Von: <pressestelle@datenschutz.hessen.de>
Gesendet: 21.07.2023 11:41
An: <************@lindenberg.one>
Betreff: AW: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (2.)

 

Sehr geehrter Herr Lindenberg,

 

vielen Dank für Ihre Anfrage, die der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) wie folgt beantwortet:

 

Die Orientierungshilfe "Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail" der Datenschutzkonferenz der Unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in der aktuellen Fassung weiterhin Gültigkeit. Die Aufsichtsbehörden überprüfen als Teil der Arbeitsgruppen der DSK regelmäßig alle Orientierungshilfen und aktualisieren diese wenn notwendig.

 

In der Aufsichtspraxis können jedoch nicht alle Empfehlungen auch sofort umgesetzt werden. Der HBDI berät die seiner datenschutzrechtlichen Aufsicht unterstehenden Stellen intensiv zu Maßnahmen, um die Vorgaben der Orientierungshilfe zu erreichen. Ich bitte jedoch um Verständnis, dass solche Prozesse aufgrund der beteiligten Akteure und der Größe der Systeme regelmäßig länger dauern.

 

Die Umsetzung von Maßnahmen zur Unterstützung von Verschlüsselungsverfahren der von meiner Behörde verwendeten E-Mail-Server wird der HBDI gemeinsam mit seinem Dienstleister prüfen.

 

Daneben verweise ich darauf, dass verschlüsselte E-Mails nicht der einzige Kommunikationsweg zum HBDI sind. Kommunikationswege sollten insgesamt mit Blick auf das datenschutzrechtliche Risiko und die verfügbaren Mittel ausgewählt werden. So besteht neben dem Kontakt per E-Mail die Möglichkeit, den HBDI je nach Anliegen und datenschutzrechtlichem Risiko per Post, per beBPo telefonisch oder über verschiedene Online-Formulare zu kontaktieren. 

 

Für Rückfragen stehe ich gerne zur Verfügung.

 

Mit freundlichen Grüßen
Im Auftrag

Daniel Scheck


Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Pressestelle
Gustav-Stresemann-Ring 1
65189 Wiesbaden

Telefon: +49 611 1408 124
E-Mail: Daniel.Scheck@datenschutz.hessen.de
DE-Mail: poststelle@datenschutz-hessen.de-mail.de
Internet: https://datenschutz.hessen.de
Mastodon: https://social.hessen.de/@hbdi

Hinweise zur Verarbeitung Ihrer personenbezogenen Daten finden Sie hier.

 

Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: Dienstag, 18. Juli 2023 13:40
An: pressestelle@bfdi.bund.de; pressestelle@lfdi.bwl.de; Poststelle LfD Bayern <poststelle@datenschutz-bayern.de>; presse@lda.bayern.de; presse@datenschutz-berlin.de; Poststelle LfD Brandenburg <poststelle@LDA.brandenburg.de>; Poststelle LfD Bremen <office@datenschutz.bremen.de>; presse@datenschutz.hamburg.de; Pressestelle (HBDI) <pressestelle@datenschutz.hessen.de>; Poststelle LfD Mecklenburg-Vorpommern <info@datenschutz-mv.de>; pressestelle@lfd.niedersachsen.de; pressestelle@ldi.nrw.de; presse@datenschutz.rlp.de; Poststelle LfD Saarland <poststelle@datenschutz.saarland.de>; Poststelle LfD Sachsen <saechsdsb@slt.sachsen.de>; Poststelle LfD Sachsen-Anhalt <poststelle@lfd.sachsen-anhalt.de>; Poststelle LfD Schleswig-Holstein <mail@datenschutzzentrum.de>; Poststelle LfD Thüringen <Poststelle@datenschutz.thueringen.de>
Betreff: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (2.)

 

Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte Pressesprecherinnen und Pressesprecher,

 

in den letzten Tagen kamen die ersten fünf Rückmeldungen, vielen Dank dafür. Dabei fällt mir allerdings auf, dass einige von Ihnen nur auf den Beratungsbedarf abstellen, nicht aber darauf dass die Mehrheit von Ihnen die Orientierungshilfe selbst nicht umsetzt und damit die Chance verpasst, mit gutem Beispiel voranzugehen. Offensichtlich plagt Sie dabei auch ein schlechtes Gewissen, denn den angebotenen Test hat bisher nur eine Aufsicht angestoßen.

 

Unabhängig von selbst oder Beratung: ich dachte die DSGVO hatte von vorneherein eine Übergangszeit von zwei Jahren (Mai 2016 bis Mai 2018) in der jeder Verantwortliche die Anforderungen umsetzen sollte, und seit der ersten Version der Orientierungshilfe von 2020 sollten die Anforderungen klar sein - oder jedenfalls hat bisher keiner von Ihnen geschrieben, er sieht Änderungsbedarf. Dass Sie und die von Ihnen beaufsichtigen Behörden die Orientierungshilfe ganz überwiegend nicht umgesetzt haben, heißt damit doch, dass Sie Ihren Auftrag aus Artikel 57 Abs. 1 lit. a nicht ernst nehmen. Oder hat ein Verantwortlicher Ihrer Beratung widersprochen? Dass Nachholbedarf existiert zeigen meine Auswertungen, die ich Ihnen zusammen mit Erläuterungen auf https://blog.lindenberg.one/AufsichtEmail gestellt habe.

 

Auch dass die Umsetzung ein hoher Aufwand ist und einen fünf-Jahresplan erfordert, kann ich nicht nachvollziehen. Bei meinem eigenen Emailserver war die Konfiguration in zwei Tagen erledigt, lediglich die von mir angestrebte Automatisierung der Konfiguration in Abhängigkeit von der Zieldomäne hat etwas länger gebraucht. Der öffentliche Dienst mag etwas träger sein, als ein IT-Freiberufler, aber mehr als wenige Monate halte ich nicht für gerechtfertigt. Wieso Sie?

 

Soweit Email nur als eines von mehreren Kommunikationsmitteln gesehen wird: ja, richtig, aber fast alle von Ihnen verwenden Email intensiv, auch bei normalem bis möglicherweise hohem Risiko für den Betroffenen. Und soweit ich schon Formulare bei Ihnen ausprobiert habe - die sind weniger praktikabel und haben ohne Email eher keinen Rückkanal, so dass Email meist parallel zum Einsatz kommt.

 

Soweit Sie auf die Möglichkeit von PGP oder S/MIME hinweisen: wie viel Prozent Ihrer Emails sind Ende-zu-Ende-verschlüsselt?

 

Ich darf diejenigen, die schon geantwortet haben, bitten Antworten auf diese Fragen nachzureichen, alle anderen auffordern Ihre Version zu liefern, und alle die den Test nicht gemacht haben erneut einladen, diesen zu nutzen um sich ein Bild Ihrer Sendeseite zu verschaffen.

 

Ihre Antworten erwarte ich bis zum 21.07.2023.

 

Vielen Dank und viele Grüße

Joachim Lindenberg

 

 

Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: Freitag, 7. Juli 2023 14:00
An: 'pressestelle@bfdi.bund.de' <pressestelle@bfdi.bund.de>; 'pressestelle@lfdi.bwl.de' <pressestelle@lfdi.bwl.de>; 'poststelle@datenschutz-bayern.de' <poststelle@datenschutz-bayern.de>; 'presse@lda.bayern.de' <presse@lda.bayern.de>; 'presse@datenschutz-berlin.de' <presse@datenschutz-berlin.de>; 'Poststelle@LDA.Brandenburg.de' <Poststelle@LDA.Brandenburg.de>; 'office@datenschutz.bremen.de' <office@datenschutz.bremen.de>; 'presse@datenschutz.hamburg.de' <presse@datenschutz.hamburg.de>; 'pressestelle@datenschutz-hessen.de' <pressestelle@datenschutz-hessen.de>; 'info@datenschutz-mv.de' <info@datenschutz-mv.de>; 'pressestelle@lfd.niedersachsen.de' <pressestelle@lfd.niedersachsen.de>; 'pressestelle@ldi.nrw.de' <pressestelle@ldi.nrw.de>; 'presse@datenschutz.rlp.de' <presse@datenschutz.rlp.de>; 'poststelle@datenschutz.saarland.de' <poststelle@datenschutz.saarland.de>; 'saechsdsb@slt.sachsen.de' <saechsdsb@slt.sachsen.de>; 'poststelle@lfd.sachsen-anhalt.de' <poststelle@lfd.sachsen-anhalt.de>; 'mail@datenschutzzentrum.de' <mail@datenschutzzentrum.de>; 'poststelle@datenschutz.thueringen.de' <poststelle@datenschutz.thueringen.de>
Betreff: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail

 

Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte Pressesprecherinnen und Pressesprecher,

 

die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ ist jetzt gut zwei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (16.06.2021) – bzw. drei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (13.06.2020) – Jahre alt. Nur leider kann ich nicht feststellen, dass sie in der Praxis angekommen oder von Ihnen durchgesetzt wird.  Sogar bei Ihnen selbst – siehe Anlage – gibt es Defizite. Von 18 Aufsichten unterstützen nur 3 eingangsseitig die in der Orientierungshilfe definierte qualifizierte Transportverschlüsselung. Erfahrungsgemäß setzen deutlich weniger Organisationen sendeseitig qualifizierte Transportverschlüsselung oder auch die dafür geeigneten Standards BSI-TR 03108-1 /  RFC 7672 ein, als die Unterstützung eingangsseitig veröffentlicht wird.

 

Wie viele von Ihnen sendeseitig die obligatorische Transportverschlüsselung verwenden weiß ich bisher nicht, aber ich weiß sicher, dass mindestens zwei Aufsichten durchfallen, also unverschlüsselt senden obwohl mein Emailserver RFC 7672 in beiden Richtungen unterstützt. Ich will die Aufsichten hier mal nicht nennen, stattdessen darf ich Sie alle bitten, den Test auf https://blog.lindenberg.one/EmailSicherheitsTest zu machen, und Sie alle fragen, bis wann Sie gedenken, Ihrer eigenen Empfehlung nachzukommen?

 

Oder planen Sie eine neue Orientierungshilfe mit anderem Inhalt? In der vielleicht die BSI-TR 03108-1 oder der weitgehend übereinstimmende RFC 7672 nicht nur empfohlen sondern eingefordert wird, wie das auch bei unseren Nachbarn in den Niederlanden der Fall ist, und den mehr als die Hälfte der Bundesbürger meist ohne ihr Wissen verwenden, denn beim – nach eigenen Behauptungen – mit 50% Marktanteil Marktführer United Internet wird dieser Standard verwendet, bei vielen anderen öffentlichen Anbietern auch, bei Verantwortlichen egal ob im öffentlichen oder privaten Bereich sehe ich das bisher nicht.

 

Vielen Dank und viele Grüße

Joachim Lindenberg

(Presseausweis anbei)