AW: Datenschutz in der Telekomunikation, Az. 24-193-2 II#1721

Von: Joachim Lindenberg <**************@lindenberg.one>
Gesendet: 11.07.2023 14:44
An: <*********************@bfdi.bund.de>
Betreff: AW: Datenschutz in der Telekomunikation, Az. 24-193-2 II#1721

Sehr geehrter ****************,
da mit dem Secure-Email-Gateway meines Wissen auch personenbezogene Daten
übermittelt werden, bei denen ein hohes Risiko für den Betroffenen bestehen
kann, müsste nach meinem Verständnis der gerade eben schon zitierten
Orientierungshilfe
https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf
die qualifizierte Transportverschlüsselung zum Einsatz kommen.
Oder sehen Sie das anders? Warum?
Darf ich Sie auch hier bitten, mir die Stellungnahme der Telekom zukommen zu
lassen?
Vielen Dank und viele Grüße
Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: *********************@bfdi.bund.de <*********************@bfdi.bund.de>
Gesendet: Dienstag, 11. Juli 2023 10:25
An: '**************@lindenberg.one' <**************@lindenberg.one>
Betreff: Datenschutz in der Telekomunikation, Az. 24-193-2 II#1721

Sehr geehrter Herr Lindenberg,

ich komme zurück auf Ihr Anliegen vom 17.03.2023 zum Thema Datenschutz in
der Telekommunikation. Darin beschwerten Sie sich über den
Registrierungsmechanismus beim Telekom E-Mail Encryption Gateway, konkret
über die Möglichkeit eines Downgrade-Angriffs, der in Verbindung mit dem
Versand des Einmalpasswortes per E-Mail zu einem Zugriff auf die
hinterlegten Nachrichten führen könnte. Außerdem weisen Sie auf den
Passwort-Vergessen-Dialog des Dienstes hin, durch den der Downgrade-Angriff
auch nach der Registrierung ausgeführt werden könne. Sie sehen das aktuelle
Verfahren der Telekom als Verstoß gegen Art. 32 DSGVO. Weiterhin wenden Sie
sich gegen die Nutzungsbedingungen des Dienstes, die nach Ihrer Ansicht
nicht die Anforderungen aus Art. 7 DSGVO erfüllen.

Mir liegt nun eine Stellungnahme des Anbieters vor.

Zur Frage der nicht-obligatorischen Transportverschlüsselung gibt die
Telekom an, dass sie durch die Anfrage darauf aufmerksam wurde, dass TLS auf
dem Server noch nicht obligatorisch konfiguriert ist. Die Telekom plant die
Transportverschlüsselung zeitnah auf obligatorisch umzustellen und bei
dadurch ggf. verursachter Unzustellbarkeit die Möglichkeit eines
alternativen Transportweges zur Wahl zu stellen. Die Umstellung ist für
Q3/2023 angekündigt. Zum Ende des Quartals werde ich die Telekom um einen
Sachstand hierzu bitten.

Zur Frage der Nutzungsbedingungen hat der Anbieter ebenfalls eine
Rückmeldung gegeben. Die Telekom sieht diese Bedingungen nicht als
Einwilligung i.S.d. Art. 7 DSGVO, da durch Ihre Auskunftsanfrage nach Art.
15 DSGVO bereits eine Rechtsgrundlage für die Verarbeitung vorhanden sei.
Somit handle es sich lediglich um eine Information für die Nutzenden. Ich
werde zu dieser Stellungnahme Rechtsexperten hier im Hause einbinden. Sobald
die offenen Fragen beantwortet und hier bewertet sind, werde ich mich wieder
unaufgefordert bei Ihnen melden.

Mit freundlichen Grüßen

Im Auftrag
**********

Der Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit -Referat 24-

Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-0
E-Mail: Referat24@bfdi.bund.de
Internet: https://www.bfdi.bund.de

********************************************************************************
Datenschutzerklärung des BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie
unter https://www.bfdi.bund.de/datenschutz.

Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte
sofort den Absender und löschen Sie diese E-Mail.