[Postfixbuch-users] OT: Aufbewahrungszeit Mailserver Protokolle
Peer Heinlein
p.heinlein at heinlein-support.de
Mo Mär 29 22:46:11 CEST 2010
Am Montag 29 März 2010 18:58:50 schrieb Christian Felsing:
> es geht ja hier wohl um die Speicherung von "personenbezogenen"
> Daten, also IP-Adressen sowie Absender- und Empfänger E-Mail
> Adressen. Wenn nun z.B. statt hostmaster at taunusstein.net nun
> 1f090e2bccbd73e8cd146f7661f4f55c8f6c02a8 im Logfile steht und statt
> 192.168.0.1 der Wert 24682ccf0d260b650fd5891de58d141b1fe8c316
> gespeichert wird, dann ist ja erst einmal auch dem Logfile nicht mehr
> ersichtlich, wer da wem eine Mail geschrieben hat.
Juristen-Antwort: Das kommt drauf an.
Es reicht, wenn ich einen Bezug zur Person herstellen kann. Wenn ich
also nur kurz alle 20.000 Mailadressen von mir durch-hashen muß um dann
die Zuordnung
hostmaster at taubusstein.net => 1f090e2bccbd73e8cd146f7661f4f55c8f6c02a8
zu haben, dann sehe ich Deine Hash-Werte ganz genauso als
personenbezoegen Daten an, wie die Mailadresse selber.
Wenn ich nur mal kurz die IPs von 192.168.0.0/8 durchhashen muß um dann
eine Übersetzungstabelle IP => Hash zu haben, dann auch nicht.
Ich kann hier jederzeit und ohne nennenswerten Aufwand rauskriegen, wer
da was wann wo mit wem gemacht hat.
Für mich ist das Procedere hier NICHT ausreichend.
> Aus diesen SHA1 Werten kann man nun nicht mehr die jeweiligen Werte
> ermitteln, man kann allerdings nach einer bestimmten E-Mail oder
> IP-Adresse suchen.
Eben. Und da ich die Mailadressen kenne kann ich ohne Probleme
rauskriegen, wer sich dahinter verbirgt. Und ich kann eben ganz genau
suchen, ob Person XY am fraglichen Zeitpunkt was gemacht hat. Vielleicht
kriege ich nicht raus, mit wem sie gemailt hat, wenn es externe
Mailadressen waren, die ich nicht kenne. Aber *DAS* sie um 3:35 in der
Nacht fünf E-Mails geschrieben hat unterliegt bereits dem Datenschutz.
Alleine diese Tatsache stellt bereits personenbezogene Daten dar. Und
wenn ich wissen will, ob der Klaus mit der Susi damals was zu laufen
hatte, dann kann ich das -- Hashes hin oder her -- problemlos in diesem
Log nachsehen.
Ergo: Untauglich, das sind NICHT anonymisierte Daten.
> Wäre damit eine Speicherfrist von z.B. 1 Jahr datenschutzrechtlich
> machbar, oder sollten auch hier 3 Tage das Maximum sein ?
Wenn (!!!) es keine personenbezogene Daten sind, dann kannst Du die auch
100 Jahre speichern. Das interessiert dann niemanden.
Für mich sind das aber ganz klar weiterhin personenbezogene Daten, da
sie ausreichend sicher und ausreichend zuverlässig Rückschlüsse auf
konkrete natürliche Personen zulassen. Spätestens wenn ich andere
Logfiles oder Bestandsdaten aus dem Netzwerk heranziehe kriege ich
sofort jederzeit raus, wer da was gemacht hat.
Von drei Tagen Speicherzeit war hier übrigens nie die Rede. Wo kommt das
denn jetzt schon wieder her?!
Peer
--
Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting
http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19
Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
Mehr Informationen über die Mailingliste Postfixbuch-users