Datenschutz in der Telekomunikation, Az. 24-193-2 II#1721

Von: <*********************@bfdi.bund.de>
Gesendet: 11.07.2023 10:25
An: <**************@lindenberg.one>
Betreff: Datenschutz in der Telekomunikation, Az. 24-193-2 II#1721

Sehr geehrter Herr Lindenberg,

ich komme zurück auf Ihr Anliegen vom 17.03.2023 zum Thema Datenschutz in
der Telekommunikation. Darin beschwerten Sie sich über den
Registrierungsmechanismus beim Telekom E-Mail Encryption Gateway, konkret
über die Möglichkeit eines Downgrade-Angriffs, der in Verbindung mit dem
Versand des Einmalpasswortes per E-Mail zu einem Zugriff auf die
hinterlegten Nachrichten führen könnte. Außerdem weisen Sie auf den
Passwort-Vergessen-Dialog des Dienstes hin, durch den der
Downgrade-Angriff auch nach der Registrierung ausgeführt werden könne. Sie
sehen das aktuelle Verfahren der Telekom als Verstoß gegen Art. 32 DSGVO.
Weiterhin wenden Sie sich gegen die Nutzungsbedingungen des Dienstes, die
nach Ihrer Ansicht nicht die Anforderungen aus Art. 7 DSGVO erfüllen.

Mir liegt nun eine Stellungnahme des Anbieters vor.

Zur Frage der nicht-obligatorischen Transportverschlüsselung gibt die
Telekom an, dass sie durch die Anfrage darauf aufmerksam wurde, dass TLS
auf dem Server noch nicht obligatorisch konfiguriert ist. Die Telekom
plant die Transportverschlüsselung zeitnah auf obligatorisch umzustellen
und bei dadurch ggf. verursachter Unzustellbarkeit die Möglichkeit eines
alternativen Transportweges zur Wahl zu stellen. Die Umstellung ist für
Q3/2023 angekündigt. Zum Ende des Quartals werde ich die Telekom um einen
Sachstand hierzu bitten.

Zur Frage der Nutzungsbedingungen hat der Anbieter ebenfalls eine
Rückmeldung gegeben. Die Telekom sieht diese Bedingungen nicht als
Einwilligung i.S.d. Art. 7 DSGVO, da durch Ihre Auskunftsanfrage nach Art.
15 DSGVO bereits eine Rechtsgrundlage für die Verarbeitung vorhanden sei.
Somit handle es sich lediglich um eine Information für die Nutzenden. Ich
werde zu dieser Stellungnahme Rechtsexperten hier im Hause einbinden.
Sobald die offenen Fragen beantwortet und hier bewertet sind, werde ich
mich wieder unaufgefordert bei Ihnen melden.

Mit freundlichen Grüßen

Im Auftrag
Weißenborn

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
-Referat 24-

Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-0
E-Mail: Referat24@bfdi.bund.de
Internet: https://www.bfdi.bund.de

**************************************************************************
******
Datenschutzerklärung des BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie
unter https://www.bfdi.bund.de/datenschutz.

Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie
bitte sofort den Absender und löschen Sie diese E-Mail.