GVO – Baustellenschild ohne DSE reicht nicht

Nur mal so am Rande, weil das Kunden immer wieder wegen der GVO denken:

„Machen Sie doch meine Seite einfach leer, dann brauche ich keinen Datenschutz“.

Ja, also, äh.. nein, das ist Quatsch.

Wer eine Webseite, auch wenn die „leer“ ist, laufen hat, braucht auf der leeren Webseite eine Datenschutzerklärung ( DSE ), weil der Vorgang der Übermittlung von Personenbezogenen Daten bereits stattgefunden hat, um die leere Seite anzuzeigen. Dafür bekam der Webserver, der die leere Seite ausgab, die IP des Aufrufenden mitgeteilt, sonst hätte er die leere Seite nicht schicken können. Eine „leere“ Seite ist nämlich nicht leer.

Nur wer GAR KEINE Webseite betreibt, braucht auf der nicht vorhandenen Webseite, keine Datenschutzerklärung 🙂

Wie erreicht man das ?

Man trägt im DNS für die Webseite beim „IN A“ / „ALIAS“ als Ziel IP die 127.0.0.1 ein. Dann fragt der Aufrufende sich selbst und das erfordert keine DSE, weil Euer Server damit nichts zu tun hat.

Von in dem Kontext „Groben Unsinn“ wie die IP eines chinesischen Webservers zu benutzen, der alle Anfragen nimmt und was anzeigt, sollte man dringend absehen, das geht argumentativ in die Hose.

Preise von Emails

Was einem so alles in die Inbox trudelt 😀 Ich hatte vor fast genau 4 Jahren mal die Preise für Facebookfreunde gepostet, jetzt kam eine Wunschvorstellung für Emailadressen rein :

Guten Tag,

Ich verkaufe Emails!

Die Datenbank setzt sich wie folgt zusammen:

@gmx.de 9,6 Millionen Emails
@web.de 7,2 Millionen Emails
@t-online.de 8,8 Millionen Emails
@gmx.net 3,2 Millionen Emails
@freenet.de 4,2 Millionen Emails
@bluewin.ch 2,2 Millionen Emails

1 Million Emails kosten 1000 Euro

Ich akzeptiere als Zahlungsmittel nur bitcoin wenn Ihr also keine Bitcoins habt kontaktiert mich auch nicht!

Es kann auch nicht verhandelt werden die Preise sind fix!

Falls ich Ihr Interesse geweckt habe können Sie mich wie folgt auf Jabber kontaktieren.

Meine Jabber-ID manux(at)jabber.ru (at) durch @ ersetzen.

Wenn Sie nicht wissen was Jabber ist dann laden Sie sich erstmal pidgin herunter und erstellen Sie Ihre eigene Jabber-ID

Unser Freund hier will tatsächlich 1.000 € für 1 Million Adressen haben 🙂 Bisschen happig der Preis. Aber gut, natürlich nur als Bitcoin, soweit ok, weil den kann man ja quasi in beliebig kleine Teile aufteilen, aber der Kontaktweg.. Autsch! Runterladen und installieren.. hmm.. naja.. vielleicht.. Aber eine eigene Jabber-ID erstellen, das wird todsicher für die meisten „Kunden“ ein unlösbares Problem werden 😀

Zu was nützlicherem als illegal erworbenen Emailadressen

Schauen wir uns doch diese Spambewertung an:

 Pkte Regelname              Beschreibung
 ---- ---------------------- --------------------------------------------------
  1.0 SPF_SOFTFAIL           Senderechner entspricht nicht SPF-Datensatz (softfail)
  0.0 FREEMAIL_FROM          Sender email is commonly abused enduser mail provider
                             (kxhllj[at]outlook.com)
  1.1 MIME_HTML_ONLY         BODY: MIME-Nachricht besteht nur aus HTML
  0.0 HTML_MESSAGE           BODY: Nachricht enthält HTML
  0.1 MISSING_MID            Missing Message-Id: header
  0.6 HTML_MIME_NO_HTML_TAG  Nachricht besteht nur aus HTML, hat aber kein
                             "html"-Element
  0.0 LOTS_OF_MONEY          Huge... sums of money

„LOTS OF MONEY“ Ich finde das Kriterium sollte mehr als nur 0.0 Punkte Scoren. Wie viele bekommen schon echte Emails, in denen es um Millionen geht 😉

„SPF_SOFTFAIL“ sollte auch mehr wiegen, weil die Absende Domain nicht zum Server paßt, von der die Email gesendet wurde. Ein typisches Zeichen für Spam, auch wenn Admins so einen SPF Eintrag gelegentlich auch verhunzen können.

Eine fehlende Message ID… soso… eigentlich auch ein sehr gutes Zeichen für SPAM. Echte EMails ohne Message ID würde man wohl auf die Whitelist setzen, weil man sich die selbst schickt.

Was komplett fehlt: Eine Spmassassin Regel für „Zig tausend Freemailadressen im CC:“ 😀 Das nächste mal dann bitte per BCC eintragen, weil per CC ist das ein Datenverbrechen nach EU DS GVO 😉

Ich denke, die Spamassassin-Regeln sollten mal überarbeitet werden, dann flexxen die auch wieder mehr Mails weg.

Wie üblich, in die digitale Tonne damit!

DS GVO: Email Transportverschlüsselung wird Pflicht sein

Willkommen im Chaos des Datenschutzes. Ich hatte ja schon lange den Verdacht, daß EMails auch nur noch mit TLS übertragen werden dürfen, wenn man zum Datenschutz verpflichtet ist. Dabei habe ich mich aber immer gewundert, wieso das nie in der Presse steht. Jetzt wird sich das hoffentlich hektisch ändern.

Die Meinungen zur TLS Verschlüsselung von Emails

Wie uns Rechtsanwalt Schwartmann auf seiner Webseite wissen läßt, ist ab Freitag aufgrund der Datenschutz Grundverordnung wahrscheinlich eine TLS Verschlüsselung für eingehende und ausgehende Emails Pflicht, sofern man ein Unternehmen betreibt oder aus anderen Gründen zum Datenschutz verpflichtet ist.

Nach Ansicht des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen ist eine Transportverschlüsselung auf jeden Fall erforderlich:
Bezüglich der sicheren Implementierung der Transportebene hat das Bundesamt für Sicherheit in der Informationstechnologie die Technische Richtlinie „BSI TR-03108-1: Secure E-Mail Transport“ herausgegeben.
Unter datenschutzrechtlichen Gesichtspunkten ist diese Richtlinie als Stand der Technik zu betrachten, so dass ihre Umsetzung eine notwendige Voraussetzung für die datenschutzkonforme E-Mail-Kommunikation ist.

Quelle: https://www.rechtsanwalt-schwartmann.de/verschluesselungspflicht/
„(Ende Zitat)

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat uns heute morgen endlich wissen lassen, daß nur der Einsatz von TLS 1.2 in Frage kommt:

„Inwieweit ein Provider, der die Infrastruktur zur Verfügung stellt, eine Option anbieten muss, die ausschließlich den Empfang von TLS 1.2 transportverschlüsselten E-Mails zulässt, beurteilt sich nach dem gegenwärtigen Stand der Technik.

Der gegenwärtige Stand der Technik ist, daß TLS 1.2 seit 2008 das Maß der Dinge ist. Der Nachfolger TLS 1.3 wird aber bald kommen, da die Planung des Standards kürzlich beendet wurde. Das hält aber gerade den BUND, wo die Information her ist, nicht davon ab, auch heute noch mit TLS 1.0 zu senden 😀 (Böser Dienstleister vom Bundmailserver 😉 )

IMHO

Ich schließe mich dieser Meinung an, da auch ich die DS GVO so interpretiere, daß alle Kommunikationskanäle verschlüsselt sein müssen. Wie einfach das gehen kann, zeigt folgende Anleitung :

Zunächst mal wählen wir im Account unter „Mailserver“ die „EMail-Options“ aus:

Nun aktivieren wir die beiden obersten Punkte:

„Verbindung zum Server benötigt Verschlüsselung“ und „Empfangener Mailserver muß TLS benutzen“

Das war es dann auch schon, jetzt kommen nur noch TLS gesicherte EMails an den Mailserver ran. Damit entspricht das Mailserververhalten dem geltenden Datenschutzrecht.

Wer es ganz genau nehmen will, der müßte auch noch DANE implementieren, da dies in einer BSI Richtlinie zum Thema gefordert wird. Da DANE aber AFAIK noch nicht 100% ausgereift ist, könnte der Teil schwierig werden, was nicht heißt, das einige Provider dies nicht schon implementiert hätten.

Bei Exim ist grade eine passende Diskussion gestartet worden.

Quellenlinks:

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand.html

https://www.rechtsanwalt-schwartmann.de/verschluesselungspflicht/

https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03108/index_htm.html

Was passiert eigentlich, wenn …

… man ein Laptop mit einer verstärkenden WLAN Antenne in einem Cafe aufbaut, einen nicht geschützten Hotspot startet und dann einen Störsender einsetzt, um alle anderen Kanäle zu blockieren? Die Polizei kommt deswegen jedenfalls nicht, das ist schon mal klar 😀

Man muß die anderen Kanäle nicht mal „stören“, das brutal starke extra aufgemotzte eigene Signal sollte eigentlich schon reichen, wenn es so über die Kanäle streicht. Alle Handies in Reichweite sollten sich dann eigentlich sofort ins eigene Netz verbinden, weil es das stärkste ist und „das andere“ ( z.b. vom Hotspot des Cafes ) überlagert.

Wird bestimmt spannend, wenn das mal jemand durchzieht.