Posteo: Wie anonym darf ein E-Mail-Dienst sein?
Posteo hat gegenüber der Bundesnetzagentur durchgesetzt, gehashte Mobilfunknummern der Kunden nicht herausgegen zu müssen.
- Dr. Oliver Diedrich
Der Mailprovider Posteo muss die gespeicherten Hashwerte von Kunden-Rufnummern nicht an Behörden herausgeben. Das hat eine rechtliche Klärung zwischen Posteo und der Bundesnetzagentur (BNetzA) ergeben. Kern der Auseinandersetzung war die Frage, ob diese salted Hashes als personenbeziehbare Daten einzustufen sind, die nach § 113 TKG bei Anfragen den Behörden übergeben müssen.
Um ihr Mailkonto zu entsperren, wenn das Passwort vergessen wurde, können Posteo-Kunden ihre Mobilfunknummer verwenden. Diese wird aber bereits im Browser so gehasht, dass daraus die Mobilfunknummer nicht mehr zurückrechenbar ist. Posteo speichert ansonsten keine personenbeziehbaren Daten zu den E-Mail-Postfächern seiner Kunden.
Die BNetzA hat sich jetzt der Meinung eines von Posteo beauftragten Rechtsgutachtens und der Bundesdatenschutzbeauftragten Andrea Voßhof angeschlossen, dass die durch das Hashing anonymisierte Rufnummer kein personenbeziehbares Datum ist. Offen ist allerdings noch, ob sich die BNetzA auch der Auffassung von Posteo anschließt, gar nicht zur Erhebung und Speicherung von Bestandsdaten verpflichtet zu sein – § 111 TKG verlangt nämlich die Erhebung bestimmter Kundendaten. Allerdings greift diese Pflicht für E-Mail-Dienstleister laut § 111 Abs. 2 TKG nur, wenn der Diensteanbieter tatsächlich entsprechende Daten erhebt.
Posteo beschreibt den Vorgang ausführlich in einem Blog-Posting. (odi)
