Von: Joachim Lindenberg <**************@lindenberg.one>
Gesendet: 07.08.2023 12:23
An: <*********************@bfdi.bund.de>
Betreff: AW: Datenschutz in der Telekomunikation, Az. 24-193-2 II#1721
Sehr geehrter ***************,
vielen Dank für die Zusendung der Stellungnahme.
Am 08.03.2023 habe ich die Telekom gebeten, "mir das entsprechende
Sicherheitskonzept oder die entsprechende Datenschutzfolgenabschätzung
zuzusenden." (Die Email war in meiner Beschwerde vom 17.03.2023 als Anlage
enthalten.) Eine Antwort habe ich nicht erhalten, was die Vermutung nahe
legt, es gibt keines, und dementsprechend hat man auch nichts getestet oder
vernünftig konfiguriert. In jedem Fall ist kein Sicherheitskonzept besser
als die schwächste Stelle, und hier - wie auch in anderen Fällen - ist das
hier wohl Registrierung und Passwort-Rücksetzen.
Wie ich schon am 11.07.2023 geschrieben habe, reicht in meinen Augen
obligatorische Transportverschlüsselung nicht aus: "da mit dem
Secure-Email-Gateway meines Wissen auch personenbezogene Daten übermittelt
werden, bei denen ein hohes Risiko für den Betroffenen bestehen kann, müsste
nach meinem Verständnis der gerade eben schon zitierten Orientierungshilfe
https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf
die qualifizierte Transportverschlüsselung zum Einsatz kommen." Sollte die
Telekom das anders sehen, dann bitte ich Sie darum, die Telekom nach
Sicherheitskonzept und Datenschutzfolgenabschätzung zu fragen.
Wenn man aber qualifizierte Transportverschlüsselung einsetzt, ist eine
zusätzliche Inhaltsverschlüsselung und damit die Verwendung des Encryption
Gateways insgesamt in meinen Augen entbehrlich, es sei denn der Empfänger
vertraut seinem Emailanbieter nicht.
Hinsichtlich der Nutzungsbedingungen ist mir beim Lesen der Stellungnahme
noch aufgefallen, dass die Telekom hier wohl ein berechtigtes Interesse
unterstellt, denn Sie schreibt - erkennbar unlogisch - "4.
Einverständniserklärung: Sollten Sie mit den oben genannten Bedingungen
nicht einverstanden sein, senden Sie eine Mail an
mail_encryption_gateway@telekom.de zur Löschung
Ihres Accounts." was auf Art. 6 Abs. 1 lit. f hindeutet (lit. e kann man
ausschließen). Aber meiner Auffassung nach scheiden sowohl Einwilligung
(lit. a) als auch berechtigtes Interesse (lit. f) und damit der Dialog
insgesamt aus, denn eine Auskunftserteilung ist eine gesetzliche
Verpflichtung.
Vielen Dank und viele Grüße
Joachim Lindenberg
-----Ursprüngliche Nachricht-----
Von: *********************@bfdi.bund.de <*********************@bfdi.bund.de>
Gesendet: Montag, 7. August 2023 11:32
An: '**************@lindenberg.one' <**************@lindenberg.one>
Betreff: Datenschutz in der Telekomunikation, Az. 24-193-2 II#1721
Sehr geehrter Herr Lindenberg,
anbei finden Sie die erbetene Stellungnahme des Anbieters auf Ihre
Beschwerde zum Thema obligatorische Transportverschlüsselung am
E-Mail-Gateway.
Die Frage der Nutzungsbedingungen befindet sich weiterhin in Prüfung durch
einen Kollegen hier im Haus.
Mit freundlichen Grüßen
Im Auftrag
**********
Der Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit -Referat 24-
Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-0
E-Mail: Referat24@bfdi.bund.de
Internet: https://www.bfdi.bund.de
********************************************************************************
Datenschutzerklärung des BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie
unter https://www.bfdi.bund.de/datenschutz.
Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte
sofort den Absender und löschen Sie diese E-Mail.