Manchmal muss man sich wirklich Fragen, wie wenig Sensibilität selbst solche Behörden haben, die grundsätzlich in sicherheitsrelevanten Bereichen arbeiten. So leistete sich vor kurzem das BKA einen Verstoß gegen das Bundesdatenschutzgesetz, der unter Datenschützern wohl auch auf unzureichende Schulungen der entsprechende Mitarbeiter zurückzuführen sein dürfte.
Der Inhalt im Überblick
Was ist passiert?
Ermittler des BKA fragten Bestandsdaten bei Providern per unverschlüsselter E-Mail ab. „Bestandsdaten“ sind gem. § 3 Nr. 3 TKG Daten eines Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden. Dies sind z.B. Name, Adresse, E-Mail-Adresse.
Der Bundesminister des Innern, Thomas de Maizière, teilte nach Informationen von Heise mit, dass das BKA nur im Klartext Bestandsdaten anfordere, wenn beim Provider keine Verschlüsselung für die E-Mail-Kommunikation möglich sei oder der Zugangsanbieter die bei der Polizeibehörde genutzten Methoden nicht unterstütze.
Vorgehen inakzeptabel
Das Vorgehen des BKA stellt einen klaren Verstoß gegen das Bundesdatenschutzgesetz dar und ist in jedem Fall inakzeptabel. Sowohl für öffentliche, wie auch nicht-öffentliche Stellen gelten die nach § 9 BDSG nebst Anlage zu § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen.
Im Rahmen der Transportkontrolle soll sichergestellt werden, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Hierzu zählen insbesondere Maßnahmen zur Verschlüsselung.
Mit Sicherheit hätte das BKA die Möglichkeiten gehabt, die Abfrage der Bestandsdaten in verschlüsselter Form durchzuführen. Die Tatsache, dass trotz der bestehenden Möglichkeiten einer verschlüsselten Abfrage dennoch unverschlüsselte Auskunftsersuchten seitens der Polizeibehörden erfolgen, hat bereits der E-Mail Dienstleisters Posteo in seinem Transparentbericht von 2014 scharf kritisiert.
Verantwortung der Provider
Die Provider als verantwortliche Stellen für die gespeicherten personenbezogenen Daten trifft ebenfalls die Pflicht, Daten nur in verschlüsselter Form herauszugeben. In keinem Fall sollte dem ggf. aufgebauten Druck der Behörden nachgegeben werden.
Tipp
Sollte es dem BKA oder anderen Ermittlungsbehörden tatsächlich unmöglich sein die Techniken von PGP oder S/MIME zu nutzen, bliebe da immer noch der Einsatz von verschlüsselten Anhängen. Hierzu bieten sich insbesondere Komprimierungsprogramme, zum Beispiel 7zip an.
@Tim Becker
Wussten Sie, dass das BKA Verdachtsmeldungen nach GwG per unverschlüsselter E-Mail und per Fax entgegen nimmt? Selbst Fax wird noch als „sicheres“ Transportmedium angesehen.
Im (hoffentlich unwahrscheinlichen) Fall, dass Sie (wenn dann natürlich zu Unrecht) in den Verdacht der Geldwäsche geraten (die Verdachtsschwelle wird seit Jahren immer weiter abgesenkt), dann werden Ihre Personalausweisdaten (ggf. Ausweiskopien), Ihre Kontostände, Kontobewegungen, Produktverträge, Korrespondenz etc. auf unsicherem Weg ans BKA übermittelt.
Im Namen der Sicherheit wird Unsicherheit geschaffen.
Ich habe das Gefühl, dass der Regierung der Datenschutz ohnehin unwichtig ist. Solche Vorkommnisse zeigen ja, dass keinerlei Bemühungen unternommen wurden, wenn die vorgesehenen Maßnahmen zum Datenschutz nicht ohne weiteres möglich sind.