Joachim Lindenberg (https://blog.lindenberg.one)
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, ich weiß, dass im föderalen System die Kollegen in Ba…
An Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
Auftragsverarbeitung bei Email? [#234848]
Datum
8. Dezember 2021 11:44
An
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, ich weiß, dass im föderalen System die Kollegen in Baden-Württemberg für die Beratung zuständig sind. Nur leider haben die es in gut drei Monaten weder geschafft, mehr als eine Eingangsbestätigung zu schicken noch meine Fragen zu beantworten. Und da das Thema garantiert bei der Datenschutzkonferenz vorbeikommt, kann ich auch gleich bei Ihnen anfragen. Meinem Verständnis nach - https://blog.lindenberg.one/AuftragsverarbeitungEmail - und in Widerspruch zur zitierten aber auch historischen Meinung der Bayrischen Aufsicht - erfordert auch Email einen Auftragsverarbeitungsvertrag. Nur leider sagt die Aufsicht dazu nichts, oder ich finde es nicht. Warum? Entsprechende Dokumente oder Überlegungen bitte ich zu veröffentlichen. Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen
Joachim Lindenberg Anfragenr: 234848 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/234848/ Postanschrift Joachim Lindenberg << Adresse entfernt >>
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
Auftragsverarbeitung bei E-Mail-Diensten - Ihre Anfrage vom 8. Dezember 2021 Sehr geehrter Herr Lindenberg, viele…
Von
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
Betreff
Auftragsverarbeitung bei E-Mail-Diensten - Ihre Anfrage vom 8. Dezember 2021
Datum
13. Dezember 2021 10:38
Status
Warte auf Antwort
signature.asc
813 Bytes


Sehr geehrter Herr Lindenberg, vielen Dank für Ihre Anfrage vom 8. Dezember 2021, deren Eingang ich Ihnen hiermit bestätige. Sie wollen wissen, ob E-Mail-Dienste eine Auftragsverarbeitung darstellen und bitten um Zugang zu entsprechenden Dokumenten nach dem Informationsfreiheitsgesetz (IFG), dem Umweltinformationsgesetz (UIG) und dem Gesetz zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), sofern entsprechende Dokumente betroffen sind. Zum 1. Dezember 2021 hat sich mit dem überarbeiteten Telekommunikationsgesetz (TKG) sowie mit dem Geltungsbeginn des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) die Rechtslage geändert. Seit dem 1. Dezember 2021 gelten E-Mail-Dienste als nummernunabhängige interpersonelle Kommunikationsdienste im Sinne des § 3 Nr. 40 TKG und damit als Telekommunikationsdienste im Sinne des TKG (siehe auch BTag-Drucks. 19/26108, S. 231). Denn Erwägungsgrund 15 des Europäischen Kodex für die elektronische Kommunikation (Richtlinie (EU) 2018/1972) sieht einen funktionalen Ansatz vor, nach dem ein möglichst weitgehendes Verständnis des Begriffs des Telekommunikationsdienstes heranzuziehen ist, da es aus der Sicht des Endnutzers keine Rolle spielt, ob ein Anbieter die Signale selbst überträgt oder ob die Kommunikation über einen Internetzugangsdienst übermittelt wird. Wie Sie bereits richtig angeführt haben, hat sich bisher seitens der deutschen Datenschutzaufsichtsbehörden nur das LDA Bayern dahingehend geäußert, dass Telekommunikationsdienstleistungen keine Auftragsverarbeitung darstellen, sondern durch den Telekommunikationsanbieter in eigener Verantwortlichkeit erfolgen (LDA Bayern, FAQ Abgrenzung Auftragsverarbeitung v. 20.7.2018, S. 2). An dieser Auffassung sollte auch weiter festgehalten werden. Denn zum Einen geben sowohl die ePrivacy-Richtlinie als auch das TKG dem jeweiligen Telekommunikationsdiensteanbieter bereits ausführliche Sicherheitsvorgaben auf, die durch einen Auftragsverarbeitungsvertrag nicht näher konkretisiert oder umgangen werden können. Zum Anderen entscheidet der TK-Anbieter beim Vornehmen von Telekommunikationsvorgängen als Verantwortlicher alleine über die Zwecke und Mittel der Verarbeitung. Denn der jeweilige TK-Anbieter bestimmt, wie die Ausführung der Übermittlung erfolgt. Der jeweilige TK-Kunde kann bereits mangels Kenntnis über die Kommunikationsvorgänge und Kommunikationsnetze keinen Einfluss auf den Vorgang der Übermittlung nehmen (siehe dazu z.B. auch Hunzinger/Sassenberg, "Notwendigkeit einer Vereinbarung zur Auftragsverarbeitung bei Telekommunikationsdiensten?", in: CR 2019, 188). Abgesehen von der Einschätzung durch das LDA Bayern liegen mir keine Dokumente zu Ihrer Fragestellung im Sinne des IFG, des UIG oder des VIG vor. Ich möchte Sie jedoch darauf hinweisen, dass die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) aktuell Ihre Orientierungshilfe für Anbieter von Telemedien überarbeitet, in der es voraussichtlich auch um die Einordnung von E-Mail-Diensten gehen wird. Die überarbeitete Version können Sie nach Abstimmung des Papiers innerhalb der DSK voraussichtlich Anfang bis Mitte 2022 auf der Webseite der DSK (www.datenschutzkonferenz-online.de) finden. Im Übrigen möchte ich Sie bitten, die Antwort der Aufsichtsbehörde des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg auf Ihre Anfrage abzuwarten. Ich danke Ihnen für Ihr Interesse am Datenschutz und schließe den Vorgang hiermit ab. Mit freundlichen Grüßen

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Joachim Lindenberg (https://blog.lindenberg.one)
AW: Auftragsverarbeitung bei E-Mail-Diensten - Ihre Anfrage vom 8. Dezember 2021 [#234848]
Sehr << Anrede &g…
An Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Auftragsverarbeitung bei E-Mail-Diensten - Ihre Anfrage vom 8. Dezember 2021 [#234848]
Datum
18. Dezember 2021 21:00
An
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> ich muss Ihnen widersprechen oder zumindest darstellen, dass das nicht so klar ist, wie Sie das darstellen. (1) unklar ist, was öffentlich zugängliche Telekommunikationsdienste sind, und insbesondere ob Email darunter fällt - https://fragdenstaat.de/anfrage/offen... (2) das TKG enthält keine klar umrissenen TOMs - https://fragdenstaat.de/anfrage/schut... - und nur die öffentlich zugängliche Telekommunikationsdienste sind möglicherweise verpflichtet, ein durch Verordnung bestimmtes Niveau zu erreichen. (3) Artikel 40 (4) der Richtlinie (EU) 2018/1972 lässt die DSGVO unberührt, sie gilt also neben der Richtlinie (EU) 2018/1972 und ersetzt diese nicht. Da frag ich mich dann schon, ob die nationale Umsetzung Europarecht-konform ist, wenn sie Artikel 28 und 32 verdrängen soll? (4) Richtlinie (EU) 2018/1972, Artikel 3 (2) d) "... wie auch von elektronischen Kommunikationsdiensten gewährleisten, indem sie größtmögliche Vorteile in Bezug auf Auswahl, Preise und Qualität auf der Grundlage eines wirksamen Wettbewerbs ermöglichen ..." Gerade im Emailbereich gibt es eine Differenzierung hinsichtlich der Sicherheitskonzepte oder Maßnahmen. Eine Übersicht finden Sie auf der Seite https://mailvergleich.de/sichere-email/ - und wenn ich meine Variante hinzufügen darf: Ich biete qualifizierte Transportverschlüsselung im Sinne der Orientierungshilfe (also TLS und DNSSEC), plus DKIM, aber kein DANE, weil unnötig. Außerdem verschlüsselte Speicherung aller Daten, aber ohne S/MIME oder PGP - weil das m.M. nicht praktikabel ist - siehe https://blog.lindenberg.one/Emailverschlusselung. Diese Differenzierung über TOMs wird im DE-Mail oder TKG-Geltungsbereich genau nicht stattzufinden, solange - wie Sie behaupten - das abschließend geregelt ist/sei. Auch sind sich BSI und BfDI wohl nicht einig, was denn Stand der Technik angeht - https://blog.lindenberg.one/Emailverschlusselung. (5) Insoweit Sie andeuten (kritisieren?) dass der Anbieter die TOMs festlegt - das ist (leider) bei allen mir bekannten Auftragsverarbeitungsverträgen so. Anders als die DSGVO das unterstellt, gibt selten der Verantwortliche die TOMs vor, sondern die sind fast immer Teil des vom Anbieter vorgegebenen Vertrags. Diese Feststellung ist weitgehend unabhängig vom konkret angebotenen Dienst - egal ob ich SaaS wie Email oder IaaS wie z.B. einen virtuelle Host beauftrage - und in beiden Fällen findet man in deutschen TOMs (meine eigenen ausgenommen) keine Aussage beispielsweise zur verschlüsselten Speicherung der Daten. Vielleicht ist das bei großen Firmen anders, aber als Kleinunternehmer kann ich die TOMs nur dadurch beeinflussen, dass ich zwischen unterschiedlich schlechten TOMs auswähle, bzw. für kritische Daten Auftragsverarbeitung vermeide und Daten selbst verarbeite. Die Annahme dass alles durch das TKG geregelt wird, entbindet den Verantwortlichen dann noch von der letzten Pflicht sich Gedanken zu machen. Das kann meiner Meinung nicht das Interesse des Datenschutzes sein. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 234848 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/234848/