[\Datenschutznazi on]
Abgesehen vom fail alles in eine Mail zu hauen, dürften eigentlich noch nicht mal jegliche personenbezogenen Daten per unverschlüsselter Mail verschickt werden.
[\Datenschutznazi off]
Sollte nicht eine Transportverschlüsselung genügen solange sichergestellt ist, dass diese auch verwendet wird? Schulen betreiben doch oft die Mailserver selber.
TLS erfordert, dass auch die Gegenstelle verschlüsseln kann und die beiden Mailserver (Sender und Empfänger) das auch brav aushandeln. Aber auch wenn das reibungslos funktioniert änderst du ja nix an der Tatsache, das alle Empfänger Zugriff auf alle Passwörter haben.
Es ist mir schon klar, dass man nicht alle Benutzerdaten an alle schicken darf.
Aber wenn der Mailserver für die User nur verschlüsselte Verbindungen erlaubt (was mittlerweile bei fast jeden Mailserver konfiguriert ist) und Sender und Empfänger den selben Mailserver (der Schule) verwenden müsste das versenden von persönlichen Daten DSGVO konform sein.
Wenn es unterschiedliche Mailserver sind ist es problematisch, da normalerweise nicht angezeigt wird ob eine Verschlüsselung zwischen den Mailservern verwendet wird. Zumindest ist mir diese Funktion nur bei Mailbox.org bekannt. https://kb.mailbox.org/display/MBOKB/Wird+der+Versand+meiner+E-Mail+verschluesselt
Nein das ist leider schon in der Grundannahme falsch. Wenn du nicht gerade an einer Hochschule studierst haben die Schüler keine eigene Mailadresse auf dem Schulserver. Die Dame schickt also ihren Mailverteiler an all die Gmail, Web.de und GMX Mailserver dieser Welt. Da hast du alles dabei, inklusive Papis Strato Domäne, die er vor 10 Jahren mal für den lokalen Tennisverein angemietet hat und dessen Mailadressen für die ganze Familie auf einer uralten Config laufen. Ein sogenanntes "mandatory TLS", also die erzwungende Verschlüsselung funktioniert so unfassbar schlecht in solchen Umgebungen, dass es nur in sehr restriktiven Umfeldern aktiviert ist: Kommunikation zwischen Banken und Großkunden; Automotive zu Lieferanten usw. Also nur da, wo du deinem Kommunikationspartner einen Standard diktieren kannst.
Darüber hinaus ist damit ja gerade mal der Übertragungsweg DSGVO konform, also eine einzige Komponente. Wir haben noch nicht über einen Mailclient gesprochen oder dem Rest des "Verfahrens zum Mailversand" im Sinne des DSGVO. Hier werden die Leute ja nicht alle den Webclient mit einem modernen, sicheren Browser verwenden, sondern jedes Verbrechen das man sich so Vorstellt (inklusive Papas T-Online Software von 2007 auf dem Windows XP). Ach ja, besonders schützenswerte Inforamtionen im Sinne des DSGVO sind per Mail eh mal raus - auch wenn unsere Regierung der Meinung ist, dass das mit DE-Mail auch gehen würde.
Also kurz und knapp: Du wirst es nicht schaffen, irgendwas in diesem Vorgang DSGVO konform zu machen. Die Dame sollte niemals mehr ne Mail mit sensiblen Informationen an irgendeinen ihrer schüler versenden, dazu fehlt ihr jede Awareness.
Pete (nicht überprüft)
0
0
Als ich letztes Jahr mit einem Datenschutzanwalt zu tun hatte, lief alles über "normale" Mail, halt nur die Verbindung verschlüsselt, nicht die Mail selbst. Der meinte dass das dieses Grücht ein riesen Unfug ist und man das weiterhin machen kann.
Super Sache, dann nehmen die Schüler den Zugang vom Mobbingopfer, setzen Ihr eigenes Passwort und treiben Unwesen.
In der Schule meiner Frau haben Trolle diverse Schülerkonnten gesperrt in dem sie einfach absichtlich oft genug ein falsches Passwort eingegeben haben...
Und da waren nur die Benutzernamen vorhersehbar (a la vorname.nachname@... )
