Datenschutz in der Telekommunikation, Az. 24-193 II#6079

Von: <REFERAT24@bfdi.bund.de>
Gesendet: 18.03.2024 13:28
An: <***********@lindenberg.one>
Betreff: Datenschutz in der Telekommunikation, Az. 24-193 II#6079
Anlagen: 2023 11 04 VF Stellungnahme Rückfrage Geschwärzt.pdf

Sehr geehrter Herr Lindenberg,

ich komme zurück auf Ihr Anliegen vom 20.03.2023 zum Thema Datenschutz in
der Telekommunikation. Darin reichten Sie unter Punkt 3 eine Beschwerde
wegen Verstoßes gegen Artikel 32 DSGVO gegen Vodafone ein, weil bei der
Registrierung unter
https://www.vodafone.de/meinvodafone/account/registrierung/persoenliche_da
ten - "ich bin noch kein Kunde" - keine obligatorische
Transportverschlüsselung verwendet wird.

Ich hatte die für die Datenverarbeitung verantwortliche Stelle um
ergänzende Stellungnahme gebeten, da auch ein Downgrade-Angriff zum
Identitätsmissbrauch berücksichtigt werden muss. Anbei finden Sie die
Stellungnahme zur Einsicht. Im zweiten Abschnitt hat Vodafone Betriebs- u.
Geschäftsgeheimnisse zur Schwärzung geltend gemacht. Dieser Einschätzung
bin ich in Teilen gefolgt.

Auf Basis meiner Ermittlungen stellt sich der Sachverhalt so dar, dass
Vodafone beim Versand von Bestätigungsmails eine Transportverschlüsselung
dem empfangenden Server anbietet, so dass im Regelfall eine verschlüsselte
Verbindung zustande kommt. Eine unverschlüsselte Verbindung kommt jedoch
zustande, wenn der empfangende Zielserver keine Verschlüsselung anbietet,
oder im Falle des von Ihnen angesprochenen Downgrade-Angriffes.

Die Vodafone lässt sich dahingehend ein, dass beim Versand einer
Bestätigungsmail nur ein geringes Risiko besteht, so dass eine
Verpflichtung zur obligatorischen Transportverschlüsselung außer
Verhältnis zum Schutzzweck stünde.

Ein Downgrade-Angriff erfordert, dass der Angreifer sich zwischen den
Kommunikationspartnern positionieren kann. Da es sich um
Server-Server-Kommunikation handelt muss er hierzu entweder bereits in die
Netzwerke eines Serverbetreibers eingedrungen sein, oder aber sendenden
Zugriff auf den Internetverkehr zwischen den Servern haben. Zudem ist der
Zugriff auf Telekommunikationsverbindungen strafbewehrt. Somit setzt ein
solcher Angriff ein hohes Maß an technischen Fähigkeiten und krimineller
Energie voraus und stünde bei der in Frage stehenden Bestätigungsmail
außer Verhältnis zu dem dahinterstehenden Tatverwirklichungspotenzial.

Auch eine Betrachtung dieser generellen Überlegungen vor dem Hintergrund,
dass die Vodafone bei der strittigen Mail auch für den Inhalt der
versendeten Mail verantwortlich ist, ergibt keinen anderen Schluss. Denn
die Registrierungsbestätigung mit dem entsprechenden Link wird gerade
versendet, um dem Postfachinhaber die Möglichkeit zu geben, die Anmeldung
zu bestätigen oder bei einer missbräuchlichen Verwendung seiner
Mailadresse Kenntnis hiervon zu erlangen (sog. Double-Opt-in). Das
Double-Opt-in-Verfahren soll die missbräuchliche Verwendung von
Mailadressen zum Spam-Versand erschweren und für mehr Rechtssicherheit bei
der Verwendung von Mailadressen zur Kommunikation sorgen. Wäre der
Verantwortliche gezwungen eine solche Mail nicht zu versenden, wenn der
Empfangspartner keine Verschlüsselung anbietet, so würde diese
Schutzfunktion unterlaufen. Vodafone sichert den Zugriff auf seine
Kundendienste als Telekommunikationsdienstleister - etwa den Zugriff auf
SIM-Karten - zudem durch weitere Schutzmaßnahmen ab, so dass das mit dem
Abfangen der Registrierung eines Kundenkontos verbundene Risiko keinen
Zugang zu besonders schützenswerten Daten ermöglicht.

Eine andere Betrachtung ergibt sich auch nicht unter Berücksichtigung der
von Ihnen angesprochenen Orientierungshilfe. Dies schon allein deshalb, da
sie gemäß Nr. 1 Abs. 3 S. 1 von typischen Verarbeitungssituationen
ausgeht, während es sich bei der Bestätigungsmail um den atypischen Fall
einer E-Mail handelt, die gerade als Schutzmaßnahme gegen
Datenschutzverletzungen versendet wird. Zudem wurde das TK-Recht nach
Veröffentlichung der Orientierungshilfe reformiert, so dass die
Angemessenheit von Schutzmaßnahmen beim Mailversand durch TK-Dienstleister
nunmehr nach §§ 165, 167 TKG zu beurteilen ist. Demnach sind Einzelheiten
im Katalog von Schutzmaßnahmen geregelt. Dieser enthält jedoch keine
Anforderung zur obligatorischen Transportverschlüsselung unabhängig vom
individuellen Risiko des Inhalts.

Anknüpfungspunkte für den Nachweis eines Datenschutz-Verstoßes oder für
weitere verhältnismäßige Prüfungen und Maßnahmen gegenüber dem Anbieter
sehe ich nach aktuellem Sachstand nicht.

Beschwerden und Kontrollanregungen von Bürgerinnen und Bürgern sind für
den BfDI eine wesentliche Quelle um zu erkennen, in welchen Bereichen sich
im Hinblick auf den Datenschutz noch Verbesserungspotential ergibt. Ich
bedanke mich für Ihr Interesse am Datenschutz.

Sollten sich aus Ihrer Sicht keine weiteren Fragen ergeben, so betrachte
ich den Vorgang als abgeschlossen. Sollten Sie einen rechtsmittelfähigen
Bescheid wünschen, bitte ich um entsprechende Nachricht. In diesem Fall
betrachten Sie dieses Schreiben bitte als Anhörung im Sinne von § 28
Verwaltungsverfahrensgesetz (VwVfG).

Mit freundlichen Grüßen

Im Auftrag
**********

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
-Referat 24-

Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-0
E-Mail: Referat24@bfdi.bund.de
Internet: https://www.bfdi.bund.de

**************************************************************************
******
Datenschutzerklärung des BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie
unter https://www.bfdi.bund.de/datenschutz.

Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie
bitte sofort den Absender und löschen Sie diese E-Mail.