Categories: RechtRegulierung

Gerichtsurteil: E-Mail-Dienst Posteo muss für Strafverfolger IP-Adressen speichern

Das Bundesverfassungsgericht hat ein Zwangsgeld gegen den deutschen E-Mail-Anbieter Posteo bestätigt. Das in Berlin ansässige Unternehmen sollte 500 Euro Strafe zahlen, weil es sich geweigert hatte, auf eine gerichtliche Anordnung hin die IP-Adressen eines Anschlussinhabers mitzuteilen. Es argumentierte, dass es für die Erfüllung seiner Dienste keine IP-Adressen benötige und diese aus Datenschutzgründen auch grundsätzlich nicht speichere.

2016 hatte ein Gericht Posteo dazu verpflichtet, alle vorhandenen und künftigen Daten eines E-Mail-Kontos eines Verdächtigen herauszugeben. Posteo kam der Aufforderung zwar nach, erklärte aber gegenüber den Ermittlern, dass es keinerlei Daten werde liefern können, da man grundsätzlich keinerlei Traffic von Nutzern aufzeichne.

Die wiederum unterstellten, dass Posteo Zugriff auf die IP-Adressen habe und nur einfach nicht speichere. Posteo jedoch beharrte darauf, keine IP-Adressen zu erhalten, da es Network Adress Translation (NAT) einsetze und deswegen für die Datenübertragung ab dem Übergang ins eigene Netz keine IP-Adressen benötige. Eine Umstellung des eigenen Systems nur zum Zweck einer gerichtlich angeordneten Telekommunikationsüberwachung lehnte das Unternehmen zudem aus Kostengründen ab. Wegen der Weigerung, die IP-Adressen mitzuteilen, verhängte das Gericht schließlich das besagte Zwangsgeld, weswegen der Fall beim Bundesverfassungsgericht landete.

Die Verfassungsrichter argumentierten nun, dass die Telekommunikations-Überwachungsverordnung Diensteanbieter verpflichtet, die für eine Telekommunikationsüberwachung benötigte technische Infrastruktur vorzuhalten. Das Fehlen von IP-Adressen der Posteo-Nutzer sei nicht auf fehlende Daten zurückzuführen, sondern auf die Entscheidung des Unternehmens, diese Daten vor den internen Systemen zu verstecken und aus Datenschutzgründen nicht aufzuzeichnen. Es sei also eine bewusste Entscheidung von Posteo im Rahmen des eigenen Geschäftsmodells gewesen, keine IP-Adressen zu erfassen. Das Gericht wies auch das Argument von Posteo zurück, die Speicherung von IP-Adressen sehe die Verordnung erst seit 2017 vor. Dem Gericht zufolge ist der Nachtrag jedoch eine Ergänzung, sondern eine Klarstellung des Gesetzestexts aus dem Jahr 2002.

„Wir sind sehr überrascht von der Entscheidung des Bundesverfassungsgerichts. Sie stellt die bisherige rechtliche Auskunftssystematik auf den Kopf: Bisher war unbestritten, dass sich die Auskunftspflicht nur auf Daten bezieht, die bei TK-Anbietern nach § 96 TKG tatsächlich auch vorliegen“, kommentierte Posteo. „Nun sollen Daten auch alleinig zu Ermittlungszwecken erhoben werden: Daten, die beim TK-Anbieter im Geschäftsbetrieb nachweislich gar nicht anfallen – und die er im Geschäftsbetrieb auch nicht benötigt.“

Zudem habe eine Stellungnahme des Bundesdatenschutzbeauftragten die Position von Posteo bestätigt. Darin heißt es: „Aus datenschutzrechtlicher Sicht ist das vorliegende Verfahren vielmehr gerade deshalb bedeutend, weil es einen Präzedenzfall für die zukünftige Systematik der sicherheitsbehördlichen Auskunftsverfahren im TK-Bereich darstellen kann. Sollte nunmehr im Rahmen der zur Entscheidung vorliegenden Rechtsfrage festgestellt werden, dass ein TK-Anbieter in Abkehr von der bisherigen Regelungssystematik verpflichtet ist, seine Datenverarbeitungsprozesse aufgrund sicherheitsbehördlicher Auskunftsersuchen über die nach dem TKG eigentlich erforderlichen Maße hinaus umzugestalten, besteht die Gefahr, dass hierdurch das aktuell geltende Ursache-Folge-Verhältnis in diesem Bereich ins Gegenteil verkehrt wird.”

Der Düsseldorf Rechtsanwalt Udo Vetter weist in seinem Blog auf einen weiteren Aspekt hin. Er stuft Posteo in dem Verfahren letztlich als Zeugen ein, der „mitteilen muss, was er weiß. Er ist aber nicht von sich aus verpflichtet, sich aktiv Informationen zu besorgen, die er nicht hat und vielleicht auch gar nicht haben will.“

Posteo prüft derzeit nach eigenen Angaben seine rechtlichen Möglichkeiten. „Sollte es rechtlich keine weiteren Optionen mehr geben, werden wir unsere System-Architektur anpassen müssen, dabei jedoch eine Lösung wählen, die die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt.
Und, um es ganz klar zu sagen: Wir werden nicht damit beginnen, die IP-Adressen unserer unbescholtenen Kundinnen und Kunden zu loggen. Ein konservativer System-Umbau ist für uns keine Option“, kündigte Posteo an. Zudem habe man die Erfahrung gemacht, dass „hochkomplexe, sichere Systemarchitekturen und ihr Nutzen staatlichen Stellen noch kaum verständlich zu machen sind.“

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago