Aufgrund der technischen Gegebenheiten im Internet ist ein angemessener Schutz personenbezogener Daten häufig nicht gewährleistet
Anlage 31
Hinweise zur datenschutzgerechten Gestaltung und Nutzung von E-Mail-Diensten durch öffentliche Stellen
Die elektronische Post (E-Mail) hat sich als Form des Austauschs und der Übertragung von Informationen in den Verwaltungen etabliert. Sie wird für die interne Kommunikation genutzt, für Mitteilungen an andere Behörden und im Verkehr mit dem Bürger; vielfach dient dabei das Internet als Kommunikationsmedium.
Aufgrund der technischen Gegebenheiten im Internet ist ein angemessener Schutz personenbezogener Daten häufig nicht gewährleistet. Die Vertraulichkeit der übertragenen Daten, ihre Vollständigkeit, Schutz vor unerlaubten Veränderungen (Integrität) sowie die verlässliche Zurechenbarkeit zu einem bestimmten Absender (Authentizität) müssen gegebenenfalls durch zusätzliche Maßnahmen sichergestellt werden.
Die datenschutzrechtlichen Anforderungen ergeben sich u. a. aus § 9 Abs. 2 Nr. 9 Landesdatenschutzgesetz (LDSG). Danach sind bei der Übetragung personenbezogener Daten via E-Mail Maßnahmen zu treffen, die gewährleisten, dass Nachrichten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können. Weitere datenschutzrechtliche Gesichtspunkte sind die Löschung von Nachrichten und die Protokollierung der E-Mail-Nutzung.
Die Datenschutzmaßnahmen sind in einer Dienstanweisung darzustellen (§ 9 Abs. 5 LDSG). Aus technisch-organisatorischer Sicht sind bei der Einführung von E-Mail-Verfahren die nachfolgenden Punkte zu berücksichtigen.1)
1. Organisatorische Festlegungen
Vor der Freigabe von E-Mail-Verfahren ist zu klären, in welchem Umfang die dienstliche Nutzung der elektronischen Post zugelassen wird. Ausschlaggebend sind die bestehenden Anforderungen an die Vertraulichkeit der Information, an deren Schutz vor unbefugter Veränderung und an die Verbindlichkeit einer Mitteilung (vgl. Nr. 3). Dabei ist festzulegen, in welchen Bereichen die elektronische Post ergänzend oder anstelle der Schriftform genutzt werden kann und in welchen Fällen Ausdrucke zu fertigen und zu den Akten zu nehmen sind. Ebenso wie für schriftliche Eingänge sind Vetretungsregelungen zu treffen (siehe Nr. 6). Mailprogramme erlauben es meist, Absenderangaben wie Organisationsbezeichnung, Anschrift, Telefonnummer automatisch an das Ende einer E-Mail anzufügen. Soweit kein besonderer E-Mail-Briefkopf verwendet wird, sollte diese Möglichkeit genutzt werden, um die Zurechenbarkeit einer Nachricht zu unterstützen.
Die Adressierung beim Versand elektronischer Nachrichten muss so eindeutig erfolgen, dass fehlerhafte Zustellungen vermieden werden. Elektronische Nachrichten, die lediglich innerhalb einer öffentlichen Stelle versandt werden sollen, dürfen das interne Netz nicht verlassen. Hierauf ist insbesondere bei der Gestaltung beim Aufbau elektronischer Verteilerlisten zu achten.
2. Beschränkung auf die erforderlichen Komponenten und Dienste
Soweit lediglich die E-Mail-Funktionalität benötigt wird, sind ausschließlich die hierfür benötigten Komponenten bereitzustellen.
Dies kann dadurch erfolgen, dass ein- und ausgehende Verbindungen über filternde Komponenten (z. B. Router) geleitet werden, die unzulässige Protokoll- und Diensteanforderungen zurückweisen. Falls die E-Mail-Anbindung im Rahmen eines mehrere Dienste umfassenden Internet-Zugangs realisiert wird, sind die Empfehlungen des LfD zum Anschluss von Netzen der öffentlichen Verwaltung an das Internet zu berücksichtigen. 2)
3. Verschlüsselung der Inhalte, digitale Signatur Nachrichten der elektronischen Post werden, wenn keine besonderen Vorkehrungen zur Sicherung der Vertraulichkeit getroffen wurden, im Klartext übertragen. Sie können damit auf allen Systemen, über welche die Daten geleitet werden, mitgelesen oder verändert werden. Der Übertragungsweg und seine Eigenschaften sind dem Absender und dem Empfänger, vielfach auch dem Provider, beim E-Mail-Versand in der Regel weder bekannt noch durch sie beeinflussbar, eine Vertrauenswürdigkeit des Transportwegs ist damit nicht gegeben. Kryptographische Verfahren wie Verschlüsselung und digitale Signatur sind hier geeignet, Verletzungen
1) Vgl. Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutzhandbuch
Entschließung der 49. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 9./10. März 1995 zum Datenschutz bei elektronischen Mitteilungssystemen.
Entschließung der Datenschutzbeauftragten des Bundes und der Länder vom 9. Mai 1996 zur sicheren Übertragung personenbezogener Daten.
2) Orientierungshilfe „Anschluss von Netzen der öffentlichen Verwaltung an das Internet" des Arbeitskreises Technik der Datenschutzbeauftragten des Bundes und der Länder. des Datenschutzes bei der Übetragung schutzwürdiger Daten zu verhindern. Mit ihrer Hilfe lassen sich Manipulationen und Übertragungsfehler erkennen und die unberechtigte Kenntnisnahme unterbinden. Verschlüsselungs- und Signaturlösungen sind Stand der Technik und können mit vertretbarem Aufwand eingesetzt werden.
Entsprechend der Sensibilität der übermittelten Daten ist daher bei der Nutzung öffentlicher Übertragungswege eine Verschlüsselung vorzusehen. Aus datenschutzrechtlicher Sicht gilt dies insbesondere für Fälle, in denen besondere Berufs- und Amtsgeheimnisse berührt sind (§ 203 Strafgesetzbuch). Hierbei sind als sicher anerkannte Verfahren mit ausreichender Schlüssellänge zu verwenden. Lösungen, die auf einer einfachen DES-Verschlüsselung oder einer effektiven Schlüssellänge von lediglich 40 Bit beruhen, genügen dem nicht. Geeignete Algorithmen sind z. B. Triple-DES mit 112 Bit oder IDEA mit 64 bzw. 128 Bit Schlüssellänge. Für asymmetrische Verfahren wie RSA wird ein Schlüssel von 1 024 Bit oder mehr empfohlen. Andere Lösungen kommen alternativ in Betracht, wenn diese nachweislich eine vergleichbare Sicherheit bieten. Bei personenbezogenen Daten geringer Sensibilität ist zumindest ein Schutz vor zufälliger Kenntnisnahme vorzusehen.
Für Verschlusssachen gelten die Regelungen der Verschlusssachenanweisung (VSA, MinBl. 1996 S. 66). Danach sind Verschlusssachen bei der Übertragung über technische Kommunikationsverbindungen mit zugelassenen Verfahren zu kryptieren bzw. durch andere zugelassene Maßnahmen zu sichern (VSA Nr. 47.1).
Für die verlässliche Zurechenbarkeit von Nachrichten und den Schutz vor unbefugten Veränderungen sollte daher auf digitale Signaturverfahren zurückgegriffen werden. Das in dieser Hinsicht mit einer zertifizierten Lösung nach dem Signaturgesetz (SigG) verbundene Schutzniveau kommt in der Regel nur dort in Betracht, wo besondere Anforderungen an Authentizität und Integrität elektronischer Daten bestehen und ein grundsätzlich offener Teilnehmerkreis vorliegt. Wenn regelmäßig ausschließlich festgelegte Stellen miteinander kommunizieren oder geringere Anforderungen an die Zurechenbarkeit und Unversehrtheit der Daten gestellt werden, sind aus Sicht des Datenschutzes auch andere Verfahren im Sinne des § 1 Abs. 2 SigG ausreichend.
Neben der Auswahl geeigneter Algorithmen ist beim Einsatz der Verfahren darauf zu achten, dass kein unbefugter Zugriff auf die verwendeten Schlüssel erfolgen kann. Soweit diese auf Festplatten oder Disketten gespeichert werden, sind sie durch geeignete Maßnahmen (z. B. Passphrase) entsprechend zu schützen.
4. Prüfung auf Schadensfunktionen in E-Mail-Anhängen Nachrichten sind häufig Anlagen in Form von Dateien beliebigen Inhalts beigefügt. Diese können, vor allem, wenn es sich um lauffähige Programme, selbstextrahierende Dateien oder Dateien mit Makrofunktionen handelt, Schadensfunktionen enthalten. Vor der weiteren Verarbeitung sind daher die E-Mail-Eingänge mit aktuellen Prüfprogrammen regelmäßig auf sicherheitsrelevante Inhalte hin (Programm und Makroviren, Trojanische Pferde, ActiveX/Java-Komponenten usw.) zu untersuchen. Die Anwender sind darauf hinzuweisen, dass der Aufruf von E-Mail Anhängen, deren Schadensfreiheit nicht kontrolliert wurde, zu Problemen führen kann und unterbleiben soll.
5. Löschen von Nachrichten Personenbezogene Nachrichten sind nach § 19 Abs. 2 LDSG zu löschen, wenn ihre Kenntnis zur Aufgabenerfüllung nicht mehr erforderlich ist. Für die Speicherung verschickter und empfangener Nachrichten in den elektronischen Postfächern der Benutzer sowie auf dem Mail-Server der speichernden Stelle sind daher Regelungen über die Dauer der Speicherung zu treffen. Die daraus folgende Löschung nach Ablauf der festgelegten Speicherungsfrist sollte möglichst durch technische Maßnahmen unterstützt werden.
Die eingesetzten Programme für die E-Mail-Nutzung sind so zu konfigurieren, dass erfolgreich empfangene Nachrichten auf dem Mailserver des Providers gelöscht werden.
Im Hinblick auf die nach § 6 Abs. 2 Teledienstedatenschutzgesetz (TDDSG) vorgeschriebene Löschung von Nutzungs- und Abrechnungsdaten durch den Provider sollte im Rahmen des Vertragsschlusses eine entsprechende Bestätigung eingeholt werden.
6. Administration und Konfiguration der Mail-Systeme
Im Zusammenhang mit der o. g. Filterung von E-Mail-Verbindungen und der Prüfung auf sicherheitsrelevante Inhalte empfiehlt sich die Installation des lokalen Mail- bzw. Kommunikationsservers auf einem separaten Rechner. Die Verwaltung des Mail-Systems (postmaster) sollte aus Sicherheitsgründen von der Netzwerkverwaltung getrennt werden.
Der Verbindungsaufbau darf ausschließlich von der öffentlichen Stelle aus zum jeweiligen Provider möglich sein (Dial-up). Vorhandene Sicherheitsfunktionen der Anschlusskomponenten sind zu nutzen (vgl. Hinweise des LfD zur Einrichtung von ISDNWählverbindungen). Der Zugang zu den Postfächern der einzelnen Mitarbeiter oder Sachbereiche ist im Rahmen der Speicher- und Zugriffskontrolle nach § 9 Abs. 2 Nr. 3 und 5 LDSG durch geeignete Maßnahmen wie Benutzerpassworte oder vergleichbare Lösungen (z. B. Chipkarte, Token) zu sichern.
Dies gilt auch für die lediglich vorübergehend benötigten Zugriffe im Vertretungsfall. Die Weiterleitung von Nachrichten im Vertretungsfall sollte nach Möglichkeit durch die Eingabe eines Abwesenheitszeitraums durch den Vertretenen und die damit verbundene automatische Zustellung an die jeweilige Vertretung erfolgen. Bei Inanspruchnahme der Vertretungsberechtigung muss im Rahmen der Eingabekontrolle erkennbar sein, dass nicht der eigentlich zuständige Bearbeiter, sondern die Vertretung zugegriffen hat.
7. Protokollierung der E-Mail-Nutzung
Nach § 9 Abs. 2 Nr. 6 LDSG ist im Rahmen der Übermittlungskontrolle zu gewährleisten, dass festgestellt werden kann, an wen welche personenbezogenen Daten durch Einrichtungen zur Datenübertragung übermittelt werden können und dies einschließlich des Zeitpunktes stichprobenweise überprüft werden kann. Darüber hinaus kann eine Protokollierung für Zwecke der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs erfolgen. Hinsichtlich der Überwachung der ordnungsgemäßen Nutzung eines dienstlich bereitgestellten E-Mail-Zugangs bestehen gegen die Protokollierung
des Versands von Nachrichten an gesperrte Empfängeradressen,
des Versands/Empfangs von Nachrichten, die einen festgelegten Umfang überschreiten,
des Versands/Empfangs von Massensendungen (Spam-Mail),
des Empfangs von Nachrichten mit Schadensfunktionen (s. Nr. 4) sowie
von Fehlermeldungen keine Bedenken. Im Vordergrund steht dabei vor allem die Dokumentation sicherheitsrelevanter, auffälliger oder von allgemeinen Vorgaben abweichender Vorgänge. Bezüglich ihrer Nutzung unterliegen Protokolldaten einer engen Zweckbindung (§ 13 Abs. 5 LDSG). Ausdrücklich untersagt ist die Nutzung zu Zwecken der Verhaltens- oder Leistungskontrolle (§ 31 Abs. 5 LDSG). Eine vollständige Aufzeichnung aller benutzerspezifischen Aktivitäten durch die Systembetreuung, insbesondere die grundsätzliche Speicherung der Inhalte elektronischer Post, ist im Allgemeinen nicht erforderlich. Beim Verdacht auf eine missbräuchliche Nutzung des E-Mail-Dienstes kann es notwendig werden, den Umfang der Protokollierung vorübergehend zu erweitern. Die Entscheidung hierüber sollte an der Häufigkeit und Bedeutung der aufzuklärenden Umstände orientiert und unter Beteiligung der Personalvertretung getroffen werden.
Inwieweit eine Protokollierung datenschutzrechtlichen Anforderungen entspricht, bemisst sich weiterhin nach der Dauer der Aufbewahrung der Protokolldaten und den bestehenden Zugriffs- und Auswertungsmöglichkeiten. Nach den Empfehlungen des LfD sollte die Aufbewahrungsdauer von Protokolldaten den Zeitraum eines Jahres nicht überschreiten. Soweit Protokolle zum Zweck gezielter Kontrollen angefertigt werden, ist eine kürzere Speicherungsdauer vorzusehen; in der Regel reicht dabei eine Aufbewahrung bis zur tatsächlichen Kontrolle aus.
8. Veröffentlichung der E-Mail-Adressen der Angehörigen öffentlicher Stellen Angaben über die elektronische Erreichbarkeit (Name, Amts- und Funktionsbezeichnung, dienstliche E-Mail-Adresse, öffentlicher Kryptografieschlüssel) unterliegen bei Angehörigen öffentlicher Stellen als Amtsträgerdaten nicht dem informationellen Selbstbestimmungsrecht. Gegen die Veröffentlichung dienstlicher E-Mail-Adressen bestehen daher aus datenschutzrechtlicher Sicht keine Bedenken. Dies beschränkt sich jedoch grundsätzlich auf Funktionsträger, die im Rahmen ihrer Aufgabenerfüllung nach außen hin tätig werden. Fürsorgegesichtspunkte können auch in diesen Fällen eine Beschränkung oder neutrale Fassung der Angaben erforderlich machen.
9. Private Nutzung Gestattet der Dienstherr allgemein die private Nutzung eines vorhandenen E-Mail-Dienstes, wird er medienrechtlich zum Anbieter eine Teledienstes nach § 2 Abs. 2 Nr. 1 TDG und unterliegt den besonderen Anforderungen des Medienrechts an die Verarbeitung von Nutzungs- und Abrechnungsdaten. Mit der Erlaubnis zur privaten Nutzung der Kommunikationsanlage erbringt er weiterhin einen geschäftsmäßigen Telekommunikationsdienst gemäß § 3 Nr. 5 Telekommunikationsgesetz (TKG). Die private Nutzung des E-Mail-Dienstes unterliegt damit dem Fernmeldegeheimnis nach § 85 Abs. 2 TKG. Dieses erstreckt sich auf die Inhalte der Telekommunikation und ihre näheren Umstände.
Nach § 4 Abs. 2 Nr. 2 TDDSG hat der Diensteanbieter durch technisch-organisatorische Vorkehrungen sicherzustellen, dass die anfallenden personenbezogenen Daten über den Ablauf des Abrufs oder Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht werden, soweit nicht eine längere Speicherung für Abrechnungszwecke erforderlich ist. Die Dauer der Speicherung von Abrechnungsdaten richtet sich nach § 6 Abs. 2 Nr. 2 TDDSG und beträgt bei Einzelnachweisen in der Regel 80 Tage nach Rechnungsversand. Die Nutzer sind nach § 3 Abs. 5 TDDSG über Art, Umfang, Ort und Zwecke der Verarbeitung personenbezogener Daten zu unterrichten.
Bei Vorliegen tatsächlicher Anhaltspunkte dürfen personenbezogene Daten der Nutzer für die Aufklärung einer missbräuchlichen Inanspruchnahme des Dienstes ermittelt werden (vgl. Nr. 7). In der Dienstanweisung sollte daher festgelegt werden, ob und ggf. mit welchen Einschränkungen eine private Nutzung zugestanden wird.