Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: 22.08.2023 17:21
An: 'Datenschutz BDB Postfachaccount DS' <datenschutz.bdb@bundestag.de>
Betreff: AW: Datenschutz beim Bundestag?
Sehr geehrter ********************,
Session-Cookies sind nur dann erforderlich, wenn eine Webseite einen
Warenkorb oder eine konfigurierbare Funktion anbietet. Ich kann Ihren
Ausführungen nicht entnehmen, welche Funktion da erforderlich sein soll. Und
die einzige Funktion in der Datenschutzerklärung (Matomo) passt nicht, weil
die genau der Auswertung von Nutzerdaten dient, und das verneinen Sie unten.
Welchem konkreten Zwecke dienen die Cookies wirklich? Oder nur
Bequemlichkeit des Betreibers?
Bis wann folgen die restlichen Probleme? Dass man mit Bundestagsabgeordneten
nicht per qualifizierter Transportverschlüsselung kommunizieren kann halte
ich für ein No-Go.
Vielen Dank und viele Grüße
Joachim Lindenberg
-----Ursprüngliche Nachricht-----
Von: Datenschutz BDB Postfachaccount DS <datenschutz.bdb@bundestag.de>
Gesendet: Dienstag, 22. August 2023 16:39
An: ***********@lindenberg.one
Betreff: AW: Datenschutz beim Bundestag?
Sehr geehrter Herr Lindenberg,
vielen Dank für Ihre E-Mail.
Auf meine Weitergabe Ihrer Kritik/Hinweise hatte ich Ende Juli 2023
bezüglich Ihrer Anmerkungen zu den auf der Bundestagswebseite eingesetzten
Cookies folgende Antwort erhalten:
"Die Webseite www.bundestag.de verwendet nur technisch notwendige Cookies
(Session-Cookies), die für die Funktion der Website notwendig sind. Sie
werden nicht zur Erhebung oder Auswertung von Nutzerdaten verwendet und nach
Beendigung der Browsersitzung (Session) gelöscht.
"Technisch notwendige Cookies sorgen dafür, dass eine Webseite funktioniert
und dass ein Nutzer sie beim nächsten Besuch genauso angezeigt bekommt wie
beim ersten Mal. [...] Technisch notwendige Cookies, die allein für die
Funktionen und den Betrieb einer Webseite erforderlich sind, bedürfen keiner
Einwilligung des Nutzers."
(https://www.datenschutz.org/technisch-notwendige-cookies/ , 21.07.2023)
Auf dieser Basis wurde entschieden, dass kein Cookie-Banner und somit auch
keine Einwilligung durch den Nutzer benötigt wird. Nach unserer (erneuten)
Bewertung sind diese Cookies für den funktionsfähigen Betrieb der Website
weiterhin notwendig.
Informationen zu den Session-Cookies:
Name: CM_SESSIONID
Herkunft: ISP Fa. Babiel
Erklärung: Technisch notwendiger Cookie zur Speicherung der Session-ID des
Benutzers für die Kommunikation mit dem Backend. Das Cookie wird bei
Beendigung der Browsersitzung gelöscht.
Name: SERVERID
Herkunft: ISP Fa. Babiel
Erklärung: Technisch notwendiger Cookie zur Lastverteilung auf den Systemen.
Bei Aufruf der Website wird der Nutzer über den Loadbalancer an einen der
mehreren Auslieferungsserver weitergeleitet. Das Cookie wird bei Beendigung
der Browsersitzung gelöscht.
Name: INGRESSCOOKIE
Herkunft: ISP Fa. Babiel
Erklärung: Technisch notwendiger Cookie zur Lastverteilung auf den Systemen
und Identifizierung von Bot-Zugriffen. Das Cookie wird bei Beendigung der
Browsersitzung gelöscht."
Hiergegen ergeben sich aus meiner Sicht keine datenschutzrechtlichen
Einwände.
Da der Stellungnahme jedoch Ausführungen zu den anderen durch Sie
aufgeworfenen Kritikpunkten fehlten, habe ich um entsprechende Ergänzung
gebeten. Eine Antwort steht aktuell noch aus.
Ich hatte vor, Ihnen eine Gesamtantwort zu allen von Ihnen aufgeworfenen
Problemfeldern zukommen zu lassen. Mein Versäumnis, Sie zwischenzeitlich
entsprechend zu informieren, bitte ich zu entschuldigen. Bezüglich der
ausstehenden Antwort habe ich nochmals bei der zuständigen
Organisationseinheit nachgehakt.
Für Rückfragen stehe ich gern zur Verfügung.
Mit freundlichen Grüßen
im Auftrag
*********************
______________________________
*******************
Kompetenzzentrum Datenschutz (DS)
Deutscher Bundestag
Platz der Republik 1
11011 Berlin
Telefon: +49 30 227-3**** (Vz)
Telefon: +49 30 227-3****
Fax: +49 30 227-3****
datenschutz.bdb@bundestag.de
www.bundestag.de
-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg [mailto:***********@lindenberg.one]
Gesendet: Dienstag, 22. August 2023 13:45
An: Datenschutz BDB Postfachaccount DS <datenschutz.bdb@bundestag.de>
Betreff: AW: Datenschutz beim Bundestag?
Sehr geehrter ********************,
leider muss ich feststellen, dass öffentliche Stellen oft erst aktiv werden,
wenn ich Beschwerde einreiche.
Ich darf Sie vorher um einen Zwischenstand bitten.
Vielen Dank und viele Grüße
Joachim Lindenberg
-----Ursprüngliche Nachricht-----
Von: Datenschutz BDB Postfachaccount DS <datenschutz.bdb@bundestag.de>
Gesendet: Donnerstag, 6. Juli 2023 10:12
An: ***********@lindenberg.one
Betreff: AW: Datenschutz beim Bundestag?
Sehr geehrter Herr Lindenberg,
ich habe Ihre Kritik/Hinweise an die zuständigen Organisationseinheiten zur
Stellungnahme weitergegeben. Sobald mir diese vorliegen, komme ich
unaufgefordert auf Ihr Anliegen zurück.
Mit freundlichen Grüßen
im Auftrag
*********************
_______________________________
*******************
Kompetenzzentrum Datenschutz
Deutscher Bundestag
Platz der Republik 1
11011 Berlin
Telefon: +49 (0)30 227-3****
Fax: +49 (0)30 227-3****
datenschutz.bdb@bundestag.de
www.bundestag.de
Ihre personenbezogenen Daten werden gemäß den unter
https://www.bundestag.de/datenschutz abrufbaren Datenschutzhinweisen erhoben
und verarbeitet, sofern keine anderslautenden Datenschutzhinweise
ausdrücklich für anwendbar erklärt worden sind.
-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg [mailto:***********@lindenberg.one]
Gesendet: Dienstag, 4. Juli 2023 17:50
An: Socialmedia Postfachaccount IK 7 <socialmedia@bundestag.de>; Datenschutz
BDB Postfachaccount DS <datenschutz.bdb@bundestag.de>
Betreff: Datenschutz beim Bundestag?
Sehr geehrte Damen und Herren,
leider hat der Bundestag Defizite beim Datenschutz. Auf der Webseite werden
vier U.S. Medien bevorzugt dargestellt, das datenschutzfreundliche Mastodon
erst abgeschlagen auf der 2. Seite. Auch beim Teilen eines Beitrags mehr
fragwürdige Medien als datenschutzfreundliche. Auf
https://www.bundestag.de/services/nutzungskonzept_som wird das Konzept
erklärt, aber ein schlechtes Gewissen wegen dem anscheinend alternativlosen
Datenexport vermisse ich – obwohl der Bundestag Videos in der Mediathek über
TV1 ausspielen kann. Aber auf
https://www.bundestag.de/services/soziale_medien/instagram_praesidentin/2-bas-lichtprojektion-956510
leider nur ein Instagramm-Link.
Einigermaßen erfreulich ist das Testergebnis hinsichtlich Cookies. Da würde
mich nur interessieren, warum das eine Cookie als notwendig im Sinne des
TTDSGs angesehen wird, denn einen Einwilligung habe ich weder wahrgenommen
noch erteilt.
Auch bei Email patzt der Bundestag und verzichtet beim Newsletter hib
(noreply@dbtg-newsletter.de <mailto:noreply@dbtg-newsletter.de> ) , beim
Kontaktformular (briefkasten@dbt-internet.de), sogar bei den Emailadressen
der Mitarbeiter und Abgeordneten auf obligatorische und qualifizierte
Transportverschlüsselung
<https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf>
und den Stand-der Technik in Form von RFC 7672. Auch ist mir unklar, warum
man drei verschiedene Domänen und einen Dienstleister einsetzt, obwohl man
einen eigenen Emailserver hat. Übernimmt der Dienstleister nur den Transport
oder beantwortet er auch gleich die Anfragen?
Die Angaben zur App sind auch unvollständig. Die App kontaktiert sowohl
Google (firebaseremoteconfig.googleapis.com,
firebaseinstallations.googleapis.com) als auch Microsoft (in.appcenter.ms)
direkt beim Start und nicht erst bei einem Crash. Warum müssen
U.S.-Geheimdienste mitlesen können, wer sich für unser Parlament
interessiert? Die App stürzt auch keineswegs ab, wenn man diese sperrt.
Ich sehe da großes Potential nach oben.
Vielen Dank und viele Grüße
Joachim Lindenberg
bundestag.de
Mailserver (Prio)
Adresse(n)
Aussteller Rootzertifikat
DNSSEC
STARTTLS
TLS Version
Zertifikat
Matches TLSA
MTA-STS
mail1.dbtg.de (50)
193.17.243.101
T-TeleSec GlobalRoot Class 2
A
Erfolgreich
1.2/1.3
Vertrauenswürdig
Keine
Keine Policy
mail2.dbtg.de (50)
193.17.232.101
T-TeleSec GlobalRoot Class 2
A
Erfolgreich
1.2/1.3
Vertrauenswürdig
Keine
Keine Policy
mail4.dbtg.de (50)
193.17.232.102
T-TeleSec GlobalRoot Class 2
A
Erfolgreich
1.2/1.3
Vertrauenswürdig
Keine
Keine Policy
mail3.dbtg.de (500)
193.17.243.102
T-TeleSec GlobalRoot Class 2
A
Erfolgreich
1.2/1.3
Vertrauenswürdig
Keine
Keine Policy
✗
Qualifizierte Transportverschlüsselung
✗
✓
✓
✗
RFC 7672 SMTP-DANE
✗
✓
✓
✗
✗
RFC 8461 MTA-STS
✓
✓
✓
✗
Summary
✗
✓
✓
✓
✗
✗
Netzwerkinformationen
✓
BUNDESTAG, 11011 Berlin, Germany : 193.17.232.101, 193.17.232.102,
193.17.243.101, 193.17.243.102