Das Bundesverfassungsgericht hat ein Zwangsgeld gegen den deutschen E-Mail-Anbieter Posteo bestätigt. Das in Berlin ansässige Unternehmen sollte 500 Euro Strafe zahlen, weil es sich geweigert hatte, auf eine gerichtliche Anordnung hin die IP-Adressen eines Anschlussinhabers mitzuteilen. Es argumentierte, dass es für die Erfüllung seiner Dienste keine IP-Adressen benötige und diese aus Datenschutzgründen auch grundsätzlich nicht speichere.
Die wiederum unterstellten, dass Posteo Zugriff auf die IP-Adressen habe und nur einfach nicht speichere. Posteo jedoch beharrte darauf, keine IP-Adressen zu erhalten, da es Network Adress Translation (NAT) einsetze und deswegen für die Datenübertragung ab dem Übergang ins eigene Netz keine IP-Adressen benötige. Eine Umstellung des eigenen Systems nur zum Zweck einer gerichtlich angeordneten Telekommunikationsüberwachung lehnte das Unternehmen zudem aus Kostengründen ab. Wegen der Weigerung, die IP-Adressen mitzuteilen, verhängte das Gericht schließlich das besagte Zwangsgeld, weswegen der Fall beim Bundesverfassungsgericht landete.
Die Verfassungsrichter argumentierten nun, dass die Telekommunikations-Überwachungsverordnung Diensteanbieter verpflichtet, die für eine Telekommunikationsüberwachung benötigte technische Infrastruktur vorzuhalten. Das Fehlen von IP-Adressen der Posteo-Nutzer sei nicht auf fehlende Daten zurückzuführen, sondern auf die Entscheidung des Unternehmens, diese Daten vor den internen Systemen zu verstecken und aus Datenschutzgründen nicht aufzuzeichnen. Es sei also eine bewusste Entscheidung von Posteo im Rahmen des eigenen Geschäftsmodells gewesen, keine IP-Adressen zu erfassen. Das Gericht wies auch das Argument von Posteo zurück, die Speicherung von IP-Adressen sehe die Verordnung erst seit 2017 vor. Dem Gericht zufolge ist der Nachtrag jedoch eine Ergänzung, sondern eine Klarstellung des Gesetzestexts aus dem Jahr 2002.
„Wir sind sehr überrascht von der Entscheidung des Bundesverfassungsgerichts. Sie stellt die bisherige rechtliche Auskunftssystematik auf den Kopf: Bisher war unbestritten, dass sich die Auskunftspflicht nur auf Daten bezieht, die bei TK-Anbietern nach § 96 TKG tatsächlich auch vorliegen“, kommentierte Posteo. „Nun sollen Daten auch alleinig zu Ermittlungszwecken erhoben werden: Daten, die beim TK-Anbieter im Geschäftsbetrieb nachweislich gar nicht anfallen – und die er im Geschäftsbetrieb auch nicht benötigt.“
Zudem habe eine Stellungnahme des Bundesdatenschutzbeauftragten die Position von Posteo bestätigt. Darin heißt es: „Aus datenschutzrechtlicher Sicht ist das vorliegende Verfahren vielmehr gerade deshalb bedeutend, weil es einen Präzedenzfall für die zukünftige Systematik der sicherheitsbehördlichen Auskunftsverfahren im TK-Bereich darstellen kann. Sollte nunmehr im Rahmen der zur Entscheidung vorliegenden Rechtsfrage festgestellt werden, dass ein TK-Anbieter in Abkehr von der bisherigen Regelungssystematik verpflichtet ist, seine Datenverarbeitungsprozesse aufgrund sicherheitsbehördlicher Auskunftsersuchen über die nach dem TKG eigentlich erforderlichen Maße hinaus umzugestalten, besteht die Gefahr, dass hierdurch das aktuell geltende Ursache-Folge-Verhältnis in diesem Bereich ins Gegenteil verkehrt wird.”
Der Düsseldorf Rechtsanwalt Udo Vetter weist in seinem Blog auf einen weiteren Aspekt hin. Er stuft Posteo in dem Verfahren letztlich als Zeugen ein, der „mitteilen muss, was er weiß. Er ist aber nicht von sich aus verpflichtet, sich aktiv Informationen zu besorgen, die er nicht hat und vielleicht auch gar nicht haben will.“
Posteo prüft derzeit nach eigenen Angaben seine rechtlichen Möglichkeiten. „Sollte es rechtlich keine weiteren Optionen mehr geben, werden wir unsere System-Architektur anpassen müssen, dabei jedoch eine Lösung wählen, die die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt.
Und, um es ganz klar zu sagen: Wir werden nicht damit beginnen, die IP-Adressen unserer unbescholtenen Kundinnen und Kunden zu loggen. Ein konservativer System-Umbau ist für uns keine Option“, kündigte Posteo an. Zudem habe man die Erfahrung gemacht, dass „hochkomplexe, sichere Systemarchitekturen und ihr Nutzen staatlichen Stellen noch kaum verständlich zu machen sind.“
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…