Von: Poststelle LfD LSA <poststelle@lfd.sachsen-anhalt.de>
Gesendet: 21.07.2023 10:25
An: Joachim Lindenberg <************@lindenberg.one>
Betreff: Re: [EXTERN] Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail
Sehr geehrter Herr Lindenberg,
vielen Dank für Ihre Anfrage, zu der ich Ihnen folgendes mitteilen kann:
Die Orientierungshilfe "Maßnahmen zum Schutz personenbezogener Daten bei
der Übermittlung per E-Mail" der Konferenz der Unabhängigen
Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in der
aktuellen Fassung weiterhin Gültigkeit. Die Aufsichtsbehörden überprüfen
als Teil der Arbeitsgruppen der DSK regelmäßig alle Orientierungshilfen
und aktualisieren diese wenn notwendig.
In der Aufsichtspraxis können jedoch nicht alle Empfehlungen auch sofort
umgesetzt werden. Wir beraten die unserer datenschutzrechtlichen
Aufsicht unterstehenden Stellen intensiv zu Maßnahmen, um die Vorgaben
der Orientierungshilfe zu erreichen. Wir bitten jedoch um Verständnis,
dass solche Prozesse aufgrund der beteiligten Akteure und der Größe der
Systeme regelmäßig länger dauern.
Daneben verweisen wir darauf, dass verschlüsselte E-Mails nicht der
einzige Kommunikationsweg sind. Kommunikationswege sollten insgesamt mit
Blick auf das datenschutzrechtliche Risiko und die verfügbaren Mittel
ausgewählt werden.
Beim LfD Sachsen-Anhalt werden Versand und Empfang von
transportverschlüsselten E-Mails generell unterstützt. Allerdings wird
diese Verschlüsselung nicht erzwungen. Dies steht nicht im Widerspruch
zur Orientierungshilfe, was offenbar Ihr Eindruck ist, wie aus Ihrer
Anfrage hervorgeht. In der Orientierungshilfe wird bei normalen Risiken,
die sich aus der Verarbeitung personenbezogener Daten ergeben gefordert:
„Die Verantwortung für den einzelnen Übermittlungsvorgang liegt bei dem
Sender. Wer jedoch gezielt personenbezogene Daten per E-Mail
entgegennimmt, ist verpflichtet, die Voraussetzungen für den sicheren
Empfang von E-Mail-Nachrichten über einen verschlüsselten Kanal zu
schaffen. Das bedeutet, dass der Empfangsserver mindestens den Aufbau
von TLS-Verbindungen (direkt per SMTPS oder nach Erhalt eines
STARTTLS-Befehls über SMTP) ermöglichen muss ...“
Hinsichtlich der Kommunikation mit der Aufsichtsbehörde steht generell
nicht die „gezielte Entgegennahme von personenbezogenen Daten in den
Inhalten von E-Mail-Nachrichten“ im Vordergrund. Die
E-Mail-Kommunikation dient der generellen Ansprechbarkeit der Behörde,
auch in Fällen ohne Personenbezug (Organisatorisches,
Zwischenbehördliches, allgemeine Anfragen usw.) und soll daher möglichst
voraussetzungsarm möglich sein. Für den Fall der Übermittlung
personenbezogener Daten jeglicher Risikoklasse wird ausdrücklich auf
andere Übermittlungswege bzw. im Fall der E-Mail-Kommunikation auf die
Möglichkeit der Ende-zu-Ende-Verschlüsselung verwiesen
(https://datenschutz.sachsen-anhalt.de/landesbeauftragter/kontakt/wichtige-hinweise-zum-e-mail-versand).
Mit freundlichen Grüßen
Im Auftrag
Dr. Frank Wossal
Referatsleiter
*******************************************************
Landesbeauftragter für den
Datenschutz Sachsen-Anhalt
Besucheradresse: Otto-von-Guericke-Str. 34a, 39104 Magdeburg
Postadresse: Postfach 1947, 39009 Magdeburg
*******************************************************
Telefon: 0391/81803-0
Telefax: 0391/81803-33
*******************************************************
Informationen zur Datenverarbeitung:
https://datenschutz.sachsen-anhalt.de/landesbeauftragter/informationen-zur-datenverarbeitung/
Am 07.07.23 um 13:59 schrieb Joachim Lindenberg:
> Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte
> Pressesprecherinnen und Pressesprecher,
>
> die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei
> der Übermittlung per E-Mail“ ist jetzt gut zwei – Maßnahmen zum Schutz
> personenbezogener Daten bei der Übermittlung per E-Mail (16.06.2021)
> <https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf> – bzw. drei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (13.06.2020) <https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf> – Jahre alt. Nur leider kann ich nicht feststellen, dass sie in der Praxis angekommen oder von Ihnen durchgesetzt wird. Sogar bei Ihnen selbst – siehe Anlage – gibt es Defizite. Von 18 Aufsichten unterstützen nur 3 eingangsseitig die in der Orientierungshilfe definierte qualifizierte Transportverschlüsselung. Erfahrungsgemäß setzen deutlich weniger Organisationen sendeseitig qualifizierte Transportverschlüsselung oder auch die dafür geeigneten Standards BSI-TR 03108-1 / RFC 7672 ein, als die Unterstützung eingangsseitig veröffentlicht wird.
>
> Wie viele von Ihnen sendeseitig die obligatorische
> Transportverschlüsselung verwenden weiß ich bisher nicht, aber ich weiß
> sicher, dass mindestens zwei Aufsichten durchfallen, also
> unverschlüsselt senden obwohl mein Emailserver RFC 7672 in beiden
> Richtungen unterstützt. Ich will die Aufsichten hier mal nicht nennen,
> stattdessen darf ich Sie alle bitten, den Test auf
> https://blog.lindenberg.one/EmailSicherheitsTest
> <https://blog.lindenberg.one/EmailSicherheitsTest> zu machen, und Sie
> alle fragen, bis wann Sie gedenken, Ihrer eigenen Empfehlung nachzukommen?
>
> Oder planen Sie eine neue Orientierungshilfe mit anderem Inhalt? In der
> vielleicht die BSI-TR 03108-1 oder der weitgehend übereinstimmende RFC
> 7672 nicht nur empfohlen sondern eingefordert wird, wie das auch bei
> unseren Nachbarn in den Niederlanden der Fall ist, und den mehr als die
> Hälfte der Bundesbürger meist ohne ihr Wissen verwenden, denn beim –
> nach eigenen Behauptungen – mit 50% Marktanteil Marktführer United
> Internet wird dieser Standard verwendet, bei vielen anderen öffentlichen
> Anbietern auch, bei Verantwortlichen egal ob im öffentlichen oder
> privaten Bereich sehe ich das bisher nicht.
>
> Vielen Dank und viele Grüße
>
> Joachim Lindenberg
>
> (Presseausweis anbei)
>