Identitätsnachweis

E-Postident: Deutsche Post erläutert Sicherheitskonzept

Zertifizierung der Kommission für Jugendmedienschutz liegt vor
AAA

Nachdem teltarif.de kürzlich die Sicherheit des neuen E-Postident-Verfahrens der Deutschen Post in Frage gestellt hatte, hat das Unternehmen ausführlich zu der Anfrage unserer Redaktion Stellung genommen. Die Fragen und Antworten geben wir hiermit im Wortlaut wieder.

Die Informationen auf der Seite epost.de/ident sind laut Angaben der Deutschen Post nicht mehr aktuell und werden auf Anregung von teltarif.de alsbald aktualisiert. Seit einigen Tagen liegt beispielsweise eine Zertifizierung der Kommission für Jugendmedienschutz für das E-Postident-Verfahren vor. Damit soll sichergestellt werden, dass Videoinhalte, die nicht für Jugendliche geeignet sind, nur von volljährigen Personen angefordert oder heruntergeladen werden können.

Hier die Fragen von teltarif.de und die Antworten der Deutschen Post:

teltarif.de: Werden Benutzername und Passwort für den E-Postbrief an den entsprechenden Kooperationspartner (z. B. Miet24.de) weitergegeben?

E-Postident: Deutsche Post erläutert SicherheitskonzeptE-Postident: Deutsche Post erläutert Sicherheitskonzept Deutsche Post: Internetnutzer, die sich für den E-Postbrief registriert haben, klicken beispielsweise beim Kauf altersbeschränkter Inhalte auf den Button "E-Postident" auf der Website des Anbieters und werden automatisch auf den sicheren E-Postbrief-Server der Deutschen Post umgeleitet. Nur dort geben sie ihre E-Postbrief-Adresse, ihr Passwort sowie die Handy-TAN ein. Das E-Post System bestätigt dann gegenüber dem Kooperationspartner (z. B. Miet24) die Identität bzw. das Alter des Kunden. Das persönliche Passwort des Kunden wird dabei selbstverständlich nicht übermittelt. Der Benutzername entspricht im E-Postbrief-System, in dem nur Klarnamen (evtl. in Verbindung mit Ziffern) verwendet werden, der E-Postbrief-Adresse. Bei der Alters- bzw. Identitätsbestätigung können E-Commerce-Anbieter je nach Bedarf z. B. die E-Postbrief-Adresse, den Namen, die Geburtsdaten oder die Adresse ihrer Kunden zweifelsfrei bestätigen lassen. Übermittelt werden an den Website-Betreiber dabei nur die Angaben, deren Weitergabe der Nutzer ausdrücklich zugestimmt hat. Der Internetnutzer hat somit jederzeit die volle Kontrolle über seine persönlichen Daten. Die Übertragung von Identitätsdaten mit E-Postident erfolgt über eine gesicherte Verbindung (HTTPS-Verschlüsselung).

Falls ja: wie lange speichert der Partner die Benutzerdaten?

Die an den Online-Anbieter übermittelten Daten sind nur für diesen einmaligen und reinen Zweck der Identifikation bestimmt. Für die weitere Datenverarbeitung ist der Geschäftskunde verantwortlich, der im Rahmen des Kooperationsvertrages dazu verpflichtet ist, die Daten nur zu dem vereinbarten Zweck der Alters- oder Identitätsbestätigung zu verarbeiten. Eine Weitergabe der Daten an Dritte ist ausdrücklich untersagt. Jegliche Datenverarbeitung erfolgt dabei unter Einhaltung geltender Datenschutzgesetze.

Wie kontrolliert die Deutsche Post, ob die Datenspeicherung beim Partner wirklich sicher ist?

Der Online-Anbieter verpflichtet sich gegenüber der Deutschen Post als Vertragspartner, die geltenden Datenschutzgesetze einzuhalten und die Daten nur zum dem vereinbarten Zweck zu verarbeiten. Eventuelle Verstöße des Anbieters gegen diese Vertragsvereinbarungen werden selbstverständlich von der Deutschen Post mit rechtlichen Konsequenzen verfolgt.

Streben Sie für E-Postident eine Zertifizierung der Kommission für Jugendmedienschutz der Landesmedienanstalten (KJM) als technisches Mittel zur Altersverifikation an?

Der Online-Identifikationsservice E-Postident hat bereits Ende Mai 2012 von der Kommission für Jugendmedienschutz der Landesmedienanstalten (KJM) die begehrte Positivbewertung als "übergreifendes Jugendschutz-Konzept" erhalten. Online-Händler können mit E-Postident vollautomatisiert und in Echtzeit sicherstellen, dass altersbeschränkte Content- und Software-Downloads ausschließlich von volljährigen Kunden erworben werden.

Streben Sie für E-Postident eine Zertifizierung als Geldwäschegesetz-konformes Verfahren an?

Mit E-Postident erhalten die Online-Anbieter nach Zustimmung der Kunden geprüfte persönliche Identitätsdaten. Diese Daten wurden im Rahmen der persönlichen Identitätsprüfung in der Postfiliale (Postident-Verfahren) bei der Erstregistrierung zum E-Postbrief erhoben. Postident bietet die Identifikation von natürlichen Personen durch Mitarbeiter der Deutschen Post, bei der die gesetzlichen Vorgaben des Geldwäschegesetzes bzw. Signaturgesetzes bereits strikt eingehalten werden.

Der Online-Identifikationsdienst E-Postident wurde für andere Anwendungsszenarien zum Zwecke der Alters- und Identitätsprüfung konzipiert: angesichts gestiegener Betrugsraten im E-Commerce bietet E-Postident somit insbesondere E-Commerce-Anbietern wie Vermietungsportalen, Marktplätzen etc. die sichere Möglichkeit, Betrugsrisiken zu minimieren und neue Geschäftsmodelle zu entwickeln. In diesem Zusammenhang ist derzeit die Notwendigkeit der Prüfung auf Geldwäschegesetz-Konformität von E-Postident nicht gegeben. Für zukünftige Anwendungsfälle wird dies bei Bedarf geprüft.

Weitere Meldungen zum Thema E-Postbrief und De-Mail