Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: 31.07.2023 16:33
An: <PRESSESTELLE@bfdi.bund.de>
Betreff: AW: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail

 

Sehr geehrter Herr Stein,

 

Sie weichen aus. Die Frage ist nicht, was das Ergebnis meiner Beschwerden sein wird, sondern warum der BfDI nicht vor meinen Beschwerden diese Anforderungen mit öffentlichen Emailanbietern beraten hat oder die Anforderung kommuniziert hat. Die Anforderung findet sich in den Diskussionen zur Orientierungshilfe auf einer Folie mit dem Datum 16.05.2018 zusammen mit der Zuständigkeit des BfDIs, und wurde wohl spätestens auf der  71. Sitzung des Arbeitskreises „Technische und Organisatorische Datenschutzfragen am 18./19.09.2018 diskutiert. Mit anderen Worten, der BfDI hat bis zu meinen Beschwerden mehr als vier Jahre verstreichen lassen, offensichtlich ohne in der Beratungsphase der Orientierungshilfe die Anforderungen mit seiner Klientel zu klären und sie nach Verabschiedung der Orientierungshilfe auch einzufordern. Jedenfalls hätte ich im Falle einer Kommunikation erwartet, dass die BSI TR 03108 entweder konsequenter umgesetzt worden wäre oder es die Anforderung nicht in die Orientierungshilfe geschafft hätte, wenn die Anbieter glaubhaft zu hohen Aufwand reklamiert hätten.

 

Mit der Erfahrung aus Beschwerde 24-191 II#5163 würde es mich auch nicht sonderlich überraschen, wenn der BfDI das Muss zurückzieht und erneut schreibt, „Es besteht keine datenschutzrechtliche Verpflichtung für die verantwortliche Stelle, für jeden Prozess einen maximalen Sicherheitsstandard zu implementieren.“ Der Glaubwürdigkeit des BfDI oder der Aufsichten insgesamt hilft das natürlich nicht.

 

Vielen Dank und viele Grüße

Joachim Lindenberg

 

 

-----Ursprüngliche Nachricht-----
Von: christof.stein@bfdi.bund.de <christof.stein@bfdi.bund.de> Im Auftrag von PRESSESTELLE@bfdi.bund.de
Gesendet: Montag, 31. Juli 2023 12:31
An: 'Joachim Lindenberg' <************@lindenberg.one>
Betreff: AW: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail

 

Sehr geehrter Herr Lindenberg,

 

vielen Dank für Ihre Anfrage. Da Sie ja parallel eine entsprechende Beschwerde bei uns eingereicht haben, kann ich den Ergebnissen dieser Prüfung nicht vorgreifen und bitte Sie, den Bescheid in dieser Sache abzuwarten.

 

Mit freundlichen Grüßen

Christof Stein

 

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

-Pressesprecher-

Graurheindorfer Straße 153, 53117 Bonn

Fon:  (0228) 9977995100

E-Mail: pressestelle@bfdi.bund.de

Internet: https://www.bfdi.bund.de

********************************************************************************

Datenschutzrechtliche Erklärung des BfDI für den E-Mail-Verkehr und die Erfüllung seiner öffentlichen Aufgaben insgesamt: (nachstehender Link führt auf den Internetauftritt des BfDI unter www.bfdi.bund.de)

 

https://www.bfdi.bund.de/datenschutz

 

********************************************************************************

Hinweis:

Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt. Sollten Sie irrtümlich diese Nachricht erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail.

 

********************************************************************************

Privacy statement of the BfDI for correspondence by email and for managing its overall public responsibility: (the following link is directing to the web presence of the BfDI at www.bfdi.bund.de)

 

https://www.bfdi.bund.de/privacy-statement

 

********************************************************************************

Confidentiality notice:

This is a confidential message and it is intended only for the addressee. If you have received this message by mistake, please immediately inform the sender and delete this email.

 

 

 

-----Ursprüngliche Nachricht-----

Von: Joachim Lindenberg <************@lindenberg.one>

Gesendet: Donnerstag, 27. Juli 2023 10:34

An: Pressestelle Postfach <PRESSESTELLE@bfdi.bund.de>

Betreff: AW: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail

 

Sehr geehrter Herr Stein,

 

eine Nachfrage nur an den BfDI: in Abschnitt 3.1 der Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (13.06.2020)” steht „Zum Schutz der Vertraulichkeit und Integrität der verarbeiteten personenbezogenen Daten müssen öffentliche E-Mail-Diensteanbieter die Anforderungen der TR 03108-1 des Bundesamts für Sicherheit in der Informationstechnik (BSI) einhalten.“ Öffentliche Email-Dienstanbieter unterstehen der Aufsicht des BfDI. Wie kann es sein, dass diese von Ihnen nicht informiert oder beraten werden, so dass die Telekom in 24-193-2 II#1721 erst durch meine Anfrage darauf aufmerksam wird, keine obligatorische Transportverschlüsselung im Einsatz zu haben - die kann mein Eingangsserver nicht von TR 03108-1 unterscheiden - und ich heute Beschwerde gegen T-Online und Vodafone-Email einreichen musste, damit vielleicht überhaupt mal was passiert?

 

Vielen Dank und viele Grüße

Joachim Lindenberg

 

-----Ursprüngliche Nachricht-----

Von: christof.stein@bfdi.bund.de <christof.stein@bfdi.bund.de> Im Auftrag von PRESSESTELLE@bfdi.bund.de

Gesendet: Dienstag, 18. Juli 2023 08:07

An: 'Joachim Lindenberg' <************@lindenberg.one>

Betreff: AW: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail

 

Sehr geehrter Herr Lindenberg,

 

die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ der Datenschutzkonferenz der Unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in der aktuellen Fassung weiterhin Gültigkeit. Die Aufsichtsbehörden überprüfen als Teil der Arbeitsgruppen der DSK regelmäßig alle Orientierungshilfen und aktualisieren diese wenn notwendig.

 

In der Aufsichtspraxis können jedoch nicht alle Empfehlungen auch sofort umgesetzt werden. Wir beraten die unserer datenschutzrechtlichen Aufsicht unterstehenden Stellen intensiv zu Maßnahmen, um die Vorgaben der Orientierungshilfe zu erreichen. Wir bitten jedoch um Verständnis, dass solche Prozesse aufgrund der beteiligten Akteure und der Größe der Systeme regelmäßig länger dauern.

 

Daneben verweisen wir darauf, dass verschlüsselte E-Mails nicht der einzige Kommunikationsweg sind. Kommunikationswege sollten insgesamt mit Blick auf das datenschutzrechtliche Risiko und die verfügbaren Mittel ausgewählt werden.

 

Unabhängig davon verwendet der BfDI die von den Netzen des Bundes vorgegebenen Infrastrukturen. Hierdurch ist eine durchgehende Transportverschlüsselung gegeben.

 

Diese Anbindung an die Netze des Bundes sorgt für eine bis zum Geheimhaltungsgrad VS-NfD zugelassene Kryptierung auf Netzwerkebene (nicht auf Anwendungsebene). Die Netzwerkebenenverschlüsselung ist sicherer, kann aber nicht auf der Anwendungsebene gesehen beziehungsweise verifiziert werden.

 

Mit freundlichen Grüßen

Christof Stein

 

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

-Pressesprecher-

Graurheindorfer Straße 153, 53117 Bonn

Fon:  (0228) 9977995100

E-Mail: pressestelle@bfdi.bund.de

Internet: https://www.bfdi.bund.de

********************************************************************************

Datenschutzrechtliche Erklärung des BfDI für den E-Mail-Verkehr und die Erfüllung seiner öffentlichen Aufgaben insgesamt: (nachstehender Link führt auf den Internetauftritt des BfDI unter www.bfdi.bund.de)

 

https://www.bfdi.bund.de/datenschutz

 

********************************************************************************

Hinweis:

Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt. Sollten Sie irrtümlich diese Nachricht erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail.

 

********************************************************************************

Privacy statement of the BfDI for correspondence by email and for managing its overall public responsibility: (the following link is directing to the web presence of the BfDI at www.bfdi.bund.de)

 

https://www.bfdi.bund.de/privacy-statement

 

********************************************************************************

Confidentiality notice:

This is a confidential message and it is intended only for the addressee. If you have received this message by mistake, please immediately inform the sender and delete this email.

 

 

 

 

-----Ursprüngliche Nachricht-----

Von: Joachim Lindenberg <************@lindenberg.one>

Gesendet: Freitag, 7. Juli 2023 14:00

An: Pressestelle Postfach <PRESSESTELLE@bfdi.bund.de>; pressestelle@lfdi.bwl.de; poststelle@datenschutz-bayern.de; presse@lda.bayern.de; presse@datenschutz-berlin.de; Poststelle@LDA.Brandenburg.de; office@datenschutz.bremen.de; presse@datenschutz.hamburg.de; pressestelle@datenschutz-hessen.de; info@datenschutz-mv.de; pressestelle@lfd.niedersachsen.de; pressestelle@ldi.nrw.de; presse@datenschutz.rlp.de; poststelle@datenschutz.saarland.de; saechsdsb@slt.sachsen.de; poststelle@lfd.sachsen-anhalt.de; mail@datenschutzzentrum.de; poststelle@datenschutz.thueringen.de

Betreff: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail

 

Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte Pressesprecherinnen und Pressesprecher,

 

 

die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ ist jetzt gut zwei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (16.06.2021) <https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf>  – bzw. drei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (13.06.2020) <https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf>  – Jahre alt. Nur leider kann ich nicht feststellen, dass sie in der Praxis angekommen oder von Ihnen durchgesetzt wird.  Sogar bei Ihnen selbst – siehe Anlage – gibt es Defizite. Von 18 Aufsichten unterstützen nur 3 eingangsseitig die in der Orientierungshilfe definierte qualifizierte Transportverschlüsselung. Erfahrungsgemäß setzen deutlich weniger Organisationen sendeseitig qualifizierte Transportverschlüsselung oder auch die dafür geeigneten Standards BSI-TR 03108-1 /  RFC 7672 ein, als die Unterstützung eingangsseitig veröffentlicht wird.

 

 

Wie viele von Ihnen sendeseitig die obligatorische Transportverschlüsselung verwenden weiß ich bisher nicht, aber ich weiß sicher, dass mindestens zwei Aufsichten durchfallen, also unverschlüsselt senden obwohl mein Emailserver RFC 7672 in beiden Richtungen unterstützt. Ich will die Aufsichten hier mal nicht nennen, stattdessen darf ich Sie alle bitten, den Test auf https://blog.lindenberg.one/EmailSicherheitsTest zu machen, und Sie alle fragen, bis wann Sie gedenken, Ihrer eigenen Empfehlung nachzukommen?

 

 

Oder planen Sie eine neue Orientierungshilfe mit anderem Inhalt? In der vielleicht die BSI-TR 03108-1 oder der weitgehend übereinstimmende RFC 7672 nicht nur empfohlen sondern eingefordert wird, wie das auch bei unseren Nachbarn in den Niederlanden der Fall ist, und den mehr als die Hälfte der Bundesbürger meist ohne ihr Wissen verwenden, denn beim – nach eigenen Behauptungen – mit 50% Marktanteil Marktführer United Internet wird dieser Standard verwendet, bei vielen anderen öffentlichen Anbietern auch, bei Verantwortlichen egal ob im öffentlichen oder privaten Bereich sehe ich das bisher nicht.

 

 

Vielen Dank und viele Grüße

 

Joachim Lindenberg

 

(Presseausweis anbei)