AW: Datenschutz in der Telekommunikation, Az. 24-193 II#6079

Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: 09.04.2024 17:17
An: <REFERAT24@bfdi.bund.de>, <pressestelle@bfdi.bund.de>
Betreff: AW: Datenschutz in der Telekommunikation, Az. 24-193 II#6079

Sehr geehrter ***************, sehr geehrter Herr Stein,

Vielen Dank für Ihre Nachricht und die Stellungnahme von Vodafone. Ich darf
ein paar Punkte aus Ihrer Mail und der Stellungnahme herausgreifen:

"Betriebs- u. Geschäftsgeheimnisse zur Schwärzung geltend gemacht. Dieser
Einschätzung bin ich in Teilen gefolgt." - ich darf fragen, welcher Art die
Geschäftsgeheimnisse sind und ob dem nicht Artikel 5 Abs. 2 DSGVO
entgegensteht.

"... bereits in die Netzwerke eines Serverbetreibers eingedrungen sein, oder
aber sendenden Zugriff auf den Internetverkehr zwischen den Servern haben" -
wie ich in meiner Email vom 25.01.2024 Az. 24-193 II#6195 ausgeführt habe
ist das nicht erforderlich, über z.B. einen BGP-Angriff kann der Angriff von
einem beliebigen autonomen System erfolgen, egal ob dieses einem
Schurkenstaat, einem Geheimdienst eines befreundeten Land gehört, oder ob
dieses selbst gehackt wurde. Dass ein Angriff strafbewehrt ist, schreckt
Angreifer auch sonst nicht ab und entbindet Verantwortliche m.W. nicht
davor, Schutzmaßnahmen zu ergreifen. Spätestens seit Snowden wissen wir,
dass Lauschangriffe auch befreundeter Staaten normal sind. Aber der Frage
"aus welchem Jahr die genannte Abwägung stammt" vom 10.01.2024 sind sie
nicht nachgegangen.

"Registrierungsmail" - wie ich in meiner Email vom 23.10.2023 ausgeführt
habe, gilt das gleiche auch für Passwort-Vergessen. Damit ist der Zeitpunkt
vom Angreifer bestimmbar und auch beliebig oft wiederholbar.

"... typischen Verarbeitungssituationen ..." soll heißen, in "atypischen"
Verarbeitungssituationen ist Sicherheit egal? Auch wenn damit
Identitätsdiebstahl ermöglicht wird? Wie oft muss eine Verarbeitung
stattfinden, damit sie typisch wird? Ist das Ihr Ernst? Aber diese Passage
ist sowieso belanglos, denn die Orientierungshilfe ist ja nicht verbindlich
(Email vom 15.11.2023, Az. 24-193 II#6195).

"... Angemessenheit von Schutzmaßnahmen beim Mailversand durch
TK-Dienstleister nunmehr nach §§ 165, 167 TKG zu beurteilen ist. Demnach
sind Einzelheiten im Katalog von Schutzmaßnahmen geregelt. Dieser enthält
jedoch keine Anforderung zur obligatorischen Transportverschlüsselung
unabhängig vom individuellen Risiko des Inhalts." - richtig, weil die
Bundesnetzagentur mehr als zwei Jahre nach Inkrafttreten des neuen TKG
keinen Katalog für Email veröffentlicht hat - meine Email vom 15.11.2023,
Az. 24-193 II#6195. Und falsch, denn die Beschwerde Az. 24-193 II#6079 um
die es hier geht bezieht sich nicht auf den TK-Anbieter sondern den
Verantwortlichen Vodafone.

"Dies ist bei der großen Mehrzahl der Mailserver der Fall. ... Diese
Vorgehensweise deckt sich mit der sämtlicher anderer Marktteilnehmer. In
Fällen, wenn der Empfangsserver keine Transportversschlüsselung mittels TLS
unterstützt, könnte andernfalls keine Zustellung der E-Mail stattfinden".
Eindeutig falsch. Es gibt sehr wohl Marktteilnehmer die zumindest
Transportverschlüsselung erzwingen oder das als Konfiguration anbieten, und
wenn tatsächlich die Mehrheit der Mailserver TLS anbietet, dann spricht das
doch eher dafür, TLS zu erzwingen statt es erratisch zu nutzen.

"geringes Risiko" - wie kommen Sie zu dieser Aussage? Nach DSK-Kurzpapier
Nr. 18 ermittelt sich das aus Eintrittswahrscheinlichkeit (ggfs.
geringfügig) und Schadenshöhe (realistisch vermutlich überschaubar und
höher) und dann ist man klar im gelben Bereich (normales) Risiko.

"Der für dieses Vorgehen notwendige, große technische Aufwand steht
allerdings außer Verhältnis zu dem Angriff auf ein individuelles
Kundenkonto." - dass der Vodafone Rechtsanwalt eine konkrete
Aufwandsschätzung für obligatorische Transportverschlüsselung, SMTP-DANE
oder anderes hat wage ich zu bezweifeln. Für diverse Standardemailserver
sind das keine 10 Minuten Konfigurationsaufwand, und da Techniker meist
einen niedrigeren Stundenlohn als Rechtsanwälte haben wäre das sogar ein
gutes Geschäft.

"Sollten Sie einen rechtsmittelfähigen Bescheid wünschen, bitte ich um
entsprechende Nachricht. In diesem Fall betrachten Sie dieses Schreiben
bitte als Anhörung im Sinne von § 28 Verwaltungsverfahrensgesetz (VwVfG)" -
wer hat sich denn diese Formulierung ausgedacht? Damit ich mir aussuchen
kann, ob ich nach Artikel 78 Abs 1 oder 2 klagen möchte?

Offen gesagt schließe ich aus Ihrer Email nur, dass sich der BfDI nicht mit
Vodafone anlegen will, sich dafür geeignete Ausreden sucht bzw. liefern
lässt, Sicherheit bzw. Artikel 32 DSGVO wohl für entbehrlich hält, oder
entgegen der Beteuerung von Herrn Stein vom 18.07.2023 die
Orientierungshilfe doch für ungeeignet hält, oder nur deswegen weil sie
sowieso unverbindlich ist. Der BfDI qualifziert sich (nicht nur) damit
jedenfalls für den Dinosaurier des Datenschutzes...

Ich sehe nicht, dass der BfDI seinen Aufgaben aus Artikel 57 Abs. 1
ernsthaft nachkommt.
Ja, ich rechne damit, dass Sie wieder "Polemik" schreiben. Falsch:
Realsatire. Aber Sie dürfen sich gerne dazu äußern, dann veröffentliche ich
natürlich auch Ihre Antwort.

Vielen Dank und viele Grüße
Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: *********************@bfdi.bund.de <*********************@bfdi.bund.de>
Im Auftrag von REFERAT24@bfdi.bund.de
Gesendet: Montag, 18. März 2024 13:29
An: '***********@lindenberg.one' <***********@lindenberg.one>
Betreff: Datenschutz in der Telekommunikation, Az. 24-193 II#6079

Sehr geehrter Herr Lindenberg,

ich komme zurück auf Ihr Anliegen vom 20.03.2023 zum Thema Datenschutz in
der Telekommunikation. Darin reichten Sie unter Punkt 3 eine Beschwerde
wegen Verstoßes gegen Artikel 32 DSGVO gegen Vodafone ein, weil bei der
Registrierung unter
https://www.vodafone.de/meinvodafone/account/registrierung/persoenliche_daten
- "ich bin noch kein Kunde" - keine obligatorische Transportverschlüsselung
verwendet wird.

Ich hatte die für die Datenverarbeitung verantwortliche Stelle um ergänzende
Stellungnahme gebeten, da auch ein Downgrade-Angriff zum
Identitätsmissbrauch berücksichtigt werden muss. Anbei finden Sie die
Stellungnahme zur Einsicht. Im zweiten Abschnitt hat Vodafone Betriebs- u.
Geschäftsgeheimnisse zur Schwärzung geltend gemacht. Dieser Einschätzung bin
ich in Teilen gefolgt.

Auf Basis meiner Ermittlungen stellt sich der Sachverhalt so dar, dass
Vodafone beim Versand von Bestätigungsmails eine Transportverschlüsselung
dem empfangenden Server anbietet, so dass im Regelfall eine verschlüsselte
Verbindung zustande kommt. Eine unverschlüsselte Verbindung kommt jedoch
zustande, wenn der empfangende Zielserver keine Verschlüsselung anbietet,
oder im Falle des von Ihnen angesprochenen Downgrade-Angriffes.

Die Vodafone lässt sich dahingehend ein, dass beim Versand einer
Bestätigungsmail nur ein geringes Risiko besteht, so dass eine Verpflichtung
zur obligatorischen Transportverschlüsselung außer Verhältnis zum
Schutzzweck stünde.

Ein Downgrade-Angriff erfordert, dass der Angreifer sich zwischen den
Kommunikationspartnern positionieren kann. Da es sich um
Server-Server-Kommunikation handelt muss er hierzu entweder bereits in die
Netzwerke eines Serverbetreibers eingedrungen sein, oder aber sendenden
Zugriff auf den Internetverkehr zwischen den Servern haben. Zudem ist der
Zugriff auf Telekommunikationsverbindungen strafbewehrt. Somit setzt ein
solcher Angriff ein hohes Maß an technischen Fähigkeiten und krimineller
Energie voraus und stünde bei der in Frage stehenden Bestätigungsmail außer
Verhältnis zu dem dahinterstehenden Tatverwirklichungspotenzial.

Auch eine Betrachtung dieser generellen Überlegungen vor dem Hintergrund,
dass die Vodafone bei der strittigen Mail auch für den Inhalt der
versendeten Mail verantwortlich ist, ergibt keinen anderen Schluss. Denn die
Registrierungsbestätigung mit dem entsprechenden Link wird gerade versendet,
um dem Postfachinhaber die Möglichkeit zu geben, die Anmeldung zu bestätigen
oder bei einer missbräuchlichen Verwendung seiner Mailadresse Kenntnis
hiervon zu erlangen (sog. Double-Opt-in). Das Double-Opt-in-Verfahren soll
die missbräuchliche Verwendung von Mailadressen zum Spam-Versand erschweren
und für mehr Rechtssicherheit bei der Verwendung von Mailadressen zur
Kommunikation sorgen. Wäre der Verantwortliche gezwungen eine solche Mail
nicht zu versenden, wenn der Empfangspartner keine Verschlüsselung anbietet,
so würde diese Schutzfunktion unterlaufen. Vodafone sichert den Zugriff auf
seine Kundendienste als Telekommunikationsdienstleister - etwa den Zugriff
auf SIM-Karten - zudem durch weitere Schutzmaßnahmen ab, so dass das mit dem
Abfangen der Registrierung eines Kundenkontos verbundene Risiko keinen
Zugang zu besonders schützenswerten Daten ermöglicht.

Eine andere Betrachtung ergibt sich auch nicht unter Berücksichtigung der
von Ihnen angesprochenen Orientierungshilfe. Dies schon allein deshalb, da
sie gemäß Nr. 1 Abs. 3 S. 1 von typischen Verarbeitungssituationen ausgeht,
während es sich bei der Bestätigungsmail um den atypischen Fall einer E-Mail
handelt, die gerade als Schutzmaßnahme gegen Datenschutzverletzungen
versendet wird. Zudem wurde das TK-Recht nach Veröffentlichung der
Orientierungshilfe reformiert, so dass die Angemessenheit von
Schutzmaßnahmen beim Mailversand durch TK-Dienstleister nunmehr nach §§ 165,
167 TKG zu beurteilen ist. Demnach sind Einzelheiten im Katalog von
Schutzmaßnahmen geregelt. Dieser enthält jedoch keine Anforderung zur
obligatorischen Transportverschlüsselung unabhängig vom individuellen Risiko
des Inhalts.

Anknüpfungspunkte für den Nachweis eines Datenschutz-Verstoßes oder für
weitere verhältnismäßige Prüfungen und Maßnahmen gegenüber dem Anbieter sehe
ich nach aktuellem Sachstand nicht.

Beschwerden und Kontrollanregungen von Bürgerinnen und Bürgern sind für den
BfDI eine wesentliche Quelle um zu erkennen, in welchen Bereichen sich im
Hinblick auf den Datenschutz noch Verbesserungspotential ergibt. Ich bedanke
mich für Ihr Interesse am Datenschutz.

Sollten sich aus Ihrer Sicht keine weiteren Fragen ergeben, so betrachte ich
den Vorgang als abgeschlossen. Sollten Sie einen rechtsmittelfähigen
Bescheid wünschen, bitte ich um entsprechende Nachricht. In diesem Fall
betrachten Sie dieses Schreiben bitte als Anhörung im Sinne von § 28
Verwaltungsverfahrensgesetz (VwVfG).

Mit freundlichen Grüßen

Im Auftrag
**********

Der Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit -Referat 24-

Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-0
E-Mail: Referat24@bfdi.bund.de
Internet: https://www.bfdi.bund.de

********************************************************************************
Datenschutzerklärung des BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie
unter https://www.bfdi.bund.de/datenschutz.

Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte
sofort den Absender und löschen Sie diese E-Mail.