AW: unverschlüsselte E-Mail-Kommunikation (Az.: 22-243 II#3748)

Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: 07.04.2022 09:30
An: <REFERAT22@bfdi.bund.de>
Betreff: AW: unverschlüsselte E-Mail-Kommunikation (Az.: 22-243 II#3748)

Sehr geehrter **********,
ich habe mal die gesamte Kommunikation zusammengetragen und auf https://blog.lindenberg.one/BeschwerdeDhlArt32 gestellt.
Mit freundlichen Grüßen
Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: Wednesday, 6 April 2022 21:32
An: REFERAT22@bfdi.bund.de
Betreff: AW: unverschlüsselte E-Mail-Kommunikation (Az.: 22-243 II#3748)

Sehr geehrter **********,
ich kenne nicht nur die Orientierungshilfe zu Email und Ihre Probleme - https://blog.lindenberg.one/Emailverschlusselung, https://blog.lindenberg.one/AufsichtOhneOrientierung - sondern auch den Beschluss der DSK https://www.datenschutzkonferenz-online.de/media/dskb/20211124_TOP_7_Beschluss_Verzicht_auf_TOMs.pdf - https://blog.lindenberg.one/Artikel32DsgvoDispositiv, die allerdings erst nach meiner Beschwerde erschienen ist, aber sehr klar den Beschwerdegegenstand adressiert.
Danach ist eine solche Checkbox grundsätzlich nicht zulässig, denn bei einem Formular geht die Initiative ganz bestimmt nicht vom Betroffenen aus. Einwilligungen zu TOMs sind nicht zulässig, und geschätzt 99% der Benutzer verstehen sie nicht. Auch ist "Risiko selbst zu prognostizieren" Unsinn, denn der Betroffene weiß nicht, welche Technik DHL einsetzt, während er selbst möglicherweise einen Emailserver verwendet, der qualifizierte Transportverschlüsselung nach RFC 7672 beherrscht. Ob nach der Frage die Email tatsächlich verschlüsselt wird oder nicht und wie lange das gelten soll, ist in meinen Augen völlig irrelevant, die Verantwortung bleibt beim Verantwortlichen, er kann die nicht delegieren.
Richtig wäre in meinen Augen, diese Checkbox zu entfernen - so auch eine Mail an Frau Maier die dem BfDI vorliegen sollte. Je nach tatsächlich erforderlichem Schutzbedarf ist m.E. obligatorisch oder qualifiziert zu verschlüsseln, und es liegt m.E. nahe, die Möglichkeit bei der Prüfung der Eingaben mit zu überprüfen und falls das Schutzniveau aufgrund der eingegebenen Emailadresse nicht erreicht werden kann, abzubrechen oder eine Warnung anzuzeigen. Ich habe Formulare realisiert, bei denen eine Warnung erscheint, wenn der Empfänger RFC 7672 nicht verwendet und daher möglicherweise immer oder bei Downgrade-Angriffen nicht verschlüsselt oder authentifiziert wird.
Es wäre natürlich auch hilfreich, wenn der BfDI den Terminus qualifizierte Transportverschlüsselung durch BSI TR 03801 oder RFC 7672 ersetzen würde, dann wüssten die Techniker bei DHL was sie machen sollen. E2E ist Unsinn, der BfDI konnte bisher nicht begründen was er damit tatsächlich erreichen will und wieso E2E dafür besser als BSI TR 03801 oder RFC 7672 sein soll, und alle Usability-Tests zeigen, dass der normale Anwender damit nicht umgehen kann. Auch dazu Details auf https://blog.lindenberg.one/AufsichtOhneOrientierung und https://blog.lindenberg.one/Emailverschlusselung.
Habe ich mich klar genug ausgedrückt? Andernfalls dürfen Sie selbstverständlich gerne weiterfragen.
Vielen Dank und viele Grüße
Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: REFERAT22@bfdi.bund.de <REFERAT22@bfdi.bund.de>
Gesendet: Wednesday, 6 April 2022 14:58
An: '***********@lindenberg.one' <***********@lindenberg.one>
Betreff: AW: unverschlüsselte E-Mail-Kommunikation (Az.: 22-243 II#3748)

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Az.: 22-243 II#3748

Sehr geehrter Herr Lindenberg,

hiermit bestätige ich den Eingang Ihrer E-Mail vom 19. November 2021, 12:36 Uhr, welche Sie an die Deutsche Post AG (DPAG) und referat25@bfdi.bund.de adressiert hatten. Ihr Vorgang wird unter dem o. g. Aktenzeichen geführt.

Ich bitte um Entschuldigung für die verspätete Antwort, bei der Übermittlung vom Empfänger Ihrer E-Mail an das zuständige Referat 22 ist offenbar ein Fehler passiert, so dass ich erst gestern Kenntnis von Ihrer Anfrage erlangt habe.

In dem an den BfDI gerichteten Teil Ihrer E-Mail vermuten Sie einen Verstoß gegen Art. 32 DSGVO, weil die DHL Paket GmbH (DHL) im Rahmen eines Kontaktformulars eine unverschlüsselte Übermittlung per E-Mail anbietet, um Ihnen eine Kopie Ihrer Anfrage zuzustellen.

Mir ist nicht bekannt, um welches Formular es sich genau handelt. Leider erlaubt DHL keine Deeplinks, ich vermute es ist ein Formular wie aktuell unter https://www.dhl.de/de/privatkunden/hilfe-kundenservice.html
-> "Rund um mein Paket"
-> "Was bedeutet mein Sendungsstatus?"
-> "Wir helfen Ihnen gerne - Hier geht es zum Kontakt" (ganz unten)
-> "Schreiben Sie uns - Hier geht es zum Kontakt"

Dort sehe ich neben einer Checkbox die Formulierung "Ich möchte eine Kopie dieser Nachricht erhalten und bin einverstanden, dass diese Kopie per unverschlüsselter E-Mail-Kommunikation übermittelt wird." DHL bietet Ihnen damit an, die Angaben in Ihrer Anfrage noch einmal per E-Mail zugesandt zu bekommen. Ich entnehme der Formulierung nicht, dass sämtlicher künftiger Schriftverkehr zwischen DHL und Ihnen per unverschlüsselter E-Mail erfolgen wird.

Wie ich Ihrer Kommunikation mit Referat 25 entnehmen kann, ist Ihnen die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 27. Mai 2021 zum Thema "Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail" bekannt. Gemäß dieser Orientierungshilfe ist der Versender einer E-Mail für die Vertraulichkeit personenbezogener Daten auf dem Transportweg verantwortlich. Abhängig vom Risiko für die Rechte und Freiheiten betroffener natürlicher Personen, das durch eine Offenlegung beim Transport der E-Mail eintritt, soll der Verantwortliche entweder eine Transportverschlüsselung oder E2E-Verschlüsselung anwenden. Mit der Checkbox im Formular haben Sie die Möglichkeit, DHL von dieser Verantwortung zu entbinden, Ihr Risiko selbst zu prognostizieren und optional in einen möglicherweise unverschlüsselten E-Mail-Versand Ihrer Angaben einzuwilligen. Ohne diese Einwilligung erleiden Sie keine Nachteile bei der Bearbeitung Ihres Anliegens.

Verstehe ich es richtig, dass Sie vermuten, der E-Mail-Versand würde _in jedem Fall_ unverschlüsselt erfolgen? Der Grund Ihrer Eingabe wäre also, dass Sie bemängeln, DHL würde gar nicht versuchen, zumindest eine opportunistische Transportverschlüsselung zu nutzen?

Ich möchte Sie bitten, mir dies kurz zu bestätigen. Alternativ bitte ich um eine konkretere Beschreibung des Grundes Ihrer Eingabe.

Vielen Dank schon vorab.

Mit freundlichen Grüßen
Im Auftrag

************

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
- Referat 22 - Postdienste und Wirtschaftsverwaltung -

Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-2202
E-Mail: referat22@bfdi.bund.de
Internet: https://www.bfdi.bund.de

********************************************************************************
Datenschutzerklärung des BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie unter https://www.bfdi.bund.de/datenschutz.

Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt. Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese E-Mail.

-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg [#233632]
Gesendet: Donnerstag, 3. März 2022 08:42
An: Referat 25 Postfach neu <REFERAT25@bfdi.bund.de>
Betreff: AW: Ihre Anfrage - "Artikel 32 DSGVO - Dispositiv?" [#233632]

Sehr geehrter ************,

vielen Dank für die Nachfrage. Ich halte diese Anfrage für erledigt und hatte sie auch so markiert. Allerdings ist eine meiner Beschwerden die zu dieser Anfrage geführt hat (als Anlage beigefügt) offen und in Anbetracht von https://fragdenstaat.de/anfrage/verzicht-auf-toms-insbesondere-verschlusselung-brao-2/ habe ich noch erheblichen Zweifel am Durchsetzungswillen der Aufsicht.

Mit freundlichen Grüßen
Joachim Lindenberg

Anhänge:
- beschwerde-art32dispositiv.pdf

Anfragenr: 233632
Antwort an: ***********************@fragdenstaat.de

Laden Sie große Dateien zu dieser Anfrage hier hoch:
[snip]

--
Rechtshinweis: Diese E-Mail wurde über den Webservice fragdenstaat.de versendet. Antworten werden ggf. im Auftrag der Antragstellenden auf dem Internet-Portal veröffentlicht.
Falls Sie Fragen dazu haben oder eine Idee, was für eine Anfrage bei Ihnen im Haus notwendig wäre, besuchen Sie:
https://fragdenstaat.de/fuer-behoerden/