Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: 11.07.2023 14:34
An: <*********************@bfdi.bund.de>
Betreff: AW: Datenschutz in der Telekommunikation, Az. 24-193 II#6079

 

Sehr geehrter ****************,
in der mir vorliegenden Orientierungshilfe
https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf -
und ich darf vermuten, dass das die abgestimmte Position der
Datenschutzaufsichtsbehörden darstellt - finde ich das nicht. Dort heißt es
vielmehr: "Der Einsatz von Transportverschlüsselung bietet einen
Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen
Anforderungen dar". Basis-Schutz besagt eigentlich klar, weniger Schutz
schützt nicht, und Mindestmaßnahme ist doch auch eindeutig, oder nicht?
Oder gibt es eine "abgestimmte Position der Datenschutzaufsichtsbehörden"
die mir nicht bekannt oder die (noch) nicht veröffentlicht ist? Dann
schicken Sie mir diese bitte zu. Und bitte auch die Stellungnahme von
Vodafone.
Riskant ist in meinen Augen auch nicht nur, welche Daten unverschlüsselt
übertragen werden, sondern auch dass man mittels eines Downgrade-Angriffes
in der Lage wäre, unter fremder Identität ein Konto anzulegen, was für den
echten Inhaber jede Menge Ärger bedeuten kann, von ungefragt bestellten
Produkten bis hin zu missbräuchlichen Meinungsäußerungen.
Vielen Dank und viele Grüße
Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: *********************@bfdi.bund.de <*********************@bfdi.bund.de>
Gesendet: Dienstag, 11. Juli 2023 14:14
An: '***********@lindenberg.one' <***********@lindenberg.one>
Betreff: Datenschutz in der Telekommunikation, Az. 24-193 II#6079

Sehr geehrter Herr Lindenberg,

hiermit möchte ich Ihnen eine Rückmeldung zu Ihrer Eingabe vom 20.03.2023
geben. Darin reichten Sie unter Punkt 3 eine Beschwerde wegen Verstoßes
gegen Artikel 32 DSGVO gegen Vodafone ein, weil bei der Registrierung unter
https://www.vodafone.de/meinvodafone/account/registrierung/persoenliche_daten
- "ich bin noch kein Kunde" - keine obligatorische Transportverschlüsselung
verwendet wird.

Mir liegt nun eine Stellungnahme der Vodafone hierzu vor. Der Anbieter sieht
bei der von Ihnen erhaltenen Registrierungs-E-Mail nur ein geringes Risiko,
da sie nur wenige personenbezogene Daten enthält.

In einem Test habe ich mich davon überzeugt, welche Daten aktuell bei der
Registrierung per Mail versendet werden. Dies sind Vorname, Nachname,
E-Mailadresse und der pseudonyme Token zur Bestätigung der Mailadresse. Es
werden soweit ersichtlich auch keine Daten versendet, die einen
weitergehenden Zugriff ermöglichen würden, z.B. ein Passwort für das
Benutzerkonto.

Falls die von Ihnen erhaltene E-Mail keine weiteren personenbezogenen Daten
enthielt als die oben genannten, so steht die Risikobeurteilung der Vodafone
nach meiner Einschätzung im Einklang mit der abgestimmten Position der
Datenschutzaufsichtsbehörden, nach der bei geringem Risiko keine
Verpflichtung zu einer Verschlüsselung besteht.

Sollte die von Ihnen erhaltene E-Mail weitere personenbezogene Daten
enthalten haben (oder liegen andere Umstände vor, die Ihrer Meinung nach auf
ein erhöhtes Risiko hindeuten) so bitte ich um Mitteilung - und wenn möglich
eine Kopie der fraglichen E-Mail - bis zum 28.07.2023.

Mit freundlichen Grüßen

Im Auftrag
**********

Der Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit -Referat 24-

Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-0
E-Mail: Referat24@bfdi.bund.de
Internet: https://www.bfdi.bund.de

********************************************************************************
Datenschutzerklärung des BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie
unter https://www.bfdi.bund.de/datenschutz.

Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte
sofort den Absender und löschen Sie diese E-Mail.