mit der Bund-ID kann man Mein-Justizpostfach nutzen. Aber dass das ein sicherer Kommunikationsweg ist bestreite ich und das BMI hat es bisher nicht beweisen können bzw. wollen.
1 „Gefällt mir“
Für einen juristischen Laien klingt das alles nach „Paragraphenreiterei“…
Ist das so richtig?
Solange das EU-US Data Privacy Framework (DPF) nicht von „Schrems III“ NOYB - Europäisches Zentrum für digitale Rechte über den Europäischen Gerichtshof (EuGH) wieder für ungültig erklärt wurde, kann man sich über „Paragraphen" aus dem Dilemma herauswinden?
Hintergrund dazu aus dem Artikel von noyb Max Schrems über EU-US Data Privacy Framework (DPF):
„Europäische Kommission gibt EU-US-Datentransfers 3. Runde beim EuGH“
1) stellte der EuGH fest, dass die Massenüberwachung nach FISA 702 nicht „verhältnismäßig“ im Sinne von Artikel 52 der EU-Grundrechtecharta ist.
[…]
Der „Trick“ dabei: Die USA werden dem Wort „verhältnismäßig“ eine andere Bedeutung beimessen als der EuGH.2) stellte der EuGH fest, dass der Rechtsbehelf über den „Ombudsmann“ des Privacy Shield nicht im Entferntesten mit Artikel 47 der EU-Grundrechtecharta übereinstimmt. […]
Der „Trick“ beim Rechtsbehelf: Der Ombudsmann-Mechanismus wurde umbenannt und aufgeteilt in einen Civil Liberties Protection Officer (CLPO) und einen sogenannten „Gerichtshof“ (der kein Gericht, sondern ein teilweise unabhängiges Exekutivorgan ist).3) haben sich die USA geweigert, FISA 702 zu reformieren und Nicht-US-Bürger:innen einen angemessenen Schutz ihrer Privatsphäre zu gewähren. Es besteht Einigkeit darüber, dass FISA 702 gegen Grundrechte verstößt: in den USA gegen den 4. Verfassungszusatz und in der EU gegen die Artikel 7, 8 und 47 der Grundrechtecharta
Insgesamt ist das neue „Trans-Atlantic Data Privacy Framework“ eine Kopie von Privacy Shield (von 2016), das wiederum eine Kopie von „Safe Harbor“ (von 2000) war. Da dieser Ansatz bereits zweimal gescheitert ist, gab es keine rechtliche Grundlage für den Kurswechsel - die einzige zugrundeliegede Logik des Abkommens ist politischer Natur.
… das ist gemeint mit „Paragraphenreiterei“, handelt es sich nicht um reine politische Augenwischerei?
Fakt ist doch, es gibt keinen Schutz europäischer Daten! Es hilft kein TLSv1.3,… SMTP-DANE und MTA-STS oder sonst was, wenn es sich um US Provider handelt.
Und das seit 25 Jahren… » https://noyb.eu/de/23-years-illegal-data-transfers-due-inactive-dpas-and-new-eu-us-deals
Interessant der Artikel über Karim Khan’s „Microsofts E-Mail-Sperre“! Dazu gab es ein Update.
Heise Update, 19.05.2025, 18:05 Uhr
Microsoft hat die Sperre Khans inzwischen eingeräumt. Ein Unternehmenssprecher erklärte gegenüber heise online: „Seit Februar stehen wir während des gesamten Vorgangs, der zum Ausschluss des sanktionierten Beamten von den Microsoft-Diensten führte, mit dem IStGH in Kontakt.“ Microsoft habe seine Dienste für den Strafgerichtshof insgesamt „zu keinem Zeitpunkt eingestellt oder ausgesetzt“.
Es scheint irgedwie unklar, ob Khan’s Microsofts E-Mail-Konto privat oder von IStGH war?
Aber auch hier wieder… Das grundlegnde Thema (siehe oben „illegale Datentransfer EU-US-Abkommen“, wird nicht thematisert, sondern „Nebenschauplätze“
Frage:
Wenn Max Schrems vor dem EuGH das dritte Datenschutz-Abkommen „EU-US Data Privacy Framework (DPF)“ kippt, was macht dann mein Anwalt mit seinem Berufsgeheimnis und Microsoft Mail-Server?
2 „Gefällt mir“
und ich dachte ich habe es kurz und knackig ausgedrückt. Ausführlicher in meinen Artikel in der DuD (auf https://blog.lindenberg.one/TopicEmailSicherheit verlinkt).
Die Frage ist wer? Die Auftragsverarbeiter? Linksammlung dazu auf https://www.kanzlei-breyer.de/ra-jonas-breyer-vita/ unter „Publikationen und Medien“.
Aller Wahrscheinlichkeit macht er weiter wie bisher. Auch Schrems I und II haben in der Praxis niemanden gekümmert, weil die Aufsichten weggesehen haben.
3 „Gefällt mir“
Das war gemeint mit „Paragraphenreiterei“. Besser wahrscheilich „Regelungsdefizit“… bzw. dann Max Schrems’ sehr engagierte Arbeit, die als leider eher zahnlos in der Praxis sich erweist. Überall Microsoft Mail-Server!
- Vom Anwalt über Steuerberater,
- diverse Dienstleister (von der Hausverwaltung über Parkplatzvermietung…),
- der Seminaranbieter mit Google-Forms und eigener Mail-Domain, die über Microsoft-Server läuft.
- Dann kommen die Funkmessdaten von Wasser und Heizung (Strom) dazu und deren Bereitstellung in irgendeiner Cloud
- Usw…
Was will man tun?
Beim Anwalt kann recht unkompliziert statt E-Mail Papierpost vereinbart weren, beim Steuerberater auch. Aber bei all den anderen Themen, wird es kompliziert und zeitaufwendig und damit effektiv schnell sinnlos.
PS: Und ein normaler Fachanwalt von heute, zückt fast schneller als man schauen kann, bei einem fremdsprachigen Dokument (Geburtsurkunde, Heirat etc.) sein Google Smartphone mit Scan & Translate und schon ist das persönliche Dokument/Urkunde über die Kamera direkt in der Goolge Cloud! 
3 „Gefällt mir“
nein, Durchsetzungsdefizit. Die DSGVO ist gut, sie wird nur ganz oft ignoriert.
Gerichtsverfahren brauchen Zeit, beim EuGH (wenn man dort ankommt) sagt mein Anwalt aktuell 2 Jahre.
dann hab ich den Stress das einzuscannen und Schnipsel zu erzeugen - dann lieber doch Email.
Schönes Beispiel. Saß im Januar neben (m)einem Anwalt, der sich wunderte, dass ich Bitlocker (mit Preboot-Authentication, sonst hätte er es gar nicht gesehen), also Windows verwende. Sein Laptop? Unverschlüsselt. Angeblich nix wichtiges oder kritisches drauf. Glaube ich nicht, aber Deutschland ist echt Entwicklungsland was Sicherheit und Datenschutz angeht.
2 „Gefällt mir“
Beim Steuerberater Papierpost?
Entweder scannt der Steuerberater den Kram wieder, um es dann in DATEV & anderen Lieblingstools zu verarbeiten oder es gibt teurers Abtippen. Da wäre es doch besser es bspw. direkt auf einer Buchungsplattform wie dem DUO (Datev Unternehmen Online) hochzuladen oder an diese direkt per Mail zu senden.
Und ergänzend noch: Bei vielen größeren Microsoft 365-nutzenden Organisationen sind noch Bordermailer vor der Microsoft Cloud. Teils Sachen wie Cisco Ironport, Mimecast, Proofpoint, usw., teils auch eigene Infrastrukturen (teils auch um bestimmte Mailverkehre komplett selbst in der Hand zu haben). In den Fällen sieht der MX-Record dann „sauber“ aus. (Gilt analog auch für Google Workspace…) Also da sollte es keine Illusionen geben…
1 „Gefällt mir“
Als Ergänzung hier mal ein paar MX Records bei denen Microsoft sogar drin steht:
deutschebahn.com, ‚10 deutschebahn-com.mail.protection.outlook.com.‘
dkb.de, ‚10 dkb-de.mail.protection.outlook.com.‘
commerzbank.com, ‚5 commerzbank-com.mail.protection.outlook.com.‘
bakertilly.com, ‚10 bakertilly-com.mail.protection.outlook.com.‘
sparkasse.de, ‚300 sparkasse-de.mail.protection.outlook.com.‘
golem.de, ‚10 golem-de.mail.protection.outlook.com.‘
bild.de, ‚0 bild-de.mail.protection.outlook.com.‘
welt.de, ‚0 welt-de.mail.protection.outlook.com.‘
faz.net, ‚10 faz-net.mail.protection.outlook.com.‘
tagesschau.de, ‚0 tagesschau-de.mail.protection.outlook.com.‘
…
3 „Gefällt mir“
Zur Papierpost beim Steuerberater. Es gibt da nicht viel zu scannen oder tippen, in dem Fall ist das also kein Problem. Ist natürlich nicht übertragbar auf andere.
Das hab ich nicht verstanden, was du mit den MX Einträgen meinst. Dass das nicht unbedingt heißt, dass die Mails auf Microsoft Mail-Server-Infrastruktur landen? Kannst du das erklären? Danke.
Auf jeden Fall die eingehenden Mails gehen dann über Microsoft-Server. Das ist gesichert.
Und keine Angst es gibt noch X weitere Organisationen bei denen dann Mimecast, Proofpoint und andere US-Anbieter für „Secure E-Mail“ vorgeschaltet (siehe oben) werden. Und dahinter dann wieder 365 oder auch mal ein Google Workplace. Letzteres war bzw. mutmaßlich ist bspw. bei einem der großen vier Wirtschaftsprüfer der Fall. Die großen Strategieberater nutzen auch nicht unerheblich 365. Und dann gibt es noch einen deutschen Konzern der zwar Bordermailer und einen Teil Mailinfrastruktur selbst betreibt, dann aber die persönlichen (nicht privaten 
) Mailkonten über 365 abwickelt.
1 „Gefällt mir“
Und weil’s so schön ist: oft sind Backup- oder Archivierungssysteme für Mails an einen Cloud-Mailanbieter angebunden, d.h. eventuell versuchen manche Nutzer von M365, die Datenhaltung in der EU zu belassen, aber die Mailarchivierung findet auf Servern ausserhalb der EU statt.
Ich hege da großen Zweifel, dass das bei allen Menschen, die sich bis dato zutrauen, selber ein Postfach bei MS, Google, sonstwo zu bestellen, klar ist. Die Anbieter werfen mitunter auch große Nebelkerzen, wo sie z.B. prominent darstellen, wie sicher doch ihr Rechenzentrum sei. Dabei geht es dann nur darum, dass das Rechenzentrum eine Tür mit Schloss hat 
(Sehr grob vereinfacht ausgedrückt).