9. Februar 2009 - DE-Mail

Datenschutz bei DE-Mail – Totgeburt oder vertrauenswürdig?

Nachdem die Bundesregierung den Entwurf des Bundesinnenministeriums für ein Gesetz zur Regelung von Bürgerportalen beschlossen hat, könnte DE-Mail ab 2010 die E-Mail-Kommunikation im Internet sicherer machen. Datenschützer begrüßen die Bestrebungen der Bundesregierung, die Sicherheit von E-Mail zu erhöhen, weisen aber auf einen Verbesserungsbedarf bei dem DE-Mail-Konzept hin.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Der von der Bundesregierung beschlossene Entwurf für ein Gesetz zur Regelung von Bürgerportalen sieht die Einführung von DE-Mail ab 2010 vor.

Das beinhaltet das DE-Mail-Konzept

Dazu gehören die Funktionen

1. Postfach und Versand:
Rechtsverbindlicher Empfang beziehungsweise Versand von Nachrichten bzw. Dokumenten (mit Nachweis des Versands und Eingangsbestätigung)

2. Dokumentensafe:
Archiv, um Nachrichten bzw. Dokumente langfristig und sicher zu lagern

3. Authentisierung:
Möglichkeit zum Nachweis von Identitätsmerkmalen mittels eines „Ident-Nachweises“, zum Beispiel für Erstregistrierungen bei Webdiensten

Peter Schaar sieht Verbesserungsbedarf

„Grundsätzlich begrüße ich die Absicht der Bundesregierung, mehr Sicherheit und Datenschutz bei der Kommunikation der Bürgerinnen und Bürger mit der Verwaltung zu ermöglichen. Von zentraler Bedeutung ist für mich dabei, dass die Kommunikation der Nutzer wirksam gegen die Kenntnisnahme Dritter geschützt wird. Mir reicht es nicht aus, dass die Diensteanbieter bei DE-Mail untereinander verschlüsselt kommunizieren sollen“, erklärt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar.

„Damit könnten Nachrichten bei den Anbietern weiterhin von Dritten gelesen und ggf. verändert werden. Deshalb sollte die Kommunikation durch eine Ende zu Ende-Verschlüsselung zwischen Absender und Empfänger gesichert werden. Auch die Ablage persönlicher Daten in einem elektronischen „Safe“ ist nur wirklich sicher, wenn die Daten verschlüsselt gespeichert werden und ausschließlich der Betroffene den elektronischen Schlüssel dazu besitzt“, so Schaar weiter.

Weitere Artikel zum Thema „E-Mail“

Clientseitige Verschlüsselung für DE-Safe

Unter anderem die Sicherheit der im virtuellen Dokumentsafe gespeicherten Daten gegen Datenverlust und der Schutz von deren Vertraulichkeit und Integrität waren auch Gegenstand einer Kleinen Anfrage verschiedener Abgeordneter der Fraktion der FDP (Drucksache 16/11268).

Die Antwort der Bundesregierung dazu besagt, dass die Dokumente im DE-Safe standardmäßig verschlüsselt abgelegt und nur bei Abruf durch den (authentifizierten) Nutzer durch den DE-Mail-Provider entschlüsselt würden.

Durch organisatorische Maßnahmen, die entsprechend zertifiziert werden müssten, würde gewährleistet, dass der Provider nicht unberechtigterweise auf die Daten des Nutzers zugreifen könne.

Bei Bedarf könnte der Nutzer auch einzelne, alle oder bestimmte Kategorien seiner Dokumente zusätzlich clientseitig verschlüsseln und im DE-Safe ablegen.

Konkrete Schritte für mehr Datenschutz

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit möchte zudem darauf hinwirken, dass die Diensteanbieter nach den Regeln eines genau definierten Datenschutzaudits zertifiziert werden. Angeboten werden soll De-Mail von zertifizierten, staatlich geprüften Unternehmen aus der Wirtschaft.

Zudem sollten die Feststellung der Identitätsdaten sowie die Verwendung und Aufdeckung von Pseudonymen genauer geregelt werden.

Weiterhin sieht er Bedarf dafür, dass

  • der Eintrag einer De-Mail-Adresse ins Melderegister und die Folgen für Bürger und Bürgerinnen erkennbar sein müssen,
  • eine Benachteiligung, z.B. dann, wenn kein Eintrag erfolgt, ausgeschlossen wird und
  • es weiterhin möglich sein muss, dass Bürgerinnen und Bürger bestimmte Dienste der Verwaltung in Anspruch nehmen können, ohne sich persönlich zu identifizieren.

Schutzfunktionen klären

Die genaue Bestimmung des Absenders ist mit dem aktuellen De-Mail-Konzept ebenso nicht zweifelsfrei möglich wie der Schutz vor Manipulation und ungewollter Löschung im sogenannten De-Safe, so die Erläuterung des BfDI.

Ein Schutz vor Spam und Identitätsdiebstahl sei nur dann realisierbar, wenn die Bürgerinnen und Bürger das DE-Mail-Postfach nicht für Absender außerhalb der DE-Mail öffnen oder ihr eigenes, bereits vorhandenes Postfach nicht mit der DE-Mail zusammenführen.

Erfolg von DE-Mail setzt Vertrauen voraus

Zum Entwurf des Bürgerportalgesetzes wurde vom 20. November bis zum 12. Dezember 2008 eine Online-Konsultation durchgeführt.

Über 11.000 Bürgerinnen und Bürger sowie Vertreter von Behörden, Unternehmen und sonstigen Institutionen sollen die entsprechende Webseite besucht haben. Das Angebot umfasste dabei auch die Möglichkeit zur direkten Kommentierung des Gesetzentwurfes.

Die eingegangenen Kommentare und Beiträge wurden in der dem Kabinett vorgelegten Fassung des Gesetzes bereits berücksichtigt, so das Bundesministerium des Innern gegenüber der Presse.

Ein Blick in die Kommentare und Beiträge zeigt jedoch, dass sich so manche Stimmen gefunden haben, die dem Konzept von DE-Mail noch misstrauen.

Totgeburt?

Selbst von „Totgeburt“ war dort die Rede. Das Vertrauen aber ist eine zwingende Bedingung für die Akzeptanz des DE-Mail-Dienstes, der auf einer freiwilligen Teilnahme der Bürgerinnen und Bürger basiert.

Ein wichtiger Schritt in diese Richtung wären zweifellos die vom BfDI geforderten Datenschutzaudits als Voraussetzung für die Zertifizierung eines De-Mail-Providers.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

 

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln