Von: Joachim Lindenberg <****@lindenberg.one>
Gesendet: 06.04.2022 21:32
An: <REFERAT22@bfdi.bund.de>
Betreff: AW: unverschlüsselte E-Mail-Kommunikation (Az.: 22-243 II#3748)
Sehr geehrter **********,
ich kenne nicht nur die Orientierungshilfe zu Email und Ihre Probleme –
https://blog.lindenberg.one/Emailverschlusselung,
https://blog.lindenberg.one/AufsichtOhneOrientierung – sondern auch den
Beschluss der DSK
https://www.datenschutzkonferenz-online.de/media/dskb/20211124_TOP_7_Beschluss_Verzicht_auf_TOMs.pdf –
https://blog.lindenberg.one/Artikel32DsgvoDispositiv, die allerdings erst
nach meiner Beschwerde erschienen ist, aber sehr klar den
Beschwerdegegenstand adressiert.
Danach ist eine solche Checkbox grundsätzlich nicht zulässig, denn bei einem
Formular geht die Initiative ganz bestimmt nicht vom Betroffenen aus.
Einwilligungen zu TOMs sind nicht zulässig, und geschätzt 99% der Benutzer
verstehen sie nicht. Auch ist "Risiko selbst zu prognostizieren" Unsinn,
denn der Betroffene weiß nicht, welche Technik DHL einsetzt, während er
selbst möglicherweise einen Emailserver verwendet, der qualifizierte
Transportverschlüsselung nach RFC 7672 beherrscht. Ob nach der Frage die
Email tatsächlich verschlüsselt wird oder nicht und wie lange das gelten
soll, ist in meinen Augen völlig irrelevant, die Verantwortung bleibt beim
Verantwortlichen, er kann die nicht delegieren.
Richtig wäre in meinen Augen, diese Checkbox zu entfernen – so auch eine
Mail an ********** die dem BfDI vorliegen sollte. Je nach tatsächlich
erforderlichem Schutzbedarf ist m.E. obligatorisch oder qualifiziert zu
verschlüsseln, und es liegt m.E. nahe, die Möglichkeit bei der Prüfung der
Eingaben mit zu überprüfen und falls das Schutzniveau aufgrund der
eingegebenen Emailadresse nicht erreicht werden kann, abzubrechen oder eine
Warnung anzuzeigen. Ich habe Formulare realisiert, bei denen eine Warnung
erscheint, wenn der Empfänger RFC 7672 nicht verwendet und daher
möglicherweise immer oder bei Downgrade-Angriffen nicht verschlüsselt oder
authentifiziert wird.
Es wäre natürlich auch hilfreich, wenn der BfDI den Terminus qualifizierte
Transportverschlüsselung durch BSI TR 03801 oder RFC 7672 ersetzen würde,
dann wüssten die Techniker bei DHL was sie machen sollen. E2E ist Unsinn,
der BfDI konnte bisher nicht begründen was er damit tatsächlich erreichen
will und wieso E2E dafür besser als BSI TR 03801 oder RFC 7672 sein soll,
und alle Usability-Tests zeigen, dass der normale Anwender damit nicht
umgehen kann. Auch dazu Details auf
https://blog.lindenberg.one/AufsichtOhneOrientierung und
https://blog.lindenberg.one/Emailverschlusselung.
Habe ich mich klar genug ausgedrückt? Andernfalls dürfen Sie
selbstverständlich gerne weiterfragen.
Vielen Dank und viele Grüße
Joachim Lindenberg
-----Ursprüngliche Nachricht-----
Von: REFERAT22@bfdi.bund.de <REFERAT22@bfdi.bund.de>
Gesendet: Wednesday, 6 April 2022 14:58
An: '***********@lindenberg.one' <***********@lindenberg.one>
Betreff: AW: unverschlüsselte E-Mail-Kommunikation (Az.: 22-243 II#3748)
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Az.: 22-243 II#3748
Sehr geehrter Herr Lindenberg,
hiermit bestätige ich den Eingang Ihrer E-Mail vom 19. November 2021, 12:36
Uhr, welche Sie an die Deutsche Post AG (DPAG) und referat25@bfdi.bund.de
adressiert hatten. Ihr Vorgang wird unter dem o. g. Aktenzeichen geführt.
Ich bitte um Entschuldigung für die verspätete Antwort, bei der Übermittlung
vom Empfänger Ihrer E-Mail an das zuständige Referat 22 ist offenbar ein
Fehler passiert, so dass ich erst gestern Kenntnis von Ihrer Anfrage erlangt
habe.
In dem an den BfDI gerichteten Teil Ihrer E-Mail vermuten Sie einen Verstoß
gegen Art. 32 DSGVO, weil die DHL Paket GmbH (DHL) im Rahmen eines
Kontaktformulars eine unverschlüsselte Übermittlung per E-Mail anbietet, um
Ihnen eine Kopie Ihrer Anfrage zuzustellen.
Mir ist nicht bekannt, um welches Formular es sich genau handelt. Leider
erlaubt DHL keine Deeplinks, ich vermute es ist ein Formular wie aktuell
unter https://www.dhl.de/de/privatkunden/hilfe-kundenservice.html
-> "Rund um mein Paket"
-> "Was bedeutet mein Sendungsstatus?"
-> "Wir helfen Ihnen gerne – Hier geht es zum Kontakt" (ganz unten)
-> "Schreiben Sie uns – Hier geht es zum Kontakt"
Dort sehe ich neben einer Checkbox die Formulierung "Ich möchte eine Kopie
dieser Nachricht erhalten und bin einverstanden, dass diese Kopie per
unverschlüsselter E-Mail-Kommunikation übermittelt wird." DHL bietet Ihnen
damit an, die Angaben in Ihrer Anfrage noch einmal per E-Mail zugesandt zu
bekommen. Ich entnehme der Formulierung nicht, dass sämtlicher künftiger
Schriftverkehr zwischen DHL und Ihnen per unverschlüsselter E-Mail erfolgen
wird.
Wie ich Ihrer Kommunikation mit Referat 25 entnehmen kann, ist Ihnen die
Orientierungshilfe der Konferenz der unabhängigen
Datenschutzaufsichtsbehörden des Bundes und der Länder vom 27. Mai 2021 zum
Thema "Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per
E-Mail" bekannt. Gemäß dieser Orientierungshilfe ist der Versender einer
E-Mail für die Vertraulichkeit personenbezogener Daten auf dem Transportweg
verantwortlich. Abhängig vom Risiko für die Rechte und Freiheiten
betroffener natürlicher Personen, das durch eine Offenlegung beim Transport
der E-Mail eintritt, soll der Verantwortliche entweder eine
Transportverschlüsselung oder E2E-Verschlüsselung anwenden. Mit der Checkbox
im Formular haben Sie die Möglichkeit, DHL von dieser Verantwortung zu
entbinden, Ihr Risiko selbst zu prognostizieren und optional in einen
möglicherweise unverschlüsselten E-Mail-Versand Ihrer Angaben einzuwilligen.
Ohne diese Einwilligung erleiden Sie keine Nachteile bei der Bearbeitung
Ihres Anliegens.
Verstehe ich es richtig, dass Sie vermuten, der E-Mail-Versand würde _in
jedem Fall_ unverschlüsselt erfolgen? Der Grund Ihrer Eingabe wäre also,
dass Sie bemängeln, DHL würde gar nicht versuchen, zumindest eine
opportunistische Transportverschlüsselung zu nutzen?
Ich möchte Sie bitten, mir dies kurz zu bestätigen. Alternativ bitte ich um
eine konkretere Beschreibung des Grundes Ihrer Eingabe.
Vielen Dank schon vorab.
Mit freundlichen Grüßen
Im Auftrag
************
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
- Referat 22 – Postdienste und Wirtschaftsverwaltung -
Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-2202
E-Mail: referat22@bfdi.bund.de
Internet: https://www.bfdi.bund.de
********************************************************************************
Datenschutzerklärung des BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie
unter https://www.bfdi.bund.de/datenschutz.
Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte
sofort den Absender und löschen Sie diese E-Mail.
-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg [#233632]
Gesendet: Donnerstag, 3. März 2022 08:42
An: Referat 25 Postfach neu <REFERAT25@bfdi.bund.de>
Betreff: AW: Ihre Anfrage – "Artikel 32 DSGVO – Dispositiv?" [#233632]
Sehr geehrter ************,
vielen Dank für die Nachfrage. Ich halte diese Anfrage für erledigt und
hatte sie auch so markiert. Allerdings ist eine meiner Beschwerden die zu
dieser Anfrage geführt hat (als Anlage beigefügt) offen und in Anbetracht
von
https://fragdenstaat.de/anfrage/verzicht-auf-toms-insbesondere-verschlusselung-brao-2/
habe ich noch erheblichen Zweifel am Durchsetzungswillen der Aufsicht.
Mit freundlichen Grüßen
Joachim Lindenberg
Anhänge:
– beschwerde-art32dispositiv.pdf
Anfragenr: 233632
Antwort an: ***********************@fragdenstaat.de
Laden Sie große Dateien zu dieser Anfrage hier hoch:
[snip]
--
Rechtshinweis: Diese E-Mail wurde über den Webservice fragdenstaat.de
versendet. Antworten werden ggf. im Auftrag der Antragstellenden auf dem
Internet-Portal veröffentlicht.
Falls Sie Fragen dazu haben oder eine Idee, was für eine Anfrage bei Ihnen
im Haus notwendig wäre, besuchen Sie:
https://fragdenstaat.de/fuer-behoerden/