Leserbriefe, Reaktionen, Ergänzungen

Natürlich freue ich mich über Zuschriften. Eine Auswahl habe ich hier zusammengestellt, mit Rücksicht auf die Betroffenen ohne Namensnennung. Auch werde ich manchmal zitiert, das freut mich natürlich auch. Weniger schön finde ich, wenn Werbetreibende meinen, ich könnte für Sie Werbung machen – die schweige ich dann lieber tot.

Nicht bei jeder Reaktion oder Ergänzung kann oder will ich den ganzen Text überarbeiten. Manches werde ich also erstmal als Ergänzung mit Leserbriefen und anderen Reaktionen veröffentlichen. Kommunikation, Beschwerdestatus, und Frag-Den-Staat-Anfragen werden sowieso aus entsprechenden Quellen aktuell gehalten.

Eine spannende Frage ist, wie ich bei RSS die Updates steuern soll. Aktuell wird eine Seite als geändert angezeigt, wenn eine Änderung des Texts oder eine Ergänzung vorliegt. Ich beabsichtige, diese Seite auch in den Bereich Impressum und ähnliches zu verschieben.

Allgemein

ich bin ganz durch Zufall auf Ihren Blog gestoßen und habe mich dort einige Zeit (seit einigen Tagen) aufgehalten, da die Themen zum Datenschutz sehr anschaulich und praxisnah beschrieben sind – das macht Spaß zu lesen und vorallem sich damit näher zu beschäftigen.
ich möchte mich einfach nur für Ihr wichtiges, unermüdliches und hartnäckiges Engagement im Bereich der Sicherheit und Privatsphäre in der IT bedanken. Diesen Impuls hatte ich nach dem Lesen eines Artikels in Ihrem Blog.

Vodafone, der Datenschutz und Verbraucherrechte

Veröffentlicht am 24.03.2023, Reaktionen 16.05.2024.

Für mich kann man den BfDI getrost in der Pfeife rauchen.

Ich war mal Kunde bei einer Mobilmarke von Vodafone und hatte um Auskunft über verabeitete Daten ersucht. Dies wurde negativ beantwortet.

... Nein, aber das Hervorbringen der Vodafone sei absolut plausibel. Ja, ist klar. Die Auskunft wurde aber erneut veranlasst und erreichte mich weitere sechs Monate später. Fristüberschreitung interessiert den BfDI aber auch nicht, Auskunft ist nun erteilt und Beschwerde deswegen als unbegründet abzuweisen.

Big Brother made in Germany: Neues Online-Tracking über Mobilfunk-Kennung

Digitale Selbstverteidigung

Veröffentlicht am 20.07.2022, zuletzt geändert am 31.01.2023, Reaktionen 15.05.2024.

wieso raten Sie denn von PGP grundsätzlich ab? Teilweise kommuniziere ich mit Datenschutzbehörden über PGP-Schlüssel?

PGP hat insgesamt mehr Nachteile als Vorteile, zu finden in Vergleich RFC 7672 vs. PGP / S/MIME. Die Datenschutzaufsichten und einige wenige andere Behörden sind tatsächlich die einzigen die auf PGP setzen und dabei die eigene Orientierungshilfe weitestgehend ignorieren – siehe auch Aufsicht ohne Orientierung und Emailsicherheit und die Aufsichten – die fordert eigentlich sowohl PGP als auch qualifizierte Transportverschlüsselung, und letztere ähnelt RFC 7672. Alle praktizieren bei Nachdruck auch Alternativen wie z.B. ein verschlüsseltes Zip per Email und Passwort per Post. Nur wer bei Digitale Selbstverteidigung schon Passwortmanager, Festplattenverschlüsselung, Datensicherung im Griff hat, sollte überhaupt darüber nachdenken ob er PGP verwenden will.

Researchers have devised an attack against nearly all virtual private network applications that forces them to send and receive some or all traffic outside of the encrypted tunnel designed to protect it from snooping or tampering.

Sicherheit? Nein Unsinn!

Veröffentlicht am 01.09.2022, zuletzt geändert am 14.10.2022, Reaktionen 09.05.2024.

Dieser Artikel war teilweise motiviert durch die Freundin, deren Beschwerde über die Email-Verifikation der Telekom wir dann gemeinsam eingereicht haben. Leider zeigt diese Beschwerde auch, wie unwillig der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist, Sicherheitsprobleme (möglicherweise abgesehen von fehlender obgliatorischer Transportverschlüsselung) ernst zu nehmen.

Dass der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg sich bei Verschlüsselung von Corona-Schnelltestergebnissen mit dem Geburtsdatum bewegt hat, liegt an einer Untätigkeitsklage die ich eingereicht habe. Ich werde noch ausführlicher darüber berichten.

Grundwissen Verschlüsselung

Veröffentlicht am 16.04.2024, Reaktionen 30.04.2024.

Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit betont die Wichtigkeit des Schlüsselmanagements:

Bei der Verschlüsselung spielt das Schlüsselmanagement eine zentrale Rolle, denn die Kenntnis des Schlüssels ermöglicht die Entschlüsselung der Daten.

Die Aufsicht schläft

Veröffentlicht am 22.05.2023, Reaktionen 22.04.2024.

Datenschützer fordern Geldbußen gegen Behörden und öffentliche Stellen
Wie sich auch in der Praxis gezeigt hat, besteht jedoch ein Bedarf, zur Möglichkeit derVerhängung von Geldbußen auch gegenüber diesen Stellen. ... Mangelsentsprechender Befugnis besteht gegenüber öffentlichen Stellen derzeit jedoch keineMöglichkeit, die Schwere des Verstoßes gegenüber der beaufsichtigten Stellehinreichend deutlich zu machen.

Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg – ein schwarzes Loch?

Zuletzt geändert am 13.11.2023, Reaktionen 17.04.2024.

Eigentlich gar kein eigenständiger Artikel, sondern nur über die Tabellen auf Auskunft – selten korrekt und Die Aufsicht schläft zu erreichen.

über einen Bekannten bin ich auf Ihren Blog aufmerksam geworden und ich kann Ihre Erfahrung mit der Landesbehörde für Datenschutz und Informationsfreiheit nur bestätigen. Seit ... kämpfe ich nur schon darum, dass die Behörde meine Meldung über einen massiven Datenschutzverstoß endlich bearbeitet.

Konsens sämtlicher Rückmeldungen war: "Sie können ja über den Privatweg klagen". Für meine Rechtsauffassung kann es aber nicht sein, dass ich bei einem klaren Verstoß gegen das DatenschutzGESETZ von meinem PRIVATEN Geld den Rechtsweg beschreiten muss um die zuständige Behörde dazu zu bekommen, ihrer Aufgabe nachzugehen.

Aus meinem Bekanntenkreis weiß ich, dass es vielen ebenso ging und Beschwerden über Datenschutzverstöße sind versandet. Ich weiß natürlich nicht, ob meine Erfahrungswerte für Sie interessant sind. Wahrscheinlich sind Sie da schon sehr viel weiter und haben auch ganz andere Ansatzpunkte. Dennoch würde ich mich sehr über einen Austausch freuen, wenn Interesse besteht.

Der LfDI in BW ist nach meiner Erfahrung und Meinung eine Behörde die es aufgrund von Untätigkeit abzuschaffen gilt. Insofern ist die Bezeichnung des schwarzes Loches schon ganz treffend. Bei einem Provider war es möglich, sich ohne Passwort in Kundenaccounts einzuloggen. Hierzu gab es vonseiten der Aufisicht den Rat an die Verantwortliche dies nicht mehr zuzulassen. Keine Anweisung, keine Verfügung, keine Konsequenzen.

Eine Beschwerde gegen ... ist seit über 2,5 Jahren bei dieser Behörde anhängig, aufgrund von Vorratsdatenspeicherung, veraltete Software, unzureichende technisch organisatorische Maßnahmen, unterbliebende Antworten auf Auskunftsersuchen. Passiert ist trotz mehrfacher Nachfragen und Beschwerden bei Vorgesetzten rein gar nichts.

Beschwerden Deutsche Bahn – unvollständige Auskunft

Zuletzt geändert am 30.01.2023, Reaktionen 14.04.2024.

Deutschlandticket: DB verlangt Bankkonto-Bestätigung bei Lastschrift-Kauf

Der heiliege DB Konzern ist auch noch mal eine Sache für sich. Nach außen hin sind es über 600 einzelne Verantwortliche, aber intern kann quasi jeder auf alles zugreifen. Die einzelnen Verantwortlichen gibt es nur für die steuerlichen und unternehmerischen Vorteile. Meine Beschwerde in Hessen ist denen zu heiß und daher abgewiesen, wie ich als Beschwerdeführer auch bei der Aufsicht als Petent gesperrt. Es sei exzessiv.

Es ist unglaublich was die Konzerndatenschutzbeauftragte als Argumente hervorbringt. Inzwischen ist es soweit, dass man sagt ich würde zu viel bei der Bahn buchen und auch entsprechende Entschädigungen bei den ganzen Ausfällen / Verspätungen ihrer Züge beantragen. Man kann mir keine Betroffenenrechte gewähren, da es einfach zu viele Daten sind und alles in dem Konzern ansonsten zum Stillstand kommt: Der Zugverkehr wird im Inland bis auf Weiteres eingestellt. Grund hierfür sind die Gewährung von Betroffenenrechten.

Dataport – kann man nur verpfeifen!

Veröffentlicht am 02.05.2022, Reaktionen 12.04.2024.

Ihr Artikel zu Dataport ist bei mir auf großes Interesse gestoßen, denn ich betrachte mich und mein Unternehmen als Dataport-Geschädigte. ... Ihre Darstellung ist für mich ein weiteres Puzzleteil zum Verstehen dieser Anstalt und sie nährt meine Vermutung, dass dort ganz erhebliche Dinge zu Lasten des Steuerzahlers, des Bürgers und des freien Wettbewerbs schief laufen. Ich danke Ihnen für Ihren Mut!
Auch der ehemalige Dataport-Security-Champion Joachim Lindenberg erhebt auf seinem Blog Dataport – kann man nur verpfeifen schwere Vorwürfe gegen den immer weiter wachsenden Staatskonzern.

Auch ich habe mir von denen eine Auskunft nach Art. 15 DSGVO angefordert und es sich genauso abgelaufen, wie Sie es beschreiben. Bei mir wollten sie einst noch eine Unterschrift haben, für das Auskunftsersuchen, auch wenn es die hiesiegen Rechtsgrundlagen nicht vorsehen. Im Anschluss hatte ich dann eine zusammengeschriebene Auskunft in einem Text nach Art. 15 Abs. 1 DSGVO, ohne Datenkopien. Ich habe mich hier aber nicht weiter hintergeklemmt. Nach zwei Jahren jedoch forderte ich eine erneute (vollständige) Auskunft. Die Auskunft bestand darin, mich einfach auf die bereits erfolgte Auskunft von vor zwei Jahren zu verweisen und dass die meisten Daten bereits gelöscht sind. Konkreter werden wollte / konnte man natürlich nicht.

Erst nach Einschritt der Rechtsaufsicht war man in der Lage auch mal Datenkopien hervorzubringen. Das war dann auch alles. Ich fragte mich was ist mit den Gehaltsunterlagen, für diese gelte mindestens eine Speicherdauer von sechs bis zehn Jahren. Nö nö, sei alles gelöscht, mehr habe man nicht. Ausbildungszeugnis? Vernichtet! Leistungsbeurteilungen? Vernichtet! Am Ende wurden die abrechnungsrelevanten doch noch gefunden und einige Beurteilungen. Nur eine Zeugnisabschrift fand man dort nicht mehr. Wobei hierfür § 195 BGB nur eine Möglichkeit, keine Pflicht zur Aufbewahrung darstellt.

Na ja, wiederkehrend verspätete waren die Auskünfte vonseiten Dataport sowieso. Die (unabhängige) Rechtsaufsicht hat den Vorgang ohne Weiteres einfach geschlossen. Nur nach Beschwerde bei der Amtsleiung habe ich noch mal eine Warnung an die Verantwortliche und künftige weitere Überprüfungen erwirken können.

Emailsicherheit – der Test

Veröffentlicht am 04.02.2022, zuletzt geändert am 28.06.2023, Reaktionen 09.11.2023.

Zum Thema Emailsicherheit oder -verschlüsselung habe ich einige Veröffentlichungen, darunter:

Der Emailtest wurde bis zum 31.05.2023 rund 1200 Mal kontakiert, davon sind rund 800 Zugriffe Internet-Scans oder Versuche, den Testservice als offenes Relay zu verwenden, rund 40 Zugriffe konnten klar als Spam identifiziert werden, und ca. 300 Zugriffe sind reale Tests von insgesamt etwa 100 getesteten Domänen.

Da hat jemand mal die E-Mail-Server der öffentlichen Verwaltung auf (Sicherheits-)Kriterien wie TLS und DNSSEC geprüft.

... und wollte mich für Ihre Mühen bei Ihren Anträgen bei FragdenStaat bedanken. Sie leisten unglaubliche Arbeit, sowohl unser Recht auf digitale Übertragungen von Dokumenten per Email praktisch zu zementieren, als auch den aktuellen Unfug bei den Empfehlungen des BSI aufzuräumen. Wenn Sie Hilfe für Ihre Anfragen benötigen würde Ich mich nach Möglichkeit gerne beteiligen an die Offenlegung dieser wichtigen Informationen.

Für Ihre Unterstützung durch die Übermittlung Ihrer Logfiles danke ich Ihnen.

Inzwischen habe ich eine ganze Reihe von Beschwerden mit diesem Tool unterstützt, alle zu finden auf Emailsicherheit und die Aufsichten. Erfolgreich sind die aber nur, wenn der Verantwortliche kooperiert, nicht weil die Aufsicht die Orientierungshilfe ernst nimmt.

Ich bin durch Zufall auf deinen Blog gestoßen und habe mit Spannung die Beiträge gelesen.

Mich interessiert das Thema Mail und Sicherheit sehr.

Angriff auf Karlsruher Schulen

Veröffentlicht am 22.02.2023, zuletzt geändert am 03.03.2023, Reaktionen 28.02.2023.

Mir liegen zwei Zuschriften vor, die Mißstände im Schulbereich bestätigen. Die sind allerdings so speziell, dass schon alleine ein Zitat für die Hinweisgeber unangenehme Folgen haben könnte.

Nutzung privater Mittel durch die Organisation vs. private Nutzung von Mitteln der Organisation

Veröffentlicht am 02.07.2022..

Dieser Artikel wurde unter anderem von diesem Leserbrief motiviert:

ich verfolge Ihren Blog unter blog.lindenberg.one schon eine geraume Zeit. Gerade Ihre datenschutzrechtlichen Einschätzungen zu E-Mail-Themen interessieren mich sehr.

Da mich ein Thema (leider) sehr beschäftigt schreibe ich Ihnen nun und hoffe auf Ihre Einschätzung.


Veröffentlicht am 16.05.2024.

© 2024 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.