Sehr geehrte ***************, sehr geehrter **********,

Vielen Dank für Ihre Anhörung vom 15.04.2025 in 22-244 II#1316.

ad a) Die Behauptung, „die DPD-Server verwenden im Übrigen mindestens eine TLS 1.2 Verschlüsselung” darf ich bestreiten. Das beigefügte Testergebnis besagt, dass die DPD-Server auch unverschlüsselt übertragen. Hätten die DPD-Server SMTP-DANE oder MTA-STS verwendet, wäre eine zusätzliche Inhaltsverschlüsselung unnötig. So sind beide Mails anfällig für Downgradeattacken, die Übertragung erfüllt damit weder die Orientierungshilfe der DSK noch die Anforderungen  NET.1.1 A7 und APP.5.3.A9 im BSI Grundschutz. Ausführlich dazu mein Artikel in DuD 2024, 726. Nach dem – zugegeben fragwürdigen – Urteil OLG Schleswig vom 18.12.2024 12 U 9/24 wäre DPD schadensersatzpflichtig. Dass die Übertragung über den gleichen Kanal unsicher ist, ergibt sich ebenfalls aus „… aufgrund fehlender Regelungen verschlüsselte Informationen mit den dazugehörigen Schlüsseln auf demselben Datenträger befinden oder über denselben Kommunikationskanal unverschlüsselt übertragen werden.“ (CON.1 2.1. Unzureichendes Schlüsselmanagement bei Verschlüsselung, BSI Grundschutz Kompendium 2023).

ad b) Ob Daten in einem internen oder einem über das Internet erreichbaren System gespeichert werden ist für das Auskunftsrecht nach Art. 15 DSGVO irrelevant. Die Verantwortliche hat alles zu beauskunften. Wenn die Informationen in mehreren Systemen identisch sind, reicht eine Kopie, das sind sie im vorliegenden Fall jedoch nicht. Dabei kommt es nicht auf die Präsentation HTML oder PDF an, sondern auf die enthaltenen Daten. Es fehlt zumindest die Uhrzeit der Zustellung und ggfs. die Zustellversuche. Ob bzw. in welchem Umfang die Sendungsinformationen im Detail personenbezogene Daten sind ist strittig im Verfahren VG Köln 13 K 7948/24, ich beantrage daher diesen Teil des Beschwerdeverfahrens auszusetzen bis dort eine Klärung oder Entscheidung erreicht wurde (vgl. Mühlbauer, „Die Aussetzung von Verwaltungsverfahren“, Logos-Verlag Berlin 2003).

Ich darf Sie um eine Eingangsbestätigung bitten. Außerdem darf ich darum bitten, dass Sie nach §41 Abs. 1 VwVfG einen einheitlichen Bescheid an alle Verfahrensbeteiligten erlassen.

Vielen Dank und viele Grüße

Joachim Lindenberg