Datenspeicherung von Mailanbietern

Zum Überwachen gezwungen

Ermittler wollten von Posteo IP‑Adressen. Der Mailanbieter speichert die Daten nicht. Muss er aber, meint das Bundesverfassungsgericht.

Überwachungskameras

Verbindungsdaten sind die neuen Überwachungskameras Foto: dpa

E-Mail-Anbieter müssen Daten von Nutzer:innen extra für die Strafverfolgung erheben – auch wenn sie das gar nicht wollen. Das Bundesverfassungsgericht hat in dieser Woche eine Verfassungsbeschwerde des E-Mail-Anbieters Posteo abgewiesen. Bei datenschutzbewussten Nutzer:innen hat das für Unruhe gesorgt, weil das Gericht damit die Möglichkeiten der Strafverfolger:innen deutlich ausweitet. Doch was bedeutet die Entscheidung nun – für Nutzer:innen, für die Gesellschaft, für privatsphärefreundliche Geschäftsmodelle?

Zunächst einmal hilft es, die Geschichte zu kennen, über die die Verfassungsrichter:innen entschieden haben. Protagonist ist der E-Mail-Provider Posteo. 2009 gründen Patrik und Sabrina Löhr das für den damaligen Markt ungewöhnliche Unternehmen – einen E-Mail-Anbieter, der keine persönlichen Daten verlangt, auf Verschlüsselung setzt und seine Server und Geschäftsräume mit Ökostrom betreibt.

Dafür müssen die Nutzer:innen, anders als bei konventionellen Anbietern wie Gmail, GMX oder T-­Online, für ihren Mail-Account zahlen. Wer anonym sein will, steckt den Schein in einen absenderlosen Briefumschlag. Durch ein komplexes Codierungssystem lässt sich die Zahlung zuordnen.

Außerdem treffen Patrik und Sabrina Löhr eine Entscheidung, deren Folgen sie jetzt zu spüren bekommen: Sie verzichten darauf, die IP-Adressen ihrer Kund:innen zu erheben. Das ist eine Ziffernfolge, die Computer in Netzwerken zur Kommunikation verwenden und über die sie identifiziert werden können.

Dieser Text stammt aus der taz am wochenende. Immer ab Samstag am Kiosk, im eKiosk oder gleich im praktischen Wochenendabo. Und bei Facebook und Twitter.

Im Zuge der Snowden-Enthüllungen 2013 fällt immer mehr Menschen auf, dass Datenschutz doch eine ganz sinnvolle Sache sein könnte: Posteo wächst. Für das Jahr 2017 beziffert das Unternehmen die Zahl der Postfächer schließlich auf 230.000.

Während Posteo wuchs, verschaffte sich der Staat in den vergangenen Jahren immer mehr Befugnisse in Sachen Überwachung der Telekommunikation. Die Vorratsdatenspeicherung, in erster Auflage von 2007, gehört genauso dazu wie die Überwachung per Trojaner. Historisch gesehen ist das folgerichtig: Früher war die Telekommunikation in staatlicher Hand. Wollte eine Behörde an Daten herankommen, stand sie nicht vor großen Pro­blemen.

Doch bei den Überwachungsmaßnahmen nach der Privatisierung galt für Anbieter von E‑Mail-Diensten bislang: Sie mussten nur das herausrücken, was sie sowieso schon erhoben hatten. Verlangt ein E-Mail-Anbieter also das Geburts­datum bei der Anmeldung – dann muss er es auch auf den entsprechenden Beschluss hin an die Polizei herausgeben. Hat er es dagegen nie erhoben – dann gehen die Strafverfolger:innen leer aus.

Das Ende der Datensparsamkeit?

Mit ihrer ­Entscheidung gegen Posteo haben die Ver­fas­sungs­richter:innen die Pflichten nun deutlich ausgeweitet: Erstmals muss ein E-Mail-Anbieter Daten – in diesem Fall die IP-Adresse – zum Zweck der Strafverfolgung überhaupt erheben. Und hier wird es etwas kleinteilig. Denn technisch sind IP-Adressen natürlich notwendig, um einen E-Mail-Dienst betreiben zu können.

Nach der Entscheidung könnte Anonymität im Netz schwerer werden

Posteo setzt allerdings auf eine Lösung, bei der die Adressen nur kurzzeitig an der Außenkante des IT-Systems vorhanden sind und die Adressinformationen automatisch durch andere ersetzt werden. Zugriff auf die IP-Adressen hat das Unternehmen nicht. Die Richter:innen fanden dagegen: Schön und gut, das mag für die Vergangenheit gelten. Aber wenn die richterliche Aufforderung kommt, dann möge man bitte die IP-Adresse liefern.

Nach der Entscheidung des Gerichts könnte es schwerer werden, im Netz anonym unterwegs zu sein. „Die Gefahr ist, dass die Entscheidung zur Ausweitung von Überwachungsmaßnahmen heran­gezogen wird“, sagt Friedemann Ebelt vom Verein Digitalcourage. Auch das BKA-Urteil des Bundesverfassungsgerichts, das sich auf die Abwehr von Terrorismus bezogen habe, sei später verwendet worden, um die Befugnisse bei normaler Polizeiarbeit auszuweiten.

Und noch etwas kommt erschwerend hinzu: „Für datensparsame Geschäftsmodelle ist diese Entscheidung ein Dämpfer“, sagt Elisabeth Niekrenz von der Digitalen Gesellschaft. Auch Friedemann Ebelt befürchtet, dass als Nächstes andere privatsphärefreundliche Geschäftsmodelle Einschränkungen erfahren werden. Der Anonymisierungsdienst Tor zum Beispiel oder VPN-Dienste, die Nutzer:innen vor Überwachung schützen können.

Dass das Bundesverfassungsgericht gegen Posteo entschieden hat, könnte auch an dem Grund für die Ermittlungen liegen. 2016 hatte ursprünglich das Amtsgericht Stuttgart angeordnet, die Telekommunikation eines verdächtigen E-Mail-Accounts zu überwachen. Der Verdacht: unerlaubter Handel mit Betäubungsmitteln und Verstoß gegen das Kriegswaffenkontrollgesetz.

Die Überwachungs-Gesamtrechnung

„Natürlich müssen Ermittlungen möglich sein, aber das Pro­blem ist, dass Datenschutz viel geringer gewichtet wird als das Interesse an Strafverfolgung“, sagt Friedemann Ebelt. Und dass alternative Ermittlungsansätze außen vor blieben. Eine Idee: Ist den Ermittler:innen die Mail-Adresse bekannt, könnten sie beispielsweise eine mit einem Tracking-Pixel präparierte E-Mail schicken. Das ist keine Geheimfunktion; Unternehmen oder Verbände nutzen diese Methode sehr häufig, um herauszufinden, ob und wann ihre Sendungen gelesen werden. Auch die IP-Adressen der Abrufenden lassen sich so erheben. Natürlich lässt sich so ein Pixel blocken – aber den Versuch wäre es wert.

Es gibt einen Begriff, der die Pro­blematik zusammenfasst: die Überwachungs-Gesamtrechnung. Er entstand auf Grundlage eines Verfassungsgerichtsurteils zur Überwachung per GPS. Damals sagten die Richter:innen sinngemäß: Ob eine Überwachungsmaßnahme verfassungsgemäß ist, hängt auch immer davon ab, wie viel Überwachung es sonst so gibt. Je mehr Überwachung es schon gibt, desto kritischer muss man sich die anschauen, die noch dazukommt.

Diesen Begriff verwendete auch eine Expertin, die des grenzenlosen Privatsphäre-Aktivismus relativ unverdächtig ist: die damalige Bundesdatenschutzbeauftragte Andrea Voßhoff. In einer Stellungnahme, in der sie Posteo bei der Beschwerde vor dem Bundesverfassungsgericht attestierte, datenschutzfreundlich zu handeln, wies sie auf die immer weiter ausgedehnten Befugnisse der Sicherheitsbehörden hin. Und forderte das Verfassungsgericht auf, sich gut zu überlegen, ob eine zusätzliche Überwachungsauflage wirklich sein muss.

„Auch deshalb ist es so wichtig, was Posteo macht“, sagt Friedemann Ebelt. Und Elisabeth Niekrenz weist darauf hin: „Schon die Sorge, überwacht zu werden, führt dazu, sich einzuschränken.“ Auch wenn man hierzulande derzeit nicht von politischer Verfolgung sprechen könne – man wisse nie, wie sich die politische Großwetterlage eines Tages ändere.

Posteo hat angekündigt, erst einmal in Ruhe zu prüfen, welche Möglichkeiten bestehen – technisch wie juristisch. Und betont in seiner Stellungnahme: „Wir werden nicht damit beginnen, die IP-Adressen unserer unbescholtenen Kundinnen und Kunden zu loggen.“ Näheres will das Unternehmen nicht sagen. Doch es klingt danach, als suchte man eine technische Lösung, um dann, wenn es ein Gericht fordert, im Einzelfall IP-Adressen erheben zu können. Systemadministrator:innen schätzen das als etwas aufwendig, aber nicht unmöglich ein.

.

Im Schwerpunkt Überwachung legen wir ein besonderes Augenmerk auf die neuesten Auswüchse der Sammelwut, Kontrollgelüste und Datenpannen aller Art.

Foto: time. / photocase.com

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de

Ihren Kommentar hier eingeben