AW: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail

Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: 27.07.2023 10:34
An: <PRESSESTELLE@bfdi.bund.de>
Betreff: AW: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail
Anlagen: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail?

Sehr geehrter Herr Stein,

eine Nachfrage nur an den BfDI: in Abschnitt 3.1 der Orientierungshilfe
„Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per
E-Mail (13.06.2020)” steht „Zum Schutz der Vertraulichkeit und Integrität
der verarbeiteten personenbezogenen Daten müssen öffentliche
E-Mail-Diensteanbieter die Anforderungen der TR 03108-1 des Bundesamts für
Sicherheit in der Informationstechnik (BSI) einhalten.“ Öffentliche
Email-Dienstanbieter unterstehen der Aufsicht des BfDI. Wie kann es sein,
dass diese von Ihnen nicht informiert oder beraten werden, so dass die
Telekom in 24-193-2 II#1721 erst durch meine Anfrage darauf aufmerksam wird,
keine obligatorische Transportverschlüsselung im Einsatz zu haben - die kann
mein Eingangsserver nicht von TR 03108-1 unterscheiden - und ich heute
Beschwerde gegen T-Online und Vodafone-Email einreichen musste, damit
vielleicht überhaupt mal was passiert?

Vielen Dank und viele Grüße
Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: christof.stein@bfdi.bund.de <christof.stein@bfdi.bund.de> Im Auftrag
von PRESSESTELLE@bfdi.bund.de
Gesendet: Dienstag, 18. Juli 2023 08:07
An: 'Joachim Lindenberg' <************@lindenberg.one>
Betreff: AW: Maßnahmen zum Schutz personenbezogener Daten bei der
Übermittlung per E-Mail

Sehr geehrter Herr Lindenberg,

die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der
Übermittlung per E-Mail“ der Datenschutzkonferenz der Unabhängigen
Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in der
aktuellen Fassung weiterhin Gültigkeit. Die Aufsichtsbehörden überprüfen als
Teil der Arbeitsgruppen der DSK regelmäßig alle Orientierungshilfen und
aktualisieren diese wenn notwendig.

In der Aufsichtspraxis können jedoch nicht alle Empfehlungen auch sofort
umgesetzt werden. Wir beraten die unserer datenschutzrechtlichen Aufsicht
unterstehenden Stellen intensiv zu Maßnahmen, um die Vorgaben der
Orientierungshilfe zu erreichen. Wir bitten jedoch um Verständnis, dass
solche Prozesse aufgrund der beteiligten Akteure und der Größe der Systeme
regelmäßig länger dauern.

Daneben verweisen wir darauf, dass verschlüsselte E-Mails nicht der einzige
Kommunikationsweg sind. Kommunikationswege sollten insgesamt mit Blick auf
das datenschutzrechtliche Risiko und die verfügbaren Mittel ausgewählt
werden.

Unabhängig davon verwendet der BfDI die von den Netzen des Bundes
vorgegebenen Infrastrukturen. Hierdurch ist eine durchgehende
Transportverschlüsselung gegeben.

Diese Anbindung an die Netze des Bundes sorgt für eine bis zum
Geheimhaltungsgrad VS-NfD zugelassene Kryptierung auf Netzwerkebene (nicht
auf Anwendungsebene). Die Netzwerkebenenverschlüsselung ist sicherer, kann
aber nicht auf der Anwendungsebene gesehen beziehungsweise verifiziert
werden.

Mit freundlichen Grüßen
Christof Stein

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
-Pressesprecher-
Graurheindorfer Straße 153, 53117 Bonn
Fon: (0228) 9977995100
E-Mail: pressestelle@bfdi.bund.de
Internet: https://www.bfdi.bund.de
********************************************************************************
Datenschutzrechtliche Erklärung des BfDI für den E-Mail-Verkehr und die
Erfüllung seiner öffentlichen Aufgaben insgesamt: (nachstehender Link führt
auf den Internetauftritt des BfDI unter www.bfdi.bund.de)

https://www.bfdi.bund.de/datenschutz

********************************************************************************
Hinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie irrtümlich diese Nachricht erhalten haben, informieren Sie bitte
sofort den Absender und vernichten Sie diese E-Mail.

********************************************************************************
Privacy statement of the BfDI for correspondence by email and for managing
its overall public responsibility: (the following link is directing to the
web presence of the BfDI at www.bfdi.bund.de)

https://www.bfdi.bund.de/privacy-statement

********************************************************************************
Confidentiality notice:
This is a confidential message and it is intended only for the addressee. If
you have received this message by mistake, please immediately inform the
sender and delete this email.

-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: Freitag, 7. Juli 2023 14:00
An: Pressestelle Postfach <PRESSESTELLE@bfdi.bund.de>;
pressestelle@lfdi.bwl.de; poststelle@datenschutz-bayern.de;
presse@lda.bayern.de; presse@datenschutz-berlin.de;
Poststelle@LDA.Brandenburg.de; office@datenschutz.bremen.de;
presse@datenschutz.hamburg.de; pressestelle@datenschutz-hessen.de;
info@datenschutz-mv.de; pressestelle@lfd.niedersachsen.de;
pressestelle@ldi.nrw.de; presse@datenschutz.rlp.de;
poststelle@datenschutz.saarland.de; saechsdsb@slt.sachsen.de;
poststelle@lfd.sachsen-anhalt.de; mail@datenschutzzentrum.de;
poststelle@datenschutz.thueringen.de
Betreff: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung
per E-Mail

Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte
Pressesprecherinnen und Pressesprecher,

die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der
Übermittlung per E-Mail“ ist jetzt gut zwei – Maßnahmen zum Schutz
personenbezogener Daten bei der Übermittlung per E-Mail (16.06.2021)
<https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf>
– bzw. drei – Maßnahmen zum Schutz personenbezogener Daten bei der
Übermittlung per E-Mail (13.06.2020)
<https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf>
– Jahre alt. Nur leider kann ich nicht feststellen, dass sie in der Praxis
angekommen oder von Ihnen durchgesetzt wird. Sogar bei Ihnen selbst – siehe
Anlage – gibt es Defizite. Von 18 Aufsichten unterstützen nur 3
eingangsseitig die in der Orientierungshilfe definierte qualifizierte
Transportverschlüsselung. Erfahrungsgemäß setzen deutlich weniger
Organisationen sendeseitig qualifizierte Transportverschlüsselung oder auch
die dafür geeigneten Standards BSI-TR 03108-1 / RFC 7672 ein, als die
Unterstützung eingangsseitig veröffentlicht wird.

Wie viele von Ihnen sendeseitig die obligatorische Transportverschlüsselung
verwenden weiß ich bisher nicht, aber ich weiß sicher, dass mindestens zwei
Aufsichten durchfallen, also unverschlüsselt senden obwohl mein Emailserver
RFC 7672 in beiden Richtungen unterstützt. Ich will die Aufsichten hier mal
nicht nennen, stattdessen darf ich Sie alle bitten, den Test auf
https://blog.lindenberg.one/EmailSicherheitsTest zu machen, und Sie alle
fragen, bis wann Sie gedenken, Ihrer eigenen Empfehlung nachzukommen?

Oder planen Sie eine neue Orientierungshilfe mit anderem Inhalt? In der
vielleicht die BSI-TR 03108-1 oder der weitgehend übereinstimmende RFC 7672
nicht nur empfohlen sondern eingefordert wird, wie das auch bei unseren
Nachbarn in den Niederlanden der Fall ist, und den mehr als die Hälfte der
Bundesbürger meist ohne ihr Wissen verwenden, denn beim – nach eigenen
Behauptungen – mit 50% Marktanteil Marktführer United Internet wird dieser
Standard verwendet, bei vielen anderen öffentlichen Anbietern auch, bei
Verantwortlichen egal ob im öffentlichen oder privaten Bereich sehe ich das
bisher nicht.

Vielen Dank und viele Grüße

Joachim Lindenberg

(Presseausweis anbei)