Aufsicht – ohne Orientierung?

Letzen Sommer habe ich meinen ersten Artikel über Email-Verschlüsselung hier auf meinem Blog veröffentlicht, und dabei die Orientierungshilfe zur Emailverschlüsselung kritisiert. In der Folge stellte ich Anfragen sowohl beim Bundesamt für Sicherheit in der Informationstechnik (BSI) (https://fragdenstaat.de/a/228518) als auch bei der Datenschutzkonferenz (https://fragdenstaat.de/a/229010), um die Hintergründe zu durchleuchten.

Hintergründe? Nein Abgründe tun sich auf. Die Aufsicht ist sozusagen ohne Orientierung, oder sollte ich vielleicht sogar schreiben ohne Gewissen? Nach Artikel 51 (1) DSGVO soll die Aufsicht unabhängig sein, nach Artikel 57 (1) a) soll sie "die Anwendung dieser Verordnung überwachen und durchsetzen". Leider Fehlanzeige. Auch wenn die Datenschutzkonferenz bzw. der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) meine IFG-Anfrage immer noch nicht abschließend bearbeitet hat, liegen mir inzwischen aufgrund einer Auskunftsanfrage Dokumente vor, die meiner Meinung nach das – Pardon – Versagen der Aufsicht dokumentieren. Schon allein dass diese Dokumente nicht veröffentlicht wurden, mir aber dennoch ungeschwärzt geschickt wurden, verstößt gegen Artikel 15 (4). Was ich sonst herauslesen kann, verstößt nicht nur gegen die genannten Artikel der DSGVO sondern auch gegen das Grundgesetz.

Aktualisierung 10.04.2022

In seinem Tätigkeitsbericht für 2021 schreibt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit:

Tätigkeitsbericht für 2021, Seite 44
Verschlüsselungist die Basis für den Schutz der Privatsphäre eines jedenEinzelnen und fast jeder wirtschaftlichen Betätigungin der digitalen Welt. Zur Stärkung des Brief-, Post- undFernmeldegeheimnisses und des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist es erforderlich, Datenwirkungsvoll vor Zugriffen Unberechtigter schützen zukönnen. Der Einsatz von Kryptographie ist hierbei einganz elementares Instrument.

Richtig. Nur steht das an einer Stelle – Telekommunikationsgesetzgebung TKG/TTDSG – an der eher die Bundesnetzagentur zuständig ist als er, oder an der seine Mitarbeiter bzw. die Datenschutzkonferenz schreiben das sei doch Telekommunikationsrecht und daraus ableiten, Auftragsverarbeitungsverträge bei Email seien nicht erforderlich und sie müssten nichts unternehmen, wenn nicht verschlüsselt wird.

Weiter vorne:
Tätigkeitsbericht für 2021, Seite 16
Die DSK hat in ihrer Orientierungshilfe zum Schutz personenbezogener Daten bei der Übermittlung per E-MailÜberlegungen zu Anforderungen an die Verfahren zumE-Mail-Versand und -Empfang angestellt. ... Insbesondere wird auf die Ende-zu-Ende-Verschlüsselung als auch die Transportverschlüsselungals geeignete Verfahren für eine Risikominimierungabgestellt. Die DSK stellt durch den risikobasiertenAnsatz der Orientierungshilfe den Verantwortlichen undAuftragsverarbeitenden ein geeignetes Hilfsmittel imUmgang mit der Übermittlung von E-Mails zur Verfügung.

Die Realität sieht anders aus. Diese Orientierungshilfe hat mehr Verwirrung als Orientierung gestiftet.

Der Wortstamm "Verschlüssel(n)" taucht nur 15 Mal im ganzen Bericht auf:

  • der Abschnitt zur Orientierungshilfe auf Seite 16 (2 Treffer)
  • Empfehlungen des EDSA zu den zusätzlichen Maßnahmen auf Seite 20 (1 Treffer)
  • der Abschnitt zur Telekommunikationsgesetzgebung TKG/TTDSG auf Seite 44 (6 Treffer)
  • im Zusammenhang mit der elektronischen Patientenakte auf Seite 60ff (3 Treffer)
  • bei drei ausgesprochenen Verwarnungen an Bundeseinrichtungen, sprich ohne Strafe wegen §43 (3) BDSG (3 Treffer).

Das alles erweckt bei mir nicht den Eindruck dass ihm Verschlüsselung wirklich wichtig ist. Verschlüsselung wäre eigentlich überall angesagt, siehe Ist Verschlüsselung Pflicht? Man kann den Bundesbeauftragte für den Datenschutz und die Informationsfreiheit so interpretieren dass er das auch so sieht – aber dann bitte nicht nur reden sondern auch etwas tun.

Worum geht es?

Fangen wir mal auf hohem Niveau an: es gibt im europäischen und nationalen Recht mehrere Rechtsgrundlagen für vertrauliche Kommunikation – ohne Anspruch auf Vollständigkeit:

RechtVerpflichteteRechtsgrundlagen (Auswahl)
DatenschutzVerantwortliche und Auftragsverarbeiter Europäische Datenschutzkonvention, Artikel 8 EU-Grundrechte-Charta, "Recht auf informationelle Selbstbestimmung" aus Artikel 1+2 Grundgesetz, EU Verordnung 2016/679 (DSGVO) – insbesondere Artikel 32, Bundesdatenschutzgesetz (BDSG)
Fernmeldegeheimnisu.a. öffentliche Tele­kommunikations­dienstanbieter und -netzbetreiber Artikel 8 Europäische Menschenrechtskonvention, Artikel 7 EU-Grundrechte-Charta, Artikel 10 Grundgesetz, EU Richtlinie 2018/1972, §3 TTDSG, §167 TKG, §206 StGB
BerufsgeheimnisBerufsgeheimnisträger, insbesondere AnwälteRechtsprechung zu Artikel 6 Europäische Menschenrechtskonvention, §§203,204 StGB
Geschäftsgeheimnisalle – u.a. Mitarbeiter und DiebeEU Richtlinie 2016/943, GeschGehG, §204 StGB

Nach meinem Verständnis stehen diese Rechte nebeneinander und verdrängen sich nicht. Also selbst wenn Anwälte meinen, sie müssten etwas nicht verschlüsseln, weil ihr Berufsrecht das nicht erwarte, dann kann es aufgrund von Datenschutz oder Fernmeldgeheimns trotzdem geboten sein.

Man sollte meinen, eigentlich ist klar was zu tun ist. Lauter gute Gründe, Kommunikation vertraulich zu halten, und vertraulich erfordert als technische Maßnahmen Verschlüsselung und Authentifizierung. Bei Email verwendet man dafür den RFC 7672: SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS). Oder ggfs. die BSI TR 03108, wobei mir immer noch unklar ist, wo die Unterschiede sind und warum es einen deutschen Standard braucht. Für diesen Artikel betrachte ich BSI TR 03108 und RFC 7672 als äquivalent.

Stattdessen diskutiert die Datenschutzkonferenz anderes. Ich habe rund 850 Seiten als PDF erhalten, vieles doppelt und ungeschwärzt, darin
  • ca. 100 Seiten in denen es im wesentlichen darum geht, wie man mit der Kritik der Anwälte bzw. der Bundesrechtsanwaltskammer umgeht,
  • ca. 220 Seiten Protokolle des Arbeitskreises Technik der Datenschutzkonferenz,
  • viele Seiten unterschiedlicher Versionen der Orientierungshilfe oder von Bausteinen dafür,
  • meine Kommunikation mit dem BfDI via FragDenStaat.

Kritik der Anwälte bzw. der Bundesrechtsanwaltskammer

Die Bundesrechtsanwaltskammer hat als Reaktion auf die erste Orientierungshilfe eine Stellungnahme Nr. 47/2020 zur Orientierungshilfe der Datenschutzkonferenz veröffentlicht. Im wesentlichen verbieten sich die Anwälte eine Einmischung, denn die Datenschutzaufsicht sei nicht zuständig für das Berufsgeheimnis. Und die Aufsicht lässt sich auf diese Diskussion auch noch ein, statt die Anwälte – so wie ich das oben getan habe – darauf hinzuweisen, dass hier mehrere Rechte parallel eine vertrauliche Kommunikation fordern, und zu fragen, wie die Anwälte denn vorschlagen, Vertraulichkeit umzusetzen. Meiner Meinung nach hätten die Anwälte dann ziemlich schlecht ausgesehen, denn mit der Selbstbefreiung in der Berufsordnung für Rechtsanwälte (BORA) §2 versuchen die sich – in meinen Augen rechtswidrig – ein Sonderrecht einzuräumen – siehe auch Emailsicherheit bei Anwälten. Stattdessen beruft sich die Aufsicht auf Erwägungsgrund 75 und unternimmt nichts erkennbares, die Anwälte konstruktiv in ihre Schranken zu verweisen. Ich schreibe nichts erkennbares, weil der Vorschlag tatsächlich in einer Email auftaucht, aber kein anderes Dokument darauf eingeht.

Auszug Email 26.01.2021 17:06
In der vorliegenden Sache bitten wir um Eure/Ihre Unterstützung, da es um grundsätzliche Fragen der Abgrenzung von Datenschutz und Berufsrecht geht....Diese begegnen aus meiner Sicht keinen Bedenken, so dass ich diese erläuternden und klarstellenden Ausführungen unterstützen würde. Aus meiner Sicht sollte vor einer Aktualisierung des Textes aber nochmal der Dialog mit der BRAK gesucht werden. Dies würde ich ggü. dem AK Technik jedenfalls gerne anregen.... Berufsrecht und Strafrecht liegen dabei außerhalb unseres Zuständigkeisbereichs. Wir müssen uns so erklären, dass die Anwenderschaft beider Rechtsgebiete daraus einen Nutzen ziehen kann.

Es gibt halt kein Problem, das durch den Einsatz von Juristen nicht komplizierter werden kann. Mein Vermittlungsgesuch bzw. meine Beschwerde in Verzicht auf TOMs, insbesondere Verschlüsselung – BRAO §2? scheint das BfDI aussitzen zu wollen. Es hat inzwischen drei "abgeschlossene" Vorgänge, aber keinen offenen.

Protokolle des Arbeitskreises Technik

Mir liegen die Protokolle der 67. (5./6.10.2016) und der 71. (12.10.2018) bis 76. (20.09.2021) Sitzung vor. Darin sind jeweils einige Aussagen zur Emailverschlüsselung, von denen ich hier die interessantesten zitieren werde.

Protokollauszug 67. Sitzung (5./6.10.2016)

zu TOP 10) Kontaktformulare zur verschlüsselten Kommunikation mit Bürgern

**************** (Berlin) geht auf die Praxis der Verifikation von Schlüsseln ein. Seine Behörde habe eine Telefonnummer eingerichtet, um die Verifikation von OpenPGP-Schlüsseln anhand des Fingerprints zu ermöglichen; diese Hotline werde jedoch nicht genutzt. Ca. einmal pro Woche erhielte seine Behörde einen (nicht verifizierten) Schlüssel per Mail. Bei Petitionen mit normalem Schutzbedarf verfahre man dann nach der Methode: "Trust on first use." In Einzelfällen seien Mails nicht entschlüsselbar, weil sie mit Schlüsseln verschlüsselt sind, die Unbekannte erzeugt und verbreitet hätten.

********** (LDI NRW) bestätigt diese Erfahrungen: auch seine Behörde erhalte mit falschen Schlüsseln verschlüsselte Mails, was nur an fehlender Verifikation liegen könne.

Mit anderen Worten, schon 2016 war bekannt, dass das Schlüsselmanagement bei PGP ein relevantes Problem ist.

Aus der 71. Sitzung (12.10.2018) will ich zunächst drei Folien herausgreifen, die Berlin vorbereitet hatte:

Auszug Präsentation im Anhang des Protokolls der 71. Sitzung (18./19.09.2018)
Sachfragen: Mindestanforderungen an Transportverschlüsselung (TR 03108?), Webportal als alternative Übermittlungsform, Berücksichtigung der Einwilligung von Betroffenen, Verschlüsselung auf Anwendungsebene
Öffentliche E-Mail-Diensteanbieter: Anwendbarkeit des Telekommunikationsrechts, Kontrollzuständigkeit BfDI, Anforderungen in BSI TR 03108. Inwieweit kann sich der Verantwortliche auf EMDA verlassen?
Definition Ende-zu-Ende-Verschlüsselung: Institution (Unternehmen, Behörde) - Entschlüsselung in zentralen Gateways zulässig, Personengruppe, Einzelperson (Berufsgeheimnisträger) - Individuelle Schlüssel, Privatperson - kann Offenlegung an EMDA gutheißen
Daraus lässt sich ableiten:
  • eine angemessene technische Lösung – BSI TR 03108 – war der Datenschutzkonferenz spätestens 2018 bekannt
  • die Frage Ist Artikel 32 DSGVO dispositiv? stand schon auf der Agenda. Sogar eine klare Aussage auf Seite 16 des Protokolls: "Kein berücksichtigungsfähiger Faktor in Art. 32". Warum dauert es dann bis Ende 2021 dass man diese Meinung veröffentlicht?
  • PGP mit Gateways oder EMDA (Emaildienstanbieter) – also delegierte Schlüssel? damit sind die angeblichen Vorteile einer Ende-zu-Ende-Verschlüsselung weg. Und warum dann bei Berufsgeheimnisträgern wenn beim besonderen elektronischen Anwaltspostfach (beA) die Schlüssel auch hinterlegt sind?
  • Anwendbarkeit des Telekommunikationsrechts – nur dass das zu diesem Zeitpunkt und auch heute noch nichts konkretes dazu sagt.

Bis hier hätte die Datenschutzkonferenz eigentlich ganz einfach die BSI TR 03108 fordern können und hätte damit eine klare Aussage geliefert, und wäre sogar einigermaßen konsistent mit den Kollegen in den Niederlanden (s.a. Secure the communications of mail servers), und ich hätte die Aufsicht nicht fast drei Jahre danach mit Anfragen überhäufen müssen.

Stattdessen gehen die Diskussionen weiter, und in meinen Augen nur noch bergab:

Protokollauszug 71. Sitzung (18./19.09.2018)

zu TOP 2) Verschlüsselung von E-Mails

*********** (Mecklenburg-Vorpommern) berichtet, dass die Diskussion zum Thema E-Mail-Verschlüsselung von der BfDI angestoßen worden sei. Unabhängig von dieser konkreten Anfrage würden aber alle Aufsichtsbehörden in zunehmendem Maße befragt, welche Verschlüsselungsverfahren insbesondere mit Blick auf Art. 32 Abs. 1 DSG-VO sie fordern würden. ...

************ weist darauf hin, dass Verantwortliche im Gegensatz zu öffentlichen E-Mail-Diensteanbietern die spezifischen Risiken der von ihnen verarbeiteten Mails beachten müssen.Meinungsbild: Öffentliche E-Mail-Diensteanbieter sollen behandelt werden

Bei der Übertragung von E-Mails mit personenbezogenen Daten muss mindestens eine opportunistische Verbindungsverschlüsselung sichergestellt sein; dieses Schutzniveau darf nicht unterschritten werden.

********** (Baden-Württemberg) schlägt vor, auch mögliche Angriffe auf E-Mails, die bereits beim Empfänger eingetroffen sind und auf dessen Systemen gespeichert werden, zu betrachten, da auch in der nachgelagerten Verarbeitung noch Risiken für die eingegangenen Mails bestünden, beispielsweise durch physische Angriffe auf die Hardware zur Speicherung oder durch Krypto-Trojaner.

************ (Mecklenburg-Vorpommern) spricht sich gegen diese Forderung aus, weil dies den Untersuchungsgegenstand so stark ausweite, dass eine Vielzahl von unterschiedlichen nachgelagerten Systemtypen und Angriffsszenarien betrachtet werden müssten. Damit würde der Rahmen eines Papiers zur E-Mail-Sicherheit gesprengt.

Mögliche Angriffe auf E-Mails, die bereits beim Empfänger eingetroffen sind und auf dessen Systemen gespeichert werden, sollen nicht betrachtet werden. ********* vertritt die Auffassung, dass die Grenze zwischen Transport- und Ende-zu-Ende-Verschlüsselung fließend sei. Dagegen erhebt sich Widerspruch. ********** und ********** plädieren für eine klare Abgrenzung der Verfahren und für eine Definition insbesondere der Ende-zu-Ende-Verschlüsselung. Nach Ansicht von ********** müssten Verantwortliche sichere Versandformen wie Ende-zu-Ende-Verschlüsselung in jedem Falle wenigstens als eine Auswahlmöglichkeit anbieten. Er ist skeptisch, dass Gateways als Ende-zu-Ende-Lösung angesehen werden könnten. ************** (Sachsen) hält es für erforderlich, bei der Definition von Ende-zu-Ende-Kryptographie auch Lösungen zu berücksichtigen, in denen Privatleute Dritte mit der Verwaltung ihrer Schlüssel beauftrage.

*********, ************, ******** (Niedersachsen) sowie ******** halten es für nicht zulässig, dass Verantwortliche auf technische und organisatorische Maßnahmen verzichten, wenn sie hierfür die Einwilligung/Zustimmung Betroffener eingeholt haben. Herr Freude hält es für erforderlich, dass Verantwortliche sichere Versandformen wie Ende-zu-Ende-Verschlüsselung anbieten. Wähle ein Betroffener einen anderen Transportweg, so sei diese Entscheidung jedoch nicht dem Verantwortlichen anzulasten.Meinungsbild: Es soll dargestellt werden, dass erforderliche technische und organisatorische Maßnahmen nicht aufgrund einer Einwilligung entfallen dürfen.

Ok, man kann argumentieren, dass nur öffentliche E-Mail-Dienstanbieter unter das Fernmeldegeheimnis fallen und maximalen Schutz bieten müssen. Aber wenn man darunter keine sinnvolle andere technische Lösung hat, dann empfiehlt man diese Lösung doch am besten allen, und erinnert daran, dass jeder Verantwortliche ein dem Risiko angemessene Lösung haben muss, und die beste Lösung das geringste Risiko hat und gar nicht mal teuer ist.

Warum hat man sich nicht an das Meinungsbild "Mögliche Angriffe auf E-Mails, die bereits beim Empfänger eingetroffen sind und auf dessen Systemen gespeichert werden, sollen nicht betrachtet werden." gehalten? Dann hätte man PGP gar nicht weiter betrachten müssen.

Protokollauszug 72. Sitzung (19./20.02.2019)
************* (BfDI) erinnert noch einmal an den Ausgangspunkt der Befassung des AK Technik mit dem Thema Verschlüsselung. Dem BfDI hatte eine Anfrage eines kleineren Providers vorgelegen, was der BfDI als Stand der Technik bei der Übermittlung von E-Mails betrachten würde und welche konkreten Anforderungen sich daraus ergeben würden. Der BfDI erhofft aus der Beratung im AK Technik die Formulierung von entsprechenden Mindestanforderungen, um bei Providern einheitliche Forderungen stellen zu können. Er hätte zunächst besonderes Interesse an einem möglichst kurzen Papier, das gemeinsam getragene Mindestanforderungen enthält.In jedem Fall müsse der Stand der Technik verdeutlicht werden. In der Praxis müssen Verfahren angestrebt werden, die den Stand der Technik repräsentieren.Eine kontroverse Diskussion entfaltet sich bei der Vorstellung der Folie 15 und den Fragen, wann Verantwortlicher auf unverschlüsselte Übermittlungen zurückfallen dürfe, ob er einen E-Mail-Diensteanbieter in Anspruch nehmen dürfe, der auf unverschlüsselte Übermittlungen zurückfällt oder ob er einen solchen E-Mail-Diensteanbieter in Anspruch nehmen dürfe, wenn er sensible Inhalte E2E-verschlüsselt. Auch nach längerer Diskussion kommt es nicht zu einem einheitlichen Meinungsbild, so dass der Vorsitzende auch mit Blick auf die weit fortgeschrittene Zeit die inhaltliche Diskussion abbricht und darum bittet, zu diesem TOP nur noch über Verfahrensfragen zu beraten.

Nach dieser Anfrage des kleinen Providers habe ich nachgehakt. Die Verdeutlichung des Stands der Technik – das wäre besser gewesen als die ganze Orientierungshilfe. Meine Meinung: Stand der Technik ist BSI TR 03108 oder RFC 7672, und PGP oder S/MIME sind es nicht, von organisationsinternen Anwendungen abgesehen, denn es gibt kein geeignetes öffentliches Schlüsselmanagement.

Protokollauszug 73. Sitzung (24./25.09.2019)
Er bittet darum, zu verschiedenen, dort aufgeworfenen Einzelfragen Position zu beziehen. Dies betraf die Fragen, ob... a) ... ... h)...

Nimmt man die Kombinatorik der Fragen ernst, dann darf man logischerweise bis zu 64 verschiede technische Lösungen erwarten. So viele verschiedene Lösungen sind mir nicht bekannt, und der Konfigurationsaufwand würde auch dagegen sprechen. Lieber eine sichere Lösung konsequent umgesetzt als lauter Spezialfälle. Bei Verschlüsselung gespeicherter Daten unterscheide ich auch nicht danach, ob es sich um Briefe oder um die Zugangsdaten zu meinem Depot geht – ich verschlüssele grundsätzlich alles (s.a. Ist Verschlüsselung Pflicht?). Bei Kommunikation ist es erforderlich, dass beide Seiten die gleiche Sprache sprechen. Je mehr unterschiedliche Lösungen vorgeschlagen werden, desto unwahrscheinlicher wird es, dass es funktioniert.

Protokollauszug 74. Sitzung (18./19.02.2020)
************* sieht ebenfalls die angesprochenen Probleme, unterstreicht jedoch, dass wir mit dieser Lösung einen deutlichen Fortschritt gegenüber reinem DNS ohne jegliche Schutzmaßnahmen haben. Zudem stellt die Umsetzung von DNSSEC mittlerweile kein Problem mehr dar und bietet ein sehr gutes Verhältnis zwischen Aufwand und Nutzen.************ (LfD Bayern) gibt zu bedenken, dass es viele Domains auf dem Markt gibt, bei denen dieForderung nach DNSSEC nicht ohne weiteres umsetzbar sei, da der Provider den Kunden keine Möglichkeit gibt die notwendigen Einträge vorzunehmen. In der Folge müssten viele Anwender den DNS-Provider wechseln um die Anforderungen umsetzen zu können. ************ verweist in diesem Zusammenhang darauf, dass auch 1&1 standardmäßig kein DNSSECunterstützt.************* merkt an, dass 60 % der Schulen in Bayern Kunden von 1&1 sind."************* weist darauf hin, dass die im Dokument angesprochene Technische Richtlinie "Sicherer E-Mail-Transport" (BSI TR-03108), konkrete Anforderungen an einen öffentlichen E-Mail-Diensteanbieter (EMDA) stellt und damit nicht für jeden anwendbar sei. ************* entgegnet, dass die Verantwortlichen, die dieser Richtlinie nicht unterliegen, sich jedoch an dieser orientieren sollten und auch die obligatorische Transportverschlüsselung umzusetzen haben"

Also spricht gegen die BSI TR 03108 vor allem, dass man dafür DNSSEC braucht, und 1&1 IONOS das nicht kann? Ich war auch bei 1&1 IONOS und bin genau deswegen jetzt bei einem anderen Domänenanbieter. Das kann man bayerischen Schulen nicht zumuten? Oder 1&1 IONOS auffordern, endlich den Stand der Technik zu unterstützen? Das Verhalten des bayrischen Kollegen nennt man meines Wissens im bairischen Sprachraum ... Spezlwirtschaft. Kann man aber auch als Verstoß gegen §257 StGB oder §339 StGB ansehen. Zumindest erwarte ich von einer unabhängigen Aufsicht, dass sie verlangt was geboten ist, nicht was der Billigheimer anbietet. Natürlich steht in Artikel 32 (1) "Unter Berücksichtigung des Stands der Technik, der Implementierungskosten ...", aber wenn nur die Kosten berücksichtigt werden, dann bekommen wir keine Sicherheit.

Protokollauszug 76. Sitzung (24.03.2021)
Soweit Verantwortliche und deren Auftragsverarbeiter öffentliche E-Mail-Diensteanbieter in Anspruch nehmen, müssen diese vertraglich sicherstellen, dass die Anforderungen, die sie selbst treffen, auch durch den Diensteanbieter erfüllt werden.

Warum nur bei öffentlichen? Der Begriff "öffentlich" ist im Telekommunikationsrecht gar nicht klar definiert (s.a. öffentlich zugängliche Telekommunikationsdienste?). Das würde die Anbieter der Behörden dann womöglich überwiegend ausnehmen, weil bei denen nicht jeder Kunde werden kann, und dann könnten wir überall Zustände wie in Sachsen-Anhalt bekommen oder behalten. Also bitte bei allen Anbietern im Anwendungsbereich der DSGVO. Aber ansonsten hätte ich mir diese Aussage in meiner Anfrage Auftragsverarbeitung bei Email gewünscht, nur dass da das BfDI dort genau das Gegenteil antwortet, aber auf meinen Widerspruch hat das BfDI noch nicht reagiert.

Zusammenfassung

Wie es jetzt genau zur endgültigen Orientierungshilfe kam ist mir immer noch unklar. Klar ist aus den Protokollen eher
  • PGP taugt nicht, und die Datenschutzkonferenz weiß es
  • BSI TR 03801 war von Anfang in der Diskussion, man hätte gar nicht erst den Begriff qualifizierte Transportverschlüsselung einführen müssen
  • für obligatorische Transportverschlüsselung ist anscheinend keine einzige technische Lösung diskutiert worden

S/MIME taucht in den Protokollen des Arbeitskreises gar nicht auf. Vielleicht fehlen noch Dokumente die diese und andere Fragen beleuchten. Aber mal angenommen, das wäre alles, was die Datenschutzkonferenz hat oder veröffentlichen möchte, dann sollte sie die Orientierungshilfe umgehend ersetzen durch die Empfehlung, BSI TR 03801 oder RFC 7672 zu verwenden, gerne auch mit der zusätzlichen Empfehlung oder in bestimmten Szenarien der Pflicht, darauf hinzuweisen, wenn der jeweils andere Kommunikationspartner das nicht kann. Und das am besten gemeinsam mit der Bundesnetzagentur als der Hüterin des Fernmeldegeheimnisses, aber leider will die sich ja noch nicht festlegen. Dann können die Behörden damit beginnen, das konsequent umzusetzen. Damit könnte die Koalition sogar behaupten, Sie beginne damit, ihr Versprechen "Wir führen ein Recht auf Verschlüsselung ein. Auch der Staat muss verpflichtend die Möglichkeit echter verschlüsselter Kommunikation anbieten." aus dem Koalitionsvertrag zu erfüllen (s.a. Datenschutz im Koalitionsvertrag und Koalitionstracker).

Und wenn die Empfehlung dann draußen ist, dann könnte man auch der Bundesrechtsanwaltskammer und den Anwälten kommunizieren, der Aufsicht sei egal was das Berufsrecht sagt, aber Datenschutz und Fernmeldegeheimnis verlangen Verschlüsselung.

Wirklich traurig ist, dass in Anbetracht der fehlenden Orientierung der Aufsicht unsere Grundrechte nicht geschützt sind. Eigentlich sollte Artikel 1 Grundgesetz unmissverständlich sein:

Artikel 1 Grundgesetz
(1)
Die Würde des Mensch ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.
(2)
...
(3)
Die nachfolgenden Grundrechte binden Gesetzgebung, vollziehende Gewalt und Rechtsprechung als unmittelbar geltendes Recht.

Gilt das auch für die Datenschutzkonferenz?

Meine Anfragen rund um Email-Verschlüsselung:

ErstelltGeändertStatusBehördeThema
18.09.202119.04.2022EingeschlafenBundesamt für Sicherheit in der InformationstechnikSichere Email nach BSI TR-03108
Das BSI kann ganz offensichtlich keine klaren Empfehlungen geben und verbrennt damit Zeit und Geld aller die sich mit Sicherheit intensiv befassen wollen oder müssen. Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit.Speziell hier: widersprüchliche Empfehlungen in Grundschutz und BSI TR 03108, keine Übernahme von Internet-Standards, so daß unklar bleibt welche Produkte geeignet sind, und Testanleitungen die unklar bleiben und offensichtlich nur selten praktiziert werden. So skaliert Sicherheit nicht. Das gefährdet unsere Grundrechte auf Privatheit (Artikel 7 EU-Grundrechtecharta) und Datenschutz (Artikel 8) – mehr dazu auf https://blog.lindenberg.one/AufsichtOhneOrientierung.
24.09.202113.02.2023Teilweise erfolgreichKonferenz der unabhängigen Datenschutzbehörden des Bundes und der LänderOrientierungshilfe Emailverschlüsselung – Sichere Email beim BSI?
https://blog.lindenberg.one/AufsichtOhneOrientierung
26.11.202114.04.2022EingeschlafenBundesrechtsanwaltskammerVerzicht auf TOMs, insbesondere Verschlüsselung – BRAO §2?
Die Anwälte erlauben sich, Artikel 32 DSGVO zu ignorieren, und der BfDI unternimmt nichts. Mehr auf https://blog.lindenberg.one/EmailsicherheitAnwalte und https://blog.lindenberg.one/AufsichtOhneOrientierung.
08.12.202109.09.2022EingeschlafenKonferenz der unabhängigen Datenschutzbehörden des Bundes und der LänderAuftragsverarbeitung bei Email?
Der BfDI hat also keine Unterlagen zur Auftragsverarbeitung bei Email die er nach dem IFG herausgeben kann. Aber er ist m.W. auch zuständig für die Beratung, mal sehen ob da etwas kommt. Oder vielleicht aus Baden-Württemberg? Die haben bisher auch nicht reagiert (https://blog.lindenberg.one/BeschwerdenLfdiBw).Weitere Informationen auf https://blog.lindenberg.one/AuftragsverarbeitungEmail und https://blog.lindenberg.one/AufsichtOhneOrientierung.
18.12.202111.06.2022EingeschlafenBundesnetzagenturöffentlich zugängliche Telekommunikationsdienste?
Diese Anfrage ist Teil von https://blog.lindenberg.one/AufsichtOhneOrientierung. Über ein Jahr nach Inkrafttreten des neuen TTDSG und TKG ist immer noch nicht klar, wer wieviel Sicherheit gewährleisten soll.
18.12.202117.11.2023Warten auf Antwort (verspätet)BundesnetzagenturSchutzmaßnahmen und Sicherheitsanforderungen in TKG §§165ff
Diese Anfrage ist Teil von https://blog.lindenberg.one/AufsichtOhneOrientierung. Über ein Jahr nach Inkrafttreten des neuen TTDSG und TKG ist immer noch nicht klar, wer wieviel Sicherheit gewährleisten soll.
07.02.202224.05.2022EingeschlafenBundesamt für Sicherheit in der InformationstechnikPGP/S/MIME vs RFC 7672 und DKIM?
Das BSI hat anscheinend keine (Er-)Kenntnisse, wie leider an so vielen anderen Stellen auch. Allen die hier vorbeilesen oder folgen daher zum Lesen empfohlen, vom speziellen (PGP) zum allgemeineren:https://blog.lindenberg.one/VergleichRfc7672PgpSmimehttps://blog.lindenberg.one/AufsichtOhneOrientierunghttps://blog.lindenberg.one/BundesamtUnsicherheitund natürlich freue ich mich auch über Feedback und Diskussionen.
19.02.202221.06.2022EingeschlafenBundesnetzagenturFernmeldegeheimnis und Email-Anbieter?
Diese Anfrage ist Teil von https://blog.lindenberg.one/AufsichtOhneOrientierung. Über ein Jahr nach Inkrafttreten des neuen TTDSG und TKG ist immer noch nicht klar, wer wieviel Sicherheit gewährleisten soll.
04.03.202227.05.2022EingeschlafenLandesbeauftragter für den Datenschutz Sachsen-AnhaltDie kleinen hängt man, die großen lässt man laufen?
28.03.202221.06.2022AbgelehntBundesministerium des Innern und für HeimatStand des Regierungsvorhabens „Recht auf Verschlüsselung“
eigentlich traurig, Mitarbeiter unserer Behörden können nicht lesen. Ich habe nicht nach Entwürfen gefragt sondern nach Evaluierungen warum man ein neues Recht braucht. Diese Bedarfs-Evaluierungen fallen in meinen Augen nicht unter IFG §4.
09.05.202204.10.2022EingeschlafenBundesbeauftragter für den Datenschutz und die InformationsfreiheitVerhaltensregeln für Notare – ohne Verschlüsselung von Emails?
Ist halt peinlich für den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit: er fordert Verschlüsselung wenn es selbstverständlich ist oder wo man die Forderung nicht selbst durchsetzen muss. Aber warum die Webseite aber nicht Emails verschlüsselt werden sollen – das möchte ich schon gerne wissen.Siehe auch https://blog.lindenberg.one/AufsichtOhneOrientierung die Anfragen dort.

Veröffentlicht am 28.03.2022, zuletzt geändert am 10.04.2022.

© 2022 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.