PresseBox
Pressemitteilung BoxID: 592100 (Thüringer Landesbeauftragter für den Datenschutz)
  • Thüringer Landesbeauftragter für den Datenschutz
  • Johann-Sebastian-Bach-Str. 1
  • 99096 Erfurt
  • http://www.tlfdi.de
  • Ansprechpartner
  • Franziska Rühlemann
  • +49 (361) 37719-00

Gefahr für Steuergeheimnis und Sozialdaten

(PresseBox) (Erfurt, ) Mail-Diensten (z.B. Versenden von De-Mails oder das Ablegen von wichtigen Dokumenten in einem sogenannten De-Safe) ein sicherer, vertraulicher und nachweisbarer Geschäftsver-kehr für jedermann im Internet gewährleistet werden soll.

Doch diese Vertraulichkeit lässt zu wünschen übrig. Die teilnehmenden akkreditierten Diensteanbieter sind nach dem Gesetz gezwungen, durch geeignete Maßnahmen sicherzu-stellen, dass nach Eingang einer Nachricht diese unmittelbar auf Schadsoftware zu prüfen ist. Dies bedeutet, dass dort jede De-Mail für einen kurzen Moment automatisch entschlüs-selt und geprüft wird, bevor sie weitergeleitet oder für den Abruf gespeichert wird. Beruhigt wird der Nutzer damit, dass die Diensteanbieter durch eine vom Bundesamt für Sicherheit in der Informationstechnik herausgegebenen Technischen Richtlinie (BSI TR 01201) i. V. m. § 18 De-Mail-Gesetz verpflichtet wurden, die Entschlüsselung ausschließlich zur Prüfung auf Schadsoftware durchzuführen und durch geeignete Maßnahmen sicherzustellen, dass für Unbefugte keine Möglichkeit besteht, den Nachrichteninhalt zur Kenntnis zu nehmen. Der Begriff des Unbefugten wird jedoch nicht näher bestimmt. Derjenige, der heute noch unbe-fugt ist, kann morgen schon zu einem Befugten werden !

Manche glauben gar, diese gesetzlich vorgeschriebene kurzzeitige Entschlüsselung der Daten in den Klartext könnte sich zu einer Schnittstelle für Ermittlungsbehörden entwickeln.

Aus datenschutzrechtlicher Sicht wird den Bürgern, den Unternehmen und der Verwaltung mit De-Mail keine vertrauliche Kommunikationsmöglichkeit für das Internet ermöglicht. Das De-Mail-Gesetz erlaubt zwar, zusätzlich eine Ende-zu-Ende Verschlüsselung einzuset-zen, allerdings muss sich der Nutzer darum selbst kümmern und der Empfänger muss diese auch handhaben können.

2011 hat der Gesetzgeber noch erkannt, dass mit De-Mail keinesfalls die Vertraulichkeit der Daten gewährleistet wird. So wurde in der Begründung zum De-Mail-Gesetz extra darauf hingewiesen, dass im Bereich des § 30 Abgabenordnung (AO) - Steuergeheimnis - eine Übermittlung von Nachrichten per De-Mail von der Behörde zu Steuerpflichtigen ausscheide. Mit dem derzeit im Bundesrat vorliegenden Gesetzentwurf zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften (BT DS 17/11473) will der Bund nun auch den elektronischen Versand von besonders sensiblen Daten, wie bspw. Sozial- und Steuerdaten, per De-Mail zulassen. Dies geschieht, in dem er das Öffnen und Prüfen der De-Mails beim Diensteanbieter nunmehr per Gesetz als unkritisch einstuft - ein bemerkenswer-tes Vorgehen:

In § 30 AO und § 87 AO soll die Klausel aufgenommen werden, dass der Vorgang bei den Diensteanbietern (Entschlüsseln und Prüfen von Daten, die auch dem Steuergeheimnis un-terliegen) nun doch keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten sei und nicht gegen das Verschlüsselungsgebot verstoßen werde.

Doch weiter:

Die Datenübermittlung von Sozialdaten ist im Zehnten Buch Sozialgesetzbuch (SGB X) in der Anlage zum SGB X geregelt. Werden Sozialdaten automatisiert verarbeitet oder genutzt, sind insbesondere dem Stand der Technik entsprechende Verschlüsselungsverfahren einzu-setzen. Eine dem Stand der Technik entsprechende Ende-zu-Ende Verschlüsselung ist da-her zwingend vorgeschrieben.

Der Gesetzgeber will nunmehr jedoch in § 67 Abs. 6 Satz 2 Nr. 3 Zehntes Buch Sozialge-setzbuch (SGB X) vorsehen, dass das Übermitteln einer De-Mail zum Diensteanbieter kraft Gesetzes gar keine Übermittlung sei - ebenfalls bemerkenswert.

Die beabsichtigte Folge wäre, dass der bisher vorgeschriebene Einsatz von dem Stand der Technik entsprechenden Verschlüsselungsverfahren ausgehebelt werden würde und bei der Datenübermittlung von Sozialdaten mittels De-Mail keine Ende-zu Ende-Verschlüsselung mehr erfolgen muss.

Seltsam: Der Gesetzgeber in seiner Gesetzesbegründung selbst darauf hin, dass es in be-stimmten Konstellationen erforderlich werden könne, die Ende-zu-Ende-Verschlüsselung zusätzlich zur De-Mail zu verwenden und die Empfehlungen der Beauftragten für den Daten-schutz des Bundes und der Länder zu beachten.

Den Bürgern ist daher dringend anzuraten, genau zu prüfen, ob sie De-Mail nutzen möchten und inwieweit sie ihre De-Mail-Adresse in öffentlichen Verzeichnissen für alle Verfahren der Behörden zugänglich machen oder den Zugang weiterhin gegenüber jeder Behörde einzeln erklären wollen.

Wenn Sie sensible Daten tatsächlich vertraulich versenden möchten, müssen Sie diese selbst mit Zusatzsoftware vor dem Versand verschlüsseln. Entsprechende Software wird speziell vom Bundesamt für Sicherheit in der Informationstechnik für die Ende-zu-Ende-Verschlüsselung bei der Nutzung von De-Mail empfohlen:
https://www.bsi.bund.de/BSIFB/DE/SicherheitImNetz/KommunikationUeberInternet/De-Mail/VorteileundFunktionen/EndezuEndeVerschluesselung/EndezuEndeVerschluesselung.html