Leserbriefe, Reaktionen, Ergänzungen

ich bin ganz durch Zufall auf Ihren Blog gestoßen und habe mich dort einige Zeit (seit einigen Tagen) aufgehalten, da die Themen zum Datenschutz sehr anschaulich und praxisnah beschrieben sind – das macht Spaß zu lesen und vorallem sich damit näher zu beschäftigen.

ich möchte mich einfach nur für Ihr wichtiges, unermüdliches und hartnäckiges Engagement im Bereich der Sicherheit und Privatsphäre in der IT bedanken. Diesen Impuls hatte ich nach dem Lesen eines Artikels in Ihrem Blog.

NIST´s second draft of its SP 800-63-4—its digital identify guidelines—finally contains some really good rules about passwords:

Verifiers and CSPs SHALL NOT prompt subscribers to use knowledge-based authentication (KBA) (e.g., What was the name of your first pet?) or security questions when choosing passwords.

Für mich kann man den BfDI getrost in der Pfeife rauchen.

Ich war mal Kunde bei einer Mobilmarke von Vodafone und hatte um Auskunft über verabeitete Daten ersucht. Dies wurde negativ beantwortet.

... Nein, aber das Hervorbringen der Vodafone sei absolut plausibel. Ja, ist klar. Die Auskunft wurde aber erneut veranlasst und erreichte mich weitere sechs Monate später. Fristüberschreitung interessiert den BfDI aber auch nicht, Auskunft ist nun erteilt und Beschwerde deswegen als unbegründet abzuweisen.

Big Brother made in Germany: Neues Online-Tracking über Mobilfunk-Kennung

wieso raten Sie denn von PGP grundsätzlich ab? Teilweise kommuniziere ich mit Datenschutzbehörden über PGP-Schlüssel?

Researchers have devised an attack against nearly all virtual private network applications that forces them to send and receive some or all traffic outside of the encrypted tunnel designed to protect it from snooping or tampering.

Bei der Verschlüsselung spielt das Schlüsselmanagement eine zentrale Rolle, denn die Kenntnis des Schlüssels ermöglicht die Entschlüsselung der Daten.

Datenschützer fordern Geldbußen gegen Behörden und öffentliche Stellen

Wie sich auch in der Praxis gezeigt hat, besteht jedoch ein Bedarf, zur Möglichkeit derVerhängung von Geldbußen auch gegenüber diesen Stellen. ... Mangelsentsprechender Befugnis besteht gegenüber öffentlichen Stellen derzeit jedoch keineMöglichkeit, die Schwere des Verstoßes gegenüber der beaufsichtigten Stellehinreichend deutlich zu machen.

über einen Bekannten bin ich auf Ihren Blog aufmerksam geworden und ich kann Ihre Erfahrung mit der Landesbehörde für Datenschutz und Informationsfreiheit nur bestätigen. Seit ... kämpfe ich nur schon darum, dass die Behörde meine Meldung über einen massiven Datenschutzverstoß endlich bearbeitet.

Konsens sämtlicher Rückmeldungen war: "Sie können ja über den Privatweg klagen". Für meine Rechtsauffassung kann es aber nicht sein, dass ich bei einem klaren Verstoß gegen das DatenschutzGESETZ von meinem PRIVATEN Geld den Rechtsweg beschreiten muss um die zuständige Behörde dazu zu bekommen, ihrer Aufgabe nachzugehen.

Aus meinem Bekanntenkreis weiß ich, dass es vielen ebenso ging und Beschwerden über Datenschutzverstöße sind versandet. Ich weiß natürlich nicht, ob meine Erfahrungswerte für Sie interessant sind. Wahrscheinlich sind Sie da schon sehr viel weiter und haben auch ganz andere Ansatzpunkte. Dennoch würde ich mich sehr über einen Austausch freuen, wenn Interesse besteht.

Der LfDI in BW ist nach meiner Erfahrung und Meinung eine Behörde die es aufgrund von Untätigkeit abzuschaffen gilt. Insofern ist die Bezeichnung des schwarzes Loches schon ganz treffend. Bei einem Provider war es möglich, sich ohne Passwort in Kundenaccounts einzuloggen. Hierzu gab es vonseiten der Aufisicht den Rat an die Verantwortliche dies nicht mehr zuzulassen. Keine Anweisung, keine Verfügung, keine Konsequenzen.

Eine Beschwerde gegen ... ist seit über 2,5 Jahren bei dieser Behörde anhängig, aufgrund von Vorratsdatenspeicherung, veraltete Software, unzureichende technisch organisatorische Maßnahmen, unterbliebende Antworten auf Auskunftsersuchen. Passiert ist trotz mehrfacher Nachfragen und Beschwerden bei Vorgesetzten rein gar nichts.

Deutschlandticket: DB verlangt Bankkonto-Bestätigung bei Lastschrift-Kauf

Der heiliege DB Konzern ist auch noch mal eine Sache für sich. Nach außen hin sind es über 600 einzelne Verantwortliche, aber intern kann quasi jeder auf alles zugreifen. Die einzelnen Verantwortlichen gibt es nur für die steuerlichen und unternehmerischen Vorteile. Meine Beschwerde in Hessen ist denen zu heiß und daher abgewiesen, wie ich als Beschwerdeführer auch bei der Aufsicht als Petent gesperrt. Es sei exzessiv.

Es ist unglaublich was die Konzerndatenschutzbeauftragte als Argumente hervorbringt. Inzwischen ist es soweit, dass man sagt ich würde zu viel bei der Bahn buchen und auch entsprechende Entschädigungen bei den ganzen Ausfällen / Verspätungen ihrer Züge beantragen. Man kann mir keine Betroffenenrechte gewähren, da es einfach zu viele Daten sind und alles in dem Konzern ansonsten zum Stillstand kommt: Der Zugverkehr wird im Inland bis auf Weiteres eingestellt. Grund hierfür sind die Gewährung von Betroffenenrechten.

Ihr Artikel zu Dataport ist bei mir auf großes Interesse gestoßen, denn ich betrachte mich und mein Unternehmen als Dataport-Geschädigte. ... Ihre Darstellung ist für mich ein weiteres Puzzleteil zum Verstehen dieser Anstalt und sie nährt meine Vermutung, dass dort ganz erhebliche Dinge zu Lasten des Steuerzahlers, des Bürgers und des freien Wettbewerbs schief laufen. Ich danke Ihnen für Ihren Mut!

Auch der ehemalige Dataport-Security-Champion Joachim Lindenberg erhebt auf seinem Blog Dataport – kann man nur verpfeifen schwere Vorwürfe gegen den immer weiter wachsenden Staatskonzern.

Auch ich habe mir von denen eine Auskunft nach Art. 15 DSGVO angefordert und es sich genauso abgelaufen, wie Sie es beschreiben. Bei mir wollten sie einst noch eine Unterschrift haben, für das Auskunftsersuchen, auch wenn es die hiesiegen Rechtsgrundlagen nicht vorsehen. Im Anschluss hatte ich dann eine zusammengeschriebene Auskunft in einem Text nach Art. 15 Abs. 1 DSGVO, ohne Datenkopien. Ich habe mich hier aber nicht weiter hintergeklemmt. Nach zwei Jahren jedoch forderte ich eine erneute (vollständige) Auskunft. Die Auskunft bestand darin, mich einfach auf die bereits erfolgte Auskunft von vor zwei Jahren zu verweisen und dass die meisten Daten bereits gelöscht sind. Konkreter werden wollte / konnte man natürlich nicht.

Erst nach Einschritt der Rechtsaufsicht war man in der Lage auch mal Datenkopien hervorzubringen. Das war dann auch alles. Ich fragte mich was ist mit den Gehaltsunterlagen, für diese gelte mindestens eine Speicherdauer von sechs bis zehn Jahren. Nö nö, sei alles gelöscht, mehr habe man nicht. Ausbildungszeugnis? Vernichtet! Leistungsbeurteilungen? Vernichtet! Am Ende wurden die abrechnungsrelevanten doch noch gefunden und einige Beurteilungen. Nur eine Zeugnisabschrift fand man dort nicht mehr. Wobei hierfür § 195 BGB nur eine Möglichkeit, keine Pflicht zur Aufbewahrung darstellt.

Na ja, wiederkehrend verspätete waren die Auskünfte vonseiten Dataport sowieso. Die (unabhängige) Rechtsaufsicht hat den Vorgang ohne Weiteres einfach geschlossen. Nur nach Beschwerde bei der Amtsleiung habe ich noch mal eine Warnung an die Verantwortliche und künftige weitere Überprüfungen erwirken können.

Da hat jemand mal die E-Mail-Server der öffentlichen Verwaltung auf (Sicherheits-)Kriterien wie TLS und DNSSEC geprüft.

... und wollte mich für Ihre Mühen bei Ihren Anträgen bei FragdenStaat bedanken. Sie leisten unglaubliche Arbeit, sowohl unser Recht auf digitale Übertragungen von Dokumenten per Email praktisch zu zementieren, als auch den aktuellen Unfug bei den Empfehlungen des BSI aufzuräumen. Wenn Sie Hilfe für Ihre Anfragen benötigen würde Ich mich nach Möglichkeit gerne beteiligen an die Offenlegung dieser wichtigen Informationen.

Für Ihre Unterstützung durch die Übermittlung Ihrer Logfiles danke ich Ihnen.

Ich bin durch Zufall auf deinen Blog gestoßen und habe mit Spannung die Beiträge gelesen.

Mich interessiert das Thema Mail und Sicherheit sehr.

ich verfolge Ihren Blog unter blog.lindenberg.one schon eine geraume Zeit. Gerade Ihre datenschutzrechtlichen Einschätzungen zu E-Mail-Themen interessieren mich sehr.

Da mich ein Thema (leider) sehr beschäftigt schreibe ich Ihnen nun und hoffe auf Ihre Einschätzung.