Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: 19.03.2024 15:53
An: 'Steinbrück, LfDI (LfDI)' <Steinbrueck@lfdi.bwl.de>
Betreff: LfDIAbt3-4400-40/9
Sehr geehrte Frau Dr. Steinbrück,
vielen Dank für Ihr Schreiben vom 18.03.2024. Sie schreiben darin, Sie hätten eine Verwarnung gemäß Artikel 58 Absatz 2 Buchstabe b DSGVO ausgesprochen. Ich darf nach dem konkreten Inhalt der Verwarnung sowie einem ggfs. auferlegten Verwarnungsgeld fragen. Eine Anweisung nach Buchstabe d oder ein Bußgeld nach Buchstabe i erwähnen Sie nicht. Warum keines dieser Mittel?
In den technischen Ausführungen schreiben Sie, bei Verschlüsselung nach RFC 4880 (OpenPGP) könnten die Schlüsseldaten auch über einen ungesicherten Kanal erfolgen. Dem muss ich widersprechen: zwar ist es für die Sicherheit nicht zwingend erforderlich öffentliche Schlüssel geheimzuhalten, aber zumindest Ihre Authentizität und Integrität muss gewährleistet werden, und der einzige Standard der diese Authentizität und Integrität gewährleistest ist RFC 7929 (DANE for OpenPGP). Alle anderen derzeit verwendeten Mechanismen gewährleisten dies nicht, und ermöglichen damit zumindest Denial-of-Service gegen die Verschlüsselung. Der Abruf von Schlüsseldaten sollte meiner Meinung nach darüberhinaus auch verschlüsselt stattfinden (z.B. mittels DoT), weil sonst Kommunikationsmetadaten sichtbar werden („leaken“).
Sie unterstellen im weiteren Verlauf, mein Emailserver oder der von anderen Betroffen würde oder könnte Verschlüsselung verhindern. Das ist in meinen Augen gleich doppelt falsch. Wie sie selbst schreiben verwenden die meisten Emailserver in beiden Richtungen opportunistische Transportverschlüsselung. Darüberhinaus wäre es ein leichtes für No-Q, bei der Registrierung zu prüfen ob der Server des Empfängers Transportverschlüsselung unterstützt und falls nicht, eine entsprechende Registrierung abzulehnen oder zumindest mit einer Warnung zu beantworten. Dem Schluss dass obligatorische Transportverschlüsselung nicht praktikabel ist, muss ich damit widersprechen – mein Emailserver erzwingt grundsätzlich Verschlüsselung. Tatsächlich verwenden mehr als 50% der Bundesbürger (auch ich) Emailanbieter, die SMTP-DANE (RFC 7672) und damit sogar eine authentifizierte Transportverschlüsselung unterstützen.
Bei Ihrem Hinweis auf die Corona-Warn-App – ich vermute Sie meinten https://www.no-q.info/corona-warn-app-integration/ und dort https://us9.campaign-archive.com/?u=48a6707165aa10e10f54b3321&id=7521e6d568 – ist nicht ersichtlich, wie dabei die Vertraulichkeit gewahrt wird und auch nicht welche Dritte evtl. beteiligt sind. Sind Sie diese Fragen nachgegangen?
Ich darf Sie zur weiteren Analyse um Akteneinsicht nach §29 LVwVfG bitten. Um dabei die Umwelt zu schonen bitte ich Sie um Zusendung per Email oder Post.
Vielen Dank und viele Grüße
Joachim Lindenberg