Von: Joachim Lindenberg <******************@web.de>
Gesendet: 02.12.2022 11:45
An: REFERAT24@bfdi.bund.de
Betreff: Re: Referenz #1003307048 - Ihre Anfrage an den WEB.DE De-Mail Kundenservice
Sehr geehrter **********,
mein Verständnis der Kommunikation: für den Zugang zum Postfach werden tatsächlich zwei Verfahren angeboten, aber die Angabe der Mobilnummer wird auch bei eID verlangt, um das Passwort zurücksetzen zu können, weil in diesem Prozess eID nicht unterstützt wird. mTAN ist aber bekanntermaßen unsicher - Verstoß gegen Artikel 32. Ignoriert man den Prozess für das Rücksetzen des Passworts (Anmeldung mit eID sollte ausreichen um das Passwort zu ändern), dann verstößt die Angabe der Mobilnummer gegen die Datensparsamkeit.
Ich habe keine Rückmeldung von web.de seit ich Beschwerde eingereicht habe.
Vielen Dank
und viele Grüße
Joachim
Lindenberg
Am 02.12.2022 um 10:55 schrieb
REFERAT24@bfdi.bund.de:
Geschäftszeichen: 24-193-2 II#1673 Sehr geehrter Herr Lindenberg, ich komme zurück auf Ihre E-Mail vom 16. November. Können Sie bitte erläutern, worin genau Sie hier einen Datenschutzverstoß sehen? Sie hatten von einer "erzwungenen Verwendung von mTAN" geschrieben. So wie ich Ihren Mail-Verlauf mit web.de verstehe, werden aber doch zwei Möglichkeiten zur Authentifizierung angeboten: mTAN und eID. Falls Sie inzwischen noch eine Rückmeldung von web.de erhalten haben, senden Sie sie mir zu. Mit freundlichen Grüßen Im Auftrag ************ ******************************************************************************** Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Referat 24 - Telekommunikation Graurheindorfer Straße 153, 53117 Bonn Fon: (0228) 997799-**** E-Mail Referat: referat24@bfdi.bund.de Internet: https://www.bfdi.bund.de ******************************************************************************** Datenschutzerklärung des BfDI: Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie unter https://www.bfdi.bund.de/datenschutz. Vertraulichkeitshinweis: Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt. Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese E-Mail. -----Ursprüngliche Nachricht----- Von: Joachim Lindenberg <******************@web.de> Gesendet: Mittwoch, 16. November 2022 17:04 An: Poststelle Postfach <POSTSTELLE@bfdi.bund.de> Cc: datenschutz@webde.de Betreff: Re: Referenz #1003307048 - Ihre Anfrage an den WEB.DE De-Mail Kundenservice Sehr geehrte Damen und Herren, ich möchte mich nach Artikel 77 DSGVO über die 1&1 De-Mail GmbH beschweren, denn meines Erachtens verstößt die erzwungene Verwendung von mTAN obwohl mit eID ein besseres Authentifizierungsverfahren unterstützt wird gegen Artikel 32 und Artikel 22 DSGVO. Auch ist die Art und Weise wie Antworten wiederholt statt Fragen beantwortet werden ein Verstoß gegen Artikel 5 Absatz 1 und 2. Mit freundlichen Grüßen Joachim Lindenberg Am 16.11.2022 um 11:50 schrieb datenschutz@webde.de <mailto:datenschutz@webde.de> : Guten Tag Joachim Lindenberg, vielen Dank für Ihre E-Mail. Gerne geben wir Ihnen die gewüschten Informationen. Das mTAN-Verfahren stellt das vom TÜV und BSI zertifizierte Verfahren zur hohen Authentifizierung für den 2. Faktor dar. Aus diesem Grunde ist das Erfassen der Mobilfunknummer erforderlich und damit datenschutzrechtlich zulässig. Für weitere Fragen stehen wir Ihnen zur Verfügung. Freundliche Grüße Rebecca Warth Ihr WEB.DE De-Mail-Kundenservice WEB.DE De-Mail Brauerstraße 48 76135 Karlsruhe Telefon: +49 721 960 98 00 (Festnetztarif) - Allgemeine Fragen: Montag bis Freitag von 08:00 bis 18:00 Uhr - Sperrservice: Montag bis Sonntag von 00:00 bis 24:00 Uhr Wir werden gegebenenfalls Ihre Angaben zur Bearbeitung Ihrer Anfrage speichern und verarbeiten. 1&1 De-Mail GmbH Hauptsitz Montabaur, Amtsgericht Montabaur HRB 23266, UST-Id. DE815387545 Geschäftsführer: Alexander Charles, Ralf Hartings, Thomas Ludwig, Jan Oetjen https://web.de/impressum/ -----Ursprüngliche Nachricht----- Von: Joachim Lindenberg <******************@web.de> <mailto:******************@web.de> Gesendet: 15.11.22, 13:59 An: datenschutz@webde.de <mailto:datenschutz@webde.de> E-Mail Betreff: Re: Referenz #1003301243 - Ihre Anfrage an den WEB.DE De-Mail Kundenservice Sehr geehrtre Frau Warth, Sie wiederholen sich ohne meine Fragen ernsthaft zu beantworten. Kaum eine Bank verwendet heute noch mTAN weil das Verfahren als zu unsicher gilt, kein Betroffener hat Lust, bei allen Anbietern seine Mobilnummer bekanntzugeben und aktuell zu halten. Ich betrachte das Erfordernis einer Mobilnummer sowohl als Verstoß gegen die Datensparsamkeit in Artikel 25 als auch gegen Artikel 32 DSGVO. Muss ich Beschwerde einreichen? Vielen Dank und viele Grüße Joachim Lindenberg Am 15.11.2022 um 13:30 schrieb datenschutz@webde.de <mailto:datenschutz@webde.de> :Guten Tag Joachim Lindenberg,vielen Dank für Ihre E-Mail.Bei der De-Mail Registrierung werden Ihre persönlichen Daten, wieName, Adresse, Geburtsdatum oder Handynummer abgefragt.Aus Sicherheitsgründen dürfen nur eindeutig identifizierte PersonenDe-Mail nutzen. Die Identifizierung kann per eID durchgeführt werden,allerdings benötigen Sie für den Freichaltprozess eine gültigeeuropäische Mobilfunknummer.Anschließend wir für den sicheren Login das mTAN-Verfahren (MobileTAN) verwendet. Das mTAN-Verfahren wird zum Beispiel auch beimOnline-Banking verwendet. Dabei wird auf ein vorab registriertes Handyein numerischer Code (TAN) gesendet, welcher dann beim Login in IhrDe-Mail-Konto eingegeben werden kann.Alternativ kann mann in den Einstellungen das Anmeldeverfahren auf nPA(neuer Personalausweis) umstellen. Die Mobilfunknummer muss weiterhingespeichert bleiben, wird aber nicht für dieses Anmeldeverfahrenbenötigt.Für einige Prozesse wie z.B. Passwort vergessen, wird weiterhin einemTAN benötigt.Auf unserer WEB.DE Seite finden Sie im Hilfebereich eine ausführlicheÜbersicht über alle notwendigen Daten für die Nutzung von De-Mail.Wir freuen uns, wenn Ihnen diese Informationen weiterhelfen.Freundliche GrüßeRebecca WarthIhr WEB.DE De-Mail-KundenserviceWEB.DE De-MailBrauerstraße 4876135 KarlsruheTelefon: +49 721 960 98 00 (Festnetztarif)- Allgemeine Fragen: Montag bis Freitag von 08:00 bis 18:00 Uhr- Sperrservice: Montag bis Sonntag von 00:00 bis 24:00 UhrWir werden gegebenenfalls Ihre Angaben zur Bearbeitung Ihrer Anfragespeichern und verarbeiten.1&1 De-Mail GmbHHauptsitz Montabaur, Amtsgericht MontabaurHRB 23266, UST-Id. DE815387545Geschäftsführer: Alexander Charles, Ralf Hartings, Thomas Ludwig, JanOetjenhttps://web.de/impressum/-----Ursprüngliche Nachricht-----Von: Joachim Lindenberg <******************@web.de> <mailto:******************@web.de>Gesendet: 14.11.22, 17:25An: datenschutz@webde.de <mailto:datenschutz@webde.de>E-Mail Betreff: Re: Referenz #1003297457 - Ihre Anfrage an den WEB.DEDe-Mail KundenserviceSehr geehrte Frau Warth,ich kann weder nachvollziehen, wie man mit einer mTAN ein hohesSicherheitsniveau realisieren kann, noch wieso eine Handynummer beieinem Login mittels eID erforderlich oder auch nur sinnvoll sein soll.Können Sie beides bitte genauer erläutern? Und worin sehen Sie diePflicht beides parallel für einen Benutzer statt wahlweise vorzuhalten?Auch wundert mich, dass Sie das nicht auf der Anmeldeseite darstellen,dazu wären Sie m.E. nach DSGVO verpflichtet.Vielen Dank und viele GrüßeJoachim LindenbergAm 14.11.2022 um 16:30 schrieb datenschutz@webde.de <mailto:datenschutz@webde.de> :Guten Tag Joachim Lindenberg,vielen Dank für Ihre E-Mail. Wir freuen uns, dass Sie sich mit IhrerFrage zur Angabe der Handynummer direkt an uns gewandt haben. Gerneerläutern wir Ihnen die Hintergründe.Das De-Mail Gesetz schreibt vor, dass ein De-Mail Anbieter den Zugangzu einem De-Mail Konto mit einer sicheren Anmeldung ermöglichen unddafür 2 verschiedene Verfahren anbieten muss.Wir haben uns zum Start von De-Mail aus Gründen derBenutzerfreundlichkeit und Einfachheit für folgende Verfahren zumLogin auf hohem Sicherheitsniveau entschieden:1. Der neue Personalausweis mit freigeschalteter eID-Funktion.2. Das Sicherungsmittel der PIN-Eingabe über ein der bzw. demNutzenden zugeordnetes Mobilfunkgerät (mTAN-Verfahren).Für beide von uns angebotenen Verfahren müssen wir im Rahmen derDe-Mail Registrierung die Handynummer erheben und im Prozessverifizieren. Wir bitten Sie daher um Verständnis, dass dieBeantragung einer De-Mail-Adresse ohne Angabe einer Handynummer nichtmöglich ist.Wir hoffen, dass Ihnen unsere Informationen weiterhelfen.Freundliche GrüßeRebecca WarthIhr WEB.DE De-Mail-KundenserviceWEB.DE De-MailBrauerstraße 4876135 KarlsruheTelefon: +49 721 960 98 00 (Festnetztarif)- Allgemeine Fragen: Montag bis Freitag von 08:00 bis 18:00 Uhr- Sperrservice: Montag bis Sonntag von 00:00 bis 24:00 UhrWir werden gegebenenfalls Ihre Angaben zur Bearbeitung Ihrer Anfragespeichern und verarbeiten.1&1 De-Mail GmbHHauptsitz Montabaur, Amtsgericht MontabaurHRB 23266, UST-Id. DE815387545Geschäftsführer: Alexander Charles, Ralf Hartings, Thomas Ludwig, JanOetjenhttps://web.de/impressum/-----Ursprüngliche Nachricht-----Von: Joachim Lindenberg <******************@web.de> <mailto:******************@web.de>Gesendet: 04.11.22, 17:49An: datenschutz@webde.de <mailto:datenschutz@webde.de>E-Mail Betreff: Mobilnummer bei DE-MAIL?Sehr geehrte Damen und Herren, wofür braucht DE-Mail eine Mobilnummer?Vielen Dank und viele Grüße Joachim Lindenberg