Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: 09.02.2024 12:14
An: <poststelle@ldi.nrw.de>
Betreff: AW: Az 23.T5.1.2-5615/23
Sehr geehrter **************,
vielen Dank für Ihr Schreiben vom 06.02.2024. Ich darf Sie bitten, mir die entsprechenden Stellungnahmen zuzusenden oder sicherzustellen, dass die in der gestern von mir beantragten Auskunft enthalten sind.
Soweit ich das überprüfen konnte, hat die Verantwortliche zwar möglicherweise obligatorische Transportverschlüsselung aktiviert, aber ein vollständiger Test war unmöglich, denn der Emailserver – AfP setzt Mailjet ein – wiederholt Zustellungen im Falle einer (simulierten) Downgradeattacke nicht. Insofern liegt meiner Auffassung nach jetzt ein Verstoß gegen Artikel 32 Abs. 2 vor, denn die Kommunikation ist nicht gegen Verlust geschützt. Auch schreiben Sie nur von obligatorischer Transportverschlüsselung. Bei der Verarbeitung von Artikel 9 Daten würde ich hingegen die qualifizierte Transportverschlüsselung erwarten.
Vielen Dank und viele Grüße
Joachim Lindenberg
Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: Freitag, 17. November 2023 12:18
An: poststelle@ldi.nrw.de
Betreff: AW: Az 23.T5.1.2-5615/23 und 15.32.4.0.3-5563/23
Sehr geehrter **************,
vielen Dank für Uhr Schreiben vom 15.11.2023.
Mit anderen Worten, die AfP Abrechnungsservice für Privatpatienten GmbH hat u.a. in der Auskunft den falschen Datenschutzbeauftragten genannt?
Selbstverständlich möchte ich, dass Sie meine Beschwerden (vom 04.08. und 12.08.2023 – das ist dann vermutlich 15.32.4.0.3-5563/23?) an die zuständige Stelle weitergeben.
Vielen Dank und viele Grüße
Joachim Lindenberg
Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: Dienstag, 22. August 2023 10:39
An: poststelle@ldi.nrw.de
Betreff: Az T5.1.2-5615/23
Sehr geehrter **************,
vielen Dank für Uhr Schreiben vom 18.08.2023.
- Selbstverständlich dürfen Sie meinen Namen gegenüber dem Verantwortlichen nennen. Bei einem Teil meiner Beschwerden stand er sowieso auf cc, und natürlich sind diese Beschwerden so speziell, dass der Verantwortliche mich in jedem Fall wiedererkennen kann.
- Glücklicherweiuse ist seit Snowden Verschlüsselung von Webseiten Standard, Transportverschlüsselung bei Emails leider nicht. Die Beschwerde bezieht sich nur auf die fehlende obligatorische bzw. qualifizierte Transportverschlüsselung.
- Beim Registrierungsvorgang ist lediglich die Emailadresse enthalten. Allerding besteht bei den meisten Diensten nach einer Registrierung auch die Möglichkeit, darüber ein vergessenes Passwort zurückzusetzen und ein Angreifer hat dann ohne qualifzierte Transportverschlüsselung aller Wahrscheinlichkeit die Möglichkeit die eingereichten Rechnungen einzusehen. Ich gehe also von einem hohen Risiko für die betroffene Person aus, und Sie haben bestimmt Verständnis dafür, dass ich das nicht bis zum Ende durchprobiert habe.
Vielen Dank und viele Grüße
Joachim Lindenberg
Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: Samstag, 12. August 2023 15:09
An: poststelle@ldi.nrw.de
Cc: **********@einfach-einreichen.de
Betreff: WG: Auskunft gem. Art 15 DS-GVO
Sehr geehrte Damen und Herren,
ich muss eine weitere Beschwerde gegen Einfach Einreichen aka Abrechnungsservice für Privatpatienten GmbH hinzufügen: die beigefügte Auskunft ist in mehrfacher Hinsicht unvollständig oder unglaubwürdig:
- meine Korrespondenz mit Einfach Einreichen ist nicht enthalten sondern nur erwähnt, und da es sich nicht nur um ein Auskunftsersuchen handelt halte ich das für unzureichend. Auch bleibt unklar, ob bereits eine Korrespondenz mit dem LDI stattgefunden hat.
- ich bzw. mein Emailtest-Service erhielt gestern und damit nach Erstellung der Auskunft die beigefügte Email, die zeigt, dass der Registrierungsmechanismus von Einfach Einreichen die Daten über rund einen Monat aufbewahrt, dieser aber in der Auskunft gar nicht erwähnt wird. In meinem speziellen Fall war auch die abweichende Emailadresse aufgrund meiner Kommunikation zuordenbar, aber ich vermute stark, dass ************* auch anderen Kunden eine Negativauskunft geschickt hätte ohne nachzusehen oder das zu erwähnen.
- Einfach Einreichen beauskunftet nicht alle Empfänger sondern nur Dritte, und verschweigt damit, dass Mailjet und Google zum Emailversand eingesetzt wird.
- Dass Auskunftsverfahren sofort gelöscht werden widerspricht zumindest den Best-Practices, denn ohne Aufbewahrung kann der Verantwortliche seinen Nachweispflichten nicht nachkommen.
Meiner Beschwerde 32.4.0.3-5563/23 darf ich hinzufügen, dass auch die obige Email Google Fonts verwendet und damit ein Datentransfer stattfindet, und völlig unklar ist, wie der Benutzer in diesen einwilligen soll.
Vielen Dank und viele Grüße
Joachim Lindenberg
Von: *********** <**********@einfach-einreichen.de>
Gesendet: Freitag, 11. August 2023 10:47
An: ***********@lindenberg.one
Betreff: Auskunft gem. Art 15 DS-GVO
Sehr geehrter Herr Lindenberg,
bezugnehmend auf Auskunftsersuchen per E-Mail vom 13. Juli 2023 finden Sie anbei die Auskunft gemäß Art. 15 DS-GVO.
Mit freundlichen Grüßen
****************
Datenschutzbeauftragter
AfP Abrechnungsservice für Privatpatienten GmbH
Feldstiege 72 – 48161 Münster
E-Mail: **********@einfach-einreichen.de