Sehr geehrter **********,

vielen Dank für Ihr Schreiben vom 25.07.2023. Sie nehmen darin Bezug auf eine Email vom 11. Mai die mir nicht vorliegt. Sie meinen vermutlich die Mail unten vom 04.05.2023?

Bitte schicken Sie mir zunächst wieder Kopien des Schriftwechsels zwischen Ihnen und der Deutschen Post DHL.

Sehr geehrter **********,

vielen Dank für Ihr Schreiben vom 25.04.2023 mit den Stellungnahmen der Deutschen Post DHL.

Bei den Verbindungen haben Sie genauer hingesehen als ich, denn mir ist zwar aufgefallen, dass es verschiedene Server sind, nicht aber dass der Inhalt völlig unterschiedlich ist. Richtig ist, dass der Email-Body bei Verbindung 1, 3, und 5 nur Textbausteine und damit keine personenbezogene Daten enthält. Dennoch muss ich der Annahme widersprechen, dass bei den unverschlüsselten Verbindungen 1 und 3 in den Emails keine personenbezogenen Daten übertragen werden. Die Empfängeradresse wird sowohl im sogenannten SMTP-Envelope (im .json als To: sichtbar) als auch im Email-Header übertragen, und auch den Betreff „Kontaktnummer …“ im Email-Header (Teil von Data:) würde ich als personenbezogenes Datum einstufen – beides wurde (auch) unverschlüsselt an meinen Testserver übertragen, was meiner Meinung nach nicht konform mit der Orientierungshilfe ist, denn eine obligatorische Transportverschlüsselung würde das verhindern. Bei obligatorischer Transportverschlüsselung sind nur noch die beteiligten Server identifizierbar.

Für mich entsteht der Eindruck, dass der eine Emailserver auf obligatorische Verschlüsselung konfiguriert ist und damit der Orientierungshilfe entspricht, der andere jedoch nur auf opportunistische Verschlüsselung konfiguriert ist und damit die Orientierungshilfe nicht erfüllt.

Da die Deutsche Post schreibt, sie verwende dafür die Einstellung „enc[ry]pt“, was einen Postfix-Server vermuten lässt: was passiert denn dann, wenn der empfangende Server (im Unterschied zu meinem Testserver) auf Dauer keine Verschlüsselung anbietet? Wird dann irgendwann unverschlüsselt übertragen? Die Nachricht ausgedruckt und per Post zugestellt? Oder verschwindet die Nachricht in einem schwarzen Loch? Der Fall ist in dem Text des Kontaktformulars überhaupt nicht abgedeckt, und das Formular scheint das auch nicht vorab zu prüfen.

Die Postfix-Einstellung „encrypt“ erlaubt leider auch keine Authentifizierung des empfangenden Servers, wie das RFC 7672 SMTP DANE oder die in Abschnitt 4.2.1. „Verpflichtungen bei normalen Risiken“ der Orientierungshilfe angesprochene, aber wohl nicht als verbindlich angesehene, weitgehend äquivalente BSI TR 03108 könnten, und die von den allermeisten öffentlichen deutschen Emailanbietern (u.a. United Internet, mailbox.org, mail.de – das BSI listet weitere unter dem IT Sicherheitskennzeichen E-Mail-Dienste) unterstützt wird.

Vielen Dank und viele Grüße

Joachim Lindenberg

Sehr geehrter **********,

vielen Dank für Ihr Schreiben vom 15.03.2023 in dem Sie meiner Beschwerde stattgeben. Darf ich Sie bitten, mir eine Kopie der Stellungnahmen der Deutschen Post zuzusenden und mir außerdem mitzuteilen, welche Maßnahmen nach Artikel 58 Abs. 2 Sie ergriffen haben?

Leider muss ich „Anschlussbeschwerde“ einreichen. Die Deutsche Post DHL hat Ihr Versprechen der obligatorischen Transportverschlüsselung nicht oder nicht konsequent umgesetzt. Auf Datenschutzinformationen auf einen Blick findet sich ein Link zum Kontaktformular für Datenschutz. Dort habe ich die beigefügten Daten eingegeben und muss leider feststellen, dass die Deutsche Post DHL immer noch auch unverschlüsselt übermittelt, also ist weiterhin nur eine opportunistische Verschlüsselung aktiv. Testergebnis und .json habe ich wieder beigefügt. Auffällig ist, dass mal mit, mal ohne DKIM übertragen wird – das liegt anscheinend daran, dass (mindestens) zwei verschiedene Email-Server verwendet wurden, davon einer von Azure und damit sozusagen außerhalb des europäischen Rechtsraums.

Vielen Dank und viele Grüße

Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: ************@bfdi.bund.de <************@bfdi.bund.de> Im Auftrag von REFERAT22@bfdi.bund.de
Gesendet: Donnerstag, 2. Februar 2023 10:59
An: '***********@lindenberg.one' <***********@lindenberg.one>
Betreff: AW: unverschlüsselte E-Mail-Kommunikation (Az.: 22-243 II#3748)

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Az.: 22-243 II#3748

Sehr geehrter Herr Lindenberg,

ich komme zurück auf Ihre Anfrage unter dem o.g. Aktenzeichen, um Sie über den Bearbeitungsstand zu informieren.

Zunächst bedanke ich mich für die Übermittlung der Auswertung der Log-Files Ihrer E-Mail-Server. Ich habe diese Daten und die dazugehörigen Erläuterungen in Ihrem Blog gesichtet. Da Ihre Ergebnisse nicht mit den Angaben der Deutsche Post AG (DPAG) übereinstimmen, habe ich die DPAG erneut zu einer Stellungnahme aufgefordert, mit der Bitte, den Sachverhalt genauer zu prüfen und mir die Ergebnisse mitzuteilen. Eine Antwort steht jedoch noch aus. Sobald diese vorliegt, werde ich über das weitere Vorgehen entscheiden.

Mit freundlichen Grüßen

im Auftrag

************

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

- Referat 22 - Postdienste und Wirtschaftsverwaltung -

Graurheindorfer Straße 153, 53117 Bonn

Fon:          0228-997799-2202

E-Mail:    referat22@bfdi.bund.de

Internet: https://www.bfdi.bund.de

********************************************************************************

Datenschutzerklärung des BfDI:

Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie unter https://www.bfdi.bund.de/datenschutz.

Vertraulichkeitshinweis:

Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt. Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese E-Mail.