Datensparsam

Mail-Anbieter muss verschlüsselte Rufnummern nicht herausgeben

Der in Berlin beheimatete E-Mail-Dienstleister posteo.de muss kryptografisch bearbeitete Mobilfunknummern bei Anfragen von Behörden nicht herausgegeben.
Von

Der email Anbieter Posteo muss den Hashwert nicht herausgeben Der email Anbieter Posteo muss den Hashwert nicht herausgeben
© Tomasz Trojanowski - Fotolia.com
Der in Berlin beheimatete E-Mail-Dienstleister posteo.de muss kryptografisch bearbeitete Mobilfunknummern bei Anfragen von Behörden nicht herausgegeben. Die bei Posteo gespeicherten Hashwerte von Kunden-Rufnummern seien keine Bestandsdaten – somit auch nicht auskunftspflichtig. Das ergab eine rechtliche Klärung zwischen Posteo und der Bundesnetzagentur.

Sind kryptografisch entstandene Zeichenfolgen auskunftspflichtig?

Der email Anbieter Posteo muss den Hashwert nicht herausgeben Der email Anbieter Posteo muss den Hashwert nicht herausgeben
© Tomasz Trojanowski - Fotolia.com
Posteo erhebt und speichern aus Sicherheitsgründen grundsätzlich keine personenbezogenen Daten zu seinen E-Mail-Postfächern. Das hatte zuletzt auch die Bundesdatenschutzbeauftragte Andrea Voßhoff in Ihrem Prüfbericht zu Posteo bestätigt.

Sensible Daten kryptografisch geschützt

Für die „Passwort-Vergessen-Funktion“ können Kunden beispielsweise Ihre Mobilfunknummer verwenden. Diese wird aber bereits lokal auf dem Gerät des Kunden (im dortigen Browser) in eine beliebige Zeichenfolge umgewandelt. An Posteo wird vom Browser des Nutzers nur diese Zeichenfolge übermittelt – und für den Fall eines Passwortverlustes gespeichert, nicht aber die eigentliche Mobilfunknummer.

Fachleute nennen dieses Umrechnen sensibler Daten "Hashen", wobei Posteo noch ein „Salt“ dazu gibt. Dazu werden der Mobilfunknummer zunächst weitere Zeichen hinzugefügt, das sogenannte „Salt“, die Nummer wird länger. Zum Umrechnen werden sogenannte „mathematische Einwegfunktionen“ eingesetzt, die nicht umkehrbar sind.

„Nutzlose“ Zeichenfolgen

Für Behörden wären die entstandenen Zeichenfolgen wegen des fehlenden Salt-Wertes nutzlos: Das Zurückrechnen der Hashwerte in die ursprüngliche Mobilfunknummer ist rein mathematisch nicht möglich. Auch ein Erraten des Ergebnisses durch das Ausprobieren aller möglichen Kombinationen (Brute-Force-Attacke) sei technisch unmöglich, so Posteo.

Bundesnetzagentur prüft genau

Im November 2015 teilte die Bundesnetzagentur (BNetzA) mit, dass ihre Rechtsabteilung darüber entscheiden werde, ob die Hash-Zeichenfolgen bei Posteo rechtlich als personenbeziehbare Daten einzustufen seien. Falls ja, hätte der Anbieter sie nach § 113 TKG bei Anfragen den Behörden übergeben müssen. Präzedenzfälle oder einschlägige Literatur gab es noch nicht.

Eigenes Gutachten angefordert

Posteo wollte die Entscheidung nicht abwarten, sondern beauftragte die auf Telekommunikationsrecht spezialisierte Kanzlei Kleiner. Deren Gutachten legte der Anbieter dann der Bundesnetzagentur vor.

Kryptografisch bearbeitete Daten mitunter nicht auskunftspflichtig

Der rechtliche Status von auf diese Weise kryptografisch bearbeiteten Daten ist gerade vor dem Hintergrund der Debatten um die neue staatliche Entschlüsselungsbehörde ZITIS interessant. ZITIS soll u.a. beim Entschlüsseln von Daten helfen, die staatliche Stellen z.B. von Telekommunikationsunternehmen erhalten haben. Ob und auf welcher Rechtsgrundlage die Unternehmen zur Herausgabe beliebiger Zeichenfolgen (Hash-Zeichenfolgen oder verschlüsselte Daten) überhaupt verpflichtet sind, ist bisher nicht in jedem Fall abschließend geklärt.

Das eindeutige Ergebnis des 19-seitigen Rechtsgutachtens: Die durch mathematische und kryptografische Verfahren errechneten Prüfwerte für Mobilfunknummern sowie auch die Salt-Werte sind keine Bestandsdaten – und nicht auskunftspflichtig. Die Salt-Werte würden von Posteo schließlich auch „nicht im Sinne des Gesetzes erhoben, sondern für interne technische Zwecke frei generiert.“

Bundesdatenschutzbeauftragte: „kein personenbeziehbares Datum“

Von Posteo befragt, bezog die Bundesdatenschutzbeauftragte Andrea Voßhof ebenfalls Stellung: „ist der gespeicherte („gesaltete“) Hashwert kein personenbeziehbares Datum."

Im Oktober 2016 teilte die Bundesnetzagentur „im Ergebnis die Auffassung des Rechtsgutachtens“ und verpflichtete den Anbieter, das Vorgehen bei der Passwort-Vergessen-Funktion im hinterlegten Sicherheitskonzept eingehender zu beschreiben. Im Dezember 2017 folgte die erneute Bestätigung, dass es sich bei den Hashwerten nicht um ein Bestandsdatum handelt. Das Konzept des Anbieters sei „konsequent datensparsam“ und damit besonders sicher: Es fallen völlig rechtskonform keine personenbeziehbaren IP-Adressen an. Sie können deshalb auch nicht erhoben oder gespeichert werden.

Streit um SINA

Noch im Clinch mit Behörden und Juristen befindet sich Posteo, ob sie eine sogenannte SINA-Box aufstellen müssen. In der Telekommunikations-Überwachungsverordnung gibt es die Pflicht für Telekommunikations-Anbieter, ab einer Teilnehmerzahl von 10 000 einen speziellen Computer (SINA-Box) aufzustellen. Posteo könne nicht zweifelsfrei sagen, wie viele Teilnehmer ihr Dienst habe, da keine Bestandsdaten der Nutzer erhoben werden. Man kenne nur die Anzahl der Postfächer.

Solange die Teilnehmerzahl noch nicht juristisch abschließend geklärt sei, habe Posteo noch keine solche Box gekauft oder installiert.

Was ist SINA?

Eine SINA-Box [Link entfernt] ist ein Computer, der eine verschlüsselte VPN-Verbindung zu den berechtigten Behörden aufbaut. Gegenüber der weit verbreiteten Vermutung, die Überwachungsbehörde könnte damit unbemerkt jeglichen Mailverkehr „ausleiten“, ohne, dass die Betroffenen oder der Provider das merken, erlaubt die SINA-Box dem Mailprovider nur, den Inhalt eines Postfachs über die SINA-Box auf einem Behörden-Server abzuspeichern, wenn ein Richter die Herausgabe/Überwachung eines Postfachs angeordnet haben sollte. Danach hätte nur noch die Behörde Zugriff auf genau diese Daten. Das wären aber ausschließlich die Daten, die der Mailprovider dort selbst hinterlegt hätte.

Mehr zum Thema Recht