AW: unverschlüsselte E-Mail-Kommunikation (Az.: 22-243 II#3748)

Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: 02.11.2022 10:24
An: <REFERAT22@bfdi.bund.de>
Betreff: AW: unverschlüsselte E-Mail-Kommunikation (Az.: 22-243 II#3748)
Anlagen: deutschepost.de.2022-04-15-12-27-26.json, Testergebnis für deutschepost.de

Sehr geehrter **********,

zunächst möchte ich mich entschuldigen, wenn Nachrichten ungeschwärzt
veröffentlicht waren. Leider spielt auch mir manchmal die Technik einen
Streich.

An der Risikoeinschätzung will ich gar nichts bemängeln und auch ich halte
obligatorischer Transportverschlüsselung für ausreichend. Das hatte ich auch
schon im Dezember 2021 in
https://blog.lindenberg.one/documents/DhlArt32/202112162022%20Lindenberg-DHL%2cBfDI%20unverschl%c3%bcsselte%20E-Mail-Kommunikation.eml
geschrieben. Fakt ist aber, dass die DPAG am 14.4.2022 12:05 eine Nachricht
vom Kontaktformular unverschlüsselt an meinen Testserver - alle Infos auf
https://blog.lindenberg.one/EmailSicherheitsTest - gesendet hat. Von
"grundsätzlich" oder " obligatorischer Transportverschlüsselung" im Sinne
der Orientierungshilfe also keine Spur, bestenfalls "opportunistisch". Das
vollständige Protokoll des Testservers und das Testergebnis füge ich Ihnen
bei. Erklären kann ich das sehr einfach, denn die allermeisten Emailsysteme
erfordern spezielle Konfigurationen um Verschlüsselung zu erzwingen, und tut
man das, muss man mit einer erhöhten Menge von Zustellfehlern rechnen -
jedenfalls dann, wenn man nicht bereits im Webformular prüft, was der
empfangende Emailserver ermöglicht.

Auch halte ich die Aussage, dass "... eine Kopie würde per unverschlüsselter
E-Mail-Kommunikation übermittelt, bezieht sich auf den Umstand, dass keine
Verschlüsselung auf Inhaltsebene stattfindet." für Unsinn oder zumindest
irreführend. Hätten Sie den Text so verstanden wie die DPAG es Ihnen
serviert? Aller Wahrscheinlichkeit nach nicht. Und selbst wenn es um
Verschlüsselung auf Inhaltsebene gehen sollte, würde auch das - weil
formularmäßig und angestoßen von der DPAG - gegen
https://www.datenschutzkonferenz-online.de/media/dskb/20211124_TOP_7_Beschluss_Verzicht_auf_TOMs.pdf
verstoßen.

Heute steht auf mindestens einem Kontaktformular "Dieses Formular wird
verschlüsselt an die E-Mail-Adresse impressum.brief[at]deutschepost.de
übertragen." und eine Kopie wird nicht mehr versandt - möglicherweise um
sich einer Kontrolle zu entziehen?

Vielen Dank und viele Grüße
Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: REFERAT22@bfdi.bund.de <REFERAT22@bfdi.bund.de>
Gesendet: Mittwoch, 2. November 2022 08:14
An: '***********@lindenberg.one' <***********@lindenberg.one>
Betreff: AW: unverschlüsselte E-Mail-Kommunikation (Az.: 22-243 II#3748)

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Az.: 22-243 II#3748

Sehr geehrter Herr Lindenberg,

ich komme zurück auf Ihre Anfrage unter dem o.g. Aktenzeichen.

Die Deutsche Post AG (DPAG) hat in einer Stellungnahme angegeben, dass
grundsätzlich für alle aus dem Kundenservice über Formulare verschickte
E-Mails eine Transportverschlüsselung aktiv sei. So auch bei den von Ihnen
unter deutschepost.de und dhl.de genannten Formularen. Die Verantwortliche
schätzt das Risiko für die Rechte und Freiheiten von natürlichen Personen,
welches von dem Versand einer E-Mail aus den Formularen des Kundenservices
ausgeht, als "normales Risiko" ein, womit gemäß der Orientierungshilfe
"Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per
E-Mail" der DSK eine obligatorische Transportverschlüsselung ausreiche.
Diese Risiko-Einschätzung teile ich.

Weiter schreibt die DPAG: "Auch wenn der Infotext bei beiden Formularen
unterschiedlich gewählt ist, so ist die Grundeinstellung für den Mailversand
einer Kopie aus dem Formular jeweils identisch. Der unter deutschepost.de
veröffentlichte Text, eine Kopie würde per unverschlüsselter
E-Mail-Kommunikation übermittelt, bezieht sich auf den Umstand, dass keine
Verschlüsselung auf Inhaltsebene stattfindet." Mit der Checkbox würde die
DPAG dem Seitenbesucher somit keine Einwilligung in die Nichtanwendung
technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO anbieten.

Die DPAG kann sich nicht erklären, warum Sie an dieser Stelle eine gänzlich
unverschlüsselte E-Mail erhalten haben.

Ihre Kritik, die DPAG würde gar keine obligatorische
Transportverschlüsselung anwenden, kann ich mit angemessenen Mitteln nicht
nachprüfen. Sofern Sie diese Angabe belegen können, möchte ich Sie bitten,
mir diese Belege zukommen zu lassen.

In Ihrem Blog haben Sie meine an Sie adressierten Schreiben veröffentlicht,
diese zunächst jedoch nur unvollständig anonymisiert/geschwärzt. Ich bedanke
mich, dass Sie die sichere Schwärzung mittlerweile nachgeholt haben.

Mit freundlichen Grüßen
im Auftrag

************

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
- Referat 22 - Postdienste und Wirtschaftsverwaltung -

Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-2202
E-Mail: referat22@bfdi.bund.de
Internet: https://www.bfdi.bund.de

********************************************************************************
Datenschutzerklärung des BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie
unter https://www.bfdi.bund.de/datenschutz.

Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte
sofort den Absender und löschen Sie diese E-Mail.