Sehr geehrter **************,

vielen Dank für Ihr Schreiben vom 19.03.2024.

·       Aus der Auskunft von AFP ergibt sich, dass man die obligatorische Transportverschlüsselung erst nachträglich eingerichtet hat, und damit bestätigt AFP meine anfänglichen Testergebnisse und damit auch den davorliegenden Verstoß gegen Artikel 32 DSGVO.

·       Wie ich unten ausgeführt habe, ist die Downgradeattacke nach Aktivierung der obligatorischen Transportverschlüsselung nicht mehr erfolgreich. Darauf, dass dann Nachrichten verloren gehen, gehen Sie in Ihrem Schreiben leider nicht ein. Warum nicht?

·       Auch wenn keine Artikel 9 Daten per Email übertragen werden bleibt auf Basis der Stellungnahme unklar, welches Risiko besteht, wenn Nachrichten der AFP an Betroffene verloren gehen. Auf Basis der Stellungnahme kann ich lediglich vermuten, dass ein Zugriff auf Artikel 9 Daten im Portal nicht allein auf Basis eines Angriffs auf die Emailkommunikation möglich ist.

·       AFP erwähnt, sie haben keinen Zugriff auf den Wiederherstellungscode (Nr. 4 ganz am Ende), schreiben aber der Wiederherstellungscode könne an eine Mobilfunknummer übermittelt werden – das sollte Sie eigentlich zur Frage „wie geht das“ motivieren.

Der Ausdruck der Stellungnahme war so blass, dass er nur mühsam zu entziffern war. Ist er das schon in Ihrem Vorgang? Ich bitte ggfs. um eine lesbare Version.

Vielen Dank und viele Grüße

Joachim Lindenberg

Sehr geehrter **************,

vielen Dank für Ihr Schreiben vom 06.02.2024. Ich darf Sie bitten, mir die entsprechenden Stellungnahmen zuzusenden oder sicherzustellen, dass die in der gestern von mir beantragten Auskunft enthalten sind.

Soweit ich das überprüfen konnte, hat die Verantwortliche zwar möglicherweise obligatorische Transportverschlüsselung aktiviert, aber ein vollständiger Test war unmöglich, denn der Emailserver – AfP setzt Mailjet ein – wiederholt Zustellungen im Falle einer (simulierten) Downgradeattacke nicht. Insofern liegt meiner Auffassung nach jetzt ein Verstoß gegen Artikel 32 Abs. 2 vor, denn die Kommunikation ist nicht gegen Verlust geschützt. Auch schreiben Sie nur von obligatorischer Transportverschlüsselung. Bei der Verarbeitung von Artikel 9 Daten würde ich hingegen die qualifizierte Transportverschlüsselung erwarten.

Vielen Dank und viele Grüße

Joachim Lindenberg

Sehr geehrter **************,

vielen Dank für Uhr Schreiben vom 15.11.2023.

Mit anderen Worten, die AfP Abrechnungsservice für Privatpatienten GmbH hat u.a. in der Auskunft den falschen Datenschutzbeauftragten genannt?

Selbstverständlich möchte ich, dass Sie meine Beschwerden (vom 04.08. und 12.08.2023 – das ist dann vermutlich 15.32.4.0.3-5563/23?) an die zuständige Stelle weitergeben.

Sehr geehrter **************,

vielen Dank für Uhr Schreiben vom 18.08.2023.

1. Selbstverständlich dürfen Sie meinen Namen gegenüber dem Verantwortlichen nennen. Bei einem Teil meiner Beschwerden stand er sowieso auf cc, und natürlich sind diese Beschwerden so speziell, dass der Verantwortliche mich in jedem Fall wiedererkennen kann.
Glücklicherweiuse ist seit Snowden Verschlüsselung von Webseiten Standard, Transportverschlüsselung bei Emails leider nicht. Die Beschwerde bezieht sich nur auf die fehlende obligatorische bzw. qualifizierte Transportverschlüsselung.
Beim Registrierungsvorgang ist lediglich die Emailadresse enthalten. Allerding besteht bei den meisten Diensten nach einer Registrierung auch die Möglichkeit, darüber ein vergessenes Passwort zurückzusetzen und ein Angreifer hat dann ohne qualifzierte Transportverschlüsselung aller Wahrscheinlichkeit die Möglichkeit die eingereichten Rechnungen einzusehen. Ich gehe also von einem hohen Risiko für die betroffene Person aus, und Sie haben bestimmt Verständnis dafür, dass ich das nicht bis zum Ende durchprobiert habe.

Vielen Dank und viele Grüße

Joachim Lindenberg

Sehr geehrte Damen und Herren,

ich muss eine weitere Beschwerde gegen Einfach Einreichen aka Abrechnungsservice für Privatpatienten GmbH hinzufügen: die beigefügte Auskunft ist in mehrfacher Hinsicht unvollständig oder unglaubwürdig:

• meine Korrespondenz mit Einfach Einreichen ist nicht enthalten sondern nur erwähnt, und da es sich nicht nur um ein Auskunftsersuchen handelt halte ich das für unzureichend. Auch bleibt unklar, ob bereits eine Korrespondenz mit dem LDI stattgefunden hat.
• ich bzw. mein Emailtest-Service erhielt gestern und damit nach Erstellung der Auskunft die beigefügte Email, die zeigt, dass der Registrierungsmechanismus von Einfach Einreichen die Daten über rund einen Monat aufbewahrt, dieser aber in der Auskunft gar nicht erwähnt wird. In meinem speziellen Fall war auch die abweichende Emailadresse aufgrund meiner Kommunikation zuordenbar, aber ich vermute stark, dass ************* auch anderen Kunden eine Negativauskunft geschickt hätte ohne nachzusehen oder das zu erwähnen.
• Einfach Einreichen beauskunftet nicht alle Empfänger sondern nur Dritte, und verschweigt damit, dass Mailjet und Google zum Emailversand eingesetzt wird.
• Dass Auskunftsverfahren sofort gelöscht werden widerspricht zumindest den Best-Practices, denn ohne Aufbewahrung kann der Verantwortliche seinen Nachweispflichten nicht nachkommen.

Meiner Beschwerde 32.4.0.3-5563/23 darf ich hinzufügen, dass auch die obige Email Google Fonts verwendet und damit ein Datentransfer stattfindet, und völlig unklar ist, wie der Benutzer in diesen einwilligen soll.

Sehr geehrter Herr Lindenberg,

bezugnehmend auf Auskunftsersuchen per E-Mail vom 13. Juli 2023 finden Sie anbei die Auskunft gemäß Art. 15 DS-GVO.

Mit freundlichen Grüßen

****************

Datenschutzbeauftragter

AfP Abrechnungsservice für Privatpatienten GmbH

Feldstiege 72 – 48161 Münster

E-Mail: **********@einfach-einreichen.de