Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: 12.08.2023 15:46
An: <************@bfdi.bund.de>, <REFERAT22@bfdi.bund.de>
Betreff: AW: unverschlüsselte E-Mail-Kommunikation (Az.: 22-243 II#3748)

 

Sehr geehrter **********,

 

ich möchte an meine Email unten erinnern. Mir liegt aufgrund eines Auskunftsersuchens die Stellungnahme der Deutschen Post DHL vom 11.05. vor, ich vermute dass Sie sich darauf beziehen. Ich kann der Auskunft allerdings nicht entnehmen, dass Sie meine Email vom 4.5. and die Deutsche Post DHL weitergereicht hat, in der Stellungnahme vom 11.05. ist nur von einer Konfiguration die Rede, nicht von zwei unterschiedlichen Mailservern und Konfigurationen, eine davon mit obligatorischer Transportverschlüsselung, die andere ohne.

 

Ich darf darüberhinaus aus https://blog.lindenberg.one/AufsichtEmail#Anderungsbedarf zitieren:

  • Die Orientierungshilfe knüpft an die Risikoklassifizierung in Kurzpapier Nr. 18: Risiko für die Rechte und Freiheiten natürlicher Personen an. Die DSGVO unterstützt grundsätzlich einen risikobasierten Ansatz, aber wenn der Verantwortliche das Risiko unterschätzt oder verdrängt, kommt halt nichts brauchbares heraus. Und es ist meiner Meinung nach sinnvoller, über Lösungen zu diskutieren als über Risiken.
  • Die Orientierungshilfe besagt nichts ausdrücklich zu (vermeintlich) niedrigem Risiko. Beim genauen Lesen fällt einem aber Abschnitt 2 „Der gesetzlich gebotene Schutz personenbezogener Daten im Zuge der Übermittlung von E-Mail-Nachrichten erstreckt sich sowohl auf die personenbezogenen Inhalte als auch die Umstände der Kommunikation, soweit sich aus letzteren Informationen über natürliche Personen ableiten lassen“ und Abschnitt 3.1 „Zum Schutz der Vertraulichkeit und Integrität der verarbeiteten personenbezogenen Daten müssen öffentliche E-Mail-Diensteanbieter die Anforderungen der TR 03108-1 des Bundesamts für Sicherheit in der Informationstechnik (BSI) einhalten“ auf. Richtig, neben dem Grundrecht auf Datenschutz gibt es auch noch das Grundrecht auf vertrauliche Kommunikation aka Fernmeldegeheimnis. Das scheinen die Autoren der Orientierungshilfe gewusst zu haben, aber in der Beratungspraxis scheint das keine Rolle zu spielen. Vertraulichkeit ohne Verschlüsselung? Geht nicht.

Mir ist bewusst, dass die Deutsche Post DHL kein öffentlicher E-Mail-Dienstanbieter ist. Ohne obligatorische Verschlüsselung besteht aber immer die Möglichkeit eines Angreifers mitzulesen und im Falle der Deutschen Post DHL zumindest Emailadressen abzugreifen, die dann für Spam und Phishing verwendet werden können. Spam und Phishing führen für Betroffene mindestens zur Vergeudung von Zeit, im ungünstigsten Fall aber zu einem erheblichen Risiko. Ein sehr interessanter Fall ist OLG Karlsruhe, Urteil vom 27.07.2023 - 19 U 83/22. Wenn das nötig ist, kann ich dazu gerne weitere Beispiele aus meiner Erfahrung liefern.

 

Zuletzt möchte ich daran erinnern, dass ich keine Frage gestellt habe, sondern am 19.03. „Anschlussbeschwerde“ eingereicht habe.

 

Vielen Dank und viele Grüße

Joachim Lindenberg

 

Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: Donnerstag, 27. Juli 2023 15:13
An: ************@bfdi.bund.de; REFERAT22@bfdi.bund.de
Betreff: AW: unverschlüsselte E-Mail-Kommunikation (Az.: 22-243 II#3748)

 

Sehr geehrter **********,

 

vielen Dank für Ihr Schreiben vom 25.07.2023. Sie nehmen darin Bezug auf eine Email vom 11. Mai die mir nicht vorliegt. Sie meinen vermutlich die Mail unten vom 04.05.2023?

Bitte schicken Sie mir zunächst wieder Kopien des Schriftwechsels zwischen Ihnen und der Deutschen Post DHL.

 

Vielen Dank und viele Grüße

Joachim Lindenberg

 

Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: Donnerstag, 4. Mai 2023 15:12
An: ************@bfdi.bund.de; REFERAT22@bfdi.bund.de
Betreff: AW: unverschlüsselte E-Mail-Kommunikation (Az.: 22-243 II#3748)

 

Sehr geehrter **********,

 

vielen Dank für Ihr Schreiben vom 25.04.2023 mit den Stellungnahmen der Deutschen Post DHL.

 

Bei den Verbindungen haben Sie genauer hingesehen als ich, denn mir ist zwar aufgefallen, dass es verschiedene Server sind, nicht aber dass der Inhalt völlig unterschiedlich ist. Richtig ist, dass der Email-Body bei Verbindung 1, 3, und 5 nur Textbausteine und damit keine personenbezogene Daten enthält. Dennoch muss ich der Annahme widersprechen, dass bei den unverschlüsselten Verbindungen 1 und 3 in den Emails keine personenbezogenen Daten übertragen werden. Die Empfängeradresse wird sowohl im sogenannten SMTP-Envelope (im .json als To: sichtbar) als auch im Email-Header übertragen, und auch den Betreff „Kontaktnummer …“ im Email-Header (Teil von Data:) würde ich als personenbezogenes Datum einstufen – beides wurde (auch) unverschlüsselt an meinen Testserver übertragen, was meiner Meinung nach nicht konform mit der Orientierungshilfe ist, denn eine obligatorische Transportverschlüsselung würde das verhindern. Bei obligatorischer Transportverschlüsselung sind nur noch die beteiligten Server identifizierbar.

 

Für mich entsteht der Eindruck, dass der eine Emailserver auf obligatorische Verschlüsselung konfiguriert ist und damit der Orientierungshilfe entspricht, der andere jedoch nur auf opportunistische Verschlüsselung konfiguriert ist und damit die Orientierungshilfe nicht erfüllt.

 

Da die Deutsche Post schreibt, sie verwende dafür die Einstellung „enc[ry]pt“, was einen Postfix-Server vermuten lässt: was passiert denn dann, wenn der empfangende Server (im Unterschied zu meinem Testserver) auf Dauer keine Verschlüsselung anbietet? Wird dann irgendwann unverschlüsselt übertragen? Die Nachricht ausgedruckt und per Post zugestellt? Oder verschwindet die Nachricht in einem schwarzen Loch? Der Fall ist in dem Text des Kontaktformulars überhaupt nicht abgedeckt, und das Formular scheint das auch nicht vorab zu prüfen.

 

Die Postfix-Einstellung „encrypt“ erlaubt leider auch keine Authentifizierung des empfangenden Servers, wie das RFC 7672 SMTP DANE oder die in Abschnitt 4.2.1. „Verpflichtungen bei normalen Risiken“ der Orientierungshilfe angesprochene, aber wohl nicht als verbindlich angesehene, weitgehend äquivalente BSI TR 03108 könnten, und die von den allermeisten öffentlichen deutschen Emailanbietern (u.a. United Internet, mailbox.org, mail.de – das BSI listet weitere unter dem IT Sicherheitskennzeichen E-Mail-Dienste) unterstützt wird.

 

Vielen Dank und viele Grüße

Joachim Lindenberg

 

 

Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: Sonntag, 19. März 2023 09:08
An: ************@bfdi.bund.de; REFERAT22@bfdi.bund.de
Betreff: AW: unverschlüsselte E-Mail-Kommunikation (Az.: 22-243 II#3748)

 

Sehr geehrter **********,

 

vielen Dank für Ihr Schreiben vom 15.03.2023 in dem Sie meiner Beschwerde stattgeben. Darf ich Sie bitten, mir eine Kopie der Stellungnahmen der Deutschen Post zuzusenden und mir außerdem mitzuteilen, welche Maßnahmen nach Artikel 58 Abs. 2 Sie ergriffen haben?

 

Leider muss ich „Anschlussbeschwerde“ einreichen. Die Deutsche Post DHL hat Ihr Versprechen der obligatorischen Transportverschlüsselung nicht oder nicht konsequent umgesetzt. Auf Datenschutzinformationen auf einen Blick findet sich ein Link zum Kontaktformular für Datenschutz. Dort habe ich die beigefügten Daten eingegeben und muss leider feststellen, dass die Deutsche Post DHL immer noch auch unverschlüsselt übermittelt, also ist weiterhin nur eine opportunistische Verschlüsselung aktiv. Testergebnis und .json habe ich wieder beigefügt. Auffällig ist, dass mal mit, mal ohne DKIM übertragen wird – das liegt anscheinend daran, dass (mindestens) zwei verschiedene Email-Server verwendet wurden, davon einer von Azure und damit sozusagen außerhalb des europäischen Rechtsraums.

 

Vielen Dank und viele Grüße

Joachim Lindenberg

 

 

-----Ursprüngliche Nachricht-----
Von: ************@bfdi.bund.de <************@bfdi.bund.de> Im Auftrag von REFERAT22@bfdi.bund.de
Gesendet: Donnerstag, 2. Februar 2023 10:59
An: '***********@lindenberg.one' <***********@lindenberg.one>
Betreff: AW: unverschlüsselte E-Mail-Kommunikation (Az.: 22-243 II#3748)

 

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Az.: 22-243 II#3748

 

Sehr geehrter Herr Lindenberg,

 

ich komme zurück auf Ihre Anfrage unter dem o.g. Aktenzeichen, um Sie über den Bearbeitungsstand zu informieren.

 

Zunächst bedanke ich mich für die Übermittlung der Auswertung der Log-Files Ihrer E-Mail-Server. Ich habe diese Daten und die dazugehörigen Erläuterungen in Ihrem Blog gesichtet. Da Ihre Ergebnisse nicht mit den Angaben der Deutsche Post AG (DPAG) übereinstimmen, habe ich die DPAG erneut zu einer Stellungnahme aufgefordert, mit der Bitte, den Sachverhalt genauer zu prüfen und mir die Ergebnisse mitzuteilen. Eine Antwort steht jedoch noch aus. Sobald diese vorliegt, werde ich über das weitere Vorgehen entscheiden.

 

Mit freundlichen Grüßen

im Auftrag

 

************

 

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

- Referat 22 - Postdienste und Wirtschaftsverwaltung -

 

Graurheindorfer Straße 153, 53117 Bonn

Fon:          0228-997799-2202

E-Mail:    referat22@bfdi.bund.de

Internet: https://www.bfdi.bund.de

 

********************************************************************************

Datenschutzerklärung des BfDI:

Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie unter https://www.bfdi.bund.de/datenschutz.

 

Vertraulichkeitshinweis:

Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt. Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese E-Mail.