Datenschutz in der Telekommunikation, Az. 24-193 II#6195

Von: <*********************@bfdi.bund.de>
Gesendet: 25.01.2024 18:25
An: 'Joachim Lindenberg' <****************@lindenberg.one>
Betreff: Datenschutz in der Telekommunikation, Az. 24-193 II#6195

Sehr geehrter Herr Lindenberg,

ich komme zurück auf Ihr Anliegen vom 27.07.2023 zum Thema Datenschutz in
der Telekommunikation. Darin hatten Sie sich über mangelnden Einsatz von
DANE bei der Telekom und Vodafone beschwert.

Kurz gesagt konnte Vodafone die Beschwerde zu DANE nicht nachvollziehen
und beruft sich darauf, dass Art. 32 DSGVO keine konkreten Maßnahmen,
sondern nur die Verpflichtung zur Risikoabwägung zu entnehmen ist. Ich
habe Vodafone außerdem mit zweiwöchiger Frist die Gelegenheit gegeben,
Einwände gegen eine Einsichtnahme in die bisherige Stellungnahme
vorzubringen.

Wenn ich Ihre Beschwerde richtig verstanden habe, geht es Ihnen um den
Schutz der Vertraulichkeit beim Empfang von E-Mails. Ist eine
Authentifizierung des Vodafone-Empfangsservers für den sendenden Server
nicht möglich, so besteht das Risiko, dass in Vodafone-Mailkonten
zuzustellende E-Mails durch MitM-Attacken abgefangen werden, worin eine
Verletzung der Vertraulichkeit der Nachrichten läge. Das Szenario sähe im
Einzelnen so aus:

1. Sender A möchte eine E-Mail mit personenbezogenen Inhalten an die
Mailadresse eines Vodafon-Kunden B senden. Hierzu baut der Server von A
eine TLS-Verbindung zum Server von B auf
2. Angreifer T befindet sich im Netzwerkverkehr zwischen A und B. Er gibt
dem Server von A vor, der Server von B zu sein und präsentiert zum
Verbindungsaufbau ein eigenes Zertifikat
3. Dem Server von A ist es (auch aufgrund des von Ihnen bemängelten, nicht
vorhandenen DANE-Eintrages der Vodafone) nicht möglich das präsentierte
Zertifikat auf seine Legitimität zu überprüfen. Ohne Möglichkeit zur
Zertifikatsprüfung muss er daher den Verbindungsaufbau mit jedem
Zertifikat akzeptieren, wenn er die E-Mail zustellen möchte.
4. Die Mail von A wird an T zugestellt, worin eine Verletzung der
Vertraulichkeit läge

Falls ich das Ihrer Beschwerde zugrundeliegende Risikoszenario richtig
verstanden habe, so würde ich die Vodafone um eine Stellungnahme zur
Bewertung dieses Risikos und den dazu getroffenen Maßnahmen bitten. Analog
dazu würde ich mit der Telekom verfahren und dabei auch um eine
Beschreibung für den nicht von Email made in Germany erfassten Mailversand
bitten. Trifft das Ihr Szenario?

Mit freundlichen Grüßen

Im Auftrag
**********

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
-Referat 24-

Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-0
E-Mail: Referat24@bfdi.bund.de
Internet: https://www.bfdi.bund.de

**************************************************************************
******
Datenschutzerklärung des BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie
unter https://www.bfdi.bund.de/datenschutz.

Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie
bitte sofort den Absender und löschen Sie diese E-Mail.