Datenschutz bei Posteo: Schlampige Behördenanfragen
Der Mailanbieter Posteo kritisiert Behörden, die Auskunft über seine Kunden fordern. Die Anfragen entsprechen meist nicht den Gesetzen.
Fast kein Ersuchen, bei dem die Behörden Auskünfte über Nutzer verlangen, das Posteo bisher erreichte, hätte den gesetzlichen Bestimmungen entsprochen, heißt es in dem Bericht des 2009 gegründeten Unternehmens. Derartige Anfragen stellen Behörden, um Straftaten aufzuklären.
Posteo ist der erste deutsche Mailanbieter, der im vergangenen Jahr einen Transparenzbericht nach dem Vorbild von Google und anderen US-Firmen vorlegte. Aus seinen Erfahrungen im vergangenen Jahr leitet Posteo nun die Forderung ab, von der Wiedereinführung der Vorratsdatenspeicherung abzusehen. Diese deutliche politische Positionierung ist nicht das einzig bemerkenswerte an dem Bericht.
Statt nämlich einfach nur Tabellen zu veröffentlichen, wie viele Anfragen eingegangen und wie häufig tatsächlich Auskunft erteilt wurde, veröffentlicht Posteo exemplarisch auch einige Anschreiben der Behörden – mit Schwärzungen sorgfältig anonymisiert. Und kommentiert an diesen konkreten Beispielen, worin deren Mängel bestehen. Genau das macht den Bericht interessant – obwohl er sich nur auf 22 Fälle stützt.
Besonders sorglos bis schlampig ausgeführt zeigen sich Auskunftsanfragen zu Bestandsdaten – also Informationen über Namen, Geburtsdaten und Adressen von Nutzern.
Teils wurden Angaben wie der konkrete Tatvorwurf oder Aktenzeichen der Ermittlung unverschlüsselt übersandt – was laut Posteo rechtswidrig ist.
Teils wurden die Mails an den Kundensupport geschickt, statt an die zuständigen Personen. In einigen Fällen wurde unrechtmäßig Verkehrsdaten oder IP-Adressen abgefragt. Oder die Rechtsgrundlage für die Abfrage wurde nicht genannt.
Die Ironie dabei: Als Anbieter, der mit seiner Datensparsamkeit wirbt, macht Posteo von einer Sonderregelung Gebrauch, laut der er auf die Erhebung von Namen, Geburtsdaten und Adressen verzichtet.
In zwei von 22 Fällen gab Posteo Daten heraus
Das bedeutet: Selbst wenn die Behörden eine korrekte Bestandsdatenabfrage an Posteo stellten, kann die Firma diese Informationen überhaupt nicht herausgeben. „Wird Posteo mit einem richterlichen Beschluss dazu verpflichtet, Kundendaten herauszugeben, können den Behörden deshalb lediglich Inhaltsdaten (zum Beispiel E-Mails) übermittelt werden“, heißt es im Bericht.
Dazu kam es 2014 nur in zwei Fällen. In allen anderen konnte der Anbieter keine Daten herausgeben, weil sie schlicht nicht vorlagen. Auch über Bankverbindungen verfügt der Anbieter nicht automatisch – weil er seinen Nutzern die Möglichkeit einräumt, bar zu zahlen.
Und die Herausgabe von Verkehrsdaten – also der Zeitpunkt, wann eine E-Mail versendet wurde, oder von welcher IP-Adresse – scheitert daran, dass „Daten (IP-Adressen) nicht vorhanden/nicht betrieblich benötigt“ werden.
In 15 Fällen wandte sich Posteo wegen der unsicheren Übertragung sensibler Daten durch Polizeibehörden an die Landesdatenschutzbeauftragten. Die Antwort: Das Problem sei bekannt und „immer wieder Anlass für Gespräche und Kontrollen“.
Weiter berichtet Posteo, dass dem Unternehmen Anwaltskosten im „mittleren fünfstelligen Bereich“ entstanden seien, um sich gegen unrechtmäßige Forderungen zu wehren.
Vor diesem Hintergrund appelliert der Anbieter an die Bundesregierung, auf die für Herbst geplanten Wiedereinführung der Vorratsdatenspeicherung zu verzichten. Die „Anzahl rechtswidriger Abfragen würde sich deutlich erhöhen“, prognostiziert das Unternehmen.
Die ungesicherte Übertragung sensibler Daten von Bürgern sei „nicht hinnehmbar“, ebenso wie die Herausgabe von „dynamischen IP-Adressen, die dem Fernmeldegeheimnis unterliegen“, ohne richterlichen Beschluss.
Trendsetter für Transparenzberichte
Mit der Dokumentation einiger Behördenanschreiben testet Posteo bereits zum zweiten Mal in Folge aus, wie weit sie in ihrer Transparenz zu Behördenanfragen gehen können. 2014 hatte der kleine Anbieter vor der Veröffentlichung dieser Angaben ein Rechtsgutachten in Auftrag gegeben, um zu klären, ob und in welchem Umfang es einen solchen Bericht überhaupt veröffentlichen darf. Was andere Mailanbieter in der Folge dazu inspirierte nachzuziehen und ebenfalls entsprechende Transparenzberichte zu veröffentlichen - die Telekom etwa.
Auch GMX, das Unternehmen, das derzeit mit seiner Verschlüsselungsoffensive Interesse an Privatheit im Digitalen offenbart, veröffentlichte im Januar Zahlen zu Behördenanfragen: Danach verzeichnete die 1&1 Mail & Media GmbH, zu der unter anderem Maildienste wie GMX oder Web.de zählen und die nach einigen Angaben 38.5 Millionen Mailpostfächer verwaltet, allein 2014 über 20.800 Anfragen von Sicherheitsbehörden zu Bestandsdaten, über 200 zu Verkehrsdaten und über 400 zu Inhaltsdaten.
„Auskunftsersuchen, die formelle Fehler enthalten, weisen wir selbstverständlich zurück“, antwortet Sebastian Schulte, Pressesprecher von GMX, auf die Frage, ob sein Unternehmen ähnliche Erfahrungen mit mangelhaften Behördenanfragen habe wie Posteo. „Eine Zunahme fehlerhafter Anfragen können wir aktuell nicht feststellen.“
So weit wie Posteo zu gehen und einzelne Behördenanfragen zu veröffentlichen, will man aber nicht gehen. „Dazu sehen wir keinen Anlass“, so Schulte. Auch Posteos Bedenken, die Wiedereinführung der Vorratsdatenspeicherung könne zur Erhöhung rechtswidriger Anfragen führen, teilt GMX so offenbar nicht. „Die Entwicklung ist aktuell schwer vorherzusagen“, so Schulte. Sie werde „sehr stark von der Behördenpraxis abhängen.“
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Prozess zu Polizeigewalt in Dortmund
Freisprüche für die Polizei im Fall Mouhamed Dramé
Ex-Wirtschaftsweiser Peter Bofinger
„Das deutsche Geschäftsmodell funktioniert nicht mehr“
Fake News liegen im Trend
Lügen mutiert zur Machtstrategie Nummer eins
Fall Mouhamed Dramé
Psychische Krisen lassen sich nicht mit der Waffe lösen
Proteste in Georgien
Wir brauchen keine Ratschläge aus dem Westen
Leben ohne Smartphone und Computer
Recht auf analoge Teilhabe