Sehr geehrter **********,

vielen Dank für Ihr Schreiben vom 1.4.2026. Bitte entschuldigen Sie, dass ich Ihnen die Email nicht mitgeschickt hat, diesmal anbei. Sofern Sie Outlook (classic) verwenden, das kann .eml leider nicht öffnen, mit Thunderbird geht es. Die Email enthält alle Daten aus dem Formular, so wie das die Webseite mit dem Text „eine Kopie meiner Nachricht“ auch andeutet. Ebenfalls beigefügt das dazugehörige json.

Die Deutsche Post oder ihr Auftragsverarbeiter Deutsche Post Direkt schickt auch andere Emails ohne obligatorische Transportverschlüsselung. Ich füge ein zip mit reports und emls bei.

Es ist traurig, dass Verantwortliche sich keine Gedanken machen, wie sie ihre Sicherheitsmaßnahmen testen oder nachweisen können. Einfordern sollten Sie das m.E. trotzdem.

Vielen Dank und viele Grüße

Joachim Lindenberg

Sehr geehrter **********,

vielen Dank für  Ihr Schreiben vom 12.03.2026.

Ihre Interpretation der Zustände Connect vs. Mail oder Acked ist nicht richtig. Der Test eingehender Emails läuft im wesentlichen in zwei Phasen ab. Bei Emaildiensten, von denen bekannt ist, dass sie ohne STARTTLS sofort eine non-delivery-Nachricht schicken, wird die erste Phase ausgelassen, um den Anwender nicht zu verwirren. In der ersten Phase wird STARTTLS nicht angeboten und geprüft ob trotzdem Emails übertragen werden. Der dabei erreichte Zustand ist (maximal) Connect. In der zweiten Phase wird STARTTLS angeboten und dabei können die Zustände Mail und Acked erreicht werden, aber auch Zustände wie SniSeen die zwar ein STARTTLS, nicht aber eine Mail gesehen haben. Die Zustände dienen dabei nur der Erkennung, ob ein Test abgeschlossen ist und der daran anschließenden Bewertung des Tests. Sie werden angezeigt, weil sie mir erlauben einen Test schneller zu interpretieren und ggfs. auch einmal einen Fehler zu suchen – denn leider verhalten sich unterschiedliche Emailserver unterschiedlich. Als extremes Beispiel: ich habe schon Emailserver beobachtet, die auch in Phase 2 kein oder nicht konsequent STARTTLS verwendet haben.

Ob während einer Verbindung Emails übertragen wurden ergibt sich unabhängig vom ausgewiesenen Zustand aus der oder den Zeilen darunter, From…To…Id… - und dort findet sich beim Testergebnis der Deutschen Post auch bei den Verbindungen mit Connect ein Eintrag.

Ich kann Ihnen auch gerne das vollständige .json schicken, das enthält für jede Verbindung u.a. auch einen Trace der SMTP-Kommandos. Allerdings sehe ich die Nachweispflicht für obligatorische oder qualifizierte Transportverschlüsselung bei der Deutschen Post AG, nicht bei mir.

Viele Grüße

Joachim Lindenberg

Sehr geehrter **********,

vielen Dank für Ihr Schreiben vom 03.03.2026.

„1) Habe ich den Sachverhalt richtig wiedergegeben?“

Ja, richtig. Ergänzen muss ich, dass die Checkbox und Text für Benutzer ein echtes Dilemma aufwerfen. Natürlich will man eine Eingangsbestätigung um den Zugang darlegen zu können. Man bekommt die aber nur, indem man auf wie auch immer geartete Sicherheit verzichtet. Diese Entscheidung dürfte Durchschnittsanwender überfordern - auch hier nicht im Einklang mit dem „verständlich“ und „vereinfacht“ in Art. 12 Abs. 1 bzw. 2 DSGO. Die Deutsche Post AG macht dabei auch Sicherheit (Art. 32 DSGVO) dispositiv, was die Datenschutzkonferenz ablehnt, insbesondere da die Initiative hier von der Verantwortlichen ausgeht und nicht auf der Emailadresse des Betroffenen beruht. Ob man von einer Einwilligung im Sinne von Art. 6 Abs. 1 lit a i.V.m. Art. 7 DSGVO sprechen kann ist dabei m.E. auch fragwürdig.

Unabhängig von der Problematik der Einwilligung, die Deutsche Post AG garantiert die versprochene Transportverschlüsselung nicht. Testergebnis vom Beschwerdetag anbei.

„2) Im Vorgang 22-243 11#3748 (mittlerweile geführt als BS7-243 11#3748) hatte ich Ihnen …

Hat sich an der Art des E-Mail-Versandes seit 2023 etwas geändert? Sehen Sie sich zudem beschwert, weil die Verantwortliche den Prozess mittlerweile zu Ihren Ungunsten umgestellt hat?“

Ja, die Deutsche Post AG hat das Verfahren wieder geändert, vermutlich weil niemand außer Ihnen mit der Lösung zufrieden war. Zwei Nachrichten statt einer ergeben halt nicht wirklich Sinn. Die mit garantierter Transportverschlüsselung hat aber möglicherweise zu (wenigen) Rückläufern geführt, das wollte der Systemadministrator vielleicht nicht. Aus dem Testergebnis oben können Sie ersehen, dass nur eine einzige Message-ID auftaucht, und die Nachricht ohne obligatorische Transportverschlüsselung zugestellt wird.

Die richtige Lösung wäre halt, nach Eingabe der Emailadresse einen Test auf SMTP-DANE, MTA-STS und STARTTLS durchzuführen und erst dann entsprechende Hinweise einzublenden. Dann kann man auch sagen, dass die Initiative zu weniger Sicherheit vom Betroffenen ausging, weil er einen unsicheren Anbieter ausgewählt hat. Ich mache des in meinen eigenen Formularen seit mehreren Jahren. Die zweitbeste Lösung wäre SMTP-DANE oder MTA-STS zu unterstützen, dann wäre der Downgrade bei der Domäne et.lindenberg.one nicht erfolgreich gewesen.

Tatsächlich können wohl alle öffentlichen Anbieter zumindest STARTTLS, die Platzhirsche mit Ausnahme der Telekom auch SMTP-DANE oder MTA-STS. Damit sind 100% der deutschen Bürger über obligatorische und gut 80% über qualifizierte Transportverschlüsselung erreichbar. Vermutlich auch, weil die Bundesnetzagentur genau das in ihrem Verordnungsentwurf erwartet. Leider ist damit nur das C (Consumer=Betroffene) in B2C abgedeckt, viele B (Verantwortliche) sind keine öffentlichen TK-Anbieter, werden vom TK-Recht nicht erfasst, und verwenden oft keinen Stand-der-Technik. Vielleicht auch weil die DSK keine wirklich praktikable und mit der Bundesnetzagentur abgestimmte Empfehlung gibt.

Vielen Dank und viele Grüße

Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: ************@bfdi.bund.de <************@bfdi.bund.de> Im Auftrag von BS7@bfdi.bund.de
Gesendet: Mittwoch, 25. Februar 2026 14:22
An: ************@lindenberg.one
Betreff: Datenschutz bei der Erbringung von Postdienstleistungen (BS7-243 II#4748)

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Az.: BS7-243 II#4748

Sehr geehrter Herr Lindenberg,

hiermit bestätige ich zunächst nur den Eingang Ihrer Eingabe vom 23.

Februar 2026.

Ihr unter Punkt zwei monierter Sachverhalt wird unter dem o. g.

Geschäftszeichen geführt.

Mit freundlichen Grüßen

Im Auftrag

************

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

- Referat BS7 - Postdienste, Wirtschaftsverwaltung, Bundesbeteiligungen -

Graurheindorfer Straße 153, 53117 Bonn

Fon:          0228-997799-7740

E-Mail:    bs7@bfdi.bund.de

Internet: https://www.bfdi.bund.de

**************************************************************************

******

Datenschutzerklärung der BfDI:

Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie unter https://www.bfdi.bund.de/datenschutz.

Vertraulichkeitshinweis:

Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.

Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese E-Mail.