Posteo: E-Mail-Anbieter muss für Strafverfolger IP-Adressen speichern
Das System ist allerdings technisch so gestaltet, dass es ohne die IP-Adressen seiner Kunden auskommt. Laut Bundesverfassungsgericht ist Posteo aber in der Pflicht, IP-Adressen auf Anordnung eines Gerichts zu erfassen und an Ermittler zu übermitteln.
Gegen den deutschen E-Mail-Anbieter Posteo hat das Bundesverfassungsgericht jetzt ein Zwangsgeld bestätigt. Das Berliner Unternehmen sollte 500 Euro Strafe zahlen, weil es sich geweigert hatte, auf eine gerichtliche Anordnung hin die IP-Adressen eines Anschlussinhabers mitzuteilen. Es argumentierte, dass es für die Erfüllung seiner Dienste keine IP-Adressen benötige und diese aus Datenschutzgründen auch grundsätzlich nicht speichere.
Eine Gericht hatte Posteo 2016 verpflichtet, alle vorhandenen und künftigen Daten eines E-Mail-Kontos eines Verdächtigen herauszugeben. Posteo kam der Aufforderung zwar nach, erklärte aber gegenüber den Ermittlern, dass es keinerlei Daten werde liefern können, da man grundsätzlich keinerlei Traffic von Nutzern aufzeichne. Die wiederum unterstellten, dass Posteo Zugriff auf die IP-Adressen habe und nur einfach nicht speichere.
Da es Network Adress Translation (NAT) einsetze und deswegen für die Datenübertragung ab dem Übergang ins eigene Netz keine IP-Adressen benötige,
beharrte Posteo darauf, keine IP-Adressen zu erhalten. Eine Umstellung des eigenen Systems nur zum Zweck einer gerichtlich angeordneten Telekommunikationsüberwachung lehnte das Unternehmen zudem aus Kostengründen ab. Wegen der Weigerung, die IP-Adressen mitzuteilen, verhängte das Gericht schließlich das besagte Zwangsgeld, weswegen der Fall beim Bundesverfassungsgericht landete.
Die Verfassungsrichter argumentierten nun, dass die Telekommunikations-Überwachungsverordnung Diensteanbieter verpflichtet, die für eine Telekommunikationsüberwachung benötigte technische Infrastruktur vorzuhalten. Das Fehlen von IP-Adressen der Posteo-Nutzer sei nicht auf fehlende Daten zurückzuführen, sondern auf die Entscheidung des Unternehmens, diese Daten vor den internen Systemen zu verstecken und aus Datenschutzgründen nicht aufzuzeichnen. Es sei also eine bewusste Entscheidung von Posteo im Rahmen des eigenen Geschäftsmodells gewesen, keine IP-Adressen zu erfassen. Das Gericht wies auch das Argument von Posteo zurück, die Speicherung von IP-Adressen sehe die Verordnung erst seit 2017 vor. Dem Gericht zufolge ist der Nachtrag jedoch eine Ergänzung, sondern eine Klarstellung des Gesetzestexts aus dem Jahr 2002.
“Wir sind sehr überrascht von der Entscheidung des Bundesverfassungsgerichts. Sie stellt die bisherige rechtliche Auskunftssystematik auf den Kopf: Bisher war unbestritten, dass sich die Auskunftspflicht nur auf Daten bezieht, die bei TK-Anbietern nach § 96 TKG tatsächlich auch vorliegen”, kommentierte Posteo. “Nun sollen Daten auch alleinig zu Ermittlungszwecken erhoben werden: Daten, die beim TK-Anbieter im Geschäftsbetrieb nachweislich gar nicht anfallen – und die er im Geschäftsbetrieb auch nicht benötigt.”
Zudem habe eine Stellungnahme des Bundesdatenschutzbeauftragten die Position von Posteo bestätigt. Darin heißt es: “Aus datenschutzrechtlicher Sicht ist das vorliegende Verfahren vielmehr gerade deshalb bedeutend, weil es einen Präzedenzfall für die zukünftige Systematik der sicherheitsbehördlichen Auskunftsverfahren im TK-Bereich darstellen kann. Sollte nunmehr im Rahmen der zur Entscheidung vorliegenden Rechtsfrage festgestellt werden, dass ein TK-Anbieter in Abkehr von der bisherigen Regelungssystematik verpflichtet ist, seine Datenverarbeitungsprozesse aufgrund sicherheitsbehördlicher Auskunftsersuchen über die nach dem TKG eigentlich erforderlichen Maße hinaus umzugestalten, besteht die Gefahr, dass hierdurch das aktuell geltende Ursache-Folge-Verhältnis in diesem Bereich ins Gegenteil verkehrt wird.”
Der Düsseldorf Rechtsanwalt Udo Vetter weist in seinem Blog auf einen weiteren Aspekt hin. Er stuft Posteo in dem Verfahren letztlich als Zeugen ein, der “mitteilen muss, was er weiß. Er ist aber nicht von sich aus verpflichtet, sich aktiv Informationen zu besorgen, die er nicht hat und vielleicht auch gar nicht haben will.”
Posteo prüft derzeit nach eigenen Angaben seine rechtlichen Möglichkeiten. “Sollte es rechtlich keine weiteren Optionen mehr geben, werden wir unsere System-Architektur anpassen müssen, dabei jedoch eine Lösung wählen, die die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt.
Und, um es ganz klar zu sagen: Wir werden nicht damit beginnen, die IP-Adressen unserer unbescholtenen Kundinnen und Kunden zu loggen. Ein konservativer System-Umbau ist für uns keine Option”, kündigte Posteo an. Zudem habe man die Erfahrung gemacht, dass “hochkomplexe, sichere Systemarchitekturen und ihr Nutzen staatlichen Stellen noch kaum verständlich zu machen sind.”