90.23.49:0171; Transportverschlüsselung auf "bahn.de" bzw. "deutschebahn.com"

Von: <poststelle@datenschutz.hessen.de>
Gesendet: 27.06.2024 18:15
An: <****@lindenberg.one>
Betreff: 90.23.49:0171; Transportverschlüsselung auf "bahn.de" bzw. "deutschebahn.com"

Az.: 90.23.49:0171 (bitte stets angeben)

-----------------------------------------------

Sehr geehrter Herr Lindenberg,

ich beziehe mich auf Ihre Nachricht inkl. Anlage zur Transportverschlüsselung unter „bahn.de“ sowie auf meine Eingangsbestätigung vom 08.11.2023, mit der Sie bereits auf eine möglicherweise lange Bearbeitungszeit hingewiesen und um Geduld gebeten wurden. Ich bedauere, dass ich erst heute auf Ihre Nachricht zurückkommen kann.

In der Sache teile ich Ihnen mit, dass Ihre Hinweise aus mehreren Gründen nicht nachvollzogen werden können:

Im Betreff und im Text Ihrer Mitteilung haben Sie angegeben, die DB hätte für die Registrierung auf „bahn.de“ weder eine obligatorische noch eine qualifizierte Transportverschlüsselung implementiert. Dem habe ich zunächst entnommen, dass Sie die Datenverarbeitung über das WWW-Angebot unter https://www.bahn.de/ für unsicher halten. Bei einer Überprüfung der Verschlüsselungsqualität des WWW-Angebotes mit einem allgemein zugänglichen Prüftool (https://www.ssllabs.com/ssltest) war aber festzustellen, dass dort durchaus ein Zertifikat für eine 256-Bit-Transportverschlüsselung mit TLS Vers. 1.3 hinterlegt ist. Bei dem WWW-Angebot der Deutschen Bahn unter „deutschebahn.com“ hat ein Test mit diesem Prüftool das gleiche Ergebnis erbracht. Auch dort sind ein gültiges Zertifikat und eine Transportverschlüsselung mit TLS Vers. 1.3 vorhanden.

Ihrer Nachricht hatten Sie als Anlage zudem Ergebnisse von E-Mail-Tests für E-Mail-Adressen unter einer anderen Domain, nämlich „deutschebahn.com“ beigefügt. Obwohl sich der Zusammenhang zwischen der von Ihnen zuerst angeführten vermeintlichen Unsicherheit des WWW-Angebots unter „bahn.de“ und der Transportverschlüsselung von E-Mails bei „deutschebahn.com“ nicht erschließt, wurde hier auch die E-Mail-Sicherheit der Deutschen Bahn unter „bahn.de“ und „deutschebahn.com“ mit einem allgemein zugänglichen Online-Tool geprüft (https://www.checktls.com/TestReceiver). Für beide Domains war festzustellen, dass eine SSL-Verschlüsselung angewandt wird in der Version TLS 1.2.

Bei der Überprüfung beider Domains und beider Dienste der Deutschen Bahn hat sich also herausgestellt, dass das Unternehmen sowohl sein WWW-Angebot als auch seine E-Mails hinreichend sicher verschlüsselt. Die Verschlüsselung bietet sowohl im WWW als auch bei E-Mails ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 5 Abs. 1 lit f, 32 DS-GVO.

Für Ihre Prüfungsanregung darf ich mich dennoch bedanken.

Mit freundlichen Grüßen
Im Auftrag

***********

	Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Internet, Medien, Werbung, Glücksspiel Gustav-Stresemann-Ring 1 65189 Wiesbaden
Telefon: +49 (611) 1408 0 E-Mail: poststelle@datenschutz.hessen.de DE-Mail: poststelle@datenschutz-hessen.de-mail.de Internet: https://datenschutz.hessen.de Mastodon: https://social.hessen.de/@hbdi Hinweise zur Verarbeitung Ihrer personenbezogenen Daten finden Sie hier.