Sehr geehrter Herr Lindenberg,

 

vielen Dank für Ihre Anfrage, die ich Ihnen als Pressesprecherin für den HmbBfDI wie folgt beantworten kann:

 

Die Orientierungshilfe "Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail" der Datenschutzkonferenz der Unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in der aktuellen Fassung weiterhin Gültigkeit. Die Aufsichtsbehörden überprüfen als Teil der Arbeitsgruppen der DSK regelmäßig alle Orientierungshilfen und aktualisieren diese wenn dies Notwendig ist.

 

In der Aufsichtspraxis können jedoch nicht alle Empfehlungen auch sofort umgesetzt werden. Wir beraten die unserer datenschutzrechtlichen Aufsicht unterstehenden Stellen intensiv zu Maßnahmen, um die Vorgaben der Orientierungshilfe zu erreichen. Wir bitten jedoch um Verständnis, dass solche Prozesse aufgrund der beteiligten Akteure und der Größe der Systeme regelmäßig länger dauern. Für die Hamburger Behördenlandschaft können wir mitteilen, dass der HmbBfDI aktuell die Frage DKIM/DMARC-Einsatz berät. Hinsichtlich der Anforderungen auf Ende-zu-Ende-verschlüsselte Kommunikation finden sowohl in aktuellen Prüfungen sowie Projekten Gespräche statt, in denen konkret über technische Lösungen für einen flächendeckenderen Einsatz von E2E-Varianten gesprochen wird.

Daneben verweisen wir darauf, dass verschlüsselte E-Mails nicht der einzige Kommunikationsweg sind. Kommunikationswege sollten insgesamt mit Blick auf das datenschutzrechtliche Risiko und die verfügbaren Mittel ausgewählt werden.

 

Mit freundlichen Grüßen

 

Alina Schömig

Stabsstelle Presse- und Öffentlichkeitsarbeit, Medienkompetenz

Pressereferentin, Datenschutzkompetenzförderung und Medienbildung, Öffentlichkeitsarbeit | Projektleitung #DigitaleVorbilder

 

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Ludwig-Erhard-Str. 22 · 20459 Hamburg
Telefon:   +49 (0)40 428 54-**** (Durchwahl)	+49 (0)40 428 54-**** (HamburgService)
Mobil:       +49 (0)176 428 653 74
E-Mail:      alina.schoemig@datenschutz.hamburg.de Internet:   datenschutz-hamburg.de

#DigitaleVorbilder ist ein Gemeinschaftsprojekt der Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern und dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit in Kooperation mit dem Hamburger Bürgersender TIDE. Es wird durch das Programm "Citizens, Equality, Rights and Values" (CERV) der Europäischen Union finanziert.

 

Abhängig vom Anlass Ihrer oder unserer Kontaktaufnahme werden Ihre personenbezogenen Daten von uns verarbeitet. Nähere Informationen dazu erhalten Sie hier oder auf Nachfrage bei unserer behördlichen Datenschutzbeauftragten.
Bitte beachten Sie auch, dass vertrauliche Informationen auf elektronischem Wege nur verschlüsselt an uns übermittelt werden sollten.

 

Wir möchten Sie respektvoll ansprechen. Gerne können Sie uns mitteilen, wenn Sie eine andere Ansprache wünschen.

 

 

Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte Pressesprecherinnen und Pressesprecher,

 

die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ ist jetzt gut zwei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (16.06.2021) – bzw. drei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (13.06.2020) – Jahre alt. Nur leider kann ich nicht feststellen, dass sie in der Praxis angekommen oder von Ihnen durchgesetzt wird.  Sogar bei Ihnen selbst – siehe Anlage – gibt es Defizite. Von 18 Aufsichten unterstützen nur 3 eingangsseitig die in der Orientierungshilfe definierte qualifizierte Transportverschlüsselung. Erfahrungsgemäß setzen deutlich weniger Organisationen sendeseitig qualifizierte Transportverschlüsselung oder auch die dafür geeigneten Standards BSI-TR 03108-1 /  RFC 7672 ein, als die Unterstützung eingangsseitig veröffentlicht wird.

 

Wie viele von Ihnen sendeseitig die obligatorische Transportverschlüsselung verwenden weiß ich bisher nicht, aber ich weiß sicher, dass mindestens zwei Aufsichten durchfallen, also unverschlüsselt senden obwohl mein Emailserver RFC 7672 in beiden Richtungen unterstützt. Ich will die Aufsichten hier mal nicht nennen, stattdessen darf ich Sie alle bitten, den Test auf https://blog.lindenberg.one/EmailSicherheitsTest zu machen, und Sie alle fragen, bis wann Sie gedenken, Ihrer eigenen Empfehlung nachzukommen?

 

Oder planen Sie eine neue Orientierungshilfe mit anderem Inhalt? In der vielleicht die BSI-TR 03108-1 oder der weitgehend übereinstimmende RFC 7672 nicht nur empfohlen sondern eingefordert wird, wie das auch bei unseren Nachbarn in den Niederlanden der Fall ist, und den mehr als die Hälfte der Bundesbürger meist ohne ihr Wissen verwenden, denn beim – nach eigenen Behauptungen – mit 50% Marktanteil Marktführer United Internet wird dieser Standard verwendet, bei vielen anderen öffentlichen Anbietern auch, bei Verantwortlichen egal ob im öffentlichen oder privaten Bereich sehe ich das bisher nicht.

 

Vielen Dank und viele Grüße

Joachim Lindenberg

(Presseausweis anbei)