Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte Pressesprecherinnen und Pressesprecher,

in den letzten Tagen kamen die ersten fünf Rückmeldungen, vielen Dank dafür. Dabei fällt mir allerdings auf, dass einige von Ihnen nur auf den Beratungsbedarf abstellen, nicht aber darauf dass die Mehrheit von Ihnen die Orientierungshilfe selbst nicht umsetzt und damit die Chance verpasst, mit gutem Beispiel voranzugehen. Offensichtlich plagt Sie dabei auch ein schlechtes Gewissen, denn den angebotenen Test hat bisher nur eine Aufsicht angestoßen.

Unabhängig von selbst oder Beratung: ich dachte die DSGVO hatte von vorneherein eine Übergangszeit von zwei Jahren (Mai 2016 bis Mai 2018) in der jeder Verantwortliche die Anforderungen umsetzen sollte, und seit der ersten Version der Orientierungshilfe von 2020 sollten die Anforderungen klar sein - oder jedenfalls hat bisher keiner von Ihnen geschrieben, er sieht Änderungsbedarf. Dass Sie und die von Ihnen beaufsichtigen Behörden die Orientierungshilfe ganz überwiegend nicht umgesetzt haben, heißt damit doch, dass Sie Ihren Auftrag aus Artikel 57 Abs. 1 lit. a nicht ernst nehmen. Oder hat ein Verantwortlicher Ihrer Beratung widersprochen? Dass Nachholbedarf existiert zeigen meine Auswertungen, die ich Ihnen zusammen mit Erläuterungen auf https://blog.lindenberg.one/AufsichtEmail gestellt habe.

Auch dass die Umsetzung ein hoher Aufwand ist und einen fünf-Jahresplan erfordert, kann ich nicht nachvollziehen. Bei meinem eigenen Emailserver war die Konfiguration in zwei Tagen erledigt, lediglich die von mir angestrebte Automatisierung der Konfiguration in Abhängigkeit von der Zieldomäne hat etwas länger gebraucht. Der öffentliche Dienst mag etwas träger sein, als ein IT-Freiberufler, aber mehr als wenige Monate halte ich nicht für gerechtfertigt. Wieso Sie?

Soweit Email nur als eines von mehreren Kommunikationsmitteln gesehen wird: ja, richtig, aber fast alle von Ihnen verwenden Email intensiv, auch bei normalem bis möglicherweise hohem Risiko für den Betroffenen. Und soweit ich schon Formulare bei Ihnen ausprobiert habe - die sind weniger praktikabel und haben ohne Email eher keinen Rückkanal, so dass Email meist parallel zum Einsatz kommt.

Soweit Sie auf die Möglichkeit von PGP oder S/MIME hinweisen: wie viel Prozent Ihrer Emails sind Ende-zu-Ende-verschlüsselt?

Ich darf diejenigen, die schon geantwortet haben, bitten Antworten auf diese Fragen nachzureichen, alle anderen auffordern Ihre Version zu liefern, und alle die den Test nicht gemacht haben erneut einladen, diesen zu nutzen um sich ein Bild Ihrer Sendeseite zu verschaffen.

Ihre Antworten erwarte ich bis zum 21.07.2023.

Vielen Dank und viele Grüße

Joachim Lindenberg

Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte Pressesprecherinnen und Pressesprecher,

die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ ist jetzt gut zwei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (16.06.2021) – bzw. drei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (13.06.2020) – Jahre alt. Nur leider kann ich nicht feststellen, dass sie in der Praxis angekommen oder von Ihnen durchgesetzt wird.  Sogar bei Ihnen selbst – siehe Anlage – gibt es Defizite. Von 18 Aufsichten unterstützen nur 3 eingangsseitig die in der Orientierungshilfe definierte qualifizierte Transportverschlüsselung. Erfahrungsgemäß setzen deutlich weniger Organisationen sendeseitig qualifizierte Transportverschlüsselung oder auch die dafür geeigneten Standards BSI-TR 03108-1 /  RFC 7672 ein, als die Unterstützung eingangsseitig veröffentlicht wird.

Wie viele von Ihnen sendeseitig die obligatorische Transportverschlüsselung verwenden weiß ich bisher nicht, aber ich weiß sicher, dass mindestens zwei Aufsichten durchfallen, also unverschlüsselt senden obwohl mein Emailserver RFC 7672 in beiden Richtungen unterstützt. Ich will die Aufsichten hier mal nicht nennen, stattdessen darf ich Sie alle bitten, den Test auf https://blog.lindenberg.one/EmailSicherheitsTest zu machen, und Sie alle fragen, bis wann Sie gedenken, Ihrer eigenen Empfehlung nachzukommen?

Oder planen Sie eine neue Orientierungshilfe mit anderem Inhalt? In der vielleicht die BSI-TR 03108-1 oder der weitgehend übereinstimmende RFC 7672 nicht nur empfohlen sondern eingefordert wird, wie das auch bei unseren Nachbarn in den Niederlanden der Fall ist, und den mehr als die Hälfte der Bundesbürger meist ohne ihr Wissen verwenden, denn beim – nach eigenen Behauptungen – mit 50% Marktanteil Marktführer United Internet wird dieser Standard verwendet, bei vielen anderen öffentlichen Anbietern auch, bei Verantwortlichen egal ob im öffentlichen oder privaten Bereich sehe ich das bisher nicht.

Vielen Dank und viele Grüße

Joachim Lindenberg

(Presseausweis anbei)