Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: 15.08.2022 18:35
An: <ds-beauftragter@****************.de>
Betreff: Corona-Testergebnisse per Mail und Verschlüsselung mit Geburtsdatum???
Sehr geehrter ***************,
ich weiß nicht mehr wie oft ich das Testzentrum der ************** besucht
habe, aber irgendwann macht man sich dann doch Gedanken. Die Übermittlung
der Testergebnisse des Schnelltests per Email und Verschlüsselung mit dem
Geburtsdatum - das ist doch nicht wirklich im Einklang mit der DSGVO.
Entweder verwendet der Dienstleister No-Q beim Versand eine qualifizierte
Transportverschlüsselung im Sinne von
https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf -
dann braucht es m.E. die Verschlüsselung des PDFs nicht mehr. Bevor Sie
lange suchen, nein, No-Q verwendet keine qualifizierte
Transportverschlüsselung bzw. RFC 7672 oder BSI TR 03108 - ich habe gerade
einen Test gemacht (siehe https://blog.lindenberg.one/EmailSicherheitsTest -
Eingabe von de@et.lindenberg.one entlarvt jeden Emailserver der die
genannten Standards nicht unterstützt). Mit anderen Worten, durch die
Übertragung der Email ist nicht sichergestellt, dass die Email nicht in
falsche Hände gerät. Nur wenn Sie in falsche Hände gerät, dann schützt auch
das Geburtsdatum nicht zuverlässig, denn das findet man in Sozialen Netzen,
auf Webseiten und mit etwas Social-Engineering. Das eigentliche Geheimnis
ist in der URL und die ist bei einem Angriff auf Email kompromittiert.
Insofern sehe ich die Sicherheit nach Artikel 32 DSGVO nicht gegeben.
Wie sehen Sie das? Oder was sagt die Aufsicht dazu?
Besser übrigens bei den PCR-Tests - da muss ich viel mehr Daten eingeben um
an das Testergebnis zu kommen.
Vielen Dank und viele Grüße
Joachim Lindenberg