Sehr geehrte Damen und Herren,

 

der Eingang Ihrer E-Mail vom 22.03.2024 wird hiermit bestätigt.

 

Wir werden wegen Ihrer Anfrage unaufgefordert auf Sie zukommen. Rein vorsorglich weisen wir darauf hin, dass wir aufgrund der hohen Zahl an Eingaben und Beratungsersuchen diese leider nicht so schnell werden beantworten können, wie wir es uns selbst gerne wünschen.

Wir bitten Sie schon jetzt um Ihr Verständnis. Vielen Dank! 

 

Diese Mail ist lediglich eine Eingangsbestätigung und noch keine Antwort auf Ihre Anfrage oder Beschwerde.

 

Um unsere Pflichten aus Art. 13 und 14 Datenschutz-Grundverordnung zu erfüllen, weisen wir Sie auf Folgendes hin: Informationen zur Verarbeitung personenbezogener Daten durch die LDI finden Sie unter https://www.ldi.nrw.de/metanavi_Datenschutzerklaerung/Infopflicht-LDI.pdf.

 

 

Mit freundlichen Grüßen

 

Die Landesbeauftragte für Datenschutz und Informationsfreiheit

Nordrhein-Westfalen

Kavalleriestr. 2-4, 40213 Düsseldorf

Tel.: 0211-38424-0

Fax: 0211-38424-999

E-Mail: poststelle@ldi.nrw.de

Internet: www.ldi.nrw.de

Allgemeine E-Mailadresse: poststelle@ldi.nrw.de         

Öffentlicher Schlüssel für allgemeine E-Mailadresse:

www.ldi.nrw.de/metanavi_Kontakt/key_ldi.asc

 

 

 

Sehr geehrter **************,

vielen Dank für Ihr Schreiben vom 19.03.2024.

·       Aus der Auskunft von AFP ergibt sich, dass man die obligatorische Transportverschlüsselung erst nachträglich eingerichtet hat, und damit bestätigt AFP meine anfänglichen Testergebnisse und damit auch den davorliegenden Verstoß gegen Artikel 32 DSGVO.

·       Wie ich unten ausgeführt habe, ist die Downgradeattacke nach Aktivierung der obligatorischen Transportverschlüsselung nicht mehr erfolgreich. Darauf, dass dann Nachrichten verloren gehen, gehen Sie in Ihrem Schreiben leider nicht ein. Warum nicht?

·       Auch wenn keine Artikel 9 Daten per Email übertragen werden bleibt auf Basis der Stellungnahme unklar, welches Risiko besteht, wenn Nachrichten der AFP an Betroffene verloren gehen. Auf Basis der Stellungnahme kann ich lediglich vermuten, dass ein Zugriff auf Artikel 9 Daten im Portal nicht allein auf Basis eines Angriffs auf die Emailkommunikation möglich ist.

·       AFP erwähnt, sie haben keinen Zugriff auf den Wiederherstellungscode (Nr. 4 ganz am Ende), schreiben aber der Wiederherstellungscode könne an eine Mobilfunknummer übermittelt werden – das sollte Sie eigentlich zur Frage „wie geht das“ motivieren.

Der Ausdruck der Stellungnahme war so blass, dass er nur mühsam zu entziffern war. Ist er das schon in Ihrem Vorgang? Ich bitte ggfs. um eine lesbare Version.

Vielen Dank und viele Grüße

Joachim Lindenberg

 

 

Sehr geehrter **************,

vielen Dank für Ihr Schreiben vom 06.02.2024. Ich darf Sie bitten, mir die entsprechenden Stellungnahmen zuzusenden oder sicherzustellen, dass die in der gestern von mir beantragten Auskunft enthalten sind.

Soweit ich das überprüfen konnte, hat die Verantwortliche zwar möglicherweise obligatorische Transportverschlüsselung aktiviert, aber ein vollständiger Test war unmöglich, denn der Emailserver – AfP setzt Mailjet ein – wiederholt Zustellungen im Falle einer (simulierten) Downgradeattacke nicht. Insofern liegt meiner Auffassung nach jetzt ein Verstoß gegen Artikel 32 Abs. 2 vor, denn die Kommunikation ist nicht gegen Verlust geschützt. Auch schreiben Sie nur von obligatorischer Transportverschlüsselung. Bei der Verarbeitung von Artikel 9 Daten würde ich hingegen die qualifizierte Transportverschlüsselung erwarten.

Vielen Dank und viele Grüße

Joachim Lindenberg

 

 

 

Sehr geehrter **************,

vielen Dank für Uhr Schreiben vom 15.11.2023.

Mit anderen Worten, die AfP Abrechnungsservice für Privatpatienten GmbH hat u.a. in der Auskunft den falschen Datenschutzbeauftragten genannt?

Selbstverständlich möchte ich, dass Sie meine Beschwerden (vom 04.08. und 12.08.2023 – das ist dann vermutlich 15.32.4.0.3-5563/23?) an die zuständige Stelle weitergeben.

 

 

Sehr geehrter **************,

vielen Dank für Uhr Schreiben vom 18.08.2023.

1. Selbstverständlich dürfen Sie meinen Namen gegenüber dem Verantwortlichen nennen. Bei einem Teil meiner Beschwerden stand er sowieso auf cc, und natürlich sind diese Beschwerden so speziell, dass der Verantwortliche mich in jedem Fall wiedererkennen kann.
2. Glücklicherweiuse ist seit Snowden Verschlüsselung von Webseiten Standard, Transportverschlüsselung bei Emails leider nicht. Die Beschwerde bezieht sich nur auf die fehlende obligatorische bzw. qualifizierte Transportverschlüsselung.
3. Beim Registrierungsvorgang ist lediglich die Emailadresse enthalten. Allerding besteht bei den meisten Diensten nach einer Registrierung auch die Möglichkeit, darüber ein vergessenes Passwort zurückzusetzen und ein Angreifer hat dann ohne qualifzierte Transportverschlüsselung aller Wahrscheinlichkeit die Möglichkeit die eingereichten Rechnungen einzusehen. Ich gehe also von einem hohen Risiko für die betroffene Person aus, und Sie haben bestimmt Verständnis dafür, dass ich das nicht bis zum Ende durchprobiert habe.