Wie anonym darf ein E-Mail-Dienst sein?

Erstellt am 15. März 2018, 13:25 Uhr | Kategorie: Medien

Posteo hat gegenüber der Bundesnetzagentur durchgesetzt, gehashte Mobilfunknummern der Kunden nicht herausgeben zu müssen.

Der Mailprovider Posteo muss die gespeicherten Hashwerte von Kunden-Rufnummern nicht an Behörden herausgeben. Das hat eine rechtliche Klärung zwischen Posteo und der Bundesnetzagentur (BNetzA) ergeben.

zum Artikel

BNetzA-Entscheidung zu Posteo: Kryptographisch bearbeitete Daten nicht auskunftspflichtig

Erstellt am 13. März 2018, 08:30 Uhr | Kategorie: Info

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,

wir legen heute das Ergebnis einer rechtlichen Klärung zwischen Posteo und der Bundesnetzagentur (BNetzA) offen: Wir müssen kryptographisch bearbeitete Mobilfunknummern bei Anfragen von Behörden nicht herausgegeben. Die bei Posteo gespeicherten Hashwerte von Kunden-Rufnummern sind keine Bestandsdaten – und somit auch nicht auskunftspflichtig. Hierzu veröffentlichen wir auch ein Rechtsgutachten der Kanzlei KLEINER Rechtsanwälte, das wir beauftragt hatten. Die Veröffentlichung erfolgt aus Transparenzgründen: Für Sie als Posteo-Kunden hat die Klärung mit der Behörde keine Auswirkungen, es ändert sich nichts. #more#

Sind kryptographisch entstandene Zeichenfolgen auskunftspflichtig?

Bei Posteo erheben und speichern wir aus Sicherheitsgründen grundsätzlich keine personenbezogenen Daten zu den E-Mail-Postfächern. Das hatte zuletzt auch die Bundesdatenschutzbeauftragte Andrea Voßhoff noch einmal in Ihrem Prüfbericht zu Posteo bestätigt.

Stattdessen schützen wir sensible Daten durch kryptographische Verfahren:
Für die „Passwort-Vergessen-Funktion“ können Sie beispielsweise Ihre Mobilfunknummer verwenden. Sie wird aber bereits lokal auf Ihrem Gerät (in Ihrem Browser) in eine beliebige Zeichenfolge umgewandelt. Hierfür werden mathematische bzw. kryptographische Verfahren eingesetzt. An Posteo wird nur diese Zeichenfolge übermittelt – und für den Fall eines Passwortverlustes vorgehalten. Nicht Ihre Mobilfunknummer.

In der Fachsprache nennt man dieses Umrechnen von sensiblen Daten „Hashen", bei uns auch mit „Salt“.
Hierbei werden Ihrer Mobilfunknummer zunächst zusätzliche Zeichen hinzugefügt, damit sie länger wird (Salt). Für das Umrechnen werden dann so genannte „mathematische Einwegfunktionen“ eingesetzt, die nicht umkehrbar sind.
Der Salt war zu keinem Zeitpunkt ein personenbezogenes Datum und ist nicht auskunftspflichtig.
Für Behörden wären die entstandenen Zeichenfolgen wegen des fehlendenden Salt-Wertes nutzlos: Das Zurückrechnen der Hashwerte in die ursprüngliche Mobilfunknummer ist rein mathematisch nicht möglich. Auch ein Erraten des Ergebnisses durch das Ausprobieren aller möglichen Kombinationen (durch eine so genannte Brute-Force-Attacke) ist technisch unmöglich.

Dennoch liess uns das für uns zuständige Referat in der Bundesnetzagentur(BNetzA) im November 2015 wissen, dass in der Rechtsabteilung der Behörde darüber entschieden werde, ob die Hash-Zeichenfolgen bei Posteo rechtlich als personenbeziehbare Daten einzustufen sind. Dann hätten wir sie nach § 113 TKG bei Anfragen den Behörden übergeben müssen. Präzedenzfälle und Rechtsliteratur fehlten.
Wir warteten die Entscheidung unserer Aufsichtsbehörde nicht ab – sondern beauftragten die auf Telekommunikationsrecht spezialisierte Kanzlei „KLEINER Rechtsanwälte“ mit einem umfangreichen Rechtsgutachten. Dieses legten wir der Bundesnetzagentur vor.

Kryptografisch bearbeitete Daten mitunter nicht auskunftspflichtig

Der rechtliche Status von auf diese Weise kryptographisch bearbeitete Daten ist gerade vor dem Hintergrund der Debatten um die neue staatliche Entschlüsselungsbehörde ZITIS interessant. ZITIS soll u.a. beim Entschlüsseln von Daten helfen, die staatliche Stellen z.B. von Telekommunikationsunternehmen erhalten haben. Doch ob und auf welcher Rechtsgrundlage die Unternehmen zur Herausgabe beliebiger Zeichenfolgen (Hash-Zeichenfolgen oder verschlüsselte Daten) überhaupt verpflichtet sind, ist bisher nicht in jedem Fall abschließend geklärt.

Das eindeutige Ergebnis des 19-seitigen Rechtsgutachtens: Die durch mathematische und kryptographische Verfahren errechneten Prüfwerte für Mobilfunknummern sowie auch die Salt-Werte sind keine Bestandsdaten – und nicht auskunftspflichtig.

Die Autorin des Gutachtens, Dr. Grace Nacimiento von der Kanzlei KLEINER erklärt:

„Der Einsatz von Salt-Wert und kryptographischer Hashfunktion durch Posteo sorgt dafür, dass eine vom Kunden eingegebene Mobilfunknummer anonymisiert wird, bevor eine Übermittlung an Posteo erfolgt. Für die bei Posteo allein gespeicherten Hashwerte fehlt es daher an einem Personenbezug, d.h., die gespeicherten Hashwerte erlauben keinen Rückschluss auf die Person des Kunden oder dessen Mobilfunknummer. Die gespeicherten Hashwerte sind daher kein Bestandsdatum im Sinne des § 95 TKG und unterliegen damit auch nicht der Auskunftspflicht nach § 113 TKG. Das gilt auch für die Salt-Werte. Sie haben keine Bedeutung für das Vertragsverhältnis mit dem Kunden und lassen keinen Rückschluss auf die Person des Kunden zu. Die Salt-Werte werden von Posteo schließlich auch nicht im Sinne des Gesetzes erhoben, sondern für interne technische Zwecke frei generiert.“

Das Gutachten legten wir auch der Bundesdatenschutzbeauftragten Andrea Voßhof vor. Sie bezog wie folgt Stellung:

„Auch aus meiner Sicht ist der gespeicherte gesaltete Hashwert kein personenbeziehbares Datum. (…) Zusammenfassend stelle ich fest, dass Posteo im Sinne des § 95 TKG keine Bestandsdaten erhebt“.

Im Oktober 2016 teilte uns schliesslich auch die Bundesnetzagentur erstmals mit:

„Mit Blick auf die Frage, ob es sich bei dem persistent gespeicherten gesalteten Hashwert um ein Bestandsdatum handelt, teilt die Bundesnetzagentur im Ergebnis die Auffassung des Rechtsgutachtens (…)“

In der Folge dieser Entscheidung verpflichtete uns die BNetzA dazu, unser Vorgehen bei der Passwort-Vergessen-Funktion in unserem bei der Behörde hinterlegten Sicherheitskonzept eingehender zu beschreiben. Wir erhielten im Dezember 2017 noch einmal die Bestätigung, dass es sich bei den Hashwerten nicht um ein Bestandsdatum handelt.

Der Vorgang ist aus unserer Sicht nun abgeschlossen. Die lokal im Browser des Nutzer erzeugten Hash-Zeichenfolgen sind keine Bestandsdaten, sie müssen bei Anfragen nicht an Behörden herausgegeben werden. Wir veröffentlichen nun das Rechtsgutachten, weil wir aufzeigen wollen, dass der rechtliche Status verschlüsselter Daten nicht immer geklärt ist. Und weil das Rechtsgutachten der Kanzlei KLEINER auch über Posteo hinaus einen Beitrag zur rechtlichen Debatte leisten kann.

Offenlegung: Andere Streitthemen mit BNetzA noch ungeklärt

Wir stehen aktuell zu weiteren Themen in einem angestrengten rechtlichen Austausch mit einem anderen Referat unserer Aufsichtsbehörde.
Zum einen, weil unser konsequent datensparsames Konzept sehr besonders und sicher ist: So fallen in unserem System völlig rechtskonform keine personenbeziehbaren IP-Adressen an. Sie können deshalb auch nicht erhoben oder gespeichert werden.
(Beleg: Prüfbericht der Bundesdatenschutzbeauftragten)

Zum anderen sind wir gemeinsam mit unseren Anwälten der Ansicht, dass die Behörde mit ihren Forderungen weit über das gesetzlich Zulässige und sicherheitstechnisch Vertretbare hinausgeht. So werden richterlich angeordnete Telekommunikationsüberwachungsmaßnahmen (TKÜ) bei uns beispielsweise weiterhin ohne SINA-Lösung durchgeführt. Über eine aus unserer Sicht rechtskonforme Umsetzung streiten wir seit mehreren Jahren mit dem zuständigen Referat der BNetzA. Unser Rechtsanwalt Prof. Dr. Stefan König vertritt uns in dieser Sache ebenso wie unsere Rechtsanwältin Dr. Grace Nacimiento.

Sobald sich hierzu neue Entwicklungen ergeben, werden wir über diese im Posteo-Blog und als Beitrag unter unseren Transparenzberichten informieren. Eine Kurzzusammenfassung des Rechtsgutachtens finden Sie direkt unter diesem Beitrag.

- Das vollständige Gutachten können Sie im PDF-Format hier aufrufen: Gutachten
- Wie viele TKÜ im letzten Jahr bei Posteo durchgeführt wurden, ist im Transparenzbericht auf unserer Webseite nachzulesen.

Als Provider tragen wir Verantwortung; und wir können einen Beitrag zur demokratischen Kontrolle leisten. Deshalb werden wir unser rechtliches Engagement auch in Zukunft fortsetzen – und wo es notwendig wird, weiter verstärken.

Viele Grüße
Ihr Posteo-Team



Kurz-Zusammenfassung der Ergebnisse des Gutachtens

1. Posteo ist als internetbasierter E-Mail-Dienst als Telekommunikationsdienst i.S.d. § 95, § 3 Nr. 24 TKG zu qualifizieren. Nach der aktuellen Rechtsprechung des Verwaltungsgerichts Köln, determiniert auch bei einer Signalübertragung über das Internet der Diensteanbieter den Übertragungsvorgang, so dass das Tatbestandsmerkmal der Signalübertragung über Telekommunikationsnetze erfüllt ist

2. Bei den bei Posteo vorhandenen, auf Basis von Mobilfunknummern „gehashten und gesalteten“ Daten handelt es sich nicht um Bestandsdaten von Teilnehmern i.S.d. § 95 i.V.m. § 3 Nr. 3 TKG. Es lässt sich bereits nicht feststellen, ob es sich bei der dem Hashwert zugrunde liegenden Mobilfunknummer um ein Teilnehmerdatum i.S.d. § 95 TKG handelt oder um ein Nutzerdatum handelt, das vom Anwendungsbereich des § 95 TKG schon nicht erfasst ist. Selbst wenn man aber die vom Kunden eingegebene Mobilfunknummer als relevantes Bestandsdatum qualifizieren würde, wird durch den Einsatz von Salt-Wert und kryptographischer Hashfunktion noch in der lokalen Umgebung des Nutzers eine Anonymisierung dieses Datums bewirkt, bevor Posteo dieses übermittelt bekommt. Diese hat zur Folge, dass es sich jedenfalls mangels herstellbaren Personenbezugs bei den allein gespeicherten Hashwerten nicht mehr um Teilnehmerdaten i.S.d. § 95 TKG handelt. Ein Rückschluss auf den Klartext oder die Person des Kunden ist auf Basis der zu Posteo übermittelten Daten technisch nicht möglich.

3. Darüber hinaus handelt es sich bei diesen anonymisierten Daten, die nicht gezielt zur Erbringung des Dienstes abgefragt, sondern rein optional und auf Initiative des Kunden übermittelt werden, auch nicht um vom Anbieter des Dienstes i.S.d. § 95 TKG „erhobene“ Daten.

4. Auch der von Posteo verwendete, für jeden Kunden individuell eingesetzte „Salt-Wert“ stellt kein Bestandsdatum i.S.d. § 95 TKG dar. Dieser Wert weist weder einen Bezug zum Vertragsverhältnis auf, noch weist er den erforderlichen Personenbezug auf, ist demnach auch kein Teilnehmerdatum im Sinne des Gesetzes.

5. Als Anbieter eines öffentlich zugänglichen Dienstes der elektronischen Post ist Posteo schließlich auch nicht zur Erhebung und Speicherung von Bestandsdaten verpflichtet. Die in § 111 Abs. 1 Satz 3 TKG enthaltene Speicherpflicht bezieht sich lediglich auf Daten, die der Anbieter ohnehin erhebt.

Posteo fordert Transparenzpflicht

Erstellt am 20. Januar 2018, 13:05 Uhr | Kategorie: Medien

Der E-Mail-Dienst Posteo hat einen Transparenzbericht für das Jahr 2017 veröffentlicht. Daraus geht hervor, wie häufig Behörden – Strafverfolgung oder Nachrichtendienste etwa – Kundendaten anfragen. Der Anteil der rechtswidrigen Ersuchen lag bei rund 42 Prozent. Posteo fordert, dass Transparenzberichte für alle Telekommunikations-Anbieter verpflichtend werden sollen.

zum Artikel

Mail-Dienst Posteo fordert Pflicht zu Transparenzberichten über Userdaten-Anfragen

Erstellt am 18. Januar 2018, 10:42 Uhr | Kategorie: Medien

Der Mail-Dienst Posteo will Transparenzberichte in Deutschland etablieren und geht mit gutem Beispiel voran. Der aktuelle Bericht zeigt, wie oft Behörden und Nachrichtendienste im vergangenen Jahr Kundendaten anforderten.
Der deutsche E-Mail-Dienstleister Posteo hat auch in diesem Jahr einen Transparenzbericht vorgelegt. Darin sind alle Anfragen von Strafverfolgungbehörden und Nachrichtendiensten des vergangenen Jahres aufgeführt. Außerdem gibt Posteo Auskunft darüber, wie oft es die angeforderten Daten tatsächlich herausgegeben hat.

zum Artikel

Transparenzbericht 2017: Posteo fordert Verpflichtung für TK-Anbieter

Erstellt am 17. Januar 2018, 14:15 Uhr | Kategorie: Info

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir möchten, dass Sie wissen, wie häufig Behörden bei uns um Kundendaten ersuchen. Deshalb veröffentlichen wir heute unseren Transparenzbericht für das Jahr 2017. In ihm legen wir offen, wie oft Strafverfolgungbehörden und Nachrichtendienste sich im Jahr 2017 an uns gewandt haben – und wie oft wir tatsächlich Daten herausgeben mussten. Der Bericht enthält alle Behördenanfragen, die wir erhalten haben.

Die Zahlen im Überblick

Im Jahr 2017 haben wir insgesamt 48 Anfragen erhalten. Nach einem Rückgang der Anfragen im Jahr 2016 erreichte die Zahl somit wieder das Niveau von 2015. Die Anzahl der Postfächer hat sich bei Posteo seit 2015 allerdings verdoppelt, sodass die Anfragequote pro Postfach stark rückläufig ist.

15 Prozent aller Ersuchen im Jahr 2017 standen im Zusammenhang mit einem Fall.
#more#

Die Zahl der Ersuchen nach Bestandsdaten stieg von 28 im Jahr 2016 auf 41 im Jahr 2017.
Die Verkehrsdatenersuchen gingen hingegen das zweite Jahr in Folge zurück: Nach 6 Ersuchen im Jahr 2015 und 2 Ersuchen im Jahr 2016 erreichte uns im Jahr 2017 nur noch 1 Verkehrsdatenersuchen.
Aus Gründen des Datenschutzes und der Sicherheit erheben wir grundsätzlich weder Bestands- noch Verkehrsdaten zu den E-Mail-Postfächern. Diese Daten liegen bei uns nicht vor und darüber informieren wir die anfragenden Stellen stets zeitnah. Die Anzahl der Herausgaben von Bestands- und Verkehrsdaten lag deshalb bei 0 – wie bereits in den Vorjahren.

Bei den Inhaltsdaten waren 2017 erneut 3 Postfächer von Beschlagnahmungen oder Telekommunikationsüberwachungen (TKÜ) betroffen. Insgesamt hatten uns zu diesen 3 Postfächern 5 richterliche Beschlüsse erreicht. Davon waren 3 Beschlagnahmen gespeicherter Inhaltsdaten. Ein Postfach war zusätzlich zur Beschlagnahme von einer Telekommunikationsüberwachung (TKÜ) betroffen. Die richterliche TKÜ-Anordnung war jedoch nicht rechtskonform, weshalb unsere Anwälte eine Datenherausgabe ablehnten. Das Gericht besserte daraufhin nach und legte einen zweiten, korrekten Beschluss vor.

Zu den anfragenden Stellen:
Im vergangenen Jahr haben uns 43 Ersuchen von deutschen Behörden und 5 Ersuchen aus dem Ausland erreicht. 44 Ersuchen kamen von Ermittlungsbehörden, 4 Anfragen stammten von (inländischen) Nachrichtendiensten. An Nachrichtendienste wurden jedoch in keinem Fall Daten übermittelt.

Anteil rechtswidriger Ersuchen lag bei 42 Prozent

Der Anteil der rechtswidrigen Ersuchen lag im Jahr 2017 bei rund 42 Prozent.
Neben der mangelhaften TKÜ erhielten wir auch 18 Bestandsdatenersuchen, die nicht in Ordnung waren. Zum Beispiel, weil Verstöße gegen das Datenschutzgesetz vorlagen, Rechtsgrundlagen nicht genannt wurden oder rechtswidrig nach IP-Adressen oder dem letzten Login gefragt wurde. Wir haben uns in allen Fällen bei den jeweils zuständigen Datenschutzbeauftragten beschwert. 4 Ersuchen aus dem Ausland wurden nicht über den Rechtshilfeweg an uns gerichtet. Auskünfte an ausländische Behörden oder ausländische Nachrichtendienste erteilen wir grundsätzlich nicht.
Aktuelle Beispiele rechtswidriger Behördenersuchen legen wir auch in diesem Jahr wieder geschwärzt in einer Fotogalerie auf der Seite unseres Transparenzberichtes offen. Dort gehen wir auch auf Anfragen aus einzelnen Bundesländern ein – im Jahr 2017 hatten die unsicheren Anfragen beispielsweise den Landtag und das Innenministerium in Rheinland-Pfalz beschäftigt.

Transparenzberichte sollten für Telekommunikations-Anbieter verpflichtend werden

Posteo war 2014 der erste deutsche Telekommunikations-Anbieter, der einen Transparenzbericht über Ersuchen von Strafverfolgungsbehörden veröffentlicht hat. Damals hatten wir vorab ein Rechtsgutachten eingeholt, um die rechtliche Möglichkeit solcher Berichte in Deutschland zu klären. Das Ziel: Transparenzberichte in Deutschland zu etablieren.

Fast vier Jahre später ziehen wir Bilanz: Einige Anbieter geben inzwischen eigene Berichte heraus. Viele deutsche Unternehmen veröffentlichen jedoch weiterhin keine Zahlen über Behördenersuchen. Mehrere TK-Dienste haben nach dem Jahr 2015 keine Zahlen mehr offengelegt. Auch stellen die Angaben in den vorhandenen Berichten oft keine Transparenz her: Transparenz entsteht, wenn Anbieter angeben, wie viele Ersuchen sie zu verschiedenen Daten erhalten haben. Und: wie oft Daten im Anschluss an Behörden übermittelt wurden. Leider wird in der Regel nur eine Zahl genannt: Entweder die Ersuchen – oder die Herausgaben. Das ist nicht transparent. Kunden erfahren so nicht, wie ein Unternehmen mit Ersuchen umgeht. Oder, wie viele Anfragen rechtswidrig waren. Fehlen die Herausgabe-Zahlen, ist für die Kunden nicht erkennbar, welche Daten beim Anbieter tatsächlich über sie vorliegen.

Wir denken deshalb, dass Transparenz eine verbindliche Vereinbarung braucht: Wir wünschen uns, dass Transparenzberichte und ihre konkrete Form für deutsche Telekommunikations-Anbieter gesetzlich verpflichtend werden. Transparenz wird nur dann erzielt, wenn die Angaben in den Berichten aussagekräftig sind.




Unterstützung von Ex-Verbraucherschutzministerin Renate Künast

Auch Renate Künast (MdB), ehemalige Verbraucherschutzministerin und bisherige Vorsitzende des Bundestags-Ausschusses für Recht und Verbraucherschutz, sieht aussagekräftige Transparenzberichte als gutes Recht der Verbraucher an:

“Transparenzberichte sind Ausdruck der Informationellen Selbstbestimmung der Verbraucherinnen und Verbraucher. Transparenzberichte mit Aussagekraft sind unser gutes Recht!”

Unsere Forderungen aus der Praxis für eine solche Regelung:

Für jede Datenart (also z.B. für Verkehrsdaten, Bestandsdaten, Inhaltsdaten) sollten mindestens zwei Werte angegeben werden müssen:
- Wie oft Behörden im Rahmen welches Ersuchens (also z.B. Verkehrsdatenersuchen, manuelle und automatisierte Bestandsdatenersuchen, Beschlagnahmen oder TKÜ) Daten angefragt haben.
- Wie oft die einzelnen Datenarten im Anschluss tatsächlich herausgegeben wurden. (z.B. Verkehrsdaten, Bestandsdaten, Inhaltsdaten bei Beschlagnahmen oder TKÜ)

Weitere Posteo-Vorschläge für eine verbindliche Transparenzregelung:

- Telekommunikations-Anbieter sollten auch alle Ersuchen von Nachrichtendiensten transparent in ihren Berichten aufführen müssen.
- Erfasst werden sollte auch die Quote der Ersuchen, die formal nicht in Ordnung waren. Diese statistische Rückmeldung wäre für den Gesetzgeber, die Datenschutzbeauftragten und andere gesellschaftliche Akteure wertvoll. Bei uns liegt die Quote der rechtswidrigen Ersuchen bei rund 42 Prozent, sodass wir hier akuten Handlungsbedarf sehen.
- Die Veröffentlichungen der Unternehmen sollten für eine optimale Vergleichbarkeit auch in einem Open-Data-Format erfolgen, damit sie statistisch aufbereitet werden können.

In den letzten Jahren sind Überwachungsgesetze in Deutschland immer weiter ausgebaut worden. Aus unserer Sicht fehlen Instrumente, um ihre demokratische Kontrolle im Ausgleich zu stärken. Verpflichtende Transparenzberichte können hierzu beitragen. Nachdem wir die Entwicklung vier Jahre lang beobachtet haben, regen wir das nun an.

Viele Grüße
Ihr Posteo-Team