Zum Inhalt springen Zur Navigation springen
BKA fragt unverschlüsselt Daten ab

BKA fragt unverschlüsselt Daten ab

Manchmal muss man sich wirklich Fragen, wie wenig Sensibilität selbst solche Behörden haben, die grundsätzlich in sicherheitsrelevanten Bereichen arbeiten. So leistete sich vor kurzem das BKA einen Verstoß gegen das Bundesdatenschutzgesetz, der unter Datenschützern wohl auch auf unzureichende Schulungen der entsprechende Mitarbeiter zurückzuführen sein dürfte.

Was ist passiert?

Ermittler des BKA fragten Bestandsdaten bei Providern per unverschlüsselter E-Mail ab. „Bestandsdaten“ sind gem. § 3 Nr. 3 TKG Daten eines Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden. Dies sind z.B. Name, Adresse, E-Mail-Adresse.

Der Bundesminister des Innern, Thomas de Maizière, teilte nach Informationen von Heise mit, dass das BKA nur im Klartext Bestandsdaten anfordere, wenn beim Provider keine Verschlüsselung für die E-Mail-Kommunikation möglich sei oder der Zugangsanbieter die bei der Polizeibehörde genutzten Methoden nicht unterstütze.

Vorgehen inakzeptabel

Das Vorgehen des BKA stellt einen klaren Verstoß gegen das Bundesdatenschutzgesetz dar und ist in jedem Fall inakzeptabel. Sowohl für öffentliche, wie auch nicht-öffentliche Stellen gelten die nach § 9 BDSG nebst Anlage zu § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen.

Im Rahmen der Transportkontrolle soll sichergestellt werden, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Hierzu zählen insbesondere Maßnahmen zur Verschlüsselung.

Mit Sicherheit hätte das BKA die Möglichkeiten gehabt, die Abfrage der Bestandsdaten in verschlüsselter Form durchzuführen. Die Tatsache, dass trotz der bestehenden Möglichkeiten einer verschlüsselten Abfrage dennoch unverschlüsselte Auskunftsersuchten seitens der Polizeibehörden erfolgen, hat bereits der E-Mail Dienstleisters Posteo in seinem Transparentbericht von 2014 scharf kritisiert.

Verantwortung der Provider

Die Provider als verantwortliche Stellen für die gespeicherten personenbezogenen Daten trifft ebenfalls die Pflicht, Daten nur in verschlüsselter Form herauszugeben. In keinem Fall sollte dem ggf. aufgebauten Druck der Behörden nachgegeben werden.

Tipp

Sollte es dem BKA oder anderen Ermittlungsbehörden tatsächlich unmöglich sein die Techniken von PGP oder S/MIME zu nutzen, bliebe da immer noch der Einsatz von verschlüsselten Anhängen. Hierzu bieten sich insbesondere Komprimierungsprogramme, zum Beispiel 7zip an.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • @Tim Becker

    Wussten Sie, dass das BKA Verdachtsmeldungen nach GwG per unverschlüsselter E-Mail und per Fax entgegen nimmt? Selbst Fax wird noch als „sicheres“ Transportmedium angesehen.

    Im (hoffentlich unwahrscheinlichen) Fall, dass Sie (wenn dann natürlich zu Unrecht) in den Verdacht der Geldwäsche geraten (die Verdachtsschwelle wird seit Jahren immer weiter abgesenkt), dann werden Ihre Personalausweisdaten (ggf. Ausweiskopien), Ihre Kontostände, Kontobewegungen, Produktverträge, Korrespondenz etc. auf unsicherem Weg ans BKA übermittelt.

    Im Namen der Sicherheit wird Unsicherheit geschaffen.

  • Ich habe das Gefühl, dass der Regierung der Datenschutz ohnehin unwichtig ist. Solche Vorkommnisse zeigen ja, dass keinerlei Bemühungen unternommen wurden, wenn die vorgesehenen Maßnahmen zum Datenschutz nicht ohne weiteres möglich sind.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.