Willkommen im User-Forum von mailbox.org
 

Rechtslage zu sicherer Mailverbindung?

Wetz hat dies geteilt, 2 Jahren her
unbeantwortet

Wer heute z.B. als Firma keine TLS Verbindung anbieten kann, sprich die Mail kommt wieder zurück, wenn man secure.mailbox.org verwendet, der verstößt doch in DE gegen Datenschutz, oder nicht?

Ich finde es sehr mühsam im Web dazu klare Antworten und Gesetze zu finden.

Wie (Quellen?) kann ich Firmen darauf hinweisen, dass sie gegen Datenschutz verstoßen?

Wie macht ihr das, bei Mailpartnern ohne TLS?

Danke

Kommentare (10)

Foto
1

Kocht da jedes Bundesland sein eigenes Süppchen?

"12.09.2014 Nach einem Test von über 2000 Firmen mahnten die bayrischen Datenschützer bei rund einem Drittel das Fehlen von Transportverschlüsselung und Perfect Forward Secrecy für den E-Mail-Versand an. Denn die gehören mittlerweile zum Stand der Technik."

https://www.heise.de/security/meldung/Datenschuetzer-mahnen-Mail-Server-Betreiber-wegen-fehlender-Verschluesselung-2390692.html

Foto
1

Ja gut, es gibt das https://de.wikipedia.org/wiki/Bundesdatenschutzgesetz

aber einige können daraus scheinbar nicht ableiten, dass das heißt, dass sie ihren Kunden eine TLS Mailverbindung anbieten müssen?


Wer also eine Seite kennt, die das Bundesdatenschutzgesetz für TLS anschaulich belegt, so dass man das Firmen ohne TLS mailen kann, bitte hier posten.

danke

Foto
1

Tut mir leid, wenn das jetzt ausgerechnet ich so schrieben muß, aber: Warum sollten Sie gegen Datenschutzgesetze verstoßen?


Nur weil sie kein TLS anbieten? Nein.


Sie WÜRDEN gegen Datenschutz verstoßen WENN sie personenbezogene Datenverarbeiten/versenden (was ja nicht der Fall sein muß) und sie diese ohne ausreichenden Schutz (was ja nicht nur TLS wäre) verarbeiten/versenden.

Foto
1

Verstehe ich das richtig: Mail-Adressen sind keine personenbezogenen Daten?


Denn jeder Mail enthält ja die mindestens die Ziel-Adresse, oft in der Form vorname.nachname@mailbox.org

Foto
1

Es ist wohl egal was vor dem @ steht! Eine Mail gehört generell zu den personenbezogene Daten...

siehe:

Was sind personenbezogene Daten?

Nach dem Bundesdatenschutzgesetz und dem Datenschutzgesetz Nordrhein-Westfalen sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Einzelangaben über persönliche oder sachliche Verhältnisse...sind beispielsweise:


  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, E-Mail Adresse
  • Konto-, Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Personalausweisnummer, Sozialversicherungsnummer
  • Vorstrafen
  • genetische Daten und Krankendaten
  • Werturteile wie zum Beispiel Zeugnisse

https://www.ldi.nrw.de/mainmenu_Datenschutz/Inhalt/FAQ/PersonenbezogeneDaten.php

Und wie ich Peer verstanden habe, greift d Datenschutz erst, WENN die Firma ohne TLS die Daten VERSENDET... nicht wenn du sie ihnen "freiwillig" sendest.

Foto
Foto
1

Wenn ich in einer Mail meinen Vor- und Zunamen schreibe, dann WÜRDE die Firma ohne TLS gegen Datenschutz verstoßen, oder nicht?

Wenn ich dann noch z.B. nach meiner TelNr. gefragt werde, weil ich TLS Zwang abgeschaltet hatte, oder einen anderen Provider verwendete für den Erstkontakt? Was soll ich dann machen?

"§ 9 Technische und organisatorische Maßnahmen

1Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten."

TLS gehört zu (technischen Maßnahmen) nicht dazu?

Foto
1

Klar kann TLS eine technisch geeignete Maßnahme sein.

Die Frage ist, ob Du davon ausgehen kannst, hier auf dem Wege des Mailverkehrs mit der Firma personenbezogene Daten zu kommunizieren.

Gegenfrage:

Wenn Du Dich nackt vor das Firmentor auf die Straße stellst und mit dickem schwarzen Stift Deinen Namen und Deine Telefonnummer auf den Rücken schreibst -- würde die Firma gegen Datenschutz verstoßen wenn Sie nicht durch Sichtschutzblenden geeignete technische Maßnahmen getroffen hätte?

Was ich damit sagen will: Es kommt am Ende halt darauf an, ob E-Mail hier IM KONKRETEN FALL ein geeignetes, zu erwartendes, benutztes Kommunikationsmedium ist, so daß man davon ausgehen muß, daß hier Schutzmaßnahmen zu treffen sind.

Nur weil Du von außen initiativ auf Deine gute Laune hin das dort hinmailst: Nein.

Wenn die Firma darüber offensichtlich und gezielt personenbezogene Daten per Mail kommuniziert: Ja.

Foto
Foto
1
  1. Sende deine Mails via Mailbox.org mit der höchsten Sicherheitsstufe ab, siehe https://mailbox.org/mails-definitiv-sicher-versenden/
    Wenn die Mail dann nicht rausgeht, hast du einen unsicheren Provider gefunden, den du gezielt ansprechen kannst.
  2. Sende deine Mail verschlüsselt. Dann ist der Transportweg streng genommen schon fast egal. Wenn eine Firma sich weigert, verschlüsselte Mails anzunehmen, hast du eine unsichere Firma aufgedeckt, und kannst sie meiden.
  3. Kommuniziere nur mit Firmen, die nach europäischem, besser deutschen Datenschutzrecht arbeiten. Checke das Impressum von Firmen auf den Firmensitz. Homepages ohne https sind ein schlechtes Zeichen...
  4. Versende Dateien nicht, sondern biete sie von deinem per https etc. gut abgesicherten Server zum Download an - dann ist wenigsten die Transportverschlüsselung während des Zugriffs auf die Datei o.k.
    EDIT: Sende das Passwort für den Downoad mit getrennter Mail, möglichst verschlüsselt...
  5. Installiere dir z.B. das PlugIn ePorto von der Post, damit du die Dinge, die du jetzt alle ausgedruckt per Brief schicken musst, wenigstens leicht frankieren kannst. (Kein Scherz, mache ich so...)

Irgendwas habe ich bestimmt vergessen oder falsch verstanden - sei's drum.

Foto
1

Ein Internetanbieter, der nicht sowohl Webseitenverschlüsselung anbietet, als auch Mails transportverschlüsselt sendet und empfängt, ist in meinen Augen in aller Regel unseriös und zu meiden. Ob derjenige dann z.B. beim Datenschutzbeauftragten oder wo anders gleich gemeldet werden muss, halte ich jetzt für Geschmackssache. Ich würds nicht machen und ich denke auch, dass es nicht für alles Gesetze und Regeln braucht.


Beide Sachen sind übrigens leicht zu kontrollieren. Https kann über den Browser gut sichtbar geprüft werden (grün oder nicht grün ist hier die Frage), und für Mailverschlüsselung gibts auch einschlägige Testseiten auf denen man Mailadressen prüfen kann. Einen Internetshop ohne inhabervalidiertes Zertifikat und mit transportverschlüsselten Mails verwende ich übrigens aus Prinzip nicht.


Viel schlimmer, und das ist nicht mehr so leicht zu prüfen, ist die Sicherung der privaten Daten beim Betreiber auf dem Server. Es gibt wohl immer noch viel zu viele Anbieter, die Passwörter nicht mit salt versehen, sondern im Klartext auf den eigenen Servern speichern, und am besten dann auch noch beim Internetauftritt eine Verwaltungsschnittstelle haben mit dem Konto admin und einem der TopTenPasswörter. Aktuell bekomme ich personenbezogen Trojaner mit meinem Namen, der Telefonnummer, und der Adresse. Da hat wohl jemand einen Shop gehackt, obwohl ich nur seriöse Shops verwende.

Foto
1

Fazit:

Ist es so richtig?


  • Eine "normale" Firma verstößt nicht gegen Datenschutz, wenn sie kein TLS anbietet, solange sie nicht personenbezogene versendet?

  • Bei einer Person/Institution die unter §203 (StGB), also Berufsgeheimnisträger fällt, würde aber ein Problem mit Datenschutz bestehen, oder sagt dann der Gesetzgeber, suchen sie sich halt einen Arzt mit TLS, wenn sie den Arzt ohne TLS verwenden sind sie selber schuld?

Danke