Von: Sachs, Andreas (LDA) <Andreas.Sachs@lda.bayern.de>
Gesendet: 21.07.2023 12:11
An: ************@lindenberg.one <************@lindenberg.one>
Betreff: Ihre Anfrage zu "Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail"
Sehr geehrter Herr Lindenberg,
vielen Dank für ihre Anfrage vom 07. Juli 2023 zu der wir gerne Stellung nehmen:
Die von Ihnen angesprochene Orientierungshilfe ist die momentan aktuellste Fassung der Datenschutzkonferenz der Unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Die Aufsichtsbehörden überprüfen als Teil der Arbeitsgruppen der DSK regelmäßig alle Orientierungshilfen und aktualisieren diese wenn notwendig.
Die in Abhängigkeit des Risikos erforderliche Verschlüsselung, auch von E-Mails, bewerten wir anhand von Datenschutzbeschwerden oder im Rahmen von anlasslosen Prüfungen (z.B. in 2014 mit einer Großprüfung mit Fokus auf STARTTLS mit Perfect Forward Secrecy). Ob in der Prüfstategie 2024 wieder E-Mail-Verschlüsselungen aufgenommen werden können ist momentan noch aufgrund der weiterhin hohen Notwendigkeit von Prüfungen zur Abwehr von Cyberbedrohungen offen.
Für die Zusendung von sehr sensiblen Informationen an uns über unserere Online-Services (z.B. Datenschutzbeschwerden) setzen wir neben einer HTTPS-Verschlüsselung auch eine browserseitige PGP-Verschlüsselung ein – für den Weg zu unseren internen Systemen wird demnach keine Email-Technologie eingesetzt. Für den Rückkanal auf Wunsch der Beschwerdeführer allerdings schon, wenn auch hier die Möglichkeit einer PGP-Verschlüsselung (oder auch des Postwegs) besteht.
Vielen Dank für ihren Online-Service, mit dem wir eine AdHoc-Rückmeldung der ausgehenden Verschlüsselung von unseren E-Mails, die über das staatliche bayerische Rechenzentrum versendet werden, erhalten konnten. Da bei der Aushandlung von Verschlüsselungsverfahren mit vielen Kommunikationspartnern (und vielen datenschutzrechtlichen Verantwortungssphären) möglichst viele Technologieoptionen zum Tragen kommen sollten, werden wir trotz einer “qualifizierten Transportverschlüsselung” und DANE den Einsatz von MTA-STS entsprechend anregen.
Wir hoffen Ihnen weitergeholfen zu haben.
Mit freundlichen Grüßen,
Andreas Sachs
Dipl.-Inf. (Univ.)
Bereichsleiter Cybersicherheit und Technischer Datenschutz
Vizepräsident
Bayerisches Landesamt für Datenschutzaufsicht
Promenade 18
91522 Ansbach
Tel.: Tel.: 0981-180093140
PC-Fax: 0981-180093-840
E-Mail: andreas.sachs@lda.bayern.de
Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: Freitag, 7. Juli 2023 14:00
An: pressestelle@bfdi.bund.de; pressestelle@lfdi.bwl.de; Poststelle (BayLfD) <poststelle@datenschutz-bayern.de>; Presse, LDA (LDA) <Presse@lda.bayern.de>; presse@datenschutz-berlin.de; Poststelle@LDA.Brandenburg.de; office@datenschutz.bremen.de; presse@datenschutz.hamburg.de;
pressestelle@datenschutz-hessen.de; info@datenschutz-mv.de; pressestelle@lfd.niedersachsen.de; pressestelle@ldi.nrw.de; presse@datenschutz.rlp.de; poststelle@datenschutz.saarland.de; saechsdsb@slt.sachsen.de; poststelle@lfd.sachsen-anhalt.de; mail@datenschutzzentrum.de;
poststelle@datenschutz.thueringen.de
Betreff: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail
Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte Pressesprecherinnen und Pressesprecher,
die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ ist jetzt gut zwei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (16.06.2021) – bzw. drei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (13.06.2020) – Jahre alt. Nur leider kann ich nicht feststellen, dass sie in der Praxis angekommen oder von Ihnen durchgesetzt wird. Sogar bei Ihnen selbst – siehe Anlage – gibt es Defizite. Von 18 Aufsichten unterstützen nur 3 eingangsseitig die in der Orientierungshilfe definierte qualifizierte Transportverschlüsselung. Erfahrungsgemäß setzen deutlich weniger Organisationen sendeseitig qualifizierte Transportverschlüsselung oder auch die dafür geeigneten Standards BSI-TR 03108-1 / RFC 7672 ein, als die Unterstützung eingangsseitig veröffentlicht wird.
Wie viele von Ihnen sendeseitig die obligatorische Transportverschlüsselung verwenden weiß ich bisher nicht, aber ich weiß sicher, dass mindestens zwei Aufsichten durchfallen, also unverschlüsselt senden obwohl mein Emailserver RFC 7672 in beiden Richtungen unterstützt. Ich will die Aufsichten hier mal nicht nennen, stattdessen darf ich Sie alle bitten, den Test auf https://blog.lindenberg.one/EmailSicherheitsTest zu machen, und Sie alle fragen, bis wann Sie gedenken, Ihrer eigenen Empfehlung nachzukommen?
Oder planen Sie eine neue Orientierungshilfe mit anderem Inhalt? In der vielleicht die BSI-TR 03108-1 oder der weitgehend übereinstimmende RFC 7672 nicht nur empfohlen sondern eingefordert wird, wie das auch bei unseren Nachbarn in den Niederlanden der Fall ist, und den mehr als die Hälfte der Bundesbürger meist ohne ihr Wissen verwenden, denn beim – nach eigenen Behauptungen – mit 50% Marktanteil Marktführer United Internet wird dieser Standard verwendet, bei vielen anderen öffentlichen Anbietern auch, bei Verantwortlichen egal ob im öffentlichen oder privaten Bereich sehe ich das bisher nicht.
Vielen Dank und viele Grüße
Joachim Lindenberg
(Presseausweis anbei)