E-Mail Kommunikation mit Ämtern - Wie sicher sind meine Daten

[Heinz-Otto]

Hallo,
ich bin kein Freund von ungeschützter Datenübermittlung per E-Mail. Als Minimalschutz sollten Pdf-Dateien wenigstens mit einem Passwortschutz versehen werden. Dieses PW teilt man dem Empfänger mit. (Mache ich auch bei Bewerbungen so. Seriöse AG akzeptieren das)
Vielleicht kann ich den ein oder anderen etwas sensibilisieren, ob und wie er mit seinen Daten "hausieren" geht.
Ich empfehle posteo.de, denn dort liegen die Daten auch auf dem Server verschlüsselt, was bei den anderen E-Mail Anbietern meistens nicht der Fall ist.

Hier die Stellungnahmen des ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein zum Mailverkehr mit Ämtern

Darf ich meinem Sachbearbeiter eine E-Mail schreiben?

Grundsätzlich schon, aber aufgepasst: Eine unverschlüsselte Kommunikation via Internet bringt stets die Gefahr mit sich, dass Unbefugte Ihre E-Mail lesen, kopieren, verändern oder löschen können. Eine unverschlüsselte E-Mail ist wie eine Postkarte, die durch sehr viele Hände in der ganzen Welt wandert, bis Ihr Sachbearbeiter Sie auf seinem Rechner lesen kann. Hier finden Sie unsere Hinweise zur sicheren Nutzung des Internets.
Alternativ empfehlen wir Ihnen, den Postweg zu nutzen.

Darf mein Sachbearbeiter mir eine E-Mail schreiben?

Nur wenn eine verschlüsselte Kommunikation gewählt wird. Bei den personenbezogenen Daten in einer E-Mail Ihres Sachbearbeiters handelt es sich grundsätzlich um Sozialdaten, die dem strengen Schutz des Sozialgeheimnisses unterliegen. Eine unverschlüsselte E-Mail ist daher selbst mit Ihrer Zustimmung unzulässig!

Nach dem E-Government-Gesetz des Bundes sind alle Bundesbehörden ab 01.07.2014 verpflichtet, den elektronischen Zugang durch eine De-Mail-Adresse oder mittels einer Identifikation über die eID-Funktion des neuen Personalausweises zu eröffnen. Ein Verweis allein auf die Papierform ist dann nicht mehr zulässig; Bürger haben hier aber weiterhin ein Wahlrecht. Da jedoch auch in diesen Fällen keine Ende-zu-Ende-Verschlüsselung erfolgt, dürfen Sozialdaten nur mit einer ergänzenden Verschlüsselung übermittelt werden.

Hinweise und Empfehlungen des BSI Bundesamt für Sicherheit in der Informationstechnik
Sicherheit bei E-Mail, Social Media, Messenger und Co.

Will ich also z.B. zum Beispiel eine Suchmaschine, einen E-Mail-Dienst oder ein Soziales Netzwerk nutzen, ist das Akzeptieren der Allgemeinen Geschäfts- bzw. Nutzungsbedingungen vorher zu akzeptieren. Generell ist es dabei ratsam, sparsam mit seinen Daten bzw. Informationen umzugehen.

Um sich vor unbefugtem Zugriff auf die eigene Kommunikation zu schützen ist ein ausreichender Passwort- und Accountschutz essenziell. Für fortgeschrittene Nutzerinnen und Nutzer kann z.B. eine zusätzliche E-Mail-Verschlüsselung sinnvoll sein. Ein weiterer wichtiger Punkt ist die Sicherheit der Geräte. Wenn Smartphone, Tablet, Laptop & Co. sicherheitstechnisch vernachlässigt werden, erleichtern sie Unbefugten auch den Zugriff auf Kommunikationskanäle und Daten.

Nutzen Sie die E-Mail wirklich sicher?

Falls Sie erweiterte Anforderungen an Komfort und Funktionalität bei der Arbeit mit E-Mails haben, sollten Sie einen aktuellen und verbreiteten E-Mail-Client auswählen und diesen sicher konfigurieren, um z.B. ein zusätzliches Einfallstor zur Ausführung von Schadcode auf Ihrem Rechner auszuschließen.

    Achten Sie bei der Nutzung von E-Mail-Programmen darauf, dass die Übertragungsprotokolle (POP3S, IMAPS, SMTPS) verwendet werden.
    Verzichten Sie auf die Darstellung und Erzeugung von E-Mails im HTML-Format.
    Deaktivieren Sie die Anzeige von externen Inhalten – beispielsweise Bilder in HTML-E-Mails.

Zehntausende deutscher Microsoft Exchange Server haben kritische Sicherheitslücken
Pdf Download https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2020/2020-252437-1021.pdf?__blob=publicationFile&v=3

Schon 2014 wurde eine Pflicht zur verschlüsselten Kommunikation mit Behörden befürwortet, aber nicht eingeführt. Klar, der Bund will "mithören" und die Bürger überwachen können.
https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2014/07_EndeZuEndeVerschluesselung.html

Andrea Voßhoff begrüßt Überlegungen der Bundesregierung, die Ende-zu-Ende-Verschlüsselung bei E-Mail-Diensten vorzuschreiben

https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2013/04_DeMailInDerBundesverwaltung.html

Nur eine "Ende-zu-Ende-Verschlüsselung" schließe völlig aus, so Schaar, dass ein Dritter vom Inhalt der De-Mail Kenntnis erlangen kann. Eine entsprechende Forderung der Datenschutzbeauftragten des Bundes und der Länder wurde aber im Gesetzgebungsverfahren nicht aufgegriffen.

Handreichung zur datenschutzgerechten Nutzung von De-Mail

Die Ende-zu-Ende-Verschlüsselung, d.h. eine durchgängige Inhaltsverschlüsselung zwischen Versender und Empfänger, stellt eine geeignete Maßnahme dar, das Restrisiko zu mindern und bietet sich daher insbesondere für die Versendung besonders schutzbedürftiger Daten an.

[Flip]

Nach dem E-Government-Gesetz des Bundes sind alle Bundesbehörden ab 01.07.2014 verpflichtet, den elektronischen Zugang durch eine De-Mail-Adresse oder mittels einer Identifikation über die eID-Funktion des neuen Personalausweises zu eröffnen.

Vorsicht. Das gilt nicht für die Jobcenter, § 1 Abs. 5 EGovG:

(5) Dieses Gesetz gilt nicht für
1.

3.
die Verwaltungstätigkeit nach dem Zweiten Buch Sozialgesetzbuch.

[Heinz-Otto]

Nach dem E-Government-Gesetz des Bundes sind alle Bundesbehörden ab 01.07.2014 verpflichtet, den elektronischen Zugang durch eine De-Mail-Adresse oder mittels einer Identifikation über die eID-Funktion des neuen Personalausweises zu eröffnen.

Vorsicht. Das gilt nicht für die Jobcenter, § 1 Abs. 5 EGovG:

(5) Dieses Gesetz gilt nicht für
die Verwaltungstätigkeit nach dem Zweiten Buch Sozialgesetzbuch.

Stimmt leider. Danke für den Hinweis. Das regte mich schon lange auf. Betrifft - soweit ich mich erinnere - auch die Veröffentlichungspflicht und dass JC keine Webseiten haben müssen. Ich habe mich längere Zeit nicht mehr damit beschäftigt.

Das schließt aber nicht aus, bzw. ein, dass sensible Daten (sog. hohes Risiko) unverschlüsselt übermittelt werden dürfen. Denn eine DE-Mail allein ist keine Ende-zu-Ende Verschlüsselung. Das regelt das EgovG nicht, sondern das BDSG und die DSGVO.

Ich bleibe bei meiner Einschätzung, dass die Übermittlung eines VA per unverschlüsselter E-Mail ein Datenschutzverstoß wäre.
Ich habe eine Anfrage beim BfDI gestellt und auch Antwort erhalten. Es wird auf https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf verwiesen. Dort auf Ziffern 4.2.1/4.2.2 und 5.
Wichtig ist aber dies hier:

4.2.3 Versand von E-Mail-Nachrichten mit geheim zu haltenden Inhalten bei hohen Risiken
Verantwortliche, die aufgrund von § 203 StGB zur Geheimhaltung von Kommunikationsinhalten verpflichtet sind, müssen über die unter 4.2.1 bzw. 4.2.2 aufgeführten Anforderungen hinaus durch Verschlüsselung sicherstellen, dass nur Stellen eine Entschlüsselung vornehmen können, an die die Inhalte der Nachrichten offenbart werden dürfen.

Unter 203 StGB sind genannt

1.     Amtsträger oder Europäischer Amtsträger,
2.     für den öffentlichen Dienst besonders Verpflichteten,

Dass Inhalte eines VA dem hohen Risiko zuzuordnen sind dürfte hoffentlich unstreitig sein.
Ich denke nicht, dass die BA einen VA per einfacher Mail versenden würde

Infos zur Definition https://dsgvo-gesetz.de/erwaegungsgruende/nr-75/
https://lfd.niedersachsen.de/download/130405/DSK-Kurzpapier_Nr._18_-_Risiko_fuer_die_Rechte_und_Freiheiten_natuerlicher_Personen.pdf

[CCR]

100% sicher ist man nie.

Datenschutzleck in Lübeck: Behördendaten bei Ebay

Ein Laptop mit vertraulichen Mails landete versehentlich in einer Online-Auktion. Er wurde zuvor von der Lübecker Ausländerbehörde genutzt.
https://headtopics.com/de/datenschutzleck-in-lubeck-behordendaten-bei-ebay-23825206

[Ottokar]

"E-Mail Kommunikation mit Ämtern - Wie sicher sind meine Daten" ist imho die falsche Frage.

Jede E-Mail ist für jeden, der sie "in die Hand" bekommt, genau so lesbar wie eine Postkarte - außer sie ist verschlüsselt.
Das trifft auch auf die Anhänge zu.
Jede E-Mail, die nicht mindestens verschlüsselt ist, muss somit als unsicher betrachtet werden.
Aber auch verschlüsselt ist eine E-Mail nicht sicher, sondern nur für Dritte unleserlich. Sicher ist eine E-Mail imho nur, wenn auch die Identität der Kommunikationspartner durch eine Signatur bestätigt wird.
Dann ist es auch egal, ob bei der Übertragung der Übertragungsweg verschlüsselt ist oder nicht.

Die Übertragung von Klartext-E-Mails mittels TLS zwischen den Mailservern bietet zwar weniger Möglichkeiten, die E-Mail zu kompromittieren, möglich ist es aber trotzdem. Ob eine solche E-Mail signiert ist oder nicht, spielt dabei keine Rolle.

Als Minimalschutz sollten Pdf-Dateien wenigstens mit einem Passwortschutz versehen werden. Dieses PW teilt man dem Empfänger mit. (Mache ich auch bei Bewerbungen so. Seriöse AG akzeptieren das)

Ich kann verstehen, dass dir das ein Gefühl von Sicherheit gibt, aber wenn jemand Zugriff auf die E-Mail mit der Bewerbungs-PDF hat, dann auch auf die E-Mail mit dem Passwort.

[Heinz-Otto]

Ich kann verstehen, dass dir das ein Gefühl von Sicherheit gibt, aber wenn jemand Zugriff auf die E-Mail mit der Bewerbungs-PDF hat, dann auch auf die E-Mail mit dem Passwort.

Wenn ich das Pdf Passwort auch per Mail versenden würde, wäre ich ja schön blöd ;)
Sollte selbstredend sein, dass man das PW auf anderen Kanälen übermittelt.

Aber auch verschlüsselt ist eine E-Mail nicht sicher, sondern nur für Dritte unleserlich.

Das ist ja der Hauptgrund für PGP s/Mime.

Davon abgesehen, dass man letztlich alles knacken kann und es keine 100% Sicherheit gibt. Einiges ist halt eine Frage der Zeit, was sich spätestens mit den Quantencomputern auch wieder ändern wird.

Sicher ist eine E-Mail imho nur, wenn auch die Identität der Kommunikationspartner durch eine Signatur bestätigt wird.

Die qualifizierte Signatur ersetzt die Schriftform und ist eine Art digitale Unterschrift. Das hat mit Verschlüsselung gar nichts zu tun!

Nur durch die qualifizierte elektr. Signatur gem.126a BGB wird sicher gestellt, dass die Identität des Absenders authentifiziert wurde. Das Ausspähen des Dokuments kann allein mit der elektronische Signatur nicht verhindert werden. Dazu braucht es eine digitale Signatur. Die wiederum reicht allein nicht aus um das Schriftformerfordernis zu erfüllen.

Die DE-Mail ist ja auch eine Signatur, nur keine qualifizierte, sondern eine einfache, die nur im Rahmen von "einfachen Rechtsgeschäften" ohne Schriftformerfordernis verwendet werden kann. Es erfolgte eine Ident-Prüfung.

Wer Zugang zum Mailkonto/PC, bzw. Zertifizierungsdiensteanbieter hat, hat hat immer Zugriff auf die Mails. Da ist es völlig egal, ob das eine Signatur, oder ein Schlüssel ist.
Das würde bei Ämtern wohl zutreffen, da es wechselnde SB gibt. Das muss dann in entsprechenden Rollen freigegeben werden.

[Ottokar]

Wenn ich das Pdf Passwort auch per Mail versenden würde, wäre ich ja schön blöd ;)
Sollte selbstredend sein, dass man das PW auf anderen Kanälen übermittelt.

Dann solltest du das bei (d)einem Tip auch dazu schreiben.

Die qualifizierte Signatur ersetzt die Schriftform und ist eine Art digitale Unterschrift. Das hat mit Verschlüsselung gar nichts zu tun!

Ich schrieb in Bezug auf die Signatur auch nicht von "Verschlüsselung", sondern von "sicher" und dazu ist es imho erforderlich, dass Absender und Empfänger eindeutig zu identifizieren sind. Ich nahm an, der Unterschied ist deutlich.