Sehr geehrter Herr Lindenberg,

 

haben Sie vielen Dank für Ihre Anfrage und die übersandten Information.

 

Gemäß der genannten Orientierungshilfe der Datenschutzkonferenz müssen Verantwortliche regelmäßig eine Ende-zu-Ende-Verschlüsselung vornehmen, wenn sie E-Mails versenden, bei denen ein Bruch der Vertraulichkeit von personenbezogenen Daten im Inhalt der Nachricht ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt. Es ist zwar richtig, dass unser IT-Dienstleister IT.NRW für eingehende E-Mails derzeit keine qualifizierte Transportverschlüsselung anbietet. Dieser Zustand ist jedoch tragbar. Die Anforderung der Orientierungshilfe adressieren wir mit der Bereitstellung eines PGP-Schlüssels, der auf unserer Internetseite abrufbar ist. Eine elektronische Kommunikation mit Ende-zu-Ende-verschlüsselten E-Mails ist damit sichergestellt. Zahlen zur Nutzung erfassen wir nicht statistisch.

 

Die Orientierungshilfe der DSK ist darüber hinaus weiterhin gültig und Stand unserer Beratung. Nicht alle unsere Empfehlungen sind dabei durch die Verantwortlichen sofort umsetzbar. Aus eigener Erfahrung ist uns bekannt, dass Prozesse aufgrund der beteiligten Akteure und der Größe der Systeme regelmäßig länger dauern. Entscheidend für unsere Aufsichtspraxis ist dabei, dass Verantwortliche Kommunikationswege insgesamt mit Blick auf das datenschutzrechtliche Risiko und die verfügbaren Mittel auswählen. Verschlüsselte E-Mails sind dabei nur ein Mittel.

 

Im Auftrag

Daniel Strunk

Pressesprecher

 

Wir freuen uns über ein Beleg-Exemplar, gerne per Link oder PDF.

In unseren E-Mail-Presseverteiler nehmen wir Sie gerne auf. Bitte senden Sie uns dazu eine E-Mail an pressestelle@ldi.nrw.de

 

---

Die Landesbeauftragte für Datenschutz und Informationsfreiheit

Nordrhein-Westfalen

Kavalleriestr. 2-4, 40213 Düsseldorf

Tel.: 0211-38424 - 158

Fax: 0211-38424 - 999

E-Mail: pressestelle@ldi.nrw.de

Internet: www.ldi.nrw.de

 

Allgemeiner Hinweis zur Erfüllung unserer Informationspflichten gemäß Art. 13, 14 Datenschutz-Grundverordnung: Informationen zur Verarbeitung personenbezogener Daten durch die LDI finden Sie unter https://www.ldi.nrw.de/informationspflicht.

 

Allgemeine E-Mailadresse: poststelle@ldi.nrw.de         

Öffentlicher Schlüssel für allgemeine E-Mailadresse:

www.ldi.nrw.de/metanavi_Kontakt/key_ldi.asc

 

 

 

 

Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte Pressesprecherinnen und Pressesprecher,

 

in den letzten Tagen kamen die ersten fünf Rückmeldungen, vielen Dank dafür. Dabei fällt mir allerdings auf, dass einige von Ihnen nur auf den Beratungsbedarf abstellen, nicht aber darauf dass die Mehrheit von Ihnen die Orientierungshilfe selbst nicht umsetzt und damit die Chance verpasst, mit gutem Beispiel voranzugehen. Offensichtlich plagt Sie dabei auch ein schlechtes Gewissen, denn den angebotenen Test hat bisher nur eine Aufsicht angestoßen.

 

Unabhängig von selbst oder Beratung: ich dachte die DSGVO hatte von vorneherein eine Übergangszeit von zwei Jahren (Mai 2016 bis Mai 2018) in der jeder Verantwortliche die Anforderungen umsetzen sollte, und seit der ersten Version der Orientierungshilfe von 2020 sollten die Anforderungen klar sein - oder jedenfalls hat bisher keiner von Ihnen geschrieben, er sieht Änderungsbedarf. Dass Sie und die von Ihnen beaufsichtigen Behörden die Orientierungshilfe ganz überwiegend nicht umgesetzt haben, heißt damit doch, dass Sie Ihren Auftrag aus Artikel 57 Abs. 1 lit. a nicht ernst nehmen. Oder hat ein Verantwortlicher Ihrer Beratung widersprochen? Dass Nachholbedarf existiert zeigen meine Auswertungen, die ich Ihnen zusammen mit Erläuterungen auf https://blog.lindenberg.one/AufsichtEmail gestellt habe.

 

Auch dass die Umsetzung ein hoher Aufwand ist und einen fünf-Jahresplan erfordert, kann ich nicht nachvollziehen. Bei meinem eigenen Emailserver war die Konfiguration in zwei Tagen erledigt, lediglich die von mir angestrebte Automatisierung der Konfiguration in Abhängigkeit von der Zieldomäne hat etwas länger gebraucht. Der öffentliche Dienst mag etwas träger sein, als ein IT-Freiberufler, aber mehr als wenige Monate halte ich nicht für gerechtfertigt. Wieso Sie?

 

Soweit Email nur als eines von mehreren Kommunikationsmitteln gesehen wird: ja, richtig, aber fast alle von Ihnen verwenden Email intensiv, auch bei normalem bis möglicherweise hohem Risiko für den Betroffenen. Und soweit ich schon Formulare bei Ihnen ausprobiert habe - die sind weniger praktikabel und haben ohne Email eher keinen Rückkanal, so dass Email meist parallel zum Einsatz kommt.

 

Soweit Sie auf die Möglichkeit von PGP oder S/MIME hinweisen: wie viel Prozent Ihrer Emails sind Ende-zu-Ende-verschlüsselt?

 

Ich darf diejenigen, die schon geantwortet haben, bitten Antworten auf diese Fragen nachzureichen, alle anderen auffordern Ihre Version zu liefern, und alle die den Test nicht gemacht haben erneut einladen, diesen zu nutzen um sich ein Bild Ihrer Sendeseite zu verschaffen.

 

Ihre Antworten erwarte ich bis zum 21.07.2023.

 

Vielen Dank und viele Grüße

Joachim Lindenberg

 

 

 

Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte Pressesprecherinnen und Pressesprecher,

 

die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ ist jetzt gut zwei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (16.06.2021) – bzw. drei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (13.06.2020) – Jahre alt. Nur leider kann ich nicht feststellen, dass sie in der Praxis angekommen oder von Ihnen durchgesetzt wird.  Sogar bei Ihnen selbst – siehe Anlage – gibt es Defizite. Von 18 Aufsichten unterstützen nur 3 eingangsseitig die in der Orientierungshilfe definierte qualifizierte Transportverschlüsselung. Erfahrungsgemäß setzen deutlich weniger Organisationen sendeseitig qualifizierte Transportverschlüsselung oder auch die dafür geeigneten Standards BSI-TR 03108-1 /  RFC 7672 ein, als die Unterstützung eingangsseitig veröffentlicht wird.

 

Wie viele von Ihnen sendeseitig die obligatorische Transportverschlüsselung verwenden weiß ich bisher nicht, aber ich weiß sicher, dass mindestens zwei Aufsichten durchfallen, also unverschlüsselt senden obwohl mein Emailserver RFC 7672 in beiden Richtungen unterstützt. Ich will die Aufsichten hier mal nicht nennen, stattdessen darf ich Sie alle bitten, den Test auf https://blog.lindenberg.one/EmailSicherheitsTest zu machen, und Sie alle fragen, bis wann Sie gedenken, Ihrer eigenen Empfehlung nachzukommen?

 

Oder planen Sie eine neue Orientierungshilfe mit anderem Inhalt? In der vielleicht die BSI-TR 03108-1 oder der weitgehend übereinstimmende RFC 7672 nicht nur empfohlen sondern eingefordert wird, wie das auch bei unseren Nachbarn in den Niederlanden der Fall ist, und den mehr als die Hälfte der Bundesbürger meist ohne ihr Wissen verwenden, denn beim – nach eigenen Behauptungen – mit 50% Marktanteil Marktführer United Internet wird dieser Standard verwendet, bei vielen anderen öffentlichen Anbietern auch, bei Verantwortlichen egal ob im öffentlichen oder privaten Bereich sehe ich das bisher nicht.

 

Vielen Dank und viele Grüße

Joachim Lindenberg

(Presseausweis anbei)