Oberbergischer Kreis verfügt über keine Verschlüsselungsmechanismen und darf deshalb nicht emailen

In meiner TOPFSekret Anfrage an den Oberbergischen Kreis wird sich hartnäckig geweigert, Auskunft über eMail zu erteilen.

Nachdem ich denen schrieb, dass sie die Personennamen ruhig schwärzen können, kam nun diese Ausflüchte:

da es sich hier um sensible Daten handelt (zumindest der Name des entsprechenden Betriebes muss bei der tatsächlichen Auskunftserteilung erkennbar sein sowie die festgestellten Abweichungen) und der Oberbergische Kreis nicht über entsprechende Verschlüsselungsmechanismen verfügt, die für eine sichere Übertragung erforderlich wären.

TopfSecret-Anfrage Oberbergischer Kreis/Hotel zur Post

  1. Ist der Name des Betriebes eine sensible Info? Eine Info, die unter den Datenschutz fällt?
  2. Keine Verschlüsselungsmechanismen - unglaublich! Kann das stimmen? Wenn so etwas üblich ist bei deutschen Behörden, wäre das nicht einer FdS-Kampagne wert? Da fällt mir auch direkt ein Partner ein: CCC Chaos Computerclub

Unabhängig von der Fragestellung, ob es sensible Daten sind: FragDenStaat bietet auch eine Upload-Funktion für Behörden an. Die Übertragung ist dann in jedem Fall verschlüsselt. Der Link findet sich am Ende jeder Mail.

1 Like

Und Betriebsnamen sind eventuell personenbezogene Namen falls der Name des Inhabers im Betriebsnamen steht. Aber selbst dann können die den ja schwärzen?

Im Sinne der DSGVO sind Betriebe sog. Verantwortliche. Dass Verantwortliche Betroffenen Informationen in einem Kundenportal oder Downloadlink zur Verfügung stellen, kann immer nur ein Angebot des Verantwortlichen sein, das Betroffene annehmen können, aber nicht müssen. Denn seit wann muss man sich seine Post abholen? Auch im 21. Jahrhundert sind und bleiben die Verantwortlichen in der Bringschuld.
Die eMail-Verweigerung ist nicht rechtmäßig, mehr dazu in meiner direkten Antwort an h.muller_59

Die eMail-Verweigerung ist nicht rechtmäßig. Gründe:

  1. Faktisch zählt die eMail zum sichersten, einfachsten und nachweisbarsten schriftlichen Kommunikationsmittel; ein Kommunkationsweg, der dem informationellen Selbstbestimmungsrecht unterliegt und in Deutschland zudem besonders durch Art. 10 GG und veschiedenste Strafvorschriften aus dem StGB geschützt ist. Darin mag der Grund zu finden sein, warum eMail-Accounts tatsächlich nur selten gehackt werden, sowie darin, dass die Spur zu Hackern vergleichsweise einfach nachvollziehbar ist. Ganz anders als bei geklauter Post aus dem Briefkasten oder wenn ganze gelbe Postboxen geräubert werden, nicht nur zu Weihnachten. In der Realität gibt es die angebliche Hackerauswüchsigkeit nicht, es handelt sich in dem Ausmaß um einer erfundenes Klischee. Tatsächlich findet der unrechtmäßige Zugriff auf eMails überwiegend im Familienkreis statt, wie so häufig. Das betrifft aber alle Formen und natürlich auch Briefe. Wollen wir jetzt die Familie verbieten?

  2. Ein online-Zugang/ein Account, wo man beim verantwortliche Informationen einsehen und abrufen kann (s. EWG 63 S. 4 DSGVO) , ist gut, aber kein Muss für die betroffene Person, das nutzen zu müssen!
    Zwang zur Kommunikation über die Verantwortlichenportale oder Abholung von Informationen über Downloadlinks ist nicht rechtmäßig. Niemand muss seine Post abholen, Verantwortliche sind auch im 21. jahrundert in der Bringschuld.
    Ausserdem sind solche Zwänge zur Kommunikation über sog. Kundenportale und insbesondere deren Kontaktfelder meines Erachtens nach überhaupt nicht zu empfehlen, ich verweigere sie bewusst, denn: Ob nun Handyvertrag, Stromvertrag, Versicherungen oder was auch immer - angenommen ich wechsle den Anbieter udn erfahre später von einem Datenschutzrechtsverstoßt des ehemaligen Verantwortlichen und möchte Informationen zum Schriftverkehr haben, dann müsste ich den Veantwortlichen sinngemäß dazu auffordern: Ich habe Ihnen schon 2018 etwas dazu geschrieben, so in der Art. “…”, bitte übersenden Sie mir den Schriftverkehr über Ihre Kommentarboxen

  3. Der Firmenname zählt in keinem Fall zu den sensiblen Daten. Die Behauptung ist absurd.

  4. Auch sensible Daten sind über den von der betroffenen Person gewählten Versandweg per eMail zu versenden. Nach Art. 12 Abs. 1 S. 3 DSGVO haben Betroffene die Möglichkeit, Auskünfte telefonisch zu erhalten, wenn sie es wünschen. Ist einmal die Identität zur Telefon-Nummer, sichergestellt, kann man von dieser Tel.Nr. aus (wenn sie nicht unterdrückt ist) jederzeit entsprechende Informationen abrufen. Der unsicherste Kommunikationsweg ist aber per Telefon, denn wenn irgendetwas einfach ist, ist es Telfongespräche abzuhören. Ich glaube die Software gibt es heute schon mit wenig Geschick für ca. 150€. Und - wollen wir jetzt Telefongespräche verbieten?
    Alle sensiblen Informationen, die ich telefonisch bekommen darf, darf ich natürlich auch per eMail bekommen. Welchen Versandweg ich frü den Auskunftstransfer wähle, unterliegt meinem Recht. Mein Recht ist die Pflicht der Behörde! Eine Verweigerung dieses Rechts wäre ein qualifizierter Verstoß gegen meine Rechte nach DSGVO und zudem darauf zu prüfen, ob die Verweigerung der Strafvorschrift nach § 42 Abs. 2 BDSG unterliegt - den die Person bei der Behörde, die mir die eMail verweigert hat, persönliche treffen würde.

Die Pflicht zur eMail ergibt sich unter anderem aus Art. 12 Abs. Abs. 1 u 2 DSGVO, Art. 15 Abs. 3 S. 3 DSGVO (gänginges Format ist z.B. ein pdf-Dokument, natürlich nicht extra passwortgeschützt - aus Gründen - es sein denn, die Betroffene wünscht das!) und weiteren. Wichtig bei der Identifikation der Betroffenen ist noch EWG 64. S. 2 DSGVO “Ein Verantwortlicher sollte personenbezogene Daten nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können.”

Hintergrund und Fazit:
Lt. DSGVO sollen Personen die Kontrolle über ihre Daten habe, denn wer die Kontrolle über Daten hat, hat die Kontrolle über die Person/en. Die eMail zählt zu den größten und besten Errungenschaften des 20. Jahrhunderts. Sie ist ein essentielles Werkzeug und vielleicht sogar eines der stärksten Werkzeuge für Betroffene, damit die Kontrolle bei den Betroffenen liegt. Die Verweigerung der eMail ist so auswüchsig und rechtswidrig wie die Behauptung, die Verweigerung der eMail-Kommunikation diene dem Datenschutz, scheinheilig ist. Tatsächlich gibt es eine unfassbare Anzahl Verantwortlicher (Behörden und Wirtschaftsunternehmen), die es gar nich tmögen, wenn die Kontrolle von Betroffenen bei den Betroffenen liegt.
Behörden unterliegen nach DSGVO verschärften Bedingungen, ihre Verstöße sind verschärft zu ahnden, denn Staatsgewalt mit Kontrollzwängen ist nicht mit rechtsstattlichen Prinzipien vereinbar und deshalb unzulässig.

Die eMail zählt zu den stärksten und sicherstens Identifikationskriterien einer Person und zu den sichersten und sinnvollsten Kommunikationsmitteln des 21. Jahrhunderts. Wahrscheinlich ist sie deshalb neben dem Passwort das gängistes Haupt-Login-Kriterium für Kundenaccounts, sogar für die Rücksetzung von Passwörter :slight_smile:

Für den Versandweg per Post bedürfte es ihrer Einwilligung, die muss zwangslos sein, s. EWG 43 S. 1 DSGVO.

Wenn Sie mögen, dürfen Sie diesen Text gerne nutzen gegen die Behörde. Viel Erfolg auf jeden Fall bei der Durchsetzung Ihrer Rechte!!

K*, Grund- und Datenschutzrechtlerin aus Leidenschaft, für Betroffenenrechte only

1 Like

PS:
Klassisches Verweigerungsargument ist häufig: Das muss schriftlich sein. eMail ist schriftlich.

Der Oberbergische Kreis stellt eine eMail zur Verfügung, diese muss er sodann auch nutzen.
Falls er erwägen sollte, die eMail nun nicht mehr zu veröffentlichen: Der Oberbergische Kreis ist nach einschlägiger Rechtsprechung dazu verpflichtet, eine eMail zur Verfügung zu stellen.

Last but not least: Noch alle Verantwortlichen, mit denen ich zu tun habe und die die eMail mit Betroffenen zu verweigern suchen, nutzen intern selbst sehr rege die eMail-Kommunikation, mit Weiterleitung von allen möglichen Unterlagen mit allen möglichen Informationen. Asu berechtigten Gründen. Was häufig aber soweit geht, dass viele Behördenmitarbeiter ihre Behördenmails sogar auf ihren privaten Handys abrufen, und das schon vor Corona. Und das geht gar nicht! Rechtlich ist es zumindest mehr als verwegen.

Ich führe diverse (immaterielle) Schadenersatzklagen nach Art. 82 DSGVO gegen solche Verantwortliche (Behörden und Wirtschaft), und gegen den ein oder anderen Hauptverantwortlichen (Geschäftsführer, Vorstand, Behördenleitung…) privatklageberechtigte Strafklage auf Geldstrafen nach § 42 Abs. 2 BDSG. Beim immateriellen Schadenersatz hat der Verantwortliche eine 0% Verschuldensquote nachzuweisen und ab 90 Tagessätzen Geldstrafe ist eine Person übrigens vorbestraft. Diese Reglungen gibt es aus gutem Grund.

1 Like

Das eine E-Mail schriftlich ist, würde ich aufgrund von § 126 BGB anzweifeln. Das ist allenfalls eine Textform nach § 126b BGB (meine Meinung, ohne Gewähr).

Hier gehts zu § 126 BGB
Deine Meinung ist unzutreffend. eMail ist schriftlich. Die Frage ist nur, wann es einer Signatur bedarf und wenn es einer bedarf, welcher. Bedarf es einer Signatur, ist die persönliche Signatur auf einem pdf nicht weniger gültig als z.B. eine elektronische Signaur. Nur Sondersachen wie notarielle Beurkundung oder gerichtliche Zustellungen unterliegen besonderen Formerfordernissen; so kann man eine Klage z.B. nicht via eMail bei Gericht einreichen, weil sie dann nicht rechtswirksam wäre, sehr wohl aber qualifiziert versendet via De-Mail oder Behördenpostfach beA entweder elektronisch oder persönlich signiert. Bezeichnend: Das beA zählt zu den unsichersten elektronischen Kommunikationswegen überhaupt, aber laut AGH (Anwaltsgerichtshof) sicher genug; oder wie der AGH sagt: Es gibt keine absolute Sicherheit.
Ebenfalls bezeichnend: So manche Gerichte kommunizieren intern zu Rechtstreitigkeiten per einfacher eMail miteinander, wenn z.B. Beschwerden an die nächste Instanz weitergeleitet werden etc. - das weiß kaum jemand, ist aber wie gesagt nicht unüblich. Und warum? Weil die einfache eMail einfach gut ist.

1 Like

@kartie: vielen Dank für die ausführlichen Erläuterungen. Ich denke, ich werde Deinen Text so nehmen, wie Du in geschrieben hast, ohne Umformulierungen. Ich werde vorneweg schreiben, dass ich mir den Sachverhalt habe erklären lassen und das auch so sehe … und dann Deine Ausführungen kopieren.

Nun noch zu meiner zweiten Frage: Ist es wirklich glaubhaft, dass einer Behörde keine Verschlüssellungsmechanismen zur Verfügung gestellt werden?

Ich habe zu dem Thema noch nie mit Behördenmitarbeitern gesprochen und kann deshalb nichts Qualifiziertes dazu sagen. Allerdings würde es mich eher wundern, wenn es überhaupt eine nennenswerte Anzahl an Behörden gibt, die aktiv verschlüsseln. Denn viele Behörden haben noch nicht einmal eine elektronische Aktenführung. Da läuft dann noch der Großteil über Papier. Hier hat mal jemand das LRA Reutlingen danach gefragt.
Außer bei Landesdatenschutzbeauftragten habe ich auch noch nie Public Keys wahrgenommen.

Glaubhaft ist es schon und insofern, als dass es verschiedene Verschlüsselungsmechanismen gibt, und ich glaub nicht alle eMail-Provider resp. Progamme sind Ende-zu-Ende verschlüsselt; weil es soweit ich weiß gar nicht notwendig ist. Das war jedenfalls mein letzter Stand der Dinge. Letztlich entscheidet das jede Behörde resp. jeder Landkreis selber, so wie Privatpersonen eben auch, zu welchem Provider man geht und ob man Clientprogramme nutzt oder aus dem Webmailer arbeitet, ob man gesondert verschlüsselt, was aber die wengisten machen, weil es kompliziert, aufwendig und - ich find - unnötig ist; sowas wie De-Mail oder gmx bietet zusätzlich an, dass man wenn man sich einen Schlüssel besorgt hat, an manche Empfänger gesondert verschlüsselt übermitteln kann.
Ist aber egal, weil die normalen eMails bereits einem Einwurfeinschreiben gleichkommen :slight_smile:
halt mich gerne auf dem Laufenden, wie es gelaufen ist :):slight_smile:
Good luck und lass dich nicht unterkiegen :muscle: fight for your rights