Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: 17.09.2023 12:03
An: <POSTSTELLE@bfdi.bund.de>
Cc: 'Datenschutz BDB Postfachaccount DS' <datenschutz.bdb@bundestag.de>
Betreff: AW: Datenschutz beim Bundestag?
Sehr geehrte Damen und Herren,
hiermit beschwere ich mich über mangelnden Datenschutz beim Bundestag:
- Fehlende qualifizierte Transportverschlüsselung bei der Emailkommunikation mit den Abgeordneten (Artikel 32),
- Intransparente Datenschutzerklärung und Verwendung von nicht-erforderlichen Cookies ohne Einwilligung (Artikel 12, Artikel 7),
- Verwendung von datenschutzfeindlichen Social-Media-Kanälen für offizielle Kommunikation (Artikel 6),
- Unnötige Trackingfunktionen in der Mobile-App (Artikel 6).
Vielen Dank und viele Grüße
Joachim Lindenberg
-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: Dienstag, 22. August 2023 17:21
An: 'Datenschutz BDB Postfachaccount DS' <datenschutz.bdb@bundestag.de>
Betreff: AW: Datenschutz beim Bundestag?
Sehr geehrter ********************,
Session-Cookies sind nur dann erforderlich, wenn eine Webseite einen Warenkorb oder eine konfigurierbare Funktion anbietet. Ich kann Ihren Ausführungen nicht entnehmen, welche Funktion da erforderlich sein soll. Und die einzige Funktion in der Datenschutzerklärung (Matomo) passt nicht, weil die genau der Auswertung von Nutzerdaten dient, und das verneinen Sie unten. Welchem konkreten Zwecke dienen die Cookies wirklich? Oder nur Bequemlichkeit des Betreibers?
Bis wann folgen die restlichen Probleme? Dass man mit Bundestagsabgeordneten nicht per qualifizierter Transportverschlüsselung kommunizieren kann halte ich für ein No-Go.
Vielen Dank und viele Grüße
Joachim Lindenberg
-----Ursprüngliche Nachricht-----
Von: Datenschutz BDB Postfachaccount DS <datenschutz.bdb@bundestag.de>
Gesendet: Dienstag, 22. August 2023 16:39
An: ***********@lindenberg.one
Betreff: AW: Datenschutz beim Bundestag?
Sehr geehrter Herr Lindenberg,
vielen Dank für Ihre E-Mail.
Auf meine Weitergabe Ihrer Kritik/Hinweise hatte ich Ende Juli 2023 bezüglich Ihrer Anmerkungen zu den auf der Bundestagswebseite eingesetzten Cookies folgende Antwort erhalten:
"Die Webseite www.bundestag.de verwendet nur technisch notwendige Cookies (Session-Cookies), die für die Funktion der Website notwendig sind. Sie werden nicht zur Erhebung oder Auswertung von Nutzerdaten verwendet und nach Beendigung der Browsersitzung (Session) gelöscht.
"Technisch notwendige Cookies sorgen dafür, dass eine Webseite funktioniert und dass ein Nutzer sie beim nächsten Besuch genauso angezeigt bekommt wie beim ersten Mal. [...] Technisch notwendige Cookies, die allein für die Funktionen und den Betrieb einer Webseite erforderlich sind, bedürfen keiner Einwilligung des Nutzers." (https://www.datenschutz.org/technisch-notwendige-cookies/ , 21.07.2023) Auf dieser Basis wurde entschieden, dass kein Cookie-Banner und somit auch keine Einwilligung durch den Nutzer benötigt wird. Nach unserer (erneuten) Bewertung sind diese Cookies für den funktionsfähigen Betrieb der Website weiterhin notwendig.
Informationen zu den Session-Cookies:
Name: CM_SESSIONID
Herkunft: ISP Fa. Babiel
Erklärung: Technisch notwendiger Cookie zur Speicherung der Session-ID des Benutzers für die Kommunikation mit dem Backend. Das Cookie wird bei Beendigung der Browsersitzung gelöscht.
Name: SERVERID
Herkunft: ISP Fa. Babiel
Erklärung: Technisch notwendiger Cookie zur Lastverteilung auf den Systemen. Bei Aufruf der Website wird der Nutzer über den Loadbalancer an einen der mehreren Auslieferungsserver weitergeleitet. Das Cookie wird bei Beendigung der Browsersitzung gelöscht.
Name: INGRESSCOOKIE
Herkunft: ISP Fa. Babiel
Erklärung: Technisch notwendiger Cookie zur Lastverteilung auf den Systemen und Identifizierung von Bot-Zugriffen. Das Cookie wird bei Beendigung der Browsersitzung gelöscht."
Hiergegen ergeben sich aus meiner Sicht keine datenschutzrechtlichen Einwände.
Da der Stellungnahme jedoch Ausführungen zu den anderen durch Sie aufgeworfenen Kritikpunkten fehlten, habe ich um entsprechende Ergänzung gebeten. Eine Antwort steht aktuell noch aus.
Ich hatte vor, Ihnen eine Gesamtantwort zu allen von Ihnen aufgeworfenen Problemfeldern zukommen zu lassen. Mein Versäumnis, Sie zwischenzeitlich entsprechend zu informieren, bitte ich zu entschuldigen. Bezüglich der ausstehenden Antwort habe ich nochmals bei der zuständigen Organisationseinheit nachgehakt.
Für Rückfragen stehe ich gern zur Verfügung.
Mit freundlichen Grüßen
im Auftrag
*********************
______________________________
*******************
Kompetenzzentrum Datenschutz (DS)
Deutscher Bundestag
Platz der Republik 1
11011 Berlin
Telefon: +49 30 227-3**** (Vz)
Telefon: +49 30 227-3****
Fax: +49 30 227-3****
-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg [mailto:***********@lindenberg.one]
Gesendet: Dienstag, 22. August 2023 13:45
An: Datenschutz BDB Postfachaccount DS <datenschutz.bdb@bundestag.de>
Betreff: AW: Datenschutz beim Bundestag?
Sehr geehrter ********************,
leider muss ich feststellen, dass öffentliche Stellen oft erst aktiv werden, wenn ich Beschwerde einreiche.
Ich darf Sie vorher um einen Zwischenstand bitten.
Vielen Dank und viele Grüße
Joachim Lindenberg
-----Ursprüngliche Nachricht-----
Von: Datenschutz BDB Postfachaccount DS <datenschutz.bdb@bundestag.de>
Gesendet: Donnerstag, 6. Juli 2023 10:12
An: ***********@lindenberg.one
Betreff: AW: Datenschutz beim Bundestag?
Sehr geehrter Herr Lindenberg,
ich habe Ihre Kritik/Hinweise an die zuständigen Organisationseinheiten zur Stellungnahme weitergegeben. Sobald mir diese vorliegen, komme ich unaufgefordert auf Ihr Anliegen zurück.
Mit freundlichen Grüßen
im Auftrag
*********************
_______________________________
*******************
Kompetenzzentrum Datenschutz
Deutscher Bundestag
Platz der Republik 1
11011 Berlin
Telefon: +49 (0)30 227-3****
Fax: +49 (0)30 227-3****
Ihre personenbezogenen Daten werden gemäß den unter https://www.bundestag.de/datenschutz abrufbaren Datenschutzhinweisen erhoben und verarbeitet, sofern keine anderslautenden Datenschutzhinweise ausdrücklich für anwendbar erklärt worden sind.
-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg [mailto:***********@lindenberg.one]
Gesendet: Dienstag, 4. Juli 2023 17:50
An: Socialmedia Postfachaccount IK 7 <socialmedia@bundestag.de>; Datenschutz BDB Postfachaccount DS <datenschutz.bdb@bundestag.de>
Betreff: Datenschutz beim Bundestag?
Sehr geehrte Damen und Herren,
leider hat der Bundestag Defizite beim Datenschutz. Auf der Webseite werden vier U.S. Medien bevorzugt dargestellt, das datenschutzfreundliche Mastodon erst abgeschlagen auf der 2. Seite. Auch beim Teilen eines Beitrags mehr fragwürdige Medien als datenschutzfreundliche. Auf https://www.bundestag.de/services/nutzungskonzept_som wird das Konzept erklärt, aber ein schlechtes Gewissen wegen dem anscheinend alternativlosen Datenexport vermisse ich – obwohl der Bundestag Videos in der Mediathek über TV1 ausspielen kann. Aber auf https://www.bundestag.de/services/soziale_medien/instagram_praesidentin/2-bas-lichtprojektion-956510 leider nur ein Instagramm-Link.
Einigermaßen erfreulich ist das Testergebnis hinsichtlich Cookies. Da würde mich nur interessieren, warum das eine Cookie als notwendig im Sinne des TTDSGs angesehen wird, denn einen Einwilligung habe ich weder wahrgenommen noch erteilt.
Auch bei Email patzt der Bundestag und verzichtet beim Newsletter hib (noreply@dbtg-newsletter.de <mailto:noreply@dbtg-newsletter.de> ) , beim Kontaktformular (briefkasten@dbt-internet.de), sogar bei den Emailadressen der Mitarbeiter und Abgeordneten auf obligatorische und qualifizierte Transportverschlüsselung <https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf> und den Stand-der Technik in Form von RFC 7672. Auch ist mir unklar, warum man drei verschiedene Domänen und einen Dienstleister einsetzt, obwohl man einen eigenen Emailserver hat. Übernimmt der Dienstleister nur den Transport oder beantwortet er auch gleich die Anfragen?
Die Angaben zur App sind auch unvollständig. Die App kontaktiert sowohl Google (firebaseremoteconfig.googleapis.com, firebaseinstallations.googleapis.com) als auch Microsoft (in.appcenter.ms) direkt beim Start und nicht erst bei einem Crash. Warum müssen U.S.-Geheimdienste mitlesen können, wer sich für unser Parlament interessiert? Die App stürzt auch keineswegs ab, wenn man diese sperrt.
Ich sehe da großes Potential nach oben.
Vielen Dank und viele Grüße
Joachim Lindenberg
bundestag.de
Mailserver (Prio)
Adresse(n)
Aussteller Rootzertifikat
DNSSEC
STARTTLS
TLS Version
Zertifikat
Matches TLSA
MTA-STS
mail1.dbtg.de (50)
193.17.243.101
T-TeleSec GlobalRoot Class 2
A
Erfolgreich
1.2/1.3
Vertrauenswürdig
Keine
Keine Policy
mail2.dbtg.de (50)
193.17.232.101
T-TeleSec GlobalRoot Class 2
A
Erfolgreich
1.2/1.3
Vertrauenswürdig
Keine
Keine Policy
mail4.dbtg.de (50)
193.17.232.102
T-TeleSec GlobalRoot Class 2
A
Erfolgreich
1.2/1.3
Vertrauenswürdig
Keine
Keine Policy
mail3.dbtg.de (500)
193.17.243.102
T-TeleSec GlobalRoot Class 2
A
Erfolgreich
1.2/1.3
Vertrauenswürdig
Keine
Keine Policy
✗
Qualifizierte Transportverschlüsselung
✗
✓
✓
✗
RFC 7672 SMTP-DANE
✗
✓
✓
✗
✗
RFC 8461 MTA-STS
✓
✓
✓
✗
Summary
✗
✓
✓
✓
✗
✗
Netzwerkinformationen
✓
BUNDESTAG, 11011 Berlin, Germany : 193.17.232.101, 193.17.232.102, 193.17.243.101, 193.17.243.102