Das Bundesverfassungsgericht hat ein Zwangsgeld gegen den deutschen E-Mail-Anbieter Posteo bestätigt. Das in Berlin ansässige Unternehmen sollte 500 Euro Strafe zahlen, weil es sich geweigert hatte, auf eine gerichtliche Anordnung hin die IP-Adressen eines Anschlussinhabers mitzuteilen. Es argumentierte, dass es für die Erfüllung seiner Dienste keine IP-Adressen benötige und diese aus Datenschutzgründen auch grundsätzlich nicht speichere.
Die wiederum unterstellten, dass Posteo Zugriff auf die IP-Adressen habe und nur einfach nicht speichere. Posteo jedoch beharrte darauf, keine IP-Adressen zu erhalten, da es Network Adress Translation (NAT) einsetze und deswegen für die Datenübertragung ab dem Übergang ins eigene Netz keine IP-Adressen benötige. Eine Umstellung des eigenen Systems nur zum Zweck einer gerichtlich angeordneten Telekommunikationsüberwachung lehnte das Unternehmen zudem aus Kostengründen ab. Wegen der Weigerung, die IP-Adressen mitzuteilen, verhängte das Gericht schließlich das besagte Zwangsgeld, weswegen der Fall beim Bundesverfassungsgericht landete.
Die Verfassungsrichter argumentierten nun, dass die Telekommunikations-Überwachungsverordnung Diensteanbieter verpflichtet, die für eine Telekommunikationsüberwachung benötigte technische Infrastruktur vorzuhalten. Das Fehlen von IP-Adressen der Posteo-Nutzer sei nicht auf fehlende Daten zurückzuführen, sondern auf die Entscheidung des Unternehmens, diese Daten vor den internen Systemen zu verstecken und aus Datenschutzgründen nicht aufzuzeichnen. Es sei also eine bewusste Entscheidung von Posteo im Rahmen des eigenen Geschäftsmodells gewesen, keine IP-Adressen zu erfassen. Das Gericht wies auch das Argument von Posteo zurück, die Speicherung von IP-Adressen sehe die Verordnung erst seit 2017 vor. Dem Gericht zufolge ist der Nachtrag jedoch eine Ergänzung, sondern eine Klarstellung des Gesetzestexts aus dem Jahr 2002.
„Wir sind sehr überrascht von der Entscheidung des Bundesverfassungsgerichts. Sie stellt die bisherige rechtliche Auskunftssystematik auf den Kopf: Bisher war unbestritten, dass sich die Auskunftspflicht nur auf Daten bezieht, die bei TK-Anbietern nach § 96 TKG tatsächlich auch vorliegen“, kommentierte Posteo. „Nun sollen Daten auch alleinig zu Ermittlungszwecken erhoben werden: Daten, die beim TK-Anbieter im Geschäftsbetrieb nachweislich gar nicht anfallen – und die er im Geschäftsbetrieb auch nicht benötigt.“
Zudem habe eine Stellungnahme des Bundesdatenschutzbeauftragten die Position von Posteo bestätigt. Darin heißt es: „Aus datenschutzrechtlicher Sicht ist das vorliegende Verfahren vielmehr gerade deshalb bedeutend, weil es einen Präzedenzfall für die zukünftige Systematik der sicherheitsbehördlichen Auskunftsverfahren im TK-Bereich darstellen kann. Sollte nunmehr im Rahmen der zur Entscheidung vorliegenden Rechtsfrage festgestellt werden, dass ein TK-Anbieter in Abkehr von der bisherigen Regelungssystematik verpflichtet ist, seine Datenverarbeitungsprozesse aufgrund sicherheitsbehördlicher Auskunftsersuchen über die nach dem TKG eigentlich erforderlichen Maße hinaus umzugestalten, besteht die Gefahr, dass hierdurch das aktuell geltende Ursache-Folge-Verhältnis in diesem Bereich ins Gegenteil verkehrt wird.”
Der Düsseldorf Rechtsanwalt Udo Vetter weist in seinem Blog auf einen weiteren Aspekt hin. Er stuft Posteo in dem Verfahren letztlich als Zeugen ein, der „mitteilen muss, was er weiß. Er ist aber nicht von sich aus verpflichtet, sich aktiv Informationen zu besorgen, die er nicht hat und vielleicht auch gar nicht haben will.“
Posteo prüft derzeit nach eigenen Angaben seine rechtlichen Möglichkeiten. „Sollte es rechtlich keine weiteren Optionen mehr geben, werden wir unsere System-Architektur anpassen müssen, dabei jedoch eine Lösung wählen, die die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt.
Und, um es ganz klar zu sagen: Wir werden nicht damit beginnen, die IP-Adressen unserer unbescholtenen Kundinnen und Kunden zu loggen. Ein konservativer System-Umbau ist für uns keine Option“, kündigte Posteo an. Zudem habe man die Erfahrung gemacht, dass „hochkomplexe, sichere Systemarchitekturen und ihr Nutzen staatlichen Stellen noch kaum verständlich zu machen sind.“
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.