Bundesamt für Sicherheit in der Informationstechnik

Der Datenschutznachweis - ein Bestandteil der Akkreditierung

Nach dem De-Mail-Gesetz benötigt ein Anbieter von De-Mail-Diensten für seine Akkreditierung neben den Nachweisen für IT-Sicherheit, Interoperabilität und Funktionalität auch einen Datenschutznachweis.
Der De-Mail-Diensteanbieter muss nachweisen, dass er bei Gestaltung und Betrieb seiner De-Mail-Dienste die gesetzlichen, datenschutzrechtlichen Anforderungen erfüllt.
Dadurch wird zum einen die Vertrauenswürdigkeit der angebotenen Dienste betont, zum anderen dem Schutz der im Rahmen des Informationsverbunds verwendeten personenbezogenen Daten besondere Bedeutung beigemessen.

Kriterienkatalog für den Datenschutznachweis

Gemäß § 18 Absatz 3 Nummer 4 De-Mail-Gesetz muss ein Diensteanbieter für die Akkreditierung den Nachweis erbringen, dass er bei Umsetzung und Betrieb von De-Mail-Diensten die datenschutzrechtlichen Anforderungen einhält.

Die datenschutzrechtlichen Kriterien, die der Diensteanbieter erfüllen muss, sind in einem Kriterienkatalog definiert, der in der Verantwortung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) liegt. Der Katalog ist auf den De-Mail-Seiten der BfDI für jeden öffentlich verfügbar.

Der Weg zum Datenschutznachweis - Zuständigkeit der BfDI

Wer eine Akkreditierung als Anbieter von De-Mail-Diensten erhalten möchte, muss nachweisen, dass bei Gestaltung und Betrieb jedes Dienstes die gesetzlich vorgeschriebenen datenschutzrechtlichen Anforderungen eingehalten werden. Hinsichtlich der informationstechnischen Aspekte, die die Datensicherheit betreffen und damit bereits in der Prüfung der Sicherheit enthalten sind, kann auf diese verwiesen werden.

Der Nachweis kann durch ein Zertifikat der BfDI geführt werden. Das Zertifikat wird erteilt, wenn die BfDI aufgrund einer vorangehenden Prüfung davon überzeugt ist, dass die De-Mail-spezifischen Anforderungen an die Umsetzung des Datenschutzes tatsächlich erfüllt werden.

Der Diensteanbieter muss also einen schriftlichen Antrag auf Erteilung des Zertifikats bei der BfDI stellen und ein Gutachten einer qualifizierten Prüfstelle vorlegen. Dieses Gutachten muss belegen, dass der Diensteanbieter jene Voraussetzungen erfüllt, die in dem Kriterienkatalog mit den De-Mail-spezifischen Anforderungen für den Datenschutz-Nachweis definiert wurden.

Als Prüfstelle kommt eine sachverständige Stelle für Datenschutz in Betracht, die vom Bund oder von einem Land anerkannt oder öffentlich bestellt oder beliehen ist. Dies können z. B. Prüfstellen / Gutachter sein, die beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) als Sachverständiger anerkannt sind.

Dieses Vorgehen entspricht prozessual dem Vorgehen der Erteilung der Testate zu Sicherheit, Funktionalität und Interoperabilität, bei denen ebenfalls Prüfberichte qualifizierter Prüfstellen bzw. Auditoren vorzulegen sind.

Im Rahmen der Akkreditierung bestätigt die für die Akkreditierung zuständige Behörde (dem De-Mail-Gesetz entsprechend das BSI) die Vorlage dieses Datenschutznachweises formal, ohne diesbezügliche weitere inhaltliche Prüfungen vorzunehmen.