in Textform hingewiesen werden. Die personenbezogenen Daten müssen sicher gelöscht bzw. gesperrt werden (vgl. Maßnahme M und M 4.32 IT-Grundschutzkataloge, BSI). Eine Pseudonym-D -Adresse ist, nachdem sie einem D -Konto zugeordnet war und die Zuordnung aufgehoben wurde, für eine Verwendung durch eine andere natürliche Person zu sperren und darf auch keinem anderen D -Konto zugeordnet werden (vgl. Abschnitt der TR D Accountmanagement Funktionalitätsspezifikation, BSI TR Teil 2.1). Gibt es eine Möglichkeit, eine Pseudonym-D -Adresse freizugeben (vgl. Abschnitt der TR D Accountmanagement Funktionalitätsspezifikation, BSI TR Teil 2.1)? Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 25

26 Help-Desk Für die einzelnen Tätigkeiten des Help-Desks können unterschiedliche Rechtsgrundlagen und Zweckbindungen bestehen (z. B. allgemeine Beratung, Behebung von Fehlern, Aufnahme von Missbrauchsfällen). Diese Tätigkeiten sind je nach Zweckrichtung bei der Begutachtung getrennt zu untersuchen. Die Nutzer des Help-Desks sind über die hierbei ggf. erfolgte Datenverarbeitung (insbesondere Speicherung) zu informieren. Der Zugriff der Help-Desk-Mitarbeiter ist auf die für ihre definierte Tätigkeit erforderlichen Daten zu beschränken. Die Authentifizierung des Anfragenden muss in geeigneter Art und Weise erfolgen. Maßnahmen oder Änderungen durch die Help-Desk-Mitarbeiter sind im Rahmen der Erforderlichkeit zu dokumentieren. Hierbei darf keine vollständige Überwachung der Mitarbeitertätigkeit erfolgen. Soweit möglich, sind die vom Help-Desk erhobenen Daten von denen des D -Dienstes zu trennen Standortbestimmung Eine Geolokalisierung zu Statistikzwecken oder zur Profilerstellung auf Basis von IP-Adressen darf in der Regel nur anhand einer anonymisierten IP-Adresse erfolgen. Standortdaten dürfen nur im zur Bereitstellung von Diensten mit Zusatznutzen erforderlichen Umfang und innerhalb des dafür erforderlichen Zeitraums verarbeitet werden, wenn sie anonymisiert wurden oder wenn der Nutzer dem Anbieter des Dienstes mit Zusatznutzen seine Einwilligung erteilt hat. Im Übrigen sind die Vorgaben von 98 TKG zu beachten, der die datenschutzgerechte Verarbeitung und Nutzung von Standortdaten regelt. Wenn keine Standortdaten verarbeitet werden, sollte der Nutzer an geeigneter Stelle darauf hingewiesen werden, dass keine Standortdaten verarbeitet werden bzw. dass IP-Adressen, sofern erforderlich, jedenfalls nicht für derartige Zwecke gespeichert werden Protokollierung Es muss unterschieden werden zwischen Protokollierung der Nutzeraktivitäten und Protokollierung der internen Aktivitäten (Administratorentätigkeit, Help-Desk-Tätigkeit etc.). Übermittlungsvorgänge müssen protokolliert werden. Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 26

27 Die Speicherung von personenbezogenen Daten in Protokollen bedarf einer jeweiligen Rechtsgrundlage und es müssen die Grundsätze der Erforderlichkeit und Zweckbindung eingehalten werden. o Sowohl dynamische IP-Adressen mit Zeitstempel als auch statische IP-Adressen sind als personenbezogene Daten anzusehen. o Personenbezogene Daten sind nach Wegfall der Erforderlichkeit unverzüglich in Protokollen sicher zu löschen (vgl. Maßnahme M und M 4.32 IT-Grundschutzkataloge, BSI) bzw. zu anonymisieren. Dies bezieht sich auch auf Protokolle, die in Sicherungskopien oder Backups enthalten sind. o Protokolle, die die internen Aktivitäten (wann, durch wen und in welcher Weise wurden Daten gespeichert oder verändert) protokollieren, müssen in der Regel nach einem Jahr sicher gelöscht werden (vgl. Maßnahme M und M 4.32 IT-Grundschutzkataloge, BSI). Die Revisionssicherheit muss gewahrt sein. Es müssen Verfahren und Prozesse beim Diensteanbieter eingerichtet sein, die die Überprüfung der Protokolle sicherstellen. 3.2 Dienstespezifische Umsetzung der technisch-organisatorischen Anforderungen Für jeden in Abschnitt 3.1 genannten D -Dienst sind die Anforderungen nach der Anlage zu 9 Satz 1 BDSG (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle etc.) sowie die Verarbeitung personenbezogener Daten im Zusammenhang mit Verschlüsselung, Authentifizierung und Signaturen zu prüfen. Darüber hinaus muss die Umsetzung des Gebots der Datensparsamkeit ( 3a Satz 1 BDSG) und die Möglichkeit der pseudonymen Nutzung ( 3a Satz 2 BDSG) Gegenstand der Prüfung sein. Die besonderen, sich aus TKG und TMG ergebenden Anforderungen an Datensicherheit, Datenvermeidung und Datensparsamkeit sind ebenfalls zu berücksichtigen. Die Anforderungen verweisen auf die jeweils geltende Fassung der Technischen Richtlinien des BSI (siehe Kapitel 7) Diensteübergreifende Anforderungen Anforderungen nach Anlage zu 9 Satz 1 BDSG u. a. Zutritts- und Zugangskontrolle zu allen IT-Einrichtungen: Werden die Zutrittskontrollmaßnahmen gemäß Schicht 2 der IT-Grundschutzkataloge wirksam Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 27

28 umgesetzt? Wenn diese nicht im Rahmen der IT-Grundschutz-Zertifizierung überprüft wurden, ist eine stichprobenartige Kontrolle erforderlich (vgl. auch Hinweise in den Abschnitten und der TR D IT-Sicherheit Übergeordnete Komponenten, BSI TR Teil 6.1). Werden die Zugangskontrollmaßnahmen wirksam umgesetzt? Wenn diese nicht im Rahmen der IT- Grundschutz-Zertifizierung überprüft wurden, ist eine stichprobenartige Kontrolle erforderlich (vgl. auch Hinweise in den Abschnitten und der TR D IT-Sicherheit Übergeordnete Komponenten, BSI TR Teil 6.1). Mögliche Maßnahmen sind u. a.: o Administration im 4-Augen-Prinzip o Erzwingung starker Passwörter. Kopplung mit weiteren Systemen: Sowohl auf Seiten eines Diensteanbieters als auch auf Seiten der Nutzer (und dort insbesondere bei Organisationen) sind vielfältige Kopplungen mit weiteren technischen Systemen, die nicht unmittelbar zu den D -Komponenten gehören, denkbar. Beispiele für Infrastrukturkopplungen sind Strom- und Netzversorgung, Beispiele für Kopplungen auf Anwendungsebene sind Datenbanken für D -Kunden und andere (Nicht-D -)Kunden (vgl. dazu Abschnitt 3.1.2) oder die Integration von Nicht-D - Diensten und Mechanismen (etwa Postfächer für Internet- s, das EGVP oder Transportmechanismen wie OSCI-Transport). Beispiele für Kopplungen von Kundensystemen sind integrierte Clients für D s und andere s oder Integrationen in eine virtuelle Poststelle. Finden solche Kopplungen beim Nutzer statt, sind diese Kopplungen nicht Gegenstand des Datenschutz- Nachweises. Kopplungen mit Nicht-D -Systemen beim Diensteanbieter dürfen die Sicherheit nicht beeinträchtigen. Darauf ist bei der Überprüfung der technischen und organisatorischen Anforderungen im Rahmen der von 18 Absatz 3 Nummer 3 D -Gesetz geforderten Testate zu achten (dort: Strukturanalyse des IT-Verbundes gemäß Abschnitt 2 der TR D IT-Sicherheit Übergeordnete Komponenten, BSI TR Teil 6.1) Für Telemedien, die nicht unter 11 Absatz 3 TMG fallen, gelten die Anforderungen u. a. nach 13 Absatz 4 TMG Kann der Nutzer die Nutzung des Dienstes jederzeit beenden ( 13 Absatz 4 Nummer 1 TMG)? Können Daten über die Nutzung von D -Diensten getrennt von Daten über andere Nutzungen bei dem gleichen Diensteanbieter verarbeitet werden? Die Bundesbeauftragte Datenschutz und die Informationsfreiheit 28