Der Thüringer Landesbeauftragte für Datenschutz und Informationsfreiheit (TLfDI), Herr Dr. Hasse, äußert in einer aktuellen Pressemitteilung scharfe Kritik an der De-Mail und geplanten Gesetzesänderungen (BT-Drs. 17/11437), u. a. des § 30 und § 87 Abgabenordnung (AO) und § 67 Abs. 6 S. 2 Nr. 3 des SGB X.
Kritik an De-Mail
Die Kritik des TLfDI richtet sich zunächst grundsätzlich gegen das De-Mail-Gesetz. Da eine kurzzeitige Entschlüsselung von, auch mit sensiblen Daten, versehenen Nachrichten gesetzlich vorgeschrieben sei, bevor diese weitergeleitet werden, entstehe eine Schutzlücke. Zwar soll der akkredierte Diensteanbieter, welcher die Nachrichten auf Schadsoftware prüfen und dafür entschlüsseln sollen, dafür sorgen, dass für Unbefugte keine Möglichkeit besteht, den Nachrichteninhalt zu Kenntnis zu nehmen. Jedoch sei nicht klar wer „unbefugt“ sei bzw. könnten gesetzgeberische Bestimmungen Unbefugte zu Befugten werden lassen.
Änderung der Abgabenordnung
Genau solche gesetzgeberischen Änderungen seien nun in Bezug auf die §§ 30 und 87 AO in Planung. Das Entschlüssen und Überprüfen von sensiblen Daten, welche auch dem Steuergeheimnis unterliegen, wird per gesetzlicher Definition kurzer Hand als befugte Offenbarung bestimmt. Auch ein Verstoß gegen das Verschlüsselungsgebot liege nicht vor. Der TLfDI findet es „bemerkenswert“, dass der Gesetzgeber dieses Öffnen und Prüfen der De-Mails als völlig unkritisch einstuft.
Änderung des SGB X
In § 67 Abs. 6 S. 2 Nr. 3 SGB X soll nach dem Gesetzentwurf eine Übermittlung von sensiblen Daten per De-Mail keine Übermittlung mehr darstellen. Der TLfDI kritisiert, dass auf diese Weise der (eigentlich nach deutschem Datenschutzrecht) stattfindende Übermittlungsvorgang sensibler Daten, keinem dem im SGB X grundsätzlich vorgeschriebenen Stand der Technik entsprechenden Verschlüsselungsverfahren mehr unterliegen muss.
Fazit
Mit bemerkenswert klaren Worten kritisiert ein Landesdatenschützer die gesetzgeberischen Pläne zur Änderung der Bestimmungen zum Schutz von sensiblen Daten bei der Nutzung der De-Mail. Sein Ratschlag ist, dass jeder Bürger sich gut überlegen sollte, ob er De-Mail für sensible Daten überhaupt nutzen möchte. Und wenn doch, dann nur unter Hinzunahme zusätzlicher Verschlüsselungssoftware (für eine sog. Ende-zu-Ende Verschlüsselung). Auch der Bundebeauftragte für Datenschutz und Informationsfreiheit hat bereits im Jahre 2011 zu einer zusätzlichen Verschlüsselung geraten.
Diese Vorgänge um die De-Mail zeigen jedoch auch, wie einfach es sich leider teilweise der deutsche Gesetzgeber macht, wenn er tatsächlich gegebene sicherheitskritische Aspekte per legem auszublenden versucht.