De-Mail und Datenschutz Gesetzliche Anforderungen, Zertifizierung und Verbesserungspotential Dr. Thomas Probst, Marit Hansen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel {thomas.probst, marit.hansen}@datenschutzzentrum.de
Kurzabriss De-Mail Was genau ist Datenschutz bei De-Mail? Welche gesetzliche Datenschutzanforderungen gibt es? Wie wird die Einhaltung überprüft? Welches Verbesserungspotential gibt es? Wie könnten Datenschutzanforderungen an Verbesserungen geprüft werden? Inhalt De-Mail und Datenschutz 2
De-Mail Postfach und Versanddienst B De-Mail-Anbieter C De-Mail-Anbieter D De-Mail und Datenschutz 3
Bindung Person/Institution <-> De-Mail-Adresse geprüft (z.b. Personalausweis) verschiedene Authentisierungsniveaus automatisierte Bestätigungen für A über Einlieferung ( Versandbestätigung ) Einlage in das Postfach von B ( Empfangsbestätigung ) Log-in von B in De-Mail-Postfach ( Abholbestätigung, für Behörden) Verzeichnisdienst (Eintrag optional) Datensafe (Angebot optional) Identifizierungsdienst (Angebot optional) De-Mail und Datenschutz 4
Verfügbarkeit des Dienstes und der Nachrichten OK Out of order De-Mail und Datenschutz 5
Datenschutz bei De-Mail II Vertragsdaten (u.a. 13, 15 De-MailG): z.b. Datenumfang (Name, Anschrift, Ausweisdaten,?) Speicherdauer Zweckbindung Funktionalitätsanforderungen (u.a. 4, 5 De-MailG): z. B. Bestätigungen Authentisierungsniveau Vertraulichkeit, Integrität, Verfügbarkeit auch der Bestätigungen De-Mail und Datenschutz 6
Datenschutz bei De-Mail III Transparenz (Einstellungen, Filterungen, ) Datenschutz-Organisation, u.a.: Einhaltung der Spielregeln bei der Auflösung von Pseudonymen ( 16 De- MailG) oder Zugriffen der Polizei/ Staatsanwaltschaft ( 113 TKG) Aufrechterhaltung des Datenschutzes im laufenden Betrieb (Anpassungen an Änderungen in Technik und Recht) Auskunftsersuchen zu eigenen Daten, Beschwerden etc. De-Mail und Datenschutz 7
De-Mail-Gesetz seit dem 03.05.2011, z.b. Funktionalitätsanforderungen (u.a. 3-13, 16) explizite Sicherheitsanforderungen (z.b. Verschlüsselung zwischen Nutzer und Diensteanbieter sowie unter den Diensteanbietern, 4 Abs. 3, 5 Abs. 3) Verweis auf Technische Richtlinie TR 01201 Regelungen für Vertragsdaten des Nutzers (u.a. 13, 15, 16) allgemeine datenschutzrechtliche Regelungen: Bundesdatenschutzgesetz (BDSG) Telekommunikationsgesetz (TKG) Telemediengesetz (TMG) De-Mail und Datenschutz 8
Wie wird die Einhaltung überprüft? Akkreditierung der Anbieter durch das BSI ( 18 De-MailG) Voraussetzungen: Testat bezüglich IT-Sicherheit von BSI-akkreditierten Sachverständigen Abnahme durch IT-Sicherheitsdienstleister Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Prüfung durch anerkannte Sachverständige anhand eines Kriterienkatalogs Kriterienkatalog mit TR 01201 verzahnt Vollprüfung Abnahme des Gutachtens durch den BfDI De-Mail und Datenschutz 9
Verbesserungspotential Beispiele für sinnvolle Verbesserungsmöglichkeiten: Ende-zu-Ende-Verschlüsselung nutzergesteuerte Delegationsmöglichkeiten feingranulare lesende Zugriffsrechte (für Dritte) im Datensafe Angebot von (zusätzlichen) De-Mail-Adressen mit beschränkter Gültigkeitsdauer Online-Auskunftsverfahren Darstellung von Datenschutzeigenschaften durch Icons selbstbestimmte Filterung beim Versand von De-Mails De-Mail und Datenschutz 10
Datenschutzprüfung von Verbesserungen neue Schutzziele als Messlatte: Vertraulichkeit Integrität klassische IT-Sicherheitsziele Verfügbarkeit Transparenz Intervenierbarkeit Datenschutz-Schutzziele Nicht-Verkettbarkeit De-Mail und Datenschutz 11
Bezug der Schutzziele untereinander Eigenschaft Zugreifbarkeit Nachvollziehbarkeit Echtheit Schutzziel Verfügbarkeit: gesicherte Zugreifbarkeit Transparenz: Beobachtbarkeit Integrität: gesicherte Echtheit Dual des Schutzziels Vertraulichkeit: gesicherte Nicht- Zugreifbarkeit Nicht-Verkettbarkeit: fehlende Möglichkeit der Zuordnung Intervenierbarkeit: Eingreifmöglichkeit, u.a. Gewährleisten der Betroffenenrechte Nach Rost/Pfitzmann 2009 De-Mail und Datenschutz 12
Beispiel 1: Filter und Sperrungen I nutzergesteuertes Filtern, z.b. Sperrung ausgehender/eingehender Anhänge mit spezifischen Dateiformaten Filterung auf Inhaltsebene (z.b. Metainformationen, Überarbeitungsmarkierung) Information über Sperrungen/Filtermechanismen manuelles Übersteuern von Filterungen/Sperrungen bei Problemen De-Mail und Datenschutz 13
Beispiel 1: Filter und Sperrungen II nutzergesteuertes Filtern, z.b. Sperrung ausgehender/eingehender Anhänge mit spezifischen Dateiformaten Filterung ausgehender Nachrichten auf Inhaltsebene (z.b. Metainformationen, Überarbeitungsmarkierung) Vertraulichkeit Integrität Vertraulichkeit Information über Sperrungen/Filtermechanismen manuelles Übersteuern von Filterungen/Sperrungen bei Problemen Transparenz Intervenierbarkeit De-Mail und Datenschutz 14
Beispiel 2: nutzergesteuerte Delegation I nutzergesteuerte Delegation: Briefkasten für Nachbarn leeren, z.b. befristete Log-in-Möglichkeit für vorher bestimmte Dritte ( Delegierte ) konfigurierbare Beschränkung der Lese-Rechte, z.b.: nur Absender (und Betreff?) lesen Volltext lesen nur Nachrichten von definierte Absendern ( Whitelist ) lesen Leserechte nur für neu eingegangene Nachrichten konfigurierbare Beschränkung der Schreib-/Senderechte, z.b.: nur Weiterleitung, keine Texterstellung nur Weiterleitung an voreingestellte Adressen Protokollierung der Delegation Darstellung, ob Aktionen selbst oder vom Delegierten ausgeführt werden ggf. mehrere Drittzugriffsrechte, kontextabhängig De-Mail und Datenschutz 15
Beispiel 2: nutzergesteuerte Delegation II befristetes Log-in für Dritte beschränkte Lese-Rechte: nur Absender (und Betreff?) lesen nur Nachrichten von definierte Absendern ( Whitelist ) lesen Leserechte nur für neu eingegangene Nachrichten beschränkte Schreib-/Senderechte: nur Weiterleitung, keine Texterstellung nur Weiterleitung an voreingestellte Adressen Protokollierung für Delegierenden Darstellung der Delegation (für Dritte; Statusanzeige) Möglichkeit von Konfiguration, Abbruch und Prüfung Verfügbarkeit des Dienstes Vertraulichkeit (Nachrichten) Vertraulichkeit (Kommunikationspartner) Integrität des Dienstes Vertraulichkeit Transparenz der Delegation Transparenz der Tatsache der Delegation Intervenierbarkeit De-Mail und Datenschutz 16
Fazit Datenschutz-Prüfung umfasst rechtliche, technische und organisatorische Aspekte Datenschutz-Organisation und Abläufe sind wichtiger Prüfpunkt enge Verzahnung mit den IT-Sicherheitsprüfungen sowie Funktionalitätsprüfungen sinnvoll neue Schutzziele als Prüfpunkte für Verbesserungen und neue Funktionen, für die noch keine Prüfkriterien existieren De-Mail und Datenschutz 17
Vielen Dank für Ihre Aufmerksamkeit. Kontakt: Dr. Thomas Probst, Marit Hansen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Holstenstraße 98 24103 Kiel {thomas.probst, marit.hansen}@datenschutzzentrum.de Bildquellen: BSI, www.openclipart.org De-Mail und Datenschutz 18