Sehr geehrte Damen und Herren,

im Vorfeld meiner Veröffentlichung https://blog.lindenberg.one/AufsichtEmail habe ich auch mit Ihrem Datenschutz, ***********, Kontakt aufgenommen. In seiner Mail vom 19.07.2023 schreibt **********: "So verwenden insbesondere die Ämter JMO, bei denen Daten verarbeitet werden, die einer besonderen gesetzlichen oder berufsständischen Schweigepflicht unterliegen (z. B. Sozial- und Jugendbehörde, Steueramt, Personalamt, Stellen, bei denen Beschäftigte der Strafandrohung von § 203 Strafgesetzbuch unterliegen, …). Hierfür wurden hunderte evtl. bereits auch tausende Arbeitsplatzlizenzen beschafft."

So wie Julia Mailoffice (JMO) von der Stadt Karlsruhe mit verschlüsselten PDFs eingesetzt wird, bietet JMO zumindest keinen besseren Schutz als unverschlüsselte normale Email, denn die Email selbst wird zwar als passwort-verschlüsseltes PDF versandt, aber das Passwort wird ebenfalls und fast zeitgleich per Email verschickt, und das ohne obligatorische oder qualifizierte Transportverschlüsselung und damit ohne Sicherung gegen Downgrade- oder MitM-Angriffe. Damit erfüllt die Stadt Karlsruhe ihre Verpflichtung als Verantwortliche aus Artikel 32 DSGVO nicht. Nach Rücksprache mit dem Hersteller handelt es sich dabei ganz offensichtlich um einen Konfigurationsfehler der IT, allerdings darf ich vermuten, dass bei Beseitigung des Konfigurationsfehlers ganz viele Anwendungsfälle von JMO wegfallen.

Der Informationsaustauch den ich mit *********** vereinbart hatte wurde vermutlich vom Amt für Informationstechnik und Digitalisierung – im folgenden IT – sabotiert. ********** hat mir gegenüber zugegeben, dass er sich auf das Recht konzentriert und die Sicherheit der IT überlassen muss. Dass die IT diesen Austausch behindert steht meines Erachtens im Widerspruch zu Artikel 38 DSGVO. Auch halte ich es für sehr wahrscheinlich, dass die IT diesen Austausch behindert hat, weil sie befürchten musste, dass ich ihr Tun oder Entscheidungen hinterfragen würde.

Ich darf Sie fragen:

• mit welchen Kommunikationspartnern wird JMO eingesetzt? Nur institutionellen oder auch mit Bürgern? In welchem Verhältnis kommen dabei PGP, S/MIME oder verschlüsselte PDFs zum Einsatz, und wie werden dabei Schlüssel ausgetauscht, wenn nicht per Email?
• mit der Erfahrung, dass fast nie ein sinnvolles Schlüsselmanagement verwendet wird: wie konnte die Stadt Karlsruhe eine derart ungeeignete Lösung auswählen bzw. ungeeignet konfigurieren?
• wie ist der Rückkanal, also von Kommunikationspartnern zur Stadt Karlsruhe organisiert?
• wurde eine Technikbeurteilung oder Datenschutzfolgenabschätzung gemacht? Falls ja, darf ich Sie bitten mir diese zuzusenden.
• warum hat Karlsruhe sich für JMO und nicht für ein zentrales Gateway entschieden?
• wann fiel die Entscheidung für JMO?
• wie viele Lizenzen von JMO und mit welchen Gesamtkosten wurden über die Zeit verteilt eingekauft?
• warum hat man nicht die Empfehlungen des BSI – ********** schreibt: "Die Empfehlungen des BSI zu den Erweiterungen DANE und MTA-STS sind uns bekannt und bereits in der Umsetzungsplanung, sodass wir auch zeitnah den neuesten Stand der Verschlüsselungsmethoden unterstützen können." – vorgezogen? Immerhin existiert die erste Version der BSI TR 03108 –  mit DANE aber ohne MTA-STS – seit 2016. Bleiben danach überhaupt Anwendungsfälle für JMO übrig, insbesondere wenn man institutionelle Kommunikationspartner ggfs. auffordert, mitzugehen?

Vielen Dank und viele Grüße

Joachim Lindenberg