Re: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail

Von: Unabhängiges Landeszentrum für Datenschutz Schlesw ig-Holstein <mail@datenschutzzentrum.de>
Gesendet: 21.07.2023 10:20
An: Joachim Lindenberg <************@lindenberg.one>
Betreff: Re: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail

Az. 60.22/23.001

Sehr geehrter Herr Lindenberg,

vielen Dank für Ihre Nachrichten vom 07.07.2023 und 18.07.2023.

Sie fragen speziell nach der Realisierung in jeder einzelnen Behörde.
Für das ULD antworte ich Ihnen wie folgt:

Aufgrund externer Abhängigkeiten und anderweitiger Prioritäten bei
zugleich beschränkten personellen Ressourcen ist die Einführung von
DANE auf unseren Mail-Systemen zwar vorgesehen, aber bisher nicht
umgesetzt.

Für eine gesicherte Kommunikation bieten wir daher sowohl eine
Verschlüsselung mittels PGP als auch ein Beschwerdeformular per TLS auf
unserer Website an.

Sie fragen zudem nach dem Anteil der Ende-zu-Ende-verschlüsselten
E-Mails. Wir haben dies nicht erhoben; bei unseren Petinnen und Petenten
handelt es aber um einen kleinen Prozentsatz (geschätzt zwischen 1 und 5
%). Viele verwenden das TLS-gesicherte Formular. In der Behörden-,
Gerichts- und Anwaltskommunikation kommt zudem die Verschlüsselung des
besonderen Behördenpostfachs zum Einsatz. Auch der Postweg wird
weiterhin genutzt.

In Bezug auf externe Links in E-Mails sind die Mitarbeitenden aus
Sicherheitsgründen gehalten, diese nicht aufzurufen. Das betrifft auch
den Link, den Sie mitgesandt haben.

Mit freundlichen Grüßen

M. Hansen

> Betreff:     Maßnahmen zum Schutz personenbezogener Daten bei der
> Übermittlung per E-Mail (2.)
> Datum:     Tue, 18 Jul 2023 13:40:04 +0200
> Von:     Joachim Lindenberg <************@lindenberg.one>
> An:     pressestelle@bfdi.bund.de, pressestelle@lfdi.bwl.de,
> poststelle@datenschutz-bayern.de, presse@lda.bayern.de,
> presse@datenschutz-berlin.de, Poststelle@LDA.Brandenburg.de,
> office@datenschutz.bremen.de, presse@datenschutz.hamburg.de,
> pressestelle@datenschutz.hessen.de, info@datenschutz-mv.de,
> pressestelle@lfd.niedersachsen.de, pressestelle@ldi.nrw.de,
> presse@datenschutz.rlp.de, poststelle@datenschutz.saarland.de,
> saechsdsb@slt.sachsen.de, poststelle@lfd.sachsen-anhalt.de,
> mail@datenschutzzentrum.de, poststelle@datenschutz.thueringen.de
>
>
>
> Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte
> Pressesprecherinnen und Pressesprecher,
>
> in den letzten Tagen kamen die ersten fünf Rückmeldungen, vielen Dank
> dafür. Dabei fällt mir allerdings auf, dass einige von Ihnen nur auf den
> Beratungsbedarf abstellen, nicht aber darauf dass die Mehrheit von Ihnen
> die Orientierungshilfe selbst nicht umsetzt und damit die Chance
> verpasst, mit gutem Beispiel voranzugehen. Offensichtlich plagt Sie
> dabei auch ein schlechtes Gewissen, denn den angebotenen Test
> <https://blog.lindenberg.one/EmailSicherheitsTest> hat bisher nur eine
> Aufsicht angestoßen.
>
> Unabhängig von selbst oder Beratung: ich dachte die DSGVO hatte von
> vorneherein eine Übergangszeit von zwei Jahren (Mai 2016 bis Mai 2018)
> in der jeder Verantwortliche die Anforderungen umsetzen sollte, und seit
> der ersten Version der Orientierungshilfe von 2020 sollten die
> Anforderungen klar sein - oder jedenfalls hat bisher keiner von Ihnen
> geschrieben, er sieht Änderungsbedarf. Dass Sie und die von Ihnen
> beaufsichtigen Behörden die Orientierungshilfe ganz überwiegend nicht
> umgesetzt haben, heißt damit doch, dass Sie Ihren Auftrag aus Artikel 57
> Abs. 1 lit. a nicht ernst nehmen. Oder hat ein Verantwortlicher Ihrer
> Beratung widersprochen? Dass Nachholbedarf existiert zeigen meine
> Auswertungen, die ich Ihnen zusammen mit Erläuterungen auf
> https://blog.lindenberg.one/AufsichtEmail
> <https://blog.lindenberg.one/AufsichtEmail> gestellt habe.
>
> Auch dass die Umsetzung ein hoher Aufwand ist und einen fünf-Jahresplan
> erfordert, kann ich nicht nachvollziehen. Bei meinem eigenen Emailserver
> war die Konfiguration in zwei Tagen erledigt, lediglich die von mir
> angestrebte Automatisierung der Konfiguration in Abhängigkeit von der
> Zieldomäne hat etwas länger gebraucht. Der öffentliche Dienst mag etwas
> träger sein, als ein IT-Freiberufler, aber mehr als wenige Monate halte
> ich nicht für gerechtfertigt. Wieso Sie?
>
> Soweit Email nur als eines von mehreren Kommunikationsmitteln gesehen
> wird: ja, richtig, aber fast alle von Ihnen verwenden Email intensiv,
> auch bei normalem bis möglicherweise hohem Risiko für den Betroffenen.
> Und soweit ich schon Formulare bei Ihnen ausprobiert habe - die sind
> weniger praktikabel und haben ohne Email eher keinen Rückkanal, so dass
> Email meist parallel zum Einsatz kommt.
>
> Soweit Sie auf die Möglichkeit von PGP oder S/MIME hinweisen: wie viel
> Prozent Ihrer Emails sind Ende-zu-Ende-verschlüsselt?
>
> Ich darf diejenigen, die schon geantwortet haben, bitten Antworten auf
> diese Fragen nachzureichen, alle anderen auffordern Ihre Version zu
> liefern, und alle die den Test nicht gemacht haben erneut einladen,
> diesen zu nutzen um sich ein Bild Ihrer Sendeseite zu verschaffen.
>
> Ihre Antworten erwarte ich bis zum 21.07.2023.
>
> Vielen Dank und viele Grüße
>
> Joachim Lindenberg
>
> *Von:*Joachim Lindenberg <************@lindenberg.one>
> *Gesendet:* Freitag, 7. Juli 2023 14:00
> *An:* 'pressestelle@bfdi.bund.de' <pressestelle@bfdi.bund.de>;
> 'pressestelle@lfdi.bwl.de' <pressestelle@lfdi.bwl.de>;
> 'poststelle@datenschutz-bayern.de' <poststelle@datenschutz-bayern.de>;
> 'presse@lda.bayern.de' <presse@lda.bayern.de>;
> 'presse@datenschutz-berlin.de' <presse@datenschutz-berlin.de>;
> 'Poststelle@LDA.Brandenburg.de' <Poststelle@LDA.Brandenburg.de>;
> 'office@datenschutz.bremen.de' <office@datenschutz.bremen.de>;
> 'presse@datenschutz.hamburg.de' <presse@datenschutz.hamburg.de>;
> 'pressestelle@datenschutz-hessen.de'
> <pressestelle@datenschutz-hessen.de>; 'info@datenschutz-mv.de'
> <info@datenschutz-mv.de>; 'pressestelle@lfd.niedersachsen.de'
> <pressestelle@lfd.niedersachsen.de>; 'pressestelle@ldi.nrw.de'
> <pressestelle@ldi.nrw.de>; 'presse@datenschutz.rlp.de'
> <presse@datenschutz.rlp.de>; 'poststelle@datenschutz.saarland.de'
> <poststelle@datenschutz.saarland.de>; 'saechsdsb@slt.sachsen.de'
> <saechsdsb@slt.sachsen.de>; 'poststelle@lfd.sachsen-anhalt.de'
> <poststelle@lfd.sachsen-anhalt.de>; 'mail@datenschutzzentrum.de'
> <mail@datenschutzzentrum.de>; 'poststelle@datenschutz.thueringen.de'
> <poststelle@datenschutz.thueringen.de>
> *Betreff:* Maßnahmen zum Schutz personenbezogener Daten bei der
> Übermittlung per E-Mail
>
> Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte
> Pressesprecherinnen und Pressesprecher,
>
> die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei
> der Übermittlung per E-Mail“ ist jetzt gut zwei – Maßnahmen zum Schutz
> personenbezogener Daten bei der Übermittlung per E-Mail (16.06.2021)
> <https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf> – bzw. drei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (13.06.2020) <https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf> – Jahre alt. Nur leider kann ich nicht feststellen, dass sie in der Praxis angekommen oder von Ihnen durchgesetzt wird. Sogar bei Ihnen selbst – siehe Anlage – gibt es Defizite. Von 18 Aufsichten unterstützen nur 3 eingangsseitig die in der Orientierungshilfe definierte qualifizierte Transportverschlüsselung. Erfahrungsgemäß setzen deutlich weniger Organisationen sendeseitig qualifizierte Transportverschlüsselung oder auch die dafür geeigneten Standards BSI-TR 03108-1 / RFC 7672 ein, als die Unterstützung eingangsseitig veröffentlicht wird.
>
> Wie viele von Ihnen sendeseitig die obligatorische
> Transportverschlüsselung verwenden weiß ich bisher nicht, aber ich weiß
> sicher, dass mindestens zwei Aufsichten durchfallen, also
> unverschlüsselt senden obwohl mein Emailserver RFC 7672 in beiden
> Richtungen unterstützt. Ich will die Aufsichten hier mal nicht nennen,
> stattdessen darf ich Sie alle bitten, den Test auf
> https://blog.lindenberg.one/EmailSicherheitsTest
> <https://blog.lindenberg.one/EmailSicherheitsTest> zu machen, und Sie
> alle fragen, bis wann Sie gedenken, Ihrer eigenen Empfehlung nachzukommen?
>
> Oder planen Sie eine neue Orientierungshilfe mit anderem Inhalt? In der
> vielleicht die BSI-TR 03108-1 oder der weitgehend übereinstimmende RFC
> 7672 nicht nur empfohlen sondern eingefordert wird, wie das auch bei
> unseren Nachbarn in den Niederlanden der Fall ist, und den mehr als die
> Hälfte der Bundesbürger meist ohne ihr Wissen verwenden, denn beim –
> nach eigenen Behauptungen – mit 50% Marktanteil Marktführer United
> Internet wird dieser Standard verwendet, bei vielen anderen öffentlichen
> Anbietern auch, bei Verantwortlichen egal ob im öffentlichen oder
> privaten Bereich sehe ich das bisher nicht.
>
> Vielen Dank und viele Grüße
>
> Joachim Lindenberg
>
> (Presseausweis anbei)

--
Dr. h.c. M. Hansen
Landesbeauftragte für Datenschutz Schleswig-Holstein
Holstenstraße 98, 24103 Kiel, Tel. +49 431 988-1200, Fax -1223
mail@datenschutzzentrum.de - https://www.datenschutzzentrum.de/

Informationen über die Verarbeitung der personenbezogenen Daten durch
die Landesbeauftragte für Datenschutz und zur verschlüsselten E-Mail-
Kommunikation: https://datenschutzzentrum.de/datenschutz/