Sehr geehrter ***************,

vielen Dank für die Rückmeldung. Da frage ich mich doch, aus welchem Jahr die genannte Abwägung stammt. Aus der Zeit vor Snowden? Welche Angriffsszenarien sind in diese Abwägung eingeflossen? Wenn meine Hyptohese "vor Snowden" stimmt: wurde es nicht für nötig gehalten, die auch mal zu überdenken, nachdem der Stand der Technik sich danach zumindest im sichtbaren Bereich sich deutlich bewegt hat?

Oder stammt die Abwägung aus der Zeit nach meiner Beschwerde und soll nur das nichts-tun kaschieren?

Ein Datenschutzmanagementsystem müsste das eigentlich verraten können, und Vodafone war ja mal zertifiziert. Dass auf der Webseite ein abgelaufenes Zertifikat prangt überrascht mich aber auch nicht – Schein ist alles.

Vielen Dank und viele Grüße

Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: *********************@bfdi.bund.de <*********************@bfdi.bund.de>
Gesendet: Dienstag, 9. Januar 2024 14:54
An: '***********@lindenberg.one'
Betreff: Datenschutz in der Telekommunikation, Az. 24-193 II#6079

Sehr geehrter Herr Lindenberg,

hiermit möchte ich Ihnen eine Rückmeldung zu Ihrer Eingabe vom 20.03.2023 geben. Darin reichten Sie unter Punkt 3 eine Beschwerde wegen Verstoßes gegen Artikel 32 DSGVO gegen Vodafone ein, weil bei der Registrierung unter https://www.vodafone.de/meinvodafone/account/registrierung/persoenliche_daten  - "ich bin noch kein Kunde" - keine obligatorische Transportverschlüsselung verwendet wird.

Ich hatte die für die Datenverarbeitung verantwortliche Stelle um ergänzende Stellungnahme gebeten, da auch ein Downgrade-Angriff zum Identitätsmissbrauch berücksichtigt werden muss. Diese Stellungnahme liegt mir vor.

Vodafone führt aus, dass es nach Abwägung aller Umstände die fragliche Mail der Risikoklasse A (niedrig) zugeordnet hat, bei welcher die Kommunikation auch unverschlüsselt stattfinden kann. Da ein MitM-Angriff zwischen Mailservern ein hochkomplexes und besonders aufwändiges Szenario sei, der außergewöhnliche technische Fähigkeiten und ein Höchstmaß an krimineller Energie voraussetze, stehe der Aufwand in keinem Verhältnis zu dem zu erzielenden Gewinn des Angreifers.

Aufgrund unserer vorangegangenen Korrespondenz zur Sache gehe ich davon aus, dass Sie Einsicht in die Stellungnahme im Original wünschen und habe Vodafone heute bereits Gelegenheit gegeben sich dazu zu äußern.

Unabhängig davon werde ich die aufgeworfenen Fragen im Referat diskutieren und Ihnen anschließend eine inhaltliche Antwort senden. Ich rechne aktuell damit, dass dies in 2-3 Wochen sein wird.

Ich wünsche Ihnen ein frohes neues Jahr.

Mit freundlichen Grüßen

Im Auftrag

**********

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit -Referat 24-

Graurheindorfer Straße 153, 53117 Bonn

Fon:         0228-997799-0

E-Mail:    Referat24@bfdi.bund.de

Internet: https://www.bfdi.bund.de

********************************************************************************

Datenschutzerklärung des BfDI:

Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie unter https://www.bfdi.bund.de/datenschutz.

Vertraulichkeitshinweis:

Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt. Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese E-Mail.