Datenschutz bei Posteo: Schlampige Behördenanfragen

BERLIN taz | Wieder ist es einer der Kleinen, der den Anfang macht: Der Berliner Mailanbieter Posteo hat in seinem vor wenigen Tagen vorgestellten Transparenzbericht für das Jahr 2014 gravierende Mängel bei Behörden beklagt.

Fast kein Ersuchen, bei dem die Behörden Auskünfte über Nutzer verlangen, das Posteo bisher erreichte, hätte den gesetzlichen Bestimmungen entsprochen, heißt es in dem Bericht des 2009 gegründeten Unternehmens. Derartige Anfragen stellen Behörden, um Straftaten aufzuklären.

Posteo ist der erste deutsche Mailanbieter, der im vergangenen Jahr einen Transparenzbericht nach dem Vorbild von Google und anderen US-Firmen vorlegte. Aus seinen Erfahrungen im vergangenen Jahr leitet Posteo nun die Forderung ab, von der Wiedereinführung der Vorratsdatenspeicherung abzusehen. Diese deutliche politische Positionierung ist nicht das einzig bemerkenswerte an dem Bericht.

Statt nämlich einfach nur Tabellen zu veröffentlichen, wie viele Anfragen eingegangen und wie häufig tatsächlich Auskunft erteilt wurde, veröffentlicht Posteo exemplarisch auch einige Anschreiben der Behörden – mit Schwärzungen sorgfältig anonymisiert. Und kommentiert an diesen konkreten Beispielen, worin deren Mängel bestehen. Genau das macht den Bericht interessant – obwohl er sich nur auf 22 Fälle stützt.

Besonders sorglos bis schlampig ausgeführt zeigen sich Auskunftsanfragen zu Bestandsdaten – also Informationen über Namen, Geburtsdaten und Adressen von Nutzern.

Teils wurden Angaben wie der konkrete Tatvorwurf oder Aktenzeichen der Ermittlung unverschlüsselt übersandt – was laut Posteo rechtswidrig ist.

Teils wurden die Mails an den Kundensupport geschickt, statt an die zuständigen Personen. In einigen Fällen wurde unrechtmäßig Verkehrsdaten oder IP-Adressen abgefragt. Oder die Rechtsgrundlage für die Abfrage wurde nicht genannt.

Die Ironie dabei: Als Anbieter, der mit seiner Datensparsamkeit wirbt, macht Posteo von einer Sonderregelung Gebrauch, laut der er auf die Erhebung von Namen, Geburtsdaten und Adressen verzichtet.

In zwei von 22 Fällen gab Posteo Daten heraus

Das bedeutet: Selbst wenn die Behörden eine korrekte Bestandsdatenabfrage an Posteo stellten, kann die Firma diese Informationen überhaupt nicht herausgeben. „Wird Posteo mit einem richterlichen Beschluss dazu verpflichtet, Kundendaten herauszugeben, können den Behörden deshalb lediglich Inhaltsdaten (zum Beispiel E-Mails) übermittelt werden“, heißt es im Bericht.

Dazu kam es 2014 nur in zwei Fällen. In allen anderen konnte der Anbieter keine Daten herausgeben, weil sie schlicht nicht vorlagen. Auch über Bankverbindungen verfügt der Anbieter nicht automatisch – weil er seinen Nutzern die Möglichkeit einräumt, bar zu zahlen.

Und die Herausgabe von Verkehrsdaten – also der Zeitpunkt, wann eine E-Mail versendet wurde, oder von welcher IP-Adresse – scheitert daran, dass „Daten (IP-Adressen) nicht vorhanden/nicht betrieblich benötigt“ werden.

In 15 Fällen wandte sich Posteo wegen der unsicheren Übertragung sensibler Daten durch Polizeibehörden an die Landesdatenschutzbeauftragten. Die Antwort: Das Problem sei bekannt und „immer wieder Anlass für Gespräche und Kontrollen“.

Weiter berichtet Posteo, dass dem Unternehmen Anwaltskosten im „mittleren fünfstelligen Bereich“ entstanden seien, um sich gegen unrechtmäßige Forderungen zu wehren.

Vor diesem Hintergrund appelliert der Anbieter an die Bundesregierung, auf die für Herbst geplanten Wiedereinführung der Vorratsdatenspeicherung zu verzichten. Die „Anzahl rechtswidriger Abfragen würde sich deutlich erhöhen“, prognostiziert das Unternehmen.

Die ungesicherte Übertragung sensibler Daten von Bürgern sei „nicht hinnehmbar“, ebenso wie die Herausgabe von „dynamischen IP-Adressen, die dem Fernmeldegeheimnis unterliegen“, ohne richterlichen Beschluss.

Trendsetter für Transparenzberichte

Mit der Dokumentation einiger Behördenanschreiben testet Posteo bereits zum zweiten Mal in Folge aus, wie weit sie in ihrer Transparenz zu Behördenanfragen gehen können. 2014 hatte der kleine Anbieter vor der Veröffentlichung dieser Angaben ein Rechtsgutachten in Auftrag gegeben, um zu klären, ob und in welchem Umfang es einen solchen Bericht überhaupt veröffentlichen darf. Was andere Mailanbieter in der Folge dazu inspirierte nachzuziehen und ebenfalls entsprechende Transparenzberichte zu veröffentlichen - die Telekom etwa.

Auch GMX, das Unternehmen, das derzeit mit seiner Verschlüsselungsoffensive Interesse an Privatheit im Digitalen offenbart, veröffentlichte im Januar Zahlen zu Behördenanfragen: Danach verzeichnete die 1&1 Mail & Media GmbH, zu der unter anderem Maildienste wie GMX oder Web.de zählen und die nach einigen Angaben 38.5 Millionen Mailpostfächer verwaltet, allein 2014 über 20.800 Anfragen von Sicherheitsbehörden zu Bestandsdaten, über 200 zu Verkehrsdaten und über 400 zu Inhaltsdaten.

„Auskunftsersuchen, die formelle Fehler enthalten, weisen wir selbstverständlich zurück“, antwortet Sebastian Schulte, Pressesprecher von GMX, auf die Frage, ob sein Unternehmen ähnliche Erfahrungen mit mangelhaften Behördenanfragen habe wie Posteo. „Eine Zunahme fehlerhafter Anfragen können wir aktuell nicht feststellen.“

So weit wie Posteo zu gehen und einzelne Behördenanfragen zu veröffentlichen, will man aber nicht gehen. „Dazu sehen wir keinen Anlass“, so Schulte. Auch Posteos Bedenken, die Wiedereinführung der Vorratsdatenspeicherung könne zur Erhöhung rechtswidriger Anfragen führen, teilt GMX so offenbar nicht. „Die Entwicklung ist aktuell schwer vorherzusagen“, so Schulte. Sie werde „sehr stark von der Behördenpraxis abhängen.“