Von: PRESSESTELLE@bfdi.bund.de <PRESSESTELLE@bfdi.bund.de>
Gesendet: 18.07.2023 08:06
An: 'Joachim Lindenberg' <************@lindenberg.one>
Betreff: AW: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail
Sehr geehrter Herr Lindenberg,
die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ der Datenschutzkonferenz der Unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in der aktuellen Fassung weiterhin Gültigkeit. Die Aufsichtsbehörden überprüfen als Teil der Arbeitsgruppen der DSK regelmäßig alle Orientierungshilfen und aktualisieren diese wenn notwendig.
In der Aufsichtspraxis können jedoch nicht alle Empfehlungen auch sofort umgesetzt werden. Wir beraten die unserer datenschutzrechtlichen Aufsicht unterstehenden Stellen intensiv zu Maßnahmen, um die Vorgaben der Orientierungshilfe zu erreichen. Wir bitten jedoch um Verständnis, dass solche Prozesse aufgrund der beteiligten Akteure und der Größe der Systeme regelmäßig länger dauern.
Daneben verweisen wir darauf, dass verschlüsselte E-Mails nicht der einzige Kommunikationsweg sind. Kommunikationswege sollten insgesamt mit Blick auf das datenschutzrechtliche Risiko und die verfügbaren Mittel ausgewählt werden.
Unabhängig davon verwendet der BfDI die von den Netzen des Bundes vorgegebenen Infrastrukturen. Hierdurch ist eine durchgehende Transportverschlüsselung gegeben.
Diese Anbindung an die Netze des Bundes sorgt für eine bis zum Geheimhaltungsgrad VS-NfD zugelassene Kryptierung auf Netzwerkebene (nicht auf Anwendungsebene). Die Netzwerkebenenverschlüsselung ist sicherer, kann aber nicht auf der Anwendungsebene gesehen beziehungsweise verifiziert werden.
Mit freundlichen Grüßen
Christof Stein
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
-Pressesprecher-
Graurheindorfer Straße 153, 53117 Bonn
Fon: (0228) 9977995100
E-Mail: pressestelle@bfdi.bund.de
Internet: https://www.bfdi.bund.de
********************************************************************************
Datenschutzrechtliche Erklärung des BfDI für den E-Mail-Verkehr und die Erfüllung seiner öffentlichen Aufgaben insgesamt: (nachstehender Link führt auf den Internetauftritt des BfDI unter www.bfdi.bund.de)
https://www.bfdi.bund.de/datenschutz
********************************************************************************
Hinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt. Sollten Sie irrtümlich diese Nachricht erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail.
********************************************************************************
Privacy statement of the BfDI for correspondence by email and for managing its overall public responsibility: (the following link is directing to the web presence of the BfDI at www.bfdi.bund.de)
https://www.bfdi.bund.de/privacy-statement
********************************************************************************
Confidentiality notice:
This is a confidential message and it is intended only for the addressee. If you have received this message by mistake, please immediately inform the sender and delete this email.
-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: Freitag, 7. Juli 2023 14:00
An: Pressestelle Postfach <PRESSESTELLE@bfdi.bund.de>; pressestelle@lfdi.bwl.de; poststelle@datenschutz-bayern.de; presse@lda.bayern.de; presse@datenschutz-berlin.de; Poststelle@LDA.Brandenburg.de; office@datenschutz.bremen.de; presse@datenschutz.hamburg.de; pressestelle@datenschutz-hessen.de; info@datenschutz-mv.de; pressestelle@lfd.niedersachsen.de; pressestelle@ldi.nrw.de; presse@datenschutz.rlp.de; poststelle@datenschutz.saarland.de; saechsdsb@slt.sachsen.de; poststelle@lfd.sachsen-anhalt.de; mail@datenschutzzentrum.de; poststelle@datenschutz.thueringen.de
Betreff: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail
Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte Pressesprecherinnen und Pressesprecher,
die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ ist jetzt gut zwei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (16.06.2021) <https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf> – bzw. drei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (13.06.2020) <https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf> – Jahre alt. Nur leider kann ich nicht feststellen, dass sie in der Praxis angekommen oder von Ihnen durchgesetzt wird. Sogar bei Ihnen selbst – siehe Anlage – gibt es Defizite. Von 18 Aufsichten unterstützen nur 3 eingangsseitig die in der Orientierungshilfe definierte qualifizierte Transportverschlüsselung. Erfahrungsgemäß setzen deutlich weniger Organisationen sendeseitig qualifizierte Transportverschlüsselung oder auch die dafür geeigneten Standards BSI-TR 03108-1 / RFC 7672 ein, als die Unterstützung eingangsseitig veröffentlicht wird.
Wie viele von Ihnen sendeseitig die obligatorische Transportverschlüsselung verwenden weiß ich bisher nicht, aber ich weiß sicher, dass mindestens zwei Aufsichten durchfallen, also unverschlüsselt senden obwohl mein Emailserver RFC 7672 in beiden Richtungen unterstützt. Ich will die Aufsichten hier mal nicht nennen, stattdessen darf ich Sie alle bitten, den Test auf https://blog.lindenberg.one/EmailSicherheitsTest zu machen, und Sie alle fragen, bis wann Sie gedenken, Ihrer eigenen Empfehlung nachzukommen?
Oder planen Sie eine neue Orientierungshilfe mit anderem Inhalt? In der vielleicht die BSI-TR 03108-1 oder der weitgehend übereinstimmende RFC 7672 nicht nur empfohlen sondern eingefordert wird, wie das auch bei unseren Nachbarn in den Niederlanden der Fall ist, und den mehr als die H��lfte der Bundesbürger meist ohne ihr Wissen verwenden, denn beim – nach eigenen Behauptungen – mit 50% Marktanteil Marktführer United Internet wird dieser Standard verwendet, bei vielen anderen öffentlichen Anbietern auch, bei Verantwortlichen egal ob im öffentlichen oder privaten Bereich sehe ich das bisher nicht.
Vielen Dank und viele Grüße
Joachim Lindenberg
(Presseausweis anbei)