Sehr geehrter **********,

Vielen Dank für Ihr Schreiben vom 13.09.2024 zur Anhörung in 24-193-2 II#1721. Im Juni gab es anscheinend telefonische Erörterungen, die in der Akte nicht widergegeben sind. Was wurde da besprochen?

Mir ist ein Rätsel, wieso Sie einen Datenschutzverstoß bejahen, die Beschwerde aber “teilweise abweisen”. Welcher Teil wird denn anerkannt, welcher wird abgewiesen? Bei einer Anhörung darf ich erwarten, dass der relevante Sachverhalt und die rechtliche Bewertung dargestellt wird – das vermisse ich klar. Das ist auch nicht meine überzogene Erwartung, sondern steht hinsichtlich der Tatsachen in §28 Abs. 1 VwVfG, hinsichtlich der rechtlichen Bewertung in Rechtsprechung und Kommentaren.

Also geht es um die fehlende obligatorische Verschlüsselung? Die Zustimmung zu Nutzungsbedingungen im Auskunftsprozess? Oder etwas anderes? Die Nutzungsbedingungen im Auskunftsprozess habe ich in #4637 thematisiert.

Auch wird ein eingetretener Datenschutzverstoß nicht dadurch geheilt, dass der Verantwortliche ihn abstellt. Für den Datenschutzverstoß ist irrelevant wie oft ich betroffen war oder bin. Beides kann selbstverständlich bei Ihren Folgemaßnahmen berücksichtigt werden.

Darüberhinaus ist mir aus Ihrer Darstellung unklar, was die Telekom tatsächlich geändert hat. Sie schreiben, es wird eine zusätzliche Verschlüsselung mit 7-Zip durchgeführt? Zusätzlich oder anstelle der Verwendung des TEEG und dessen fragwürdiger Ende-zu-Ende-Verschlüsselung? Schickt die Telekom eine Auskunft dann direkt oder mit diesem dann eher unnötigen Umweg?

Das Passwort am Telefon zu verraten ist ein zweifelhafter Weg. Sie machen gar keine Angaben dazu, wie der Betroffene dabei identifiziert werden soll. Tatsächlich habe ich gerade ein weiteres Auskunftsersuchen bei der Telekom laufen und erhielt letzten Donnerstag per SMS diese Nachricht:

Leider hatte ich am Donnerstag, 19.09.2024 Corona, telefonieren war unmöglich. Kaum genesen hatte ich eine Zahn-OP, kann also immer noch nicht telefonieren. Ich habe daher schon am 19.09.2024 eine Email an datenschutz@telekom.de geschickt und um postalische Zusendung des Passworts gebeten (anbei) – es kam bis heute nicht. Die angekündigte Mail mit der verschlüsselten Auskunft auch nicht. Wie ein Nutzer der nicht telefonieren oder dabei nur begrenzt etwas notieren kann eine Auskunft erhalten kann ist mir daher ein Rätsel. Und Mobiltelefone werden heute ganz bestimmt nicht nur zum Telefonieren verwendet.

Ich bringe das auch deswegen vor, weil Ihre Annahme “da hier nur in seltenen Ausnahmefällen besonders sensible Daten i.Sv. Art.9 DSGVO übermittelt werden”. Die Erwähnung eines Infekts oder gar von Corona überschreitet diese Grenze bereits. Sie erwähnen die “Personalausweisnummer …, die einen ldentitätsdiebstahl ermöglichen könn[t]e[n]”. Gilt das dann auch für die PUK1? Alles taucht dann möglicherweise in der nächsten Auskunft auf und schon haben wir alle Risikoklassen gemischt.

Positiv darf ich übrigens feststellen, dass die Verschlüsselung des TEEGs inzwischen eine obligatorische Verschlüsselung verwendet, leider aber keine qualifizierte (authentifizierte) Transportverschlüsselung – obwohl das Risiko hoch sein kann. Testbericht anbei.

Ich bitte um eine Eingangsbestätigung dieser Email.

Vielen Dank und viele Grüße

Joachim Lindenberg