Von: Joachim Lindenberg <****************@lindenberg.one>
Gesendet: 13.05.2024 12:51
An: <REFERAT24@bfdi.bund.de>
Betreff: AW: Datenschutz in der Telekommunikation, Az. 24-193 II#6195
Anlagen: AW: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail, AW: Datenschutz in der Telekommunikation, Az. 24-193 II#6195, AW: Datenschutz in der Telekommunikation, Az. 24-193 II#6195, AW: Datenschutz in der Telekommunikation, Az. 24-193 II#6079
Sehr geehrter ***************,
vielen Dank für Ihre Email und Ihr Schreiben vom 29.04.2024. Zunächst zur Stellungnahme von Vodafone:
- §§165,167 greift ins Leere, weil die Bundesnetzagentur es schon fast 30 Monate lang versäumt hat, die Allgemeinverfügung an die neue Rechtslage anzupassen.
- "grundsätzlich seine Gegenstelle zu authentifizieren" richtig, aber das macht kaum jemand, ohne dass DANE oder MTA-STS angeboten wird. Sonderlösungen wie EmiG – der Vodafone wohl nicht angehört – skalieren nicht, sie dienen allenfalls einer Wettbewerbsverzerrung.
- Ihre Argumentation ein Angreifer könne kein vertrauenswürdiges Zertifikat erhalten ist falsch. Wenn ein Angreifer den IP-Verkehr umleiten kann, dann kann er auch ein domain-validiertes Zertifikat beispielsweise von Letsencrypt bekommen.
Zur Anhörung in 24-193 II#6195:
- Ihr Kollege Herr Stein hat in seiner Email vom 18.07.2023 geschrieben, „die Orientierungshilfe … hat in der aktuellen Fassung weiterhin Gültigkeit“. Von einer Änderung wegen geänderter Rechtslage steht da nichts. Sucht sich der BfDI willkürlich aus, was in einem bestimmten Kontext gelten soll? Es ist auch sehr unwahrscheinlich, dass BfDI oder DSK sich nicht über die erforderliche Änderung des TKGs zur Anpassung an die EU-Richtlinie 2018/1972 bewusst waren, und es geht auch aus den mir vorliegenden Unterlagen der DSGK-Diskussionen eindeutig hervor, dass die DSK ein klares Verständnis der Risiken und des Angreifermodells hatte.
- Ihr „vorrangig nach §§165,167 …“ greift ins Leere, weil es dort bisher keine Vorschriften für Email gibt. Insofern kann der BfDI bei den überlappenden Grundrechten auf Datenschutz und TK-Geheimnis auch seine eigene Meinung vertreten. Scheint er nicht zu haben, oder sehr unterschiedlich zwischen Pressereferat und Referat 24. Ich darf Sie außerdem an Ihre Emails vom 4./5.10.2023 erinnern.
- Ich darf Ihrer Aussage widersprechen, aus §165 Abs. 1 TKG ergebe sich keine Verpflichtung zu DANE. Jeder Sicherheitsexperte wird bestätigen, dass eine Verschlüsselung ohne Authentifizierung nichts gegen aktive Angreifer bringt, und dass sogar befreundete Staaten deutsche Bürger bespitzeln, ging dank Snowden durch die Presse. Insofern ist das in Ihren Augen vernachlässigbare Risiko nicht unwahrscheinlich sondern längst eingetreten.
- In übrigen verweise ich auf meine Email vom 09.04.2024.
Letztendlich ergibt sich aus Ihrem Schreiben, dass der BfDI kein Interesse daran hat, dass die Kommunikation der Bürger geschützt wird, und ich darf das gleiche von der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik behaupten. Der BfDI hat alle dahingehenden Beschwerden abgelehnt mit Ausnahme von den Anteilen, bei denen der Verantwortliche sich selbst einsichtig gezeigt hat. Damit wird der BfDI seiner Aufgabe aus Artikel 57 Abs. 1 DSGVO nicht gerecht.
Ich darf Sie um eine Eingangsbestätigung dieser Mail bitten.
Vielen Dank und viele Grüße
Joachim Lindenberg
-----Ursprüngliche Nachricht-----
Von: *********************@bfdi.bund.de <*********************@bfdi.bund.de> Im Auftrag von REFERAT24@bfdi.bund.de
Gesendet: Montag, 29. April 2024 11:25
An: 'Joachim Lindenberg' <****************@lindenberg.one>
Betreff: Datenschutz in der Telekommunikation, Az. 24-193 II#6195
Sehr geehrter Herr Lindenberg,
ich komme zurück auf Ihr Anliegen vom 27.07.2023 zum Thema Datenschutz in der Telekommunikation. Darin hatten Sie sich über mangelnden Einsatz von DANE bei der Telekom und Vodafone beschwert. Ich hatte die verantwortlichen Unternehmen um eine Stellungnahme zur Authentifikation bei E-Mail-Verbindungen gebeten.
Anbei finden Sie die Stellungnahme der Vodafone.
Mit freundlichen Grüßen
Im Auftrag
**********
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit -Referat 24-
Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-0
E-Mail: Referat24@bfdi.bund.de
Internet: https://www.bfdi.bund.de
********************************************************************************
Datenschutzerklärung des BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie unter https://www.bfdi.bund.de/datenschutz.
Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt. Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese E-Mail.