Posteo: Transparenz klagt an

Datenschutz Der Emailprovider Posteo veröffentlicht seinen aktuellen Transparenzbericht und macht damit rechtswidrige Zustände in Justiz und Polizeibehörden öffentlich
Bei diesem Beitrag handelt es sich um ein Blog aus der Freitag-Community

Es gibt sie, die Orte, an denen die Schatztruhen für die deutschen Ermittlungsbehörden lagern. Wenn Polizei oder Staatsanwaltschaft erfahren wollen, welche Person hinter einer Emailadresse steckt oder wer gerade mit einer speziellen IP-Adresse unterwegs war, fragen sie die Bewacher der Schatzkammern: Die Anbieter von Internetdiensten wie zum Beispiel die Telekom und Emailanbieter wie Web.de, GMX oder die kleine Berliner Firma Posteo.

Bei diesen und vielen anderen Unternehmen lagert all unsere Kommunikation, die wir über Email führen: intime Verabredungen, Geschäftsdokumente oder Passwörter für Accounts in anderen Internetportalen. Wenn wir diese Dienste nutzen wollen, müssen wir uns zwangsweise damit auseinandersetzen, dass sie auch Einblick in unsere Kommunikation nehmen und diese im Zweifelsfall weitergeben können.

Pionierarbeit im Veröffentlichen

Wie oft und in welchem Rahmen die deutschen Behörden so eine Datenauskunft bei dem Emailprovider Posteo im Jahr 2014 beantragt haben, hat der Dienst heute wieder in seinem jährlichen Transparenzbericht veröffentlicht. Dass eine solche Öffentlichmachung keine Selbstverständlichkeit ist, hatte Posteo im letzten Jahr deutlich gemacht. Als erster Emailanbieter in Deutschland hatte die Kreuzberger Firma diese Zahlen transparent machen können. Dem war ein eigens in Auftrag gegebenes Gutachten vorausgegangen, das die Rechtmäßigkeit der Statistik sicherstellen musste.

Denn eigentlich dürfen die angefragten Unternehmen nicht über die Datenauskunft berichten, da so die Ermittlungen beeinträchtigt werden könnten. Das Gutachten bescheinigte aber, dass eine reine Veröffentlichung und Aufschlüsselung der Anzahl von behördlichen Anfragen zulässig sein muss. Posteo war 2013 zum ersten Mal in den Fokus der Justiz geraten und hatte gleich einen Weg gesucht, um Transparenz herzustellen. Nur Stunden nachdem der Bann gebrochen war, hatten auch andere Emailanbieter wie die Telekom ihre Zahlen veröffentlicht.

Ein Jahr später hat Posteo heute seinen Bericht für das Jahr 2014 vorgelegt und leistet damit erneut Pionierarbeit. Dieses Mal veröffentlicht der Anbieter, der sich gerne mit den Attributen grün-sicher-werbefrei in Verbindung bringen lässt, nicht nur Zahlen, sondern auch Dokumente und Erfahrungen von behördlichen Anfragen sowie Ergebnisse aus eigenen Recherchen. Die Forderungen, die in dem Bericht formuliert sind, zeigen, Posteo verdient sich spätestens hiermit ein weiteres Attribut: politisch.

Unser Fazit: Die Bundesregierung interessiert es offenbar überhaupt nicht, ob bei der Bestandsdatenauskunft rechtswidrige Praktiken bestehen. Das Bundesinnenministerium bleibt seit Jahren untätig. Da durch solche Anfragen die Rechte von Bürgerinnen und Bürgern regelmäßig verletzt werden, ist dies unserer Ansicht nach verantwortungslos.

Den klar formulierten Forderungen, die diesen Erkenntnissen folgen, liegen drei gesonderte Berichte zugrunde, die die Hauptkritikpunkte des Unternehmens an den Behörden bündeln. Die Posteo-Mitarbeiter-innen haben sich offenbar große Mühe gegeben, ihre Erfahrungen mit den Behörden und Analysen zu kritischen Themen anschaulich zu vermitteln. Die Berichte sind fleißig mit den originalen (geschwärzten) Schreiben der Behörden dokumentiert und zeichnen ein gruseliges Bild über den Umgang mit sensiblen Daten in Polizei und Justiz. Außerdem wird die fehlende Kontrolle von millionfachen, automatisierten Abfragungen von Emaildaten deutlich gemacht, und zuletzt veröffentlicht das Team Ergebnisse aus eigenen Recherchen zur Effizienz des Richtervorbehalts, der eigentlich die Rechte der Bürger bei geheimen Operationen schützen soll, aber in der Praxis quasi nicht existiert.

Sensible Daten in den Händen der Polizei

Um Auskunft über gespeicherte Informationen bei einem Internetdienst zu erhalten, muss eine Behörde wie die Polizei eine formelle Anfrage über Herausgabe dieser Daten stellen. Wer schon einmal Kontakt mit deutschen Behörden hatte und Anträge in irgendeiner Form stellen musste, wird Erfahrung damit gemacht haben, dass dies nicht ohne vielfältige Nachweise, bestimmt nicht ohne Formular und schon garnicht online möglich ist.

Erstaunlicherweise aber ist der Weg für polizeiliche Behörden in geheimen Datenanforderungen offenbar sehr viel unkomplizierter. Posteo dokumentiert mehrere Schreiben von anonymisierten Polizeibeamten, die ungeachtet jeglicher Form oder sicherer Kommunikationswege Daten über verdächtige Personen bzw. Emailkonten anfordern. Erstaunlich ist, das fast alle Anfragen über ungesicherte Emailverbindungen anstatt über den Postweg gestellt werden. Zudem werden mehrere Problemfelder verdeutlicht, ein Beamter aus Mecklenburg Vorpommern schafft es gleich sieben Verstöße in einer einzigen Email zu produzieren:

https://posteo.de/images/transparency_report/ersuchen_bsp01.jpg

Dramatisch ist, dass er offenbar seine private Emailadresse benutzt um die Informationen anzufordern, auch als Antwortadresse ist seine private Email in der offizielllen Signatur angegeben. Damit ist weder der Transportweg noch die Speicherung der Emails, Anfragen oder der erfragten Daten in irgendeiner Weise geschützt. Hochsensible Daten würden im privaten Emailpostfach eines Beamten landen und damit wiederum auf einem beliebigen Emailserver. Da der Transportweg unverschlüsselt ist, könnte die Informationen an beliebig vielen Punkten im weltweiten Netz abegfangen werden.

Außerdem ist die Anfrage nicht an das spezielle 'Abuse Team' bei Posteo gewendet, sondern an den normalen Kundensupport. Man stelle sich vor, eine prekär beschäftigte Studentin in einem Support Center eines beliebigen Unternehmens erhält polizeiliche Anfragen über die Daten bestimmter Personen wegen bestimmter Vergehen.

Zudem ist die Anfrage an sich nicht gültig. Einerseits wird keinerlei Rechtsgrundlage definiert, die eine Herausgabe von Daten legitimieren würde. Zudem wird nach der dynamischen IP-Adresse gefragt, die nur auf richterliche Anordnung weitergegeben werden darf. Schließlich will sich der Beamte informieren, ob andere Behörden bereits um Auskünfte gebeten haben. In der Hoffnung, dass Posteo diese Anfrage dokumentiert hat und weitergeben würde. Eine solche Auskunft würde aber jeglicher Logik sowohl Rechtsgrundlage entbehren.

Auch wenn die Email des Mecklenburger Beamten ein besonders drastischer Fall in der gesammelten Unterlagen ist, ist es keinfesfalls das einzige dokumentierte Versäumnis. Auch werden beispielsweise Emails aufgeführt, die Straftatbestände beschreiben und damit sensible polizeiliche Ermittlungsdaten dem Kundensupport einer privaten Firma öffentlich machen. Der Bericht führt 17 Anfragen nach Bestandsdaten auf, 15 davon waren formal nicht korrekt. Posteo veröffentlicht 8 dieser Schreiben und weist so die entsprechenden Verstöße nach.

Gewohnte Rechtsverletzung durch Polizist-innen

Woher kommt die offensichtlich formulierte Selbstverständlichkeit, um nicht zulässige Daten ohne Rechtsgrundlage anzufragen? Wieso die erstaunliche Höflichkeit der Beamt-innen, um Bitte der Herausgabe von Informationen? Aus den Anschreiben scheint deutlich heraus, dass die Polizei es gewohnt ist, mit ihren Anfragen bei anderen Email-Diensten erfolgreich zu sein. Offenbar existiert ein vertrautes Interagieren mit anderen Emailanbietern, bei denen auch fundamentale Mängel, wie das Fehlen einer Rechtsgrundlage, kein Hindernis zum Eingriff in das Telekommunikationsgesetz darstellen. Zudem berichtet Posteo von erzürnten Reaktion der Polizeibeamten, die deutlich machen, dass bei anderen Providern eine Herausgabe von besondern geschützten IP Adressen normalerweise kein Problem ist.

Dabei ist eigentlich schon die per Email versendete, unverschlüsselte Anfrage zu einer Datenauskunft rechtswidrig, da das Gesetz nur im begründeten absoluten Ausnahmefall elektronische Anfragen dieser Art erlaubt. Und dann auch nur verschlüsselt. Posteo hat sich nach eigenen Angaben mehrfach über diese Kommunikationsart beschwert, der Bericht dokumentiert mehrere Antworten von Datenschutzbeauftragten, die ebenfalls allesamt die gängige Praxis kritisieren. Nach den Angaben des Posteo-Teams hat sich aber auch nach erheblicher Kritik keine Änderung in der Praxis gezeigt – nur eine einzige Anfrage kam über den Postweg.

Die verschiedenen veröffentlichten Anschreiben bestätigen außerdem einen Vorwurf des Branchenverbands BITKOM, der Ende 2012 die gängige Praxis deutscher Behörden, besonders geschützte Daten ohne richterliche Genehmigung abfragen zu wollen, vehement verurteilte. Bisher hatte die Bundesregierung behauptet, von solchen Vorkommen keine Kenntnis zu haben und die Kritik lediglich als Behauptung abgetan. Die Unterlagen von Posteo beweisen nun, dass die Vorwürfe korrekt waren und zeigen das rechtswidrige Auskunftsverhalten der Behörden auf.

Kontrollen der Behörden versagen

Neben der rechtswidrigen Ausnutzung der Auskunftsersuche richet sich die Kritik aber auch allgemein gegen das Auskunftsverfahren. Bevor Posteo mit seinem ersten Transparenzbericht auch andere Firmen zur Veröffentlichung ihrer Auskunftszahlen ermutigte, lagen keinerlei Zahlen über den Gebrauch des Verfahrens vor. Im zweiten Abschnitt macht der aktuelle Transparenzbericht außerdem deutlich, dass die behördliche Kontrolle der Bestandsdatenauskunft vollkommen unzureichend ist:

Unserer Überzeugung nach weist auch die Kontrolle der Auskunftsverfahren [...] gravierende Defizite auf – wenn man denn überhaupt von Kontrolle sprechen kann.

Alle Datenschützer antworteten uns, dass sie keine Kontrollen von Abfragen nach §112 TKG durchgeführt haben.

Die gravierendsten Erkenntnisse dürften allerdings aus den Recherchen im dritten Abschnitt der Dokumentationen stammen. Spätestens hier wird auch fraglich, ob nur noch von einem Transparenzbericht gesprochen werden kann oder den Autor-innen nicht auch hartnäckige Recherchearbeit unterstellt werden muss. Im Fokus ihrer Arbeit lag der viel beschworene Richtervorbehalt. Er ist die Legitimation für massive Rechtseingriffe durch deutsche Behörden, die in Ausnahmefällen das Fernmeldgeheimnis, also ein gesetzlich verankertes Grundrecht, einschränken dürfen.

Das Prinzip ist relativ einfach: Da eine Person, deren Fernmeldegeheimnisse durch ein Abhören des Telefons oder des Email Accounts verletzt wird, nicht über diese Maßnahmen unterrichtet werden kann (da sie ja ansonsten nicht mehr geheim wären), ist es ihr auch nicht möglich sich dagegen zu wehren. Daher muss eine Richterin hinzugezogen werden, die die Maßnahmen im Vorfeld prüft und im Zweifelsfall auch ablehnen kann.

Das Prinzip hört sich gut an und wird von Politiker-innen auch gerne als Freifahrtsschein für Gesetzesverschärfungen angeführt. Wir haben ja den Richtervorbehalt. So wird es aktuell gerade bei der Neueinführung der Vorratsdatenspeicherung gerne ins Feld geführt. Wie Posteo in seinem Bericht moniert, gibt es allerdings keine Statistiken oder etwaige Aufzeichnungen darüber, wieviele Anträge bei diesem Verfahren angenommen oder abgelehnt werden. Es tut sich die Frage auf, wie oft ein Richter eigentlich Nein sagt.

Durchlauf beim Richtervorbehalt

Nach langen Suchen hat der Berliner Senat dann Zahlen veröffentlicht. Die Antwort ist ernüchternd, die Autoren nennen es schockierend. Seit 2008 haben ausnahmslos alle Richterinnen und Richter die Überwachungsanordnungen durchgewunken, es gab keine einzige Ablehnung. Die Realität des Richtervorbehalts ist, dass die Überwachungs­anordnungen nahezu ausschließlich durch die Polizei geschrieben werden. Die Exekutive legitimiert ihre Grundrechtseingriffe also selbst.

Gründe für dieses Versagen sind schnell gefunden. Etatkürzungen, Personalmangel, fehlende Zeit die Anträge überhaupt zu sichten oder zu bearbeiten. Eines Studie des Max Planck Instituts hat sie alle untersucht, das war 2003. Aber schon damals wurde porgnostiziert, dass sich der Zustand eher verschlechtert.

Jetzt ist es 12 Jahre später und wir stehen kurz vor einer Einführung der Vorratsdatenspeicherung, die die Schatzkammern der Internetunternehmen reichlich füllen wird. Auch wenn die Speicherung von Emaildaten bisher nicht geplant ist, unserere allgemeinen Internetaktivitäten stellen schon einen sehr viel größeren Schatz dar, als es 2003 überhaupt denkbar gewesen wäre. Und offensichtlich steht zwischen einer habgierigen Polizeibeamtin von der Wache nebenan und unseren privaten Schätzen auf den Servern der Republik nur die Mär vom Richtervorbehalt, der nicht mehr in unsere heutige Zeit passt.

Auch an anderer Stelle zeigt sich die Rückwärtsgewandtheit des Rechtssystems. Pro Datenanfrage würde den Emailanbietern ein Obulus von 18 Euro zustehen. Selbst wenn Posteo das Geld annehmen würde, nützen würde es ihnen nicht wirklich. Die juristische Abwehr ungütitger Ersuche kostet Posteo inzwischen einen mittleren 5stelligen Betrag. Ein Postfach kostet 1 Euro pro Monat.

Disclaimer: Der Autor dieses Textes hat ein Mailkonto bei Posteo und versucht immer andere Menschen zum Wechsel auf kompetente Emailanbieter zu bewegen die auch nicht kostenlos sein müssen.

06:27 21.08.2015
Dieser Beitrag gibt die Meinung des Autors wieder, nicht notwendigerweise die der Redaktion des Freitag.

Kommentare 9

Avatar
Ehemaliger Nutzer | Community