Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz



Ähnliche Dokumente
Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 D -Gesetz

Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 D -Gesetz im Rahmen der Re-Zertifizierung

Datenschutz und D

D DATENSCHUTZ-NACHWEIS

Telekom D Ohne Brief, aber mit Siegel. Information für Datenschutzbeauftragte

Akkreditierung gemäß D -Gesetz

BSI Technische Richtlinie

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

BSI Technische Richtlinie

D i e n s t e D r i t t e r a u f We b s i t e s

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Einrichtung des KickMail- Benutzerkontos der gematik

BSI Technische Richtlinie

1 D -Dienste. 2 Zuständige Behörde

Abschluss und Kündigung eines Vertrages über das Online-Portal der Netzgesellschaft Düsseldorf mbh

Sichere Kommunikation mit Ihrer Sparkasse

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz im E-Commerce

Die Zukunft des Melderegisters in Sozialen Medien oder als Open Data?

S Sparkasse Hattingen

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Sichere Kommunikation mit Ihrer Sparkasse

D , neue Perspektiven für die elektronische Kommunikation

Datenschutz und Schule

Facebook und Datenschutz Geht das überhaupt?

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Nutzung dieser Internetseite

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

Öffnung dienstlicher E Mailfächer Wann darf der Arbeitsgeber tätig werden?

-Verschlüsselung viel einfacher als Sie denken!

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

D Versandoptionen

Normatives Dokument ICELT D 1006:2015 ICELT-Datenschutzrichtlinie

D und Datenschutz

Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten

Telekommunikation Ihre Datenschutzrechte im Überblick

Datenschutz-Vereinbarung

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Sichere s. Kundeninformation zur Verschlüsselung von s in der L-Bank

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Datenschutzerklärung der emco electroroller GmbH für die emcoelektroroller.de

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Verwendung des IDS Backup Systems unter Windows 2000

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Ihre Bewerbung per . Verschlüsselt und sicher

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG)

Google Analytics - Kostenloser Service mit Risiken? RA Dr. Jan K. Köcher Syndikus DFN-CERT Services GmbH koecher@dfn-cert.de

So empfangen Sie eine verschlüsselte von Wüstenrot

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Datenschutz-Unterweisung

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Wir empfehlen die Konfiguration mit den Servern secureimap.t-online.de und securepop.t-online.de.

Vernichtung von Datenträgern mit personenbezogenen Daten

Kundeninformationen zur Sicheren

S Sparkasse Hohenlohekreis. Leitfaden zu Secure

Sparkasse Vogtland. Secure Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure 1

Registrierung am Elterninformationssysytem: ClaXss Infoline

Datenschutz bei kleinräumigen Auswertungen Anforderungen und Grenzwerte 6. Dresdner Flächennutzungssymposium. Sven Hermerschmidt, BfDI

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Vorlage zur Kenntnisnahme. Stellungnahme des Senats zum Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit für das Jahr 2009

proles-login. Inhalt [Dokument: L / v1.0 vom ]

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

" -Adresse": Geben Sie hier bitte die vorher eingerichtete Adresse ein.

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Leichte-Sprache-Bilder

Einführung in die Datenerfassung und in den Datenschutz

Gutachten zur Re-Zertifizierung des IT-Produkts Dokumentenprüfer ALDO L Check 4U3, Hardware Release 01 / Software im Auftrag der 4U GmbH

Maintenance & Re-Zertifizierung

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Der Schutz von Patientendaten

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Leitfaden für die Mitgliederregistrierung auf der neuen Webseite des SFC-Erkelenz

Hinweise zur -Nutzung für Studierende

POCKET POWER. Qualitätsmanagement. in der Pflege. 2. Auflage

Datenschutzkonforme digitale Patientenakten im Outsourcing. Datenschutzkonforme digitale Patientenakten im Outsourcing

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Aktuelle rechtliche Herausforderungen beim Einsatz von Apps

DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN

vorab noch ein paar allgemeine informationen zur d verschlüsselung:

Einrichtung eines VPN-Zugangs

Datenschutz beim BLSV und in Vereinen

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Datenschutzbeauftragte

Anleitung WLAN BBZ Schüler

Benutzerverwaltung Business- & Company-Paket

Transkript:

Kurzgutachten zum Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz für die Telekom Deutschland GmbH D-53262 Bonn Sachverständige Prüfstelle (Recht und Technik): intersoft consulting services AG Frankenstraße 18a 20097 Hamburg http://www.intersoft-consulting.de/ Prüfer und Verfasser: Rechtsanwältin Ann-Karina Wrede awrede@intersoft-consulting.de Rechtsanwalt Marcus Kirsch mkirsch@intersoft-consulting.de Leiter der Prüfstelle: Rechtsanwalt Matthias Lindner mlindner@intersoft-consulting.de Datenschutz, IT-Sicherheit und IT-Compliance: Wir halten Sie auf Kurs! intersoft consulting services AG Frankenstraße 18a 20097 Hamburg Internet: www.intersoft-consulting.de

Inhalt 1 Zeitpunkt und Ablauf der Prüfung 3 2 Kurzbezeichnung 3 3 Detaillierte Bezeichnung 4 3.1 Funktionsweise von De-Mail... 4 3.2 Vorgaben des Gesetzes... 4 3.3 Umsetzung bei der Telekom Deutschland... 5 4 Zusammenfassung der Prüfergebnisse 6 5 Datenschutzfördernde Gestaltung 7 März 2012 Kurzgutachten Telekom Deutschland GmbH Seite 2 von 7

1 Zeitpunkt und Ablauf der Prüfung Die Prüfung für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail- Gesetz erfolgte im Zeitraum vom 02.01.2012 bis 29.02.2012 anhand von Dokumentensichtung und Prüfung, Interviews mit fachkundigem Personal sowie Ortsbesichtigungen an verschiedenen Standorten. Gegenstand der Prüfung waren auch die Existenz und der Inhalt von Konzepten zum datenschutzgerechten Betrieb, da ein Produktivbetrieb erst nach dem Prüfverfahren aufgenommen werden darf. Die datenschutzrechtliche Prüfung wurde auf Grundlage des De-Mail- Kriterienkataloges in der Version 1.2, des De-MailG, BDSG, TKG und TMG sowie weiterer datenschutzrechtlicher gesetzlicher Vorgaben sowie aufgrund der Technischen Richtlinien des BSI TR 01201 in der Version 1.00 durchgeführt. 2 Kurzbezeichnung Am 03. Mai 2011 ist das De-Mail-Gesetz in Kraft getreten. Gemäß 1 Abs. 1 De- Mail-Gesetz sind De-Mail-Dienste definiert als Dienste auf einer elektronischen Kommunikationsplattform, die einen sicheren, vertraulichen und nachweisbaren Geschäftsverkehr für jedermann im Internet sicherstellen sollen. De-Mail-Dienste dürfen nur von solchen Diensteanbietern betrieben werden, die nach dem De-Mail-Gesetz akkreditiert worden sind. Dazu muss der Diensteanbieter bestimmte Anforderungen erfüllen, wozu unter anderem die Einhaltung technischer und organisatorischer Maßnahmen nach der Technischen Richtlinie des BSI TR 01201 und datenschutzrechtliche Anforderungen gehören. Diesem Kurzgutachten liegt ein ausführliches Prüfgutachten für den Datenschutz- Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz zugrunde. Dieses dient dem Nachweis der Einhaltung der datenschutzrechtlichen Kriterien. Auf Grundlage dieses Gutachtens wurde der Telekom Deutschland GmbH am 05.03.2012 durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) das für die Akkreditierung erforderliche Datenschutzzertifikat erteilt. Dieses Zertifikat bestätigt die Datenschutzkonformität der bei der Telekom Deutschland geplanten De-Mail-Dienste. Die Veröffentlichung dieses Kurzgutachtens soll Transparenz für potentielle Nutzer erzeugen sowie darüber informieren, wie die De-Mail funktioniert, was das Gesetz im Hinblick auf den Datenschutz vorschreibt, wie diese Vorgaben bei der Telekom Deutschland umgesetzt worden sind und dass der BfDI mit der Erteilung des Zertifikates das Verfahren für datenschutzkonform befunden hat. Die Telekom Deutschland wendet sich sowohl an Privat- als auch an Geschäftskunden und bietet als wählbare Dienste den Postfach- und Versanddienst, den öffentlichen Verzeichnisdienst und das Accountmanagement an. Darüber hinausgehende freiwillige Dienste, wie die Dokumentenablage und der Identitätsbestätigungsdienst, sind nicht im Leistungsangebot enthalten. März 2012 Kurzgutachten Telekom Deutschland GmbH Seite 3 von 7

3 Detaillierte Bezeichnung 3.1 Funktionsweise von De-Mail Das Projekt De-Mail soll das verbindliche und vertrauliche Versenden elektronischer Nachrichten ermöglichen und stellt eine entsprechende Kommunikationsinfrastruktur für Bürger, sowie öffentliche und nicht-öffentliche Stellen dar. Neben der Nachweismöglichkeit über die Identität der Kommunikationspartner sowie der Zustellung der De-Mails soll der Dienst gewährleisten, dass Inhalte von De-Mails auf ihrem Weg durch das World Wide Web nicht mitgelesen oder manipuliert werden können. Privatkunden können hierzu über ein Webfrontend auf ihren Account zugreifen und so ohne die Implementierung weiterer Software De-Mails versenden. Der Zugriff auf den Account ist dabei mittels https verschlüsselt. Bei Geschäftskunden erfolgt die Kommunikation hauptsächlich über ein Gateway, welches die direkte Schnittstelle zu den Systemen der Telekom Deutschland bildet. Dabei können verschiedene Bestätigungen, wie etwa Eingangs-, Versand- oder für bestimmte öffentliche Stellen die Abholbestätigung angefordert werden. Darüber hinaus wird der Zugang zum Account durch die Möglichkeit einer sicheren Anmeldung besonders geschützt. Im Gegensatz zur normalen Anmeldung mit Benutzernamen und Passwort erfordert die sichere Anmeldung Besitz und Wissen. Die sicherere Anmeldung kann entweder über den neuen Personalausweis oder das Mobil-TAN-Verfahren durchgeführt werden. 3.2 Vorgaben des Gesetzes Der Kriterienkatalog, der als Grundlage der Prüfung sowie des erstellten Gutachtens diente, ist inhaltlich in vier Gruppen aufgeteilt: Rechtliche Zulässigkeit unter Angabe der rechtlichen Erlaubnistatbestände Dienstspezifische Umsetzung der technisch-organisatorischen Anforderungen einschließlich Verschlüsselung, Authentifizierung und Signaturen sowie Anforderungen an Datensparsamkeit Rechte der Betroffenen Einrichtung eines Datenschutzmanagementsystems Die rechtliche Zulässigkeit richtet sich neben den allgemeinen datenschutzrechtlichen Vorgaben vor allem nach denen des De-Mail-Gesetzes, des Bundesdatenschutzgesetzes sowie des Telekommunikations-, Telemedien- und des Signaturgesetzes. Jede Erhebung, Verarbeitung oder Nutzung personenbezogener Daten bedarf demzufolge einer gesetzlichen Ermächtigungsgrundlage oder der ausdrücklichen Einwilligung des Betroffenen. Darüber hinaus sind die Grundsätze der Zweckbindung und der Datenlöschung nach Zweckfortfall zu beachten und für eine nahezu durchgängige dauerhafte Verschlüsselung des Transportes und der Speicherung der Daten zu sorgen. Darüber hinaus ist die Umsetzung der technisch- und organisatorischen Anforderungen nach der Anlage zu 9 BDSG sowie die Verarbeitung personenbezogener März 2012 Kurzgutachten Telekom Deutschland GmbH Seite 4 von 7

Daten hinsichtlich Verschlüsselung, Authentifizierung und Signaturen sowie der Datensicherheit zu gewährleisten. Ferner müssen Rechte der Betroffenen auf Benachrichtigung, Auskunft, Löschung oder Sperrung auf geeignetem Wege umgesetzt werden. Schließlich muss auch ein Datenschutzmanagement im laufenden Betrieb implementiert sein, welches die Umsetzung der rechtlichen und technischen Vorschriften des Datenschutzes beinhaltet und insbesondere Wert auf die Einbeziehung des Datenschutzbeauftragten legt. 3.3 Umsetzung bei der Telekom Deutschland Die datenschutzrechtlichen Vorgaben sind bei der Telekom Deutschland in geeigneter und erforderlicher Weise umgesetzt worden. Es erfolgt ausschließlich eine Datenerhebung, -verarbeitung oder Nutzung auf Grundlage eines rechtlichen Erlaubnistatbestandes. Die Verwendung personenbezogener Daten erfolgt ausschließlich in dem Maße, in dem diese für die Bereitstellung oder Erbringung von Leistungen des De-Mail- Dienstes erforderlich und notwendig sind. Der Nutzer wird über sämtliche Verarbeitungsschritte ausführlich informiert und entscheidet grundsätzlich selbst, welche Daten er angeben möchte und welche nicht. Der Nutzer wird an verschiedenen Stellen über die Verwendung seiner Daten informiert: durch eine Datenschutzerklärung auf der Webseite, ein Hinweisblatt zum Datenschutz, auf dem Identblatt, während der Registrierung sowie in den AGB. Er erhält vor Beginn der Registrierung bei der Telekom Deutschland alle erforderlichen Informationen auf geeignete Weise. Es erfolgte keine Verwendung der Daten durch Dritte. Alle Vertragspartner sind vertraglich auf die Einhaltung der gesetzlich vorgegebenen datenschutzrechtlichen Anforderungen verpflichtet. Die für De-Mail angegebenen Daten werden nicht für den Adresshandel oder für Werbezwecke verwendet. Darüber hinaus ist ein wirksamer und geeigneter Zugriffsschutz auf Nachrichten bzw. deren Inhalte etabliert. Die Nachrichten werden zu jedem Zeitpunkt auf verschlüsseltem Wege transportiert und ebenfalls jederzeit verschlüsselt abgelegt. Die Verschlüsselung ist hochwirksam und dem hohen Schutzbedarf angepasst. Auch während der Überprüfung von Nachrichten auf Schadsoftware befinden sich die Nachrichten auf verschlüsselten Festplatten. Dadurch ist es auch den Mitarbeitern der Telekom Deutschland nicht möglich, auf Nachrichteninhalte zuzugreifen. Hierfür sind außerdem abgestufte Rollen- und Berechtigungskonzepte etabliert, die einen unbefugten Zugriff unterbinden. Diese gewährleisten den Zugriffsund Zugangsschutz auf Systeme und Nutzerdaten. Die Einhaltung der technischen Anforderungen wurde am 02.03.2012 bestätigt durch die Vergabe des ISO 27001-Zertifikates auf der Basis von IT-Grundschutz erweitert um Aspekte aus der Technischen Richtlinie TR 01201 De-Mail. März 2012 Kurzgutachten Telekom Deutschland GmbH Seite 5 von 7

Zusätzlich sind alle Mitarbeiter der Telekom Deutschland auf das Daten- und das Fernmeldegeheimnis verpflichtet. Darüber hinaus ist es den Nutzern möglich, mittels im Öffentlichen Verzeichnisdienst veröffentlichter und hinterlegter öffentliche Schlüssel eine Ende-zu-Ende- Verschlüsselung einzurichten. In diesen Fällen findet keine Überprüfung der Nachrichten auf Schadsoftware statt. Die De-Mail-Systeme sind physikalisch von weiteren Systemen der Telekom Deutschland getrennt. Es erfolgt daher auch keine Vermischung von Datenbeständen. Es sind feste Verfahren und Prozesse etabliert, welche die Umsetzung der Rechte der Betroffenen gewährleisten. Die Kontaktaufnahme mit dem Datenschutzbeauftragten ist über mehrere Eingangskanäle möglich. Es ist ein Datenschutzbeauftragter bestellt, der in technische oder organisatorische Maßnahmen eingebunden ist und für eine konstante Sensibilisierung der Mitarbeiter sorgt, was sich auch im bestehenden Datenschutzmanagement zeigt. Darüber hinaus ist es den Nutzern in den meisten Fällen zusätzlich möglich, Änderungen oder Löschungen im eigenen Account selbst vorzunehmen. Die aus den verschiedenen Verfahrensbeschreibungen ersichtlichen technischen und organisatorischen Maßnahmen gewährleisten eine zweckgebundene Verwendung sowie eine fristgerechte und datenschutzkonforme Löschung der Daten. Insgesamt zeigen die Mitarbeiter der Telekom Deutschland ein hohes Maß an Sensibilisierung für den Schutzbedarf von personenbezogenen Daten. 4 Zusammenfassung der Prüfergebnisse Sämtliche Anforderungen des De-Mail-Kriterienkataloges, des Bundesdatenschutz-, des Telemedien-, des Telekommunikations- und des Signaturgesetzes sind erfüllt. Durch verschiedene Maßnahmen, wie etwa den geregelten und kontrollierten Zutritt zu den Gebäuden der Telekom Deutschland als auch zu den genutzten Rechenzentren, kann von einer vorbildlichen Umsetzung der Zutrittskontrollen gesprochen werden. Auch die Zugangskontrollen zu den Systemen der Telekom Deutschland können als vorbildlich bezeichnet werden. Insgesamt sind die von der Telekom Deutschland gewählten Maßnahmen geeignet, die datenschutzrechtlichen Aspekte der für De-Mail einschlägigen Gesetze zu erfüllen. Während der Interviews und der Dokumentensichtung vor Ort hat sich stets der hohe Grad an Sensibilisierung der Mitarbeiter im Bereich Datenschutz und Datensicherheit gezeigt. Viele Aspekte werden als Selbstverständlichkeiten verstanden und entsprechend umgesetzt und im Betrieb gelebt. März 2012 Kurzgutachten Telekom Deutschland GmbH Seite 6 von 7

5 Datenschutzfördernde Gestaltung An einigen Punkten hat die Telekom Deutschland Maßnahmen zu einer datenschutzfördernden Gestaltung der De-Mail-Dienste ergriffen. Dazu gehören etwa die Möglichkeit, Pseudonym-De-Nail-Adressen nur einmal zu verwenden. Dadurch, dass Pseudonym-De-Mail-Adressen jederzeit erstellt und wieder gelöscht werden können, ist es auch möglich, diese nur einmal zu nutzen. Der Nutzer hat die Möglichkeit, Pseudonym-De-Mail-Adressen sofort wieder frei zu geben. Darüber hinaus erfolgt nach einer fest definierten Zeit der Inaktivität ein automatisches Session-Logout. März 2012 Kurzgutachten Telekom Deutschland GmbH Seite 7 von 7

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback