von Joomla-Website zu sendende eMails vor Versand verschlüsseln - aber wie?

Gerade lese ich entsetzt folgende Meldung: https://www.heise.de/news/BND-soll-…n-11136509.html Ich bin Heilpraktiker der Psychotherapie und lege auf Datenschutz größten Wert. Auf meiner Website betreibe ich einen Buchungskalender von Joomdonation. Es ist der einzige Buchungskalender für Joomla, der meine terminlichen Anforderungen erfüllt. Jameda, Doctolib und andere dubiose Unternehmen scheiden für diesen Zweck aus.

Angesichts der o.g. Meldung möchte ich meine Klienten vor staatlicher Spionage so gut wie möglich schützen. Daraus ergibt sich die Frage: Gibt ob es Möglichkeiten, dass alle von der Website versendeten eMails verschlüsselt versendet werden z.B. mit PGP oder anderem? Blöd ist natürlich dann, dass Mails, die direkt an die Klienten versendet werden wie z.B. eine Buchungsbestätigung für die Empfänger nur gelesen werden können, wenn die entsprechende Entschlüsselung eingerichtet haben. Das kann ich nicht erwarten.

Alternativ dazu kann ich mir auch vorstellen, dass Nachrichten, die meine Website versendet, automatisch über Signal verschickt werden. Das dürfte aber technisch noch schwieriger werden. Zudem: Wie verbreitet ist Signal bei meinen Klienten?

Eine weitere Schwierigkeit dürfte auch darin bestehen, dass nur die eMails abgesichert versendet werden sollen, die von bestimmten Extensions versendet werden, wie z.B. dem Buchungskalender. Die Mails meines Newsletters sollten dagegen wie bisher versendet werden.

Daraus ergibt sich wiederum die Frage: wer hat sich schon mit der Frage der Sicherheit / dem Datenschutz von eMails beschäftigt, die von der eigenen Joomla-Website aus versendet werden.

Bin sehr gespannt auf die Antworten....

Auf meinen PCs und unter Android nutze ich Thunderbird. Auf der Joomla-Website werden Emails über den Joomla-eigenen SMTP-Anschluss getätigt.

Übrigens: Gerade habe ich die Datenschutzerklärung mit einem Hinweis auf die staatliche Überwachung ergänzt. Wer mit mir sicher Kontakt aufnehmen will, kann dies über Signal oder über den von mir betriebenen Jitsi-Server tun.

Ich nutze bereits eine selbst gehostete Nextcloud. Die mache ich aber aus Sicherheitsgründen nicht für Klienten zugänglich und es würde auch schnell unübersichtlich, wegen der entstehenden großen Zahl an Zugängen.

Wie ich im OP schrieb, geht es mir speziell um Mails, die z.B. vom Buchungskalender stammen. Denn hier werden zusammen mit dem kompletten Kontaktdaten des Klienten auch dessen Termine, die Terminhäufigkeit und die Art meiner Leistung (Beratung, Coaching, Psychotherapie, Supervision) sichtbar.

Es gibt ja sogar noch eine kritische Stelle: Alle Termine meiner Klienten liegen in einem Nextcloud-Kalender, den ich über Web-DAV / Cal-DAV abrufe / synchronisiere, sodass ich diese Daten auf allen entsprechend eingerichteten Geräten habe. Ob das sicher ist, hatte ich vor längerer Zeit mal beim BSI abgefragt. Die bestätigten mir sogar, dass das sicher (genug) sei, wenn die synchronisierten Geräte ebenfalls gesichert seien.

Selbst das aktuelle Konzept hat betreffend Jitis ein Problem, weil ich bis jetzt die Einladungen zu einem Videogespräch per eMail versende. Damit sind die Zugangsdaten bereits kompromittiert. Streng genommen, müsste ich die Zugangsdaten zum Jitsi-Gespräch per Signal versenden. Mir ist klar, dass es wohl überlegter Anstrengungen bedarf, um der staatlichen Schnüffelei zu entkommen oder es mindestens den Schnüfflern so schwer wie möglich zu machen. – Überleg mal, welche Berufe außerdem noch betroffen sind! Z.B. Ärzte, Rechtsanwälte, Priester, Schwangerschaftsberatung usw....

agarbathi Ja, dass dann meine Klienten überfordert wären und zudem abgeschreckt wären, wenn sie verschlüsselte Mails erhalten, ist mir schon klar. Das hatte ich im OP schon geschrieben.

Die Nextcloud löst mein vorrangiges Thema nicht, nämlich bei Buchung über den Praxis-Buchungskalender die Übertragung der gesamten Kontaktdaten und die Buchungsbestätigung an den Klienten und mich per eMail. Das war der Anlass in Verbindung mit der Nachricht über Heise, dass ich das Thema hier auch von anderen betrachten lasse, um evtl. Lösungen zu finden, auf die ich bis jetzt nicht gekommen bin.

Der Buchungskalender sendet immer nach einer Buchung eine Mail an den Klienten, in der er einen Link zur Bestätigung anklicken muss. Klickt er, dann erhält er die Buchungsbestätigung per Mail und ich erhalte die Nachricht, dass eine Buchung eingegangen ist. Ferner erhält der Klient, falls er dies als Option aktiviert hatte, 24 Stunden vor dem Termin eine Erinnerungs-Mail. – Ich wüsste nicht, wie das über meine Nextcloud abgewickelt werden könnte.

Zweitrangig ist Icagenda, über das Interessenten die Teilnahme an Workshops usw. buchen können. Aber auch da läuft im Prinzip die ganze Buchung so ab, wie im Buchungskalender.

Letztrangig ist demgegenüber mein Newsletter-Angebot. Die Eintragung in den Newsletter (NS-Pro) läuft ebenfalls wie in den beiden oberen Fällen, nur erhalte ich keine Nachricht, wenn sich jemand ein- oder ausgetragen hat. Beim Newsletter erwarten die Interessenten ja geradezu, dass etwas per Mail kommt.

Auch wenn wir hier in der Diskussion vielleicht keine Lösung finden, so steht die Problematik aber jetzt im Raum und sie wird sich im Rahmen von Überwachung, Zensur und Repression im „besten Deutschland aller Zeiten” noch weiter verschärfen. Aktuell werde ich viele Beiträge auf meiner Website löschen, weil ich therapeutische Ansichten vertrete, die in Widerspruch zu den WHO-Vorgaben und den Behandlungsleitlinien der sogenannten „Fachgremien” und „Fachverbände” stehen. Diese Ansichten sind aber für Interessenten wichtig, weil sie sehen können, wie ich arbeite und wie ich mich mit meinen Methoden von vielen anderen Anbietern unterscheide.
Also: auch wenn wir hier jetzt keine Lösung finden, so mag diese Diskussion doch das Bewusstsein von uns Website-Betreibern schärfen für diese Problematik.

agarbathi Ich danke dir für deine beiden Nextcloud-Tipps. Beide kannte ich und hatte sie geprüft. Wenn, dann käme Appointments in Frage. Aber es bietet entscheidende Konfigurationen nicht, die ich zwingend für meine Praxis benötige, wie z.B. dass es nur bestimmte Zeitraster zum Buchen gibt und dass wenn eine bestimmte Buchung erfolgt ist, ein darauf folgendes Zeitraster blockiert wird.

Zudem passt die Benutzeroberfläche für die Klienten nicht, weil alle Buchungsschritte in einem Schritt erfolgen und es dadurch zu kompliziert wirkt. So benötigen z.B. stark depressive Menschen einen extrem kleinschrittigen Buchungsvorgang, weil sie sofort überfordert sind. Also erst die gewünschte Praxis auswählen (ich habe zwei) oder Video-Gespräch und dann die Leistungskategorie (z.B. Coaching, Therapie, Supervision usw.). Von dieser Auswahl hängt ab, welche Termine im nächsten Schritt verfügbar sind. Da erscheint dann ein Kalender auf dem zunächst das gewünschte Datum angeklickt wird und dann werden die verfügbaren Zeiten angezeigt. Nachdem dies bestätigt ist, werden im dritten Schritt die Kontaktdaten erfasst, AGB akzeptiert und eine automatische Termin-Erinnerung ist wählbar. Und wenn das abgesendet worden ist, muss innerhalb der nächsten 60 Minuten ein Bestätigungslink in einer Mail angeklickt werden, damit die Buchung wirklich abgeschlossen ist. Damit ist dann auch rechtswirksam ein Vertrag zustande gekommen, der nachweisbar ist.

Es hat mich ein halbes Jahr gekostet, die Extension von Joomdonation zu finden und dann die Konfiguration an meine Vorgaben anzupassen. Mehrere Extensions hatte ich zuvor erprobt. Die fehlenden Features konnte ich immer erst feststellen, nachdem ich die jeweilige Extension installiert hatte und dann per Konfiguration meine Vorgaben erfüllen wollte.
Zudem hatte ich die Vorgabe, dass der ganze Buchungsvorgang in einem iFrame bzw. Overlay ablaufen muss, damit der Buchende nicht durch Webseiten-Inhalt rings herum abgelenkt wird.

Beim aktuellen Stand glaube ich schon, das derzeit mögliche Optimum erreicht zu haben. Nur angesichts der sich veränderten Politik stellen sich immer wieder neue Datenschutz-Themen!

Ein IT-Kollege sagte mir, dass meine Bemühungen sinnlos seien, weil z.B. die Buchungsdaten auf meiner Joomla-Website in der Extension bzw. der Datenbank 60 Tage lang gespeichert bleiben. Wenn „der Staat / der BND” oder sonst ein staatlicher Hacker Zugriff haben will, kann er sich den über den Webhoster jederzeit verschaffen und liest dann z.B. die Joomla-Datenbank aus.
Gut… dagegen kann ich nix machen. – Aber ich kann wachsam bleiben und Möglichkeiten für mehr Sicherheit ständig prüfen (was ich hiermit getan habe).

Neee nicht mal das würde schützen, denn rein kommen staatliche Hacker immer und wenn, dann praktisch immer unsichtbar. Die kämen auch in meine Nextcloud rein, wenn sie wollten, auch wenn die ebenfalls zuhause laufen würde.

Also jetzt wird es unsachlich und da steige ich aus.

Betreffend Whatsapp erübrigt sich jeder Kommentar, zumal die Inhalte der Chats auf deren Servern liegen bleiben, wie bei Facebook (und Telegram) auch. Whatsapp gehört zu META und denen traue ich grundsätzlich nicht.

Signal ist da ne Nummer anders, schon weil keine Inhalte auf deren Servern liegen bleiben. Und mein Jitsi ist ebenfalls sicher. Beide dürften nur schwer von staatlicher Seite gehackt werden. Da installieren die dir lieber Spionagetools auf deine Endgeräte und umgehen so die E-2-E Verschlüsselung.