AW: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail

Von: Pressestelle (LfDI) <presse@datenschutz.rlp.de>
Gesendet: 17.07.2023 13:55
An: 'Joachim Lindenberg' <************@lindenberg.one>
Betreff: AW: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail

Sehr geehrter Herr Lindenberg,

vielen Dank für Ihre Anfrage.

Die Orientierungshilfe "Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail" der Datenschutzkonferenz der Unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in der aktuellen Fassung weiterhin Gültigkeit. Die Aufsichtsbehörden überprüfen als Teil der Arbeitsgruppen der DSK regelmäßig alle Orientierungshilfen und aktualisieren diese wenn notwendig.

In der Aufsichtspraxis können jedoch nicht alle Empfehlungen auch sofort umgesetzt werden. Wir beraten die unserer datenschutzrechtlichen Aufsicht unterstehenden Stellen intensiv zu Maßnahmen, um die Vorgaben der Orientierungshilfe zu erreichen. Wir bitten jedoch um Verständnis, dass solche Prozesse aufgrund der beteiligten Akteure und der Größe der Systeme regelm��ßig länger dauern.

Daneben verweisen wir darauf, dass verschlüsselte E-Mails nicht der einzige Kommunikationsweg sind. Kommunikationswege sollten insgesamt mit Blick auf das datenschutzrechtliche Risiko und die verfügbaren Mittel ausgewählt werden.

Unabhängig davon kann unsere Behörde über folgende Maßnahmen zur verschlüsselten E-Mail-Kommunikation Auskunft geben:

Die vom LfDI Rheinland-Pfalz genutzten Mailsysteme werden vom Landesbetrieb Daten und Information (LDI) betrieben. Die Mailsysteme sind so konfiguriert, dass sowohl für ein- als auch ausgehende E-Mail-Nachrichten eine Transportverschlüsselung auf Basis von TLS (Transport-Layer-Security) erfolgt, sofern der Mail-Server des jeweiligen Kommunikationspartners dies unterstützt. Sollte bei diesem keine Verschlüsselung möglich sein, erfolgt ein Rückfall auf Mailtransport ohne Transportverschlüsselung. Für den LfDI stellt die Erreichbarkeit für die Bürger:innen auf den von ihnen jeweils gewählten Kommunikationswegen ein an sich hohes Gut dar. Deshalb werden von außen eingehende E-Mails nicht aufgrund fehlender Verschlüsselungsmerkmale abgewiesen.

Wie oben erläutert, stehen den Kommunikationspartner:innen prinzipiell verschiedene Kommunikationswege zur Verfügung. So kann sich der/die Kommunikationspartner:in – neben dem Postweg – bspw. für eine Inhaltsverschlüsselung der E-Mail oder für das Kontaktformular auf der Webseite des LfDI RLP entscheiden. Über das Kontaktformular übermittelte Informationen werden innerhalb einer gesicherten Hardware-Struktur an den LfDI RLP übertragen, ohne öffentliche Netze zu nutzen. Selbstverständlich trifft die Behörde die Entscheidung über geeignete Kommunikationskanäle für eigene ausgehende Nachrichten risikobasiert, macht also die Wahl des Kommunikationskanals von der Risikobewertung der im Einzelfall betroffenen personenbezogenen Daten abhängig.

Sofern eine Transportverschlüsselung bei der Kommunikation etabliert werden kann, wird die Authentizität der Mailserver des LDI durch entsprechende Zertifikatsketten nachgewiesen. Die Mailserver des LDI unterstützen aktuelle und hochwertige Protokolle und Schlüsselverfahren sowie Maßnahmen, um Schlüsselrekonstruktion zu verhindern (Perfect Forward Secrecy - PFS).

Maßnahmen zur zusätzlichen Absicherung im Bereich der Namensauflösung des Domain Name System (DNS) durch Verfahren wie DNSSEC und DANE (DNS-based Authentication of Named Entities) sind derzeit seitens des LDI noch nicht implementiert. Unsere Behörde wird im Rahmen ihrer Beratungsfunktion weiter auf eine Implementierung hinwirken.

Mit freundlichen Grüßen
Prof. Dr. Dieter Kugelmann

-------------------------------------------------------------------------

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34
55116 Mainz

Pressestelle
Tel.: (06131) 8920-120
E-Mail: presse@datenschutz.rlp.de

Informationen zur Verarbeitung Ihrer personenbezogenen Daten durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz finden Sie unter https://s.rlp.de/lfdidsh

Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: Freitag, 7. Juli 2023 14:00
An: pressestelle@bfdi.bund.de; pressestelle@lfdi.bwl.de; poststelle@datenschutz-bayern.de; presse@lda.bayern.de; presse@datenschutz-berlin.de; Poststelle@LDA.Brandenburg.de; office@datenschutz.bremen.de; presse@datenschutz.hamburg.de; pressestelle@datenschutz-hessen.de; info@datenschutz-mv.de; pressestelle@lfd.niedersachsen.de; pressestelle@ldi.nrw.de; Pressestelle (LfDI) <presse@datenschutz.rlp.de>; poststelle@datenschutz.saarland.de; saechsdsb@slt.sachsen.de; poststelle@lfd.sachsen-anhalt.de; mail@datenschutzzentrum.de; poststelle@datenschutz.thueringen.de
Betreff: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail

Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte Pressesprecherinnen und Pressesprecher,

die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ ist jetzt gut zwei – https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf – bzw. drei – https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf – Jahre alt. Nur leider kann ich nicht feststellen, dass sie in der Praxis angekommen oder von Ihnen durchgesetzt wird. Sogar bei Ihnen selbst – siehe Anlage – gibt es Defizite. Von 18 Aufsichten unterstützen nur 3 eingangsseitig die in der Orientierungshilfe definierte qualifizierte Transportverschlüsselung. Erfahrungsgemäß setzen deutlich weniger Organisationen sendeseitig qualifizierte Transportverschlüsselung oder auch die dafür geeigneten Standards BSI-TR 03108-1 / RFC 7672 ein, als die Unterstützung eingangsseitig veröffentlicht wird.

Wie viele von Ihnen sendeseitig die obligatorische Transportverschlüsselung verwenden weiß ich bisher nicht, aber ich weiß sicher, dass mindestens zwei Aufsichten durchfallen, also unverschlüsselt senden obwohl mein Emailserver RFC 7672 in beiden Richtungen unterstützt. Ich will die Aufsichten hier mal nicht nennen, stattdessen darf ich Sie alle bitten, den Test auf https://blog.lindenberg.one/EmailSicherheitsTest zu machen, und Sie alle fragen, bis wann Sie gedenken, Ihrer eigenen Empfehlung nachzukommen?

Oder planen Sie eine neue Orientierungshilfe mit anderem Inhalt? In der vielleicht die BSI-TR 03108-1 oder der weitgehend übereinstimmende RFC 7672 nicht nur empfohlen sondern eingefordert wird, wie das auch bei unseren Nachbarn in den Niederlanden der Fall ist, und den mehr als die Hälfte der Bundesbürger meist ohne ihr Wissen verwenden, denn beim – nach eigenen Behauptungen – mit 50% Marktanteil Marktführer United Internet wird dieser Standard verwendet, bei vielen anderen öffentlichen Anbietern auch, bei Verantwortlichen egal ob im öffentlichen oder privaten Bereich sehe ich das bisher nicht.

Vielen Dank und viele Grüße
Joachim Lindenberg
(Presseausweis anbei)