von Robert Klatt •
Posteo muss IP-Adressen seiner Nutzer speichern und herausgeben, obwohl diese für den Betrieb nicht benötigt werden und daher auch nicht erhoben werden.
Der deutsche E-Mail-Dienst Posteo speichert von seinen Kunden aus Datenschutzgründen keine IP-Adressen, da es diese für den Geschäftsbetrieb nicht benötigt. Laut einer Entscheidung des Bundesverfassungsgerichts, das ein Zwangsgeld von 500 Euro gegen das Unternehmen verhängt hat, ist diese Praxis jedoch nicht erlaubt. Das Gericht verurteilte das Unternehmen, da es sich trotz einer gerichtlichen Anordnung geweigert hat, die IP-Adresse eines Kunden an die Ermittlungsbehörden zu übermitteln.
Der Auseinandersetzung begann bereits 2016 als Posteo von einem Gericht dazu verpflichtet wurde, alle Daten eines Kunden, der einer Straftat verdächtigt war, herauszugeben. Aus Sicht des Unternehmens wurde der Forderung des Gerichts gefolgt, auch ohne Herausgabe der IP-Adressen, da diese grundsätzlich nicht ausgezeichnet werden und daher auch nicht herausgegeben werden können.
Aus technischer Sicht argumentiert Posteo damit, dass aufgrund des eingesetzten Network Adress Translation (NAT) keine IP-Adressen der Kunden im eigenen Netz nötig seien, um Daten zu übertragen. Das Gericht wiederum vertritt die Ansicht, dass Posteo Zugriff auf die IP-Adressen hat und diese schlicht nicht offenlegen möchte. Außerdem argumentiert Posteo damit, dass eine gerichtlich angeordneten Telekommunikationsüberwachung nur durch eine Umstrukturierung des eingesetzten Systems möglich sei, was aufgrund der Unternehmensgröße eine nicht zu stemmende finanzielle Belastung darstellt. Als Reaktion auf diese Argumentation und die Weigerung der Zusammenarbeit seitens Posteo wurde das Zwangsgeld verhängt, das nun in der letzten Instanz durch das Bundesverfassungsgericht bestätigt wurde.
Aus Sicht der Verfassungsrichter sind Unternehmen wie Posteo unabhängig von den entstehenden Kosten dazu verpflichtet durch ihre eingesetzte Technik eine Telekommunikationsüberwachung zu ermöglichen. Die fehlenden IP-Adressen im Falle von Posteo sind laut den Karlsruher Richtern eine freie Entscheidung des Unternehmens, das damit gegen seine Pflichten aus der Telekommunikations-Überwachungsverordnung Diensteanbieter verstößt.
„Wir sind sehr überrascht von der Entscheidung des Bundesverfassungsgerichts. Sie stellt die bisherige rechtliche Auskunftssystematik auf den Kopf: Bisher war unbestritten, dass sich die Auskunftspflicht nur auf Daten bezieht, die bei TK-Anbietern nach § 96 TKG tatsächlich auch vorliegen“, kommentierte Posteo. „Nun sollen Daten auch alleinig zu Ermittlungszwecken erhoben werden: Daten, die beim TK-Anbieter im Geschäftsbetrieb nachweislich gar nicht anfallen – und die er im Geschäftsbetrieb auch nicht benötigt.“
Auch der Bundesdatenschutzbeauftragten vertritt in einer Stellungnahme die Position des Unternehmens.
„Aus datenschutzrechtlicher Sicht ist das vorliegende Verfahren vielmehr gerade deshalb bedeutend, weil es einen Präzedenzfall für die zukünftige Systematik der sicherheitsbehördlichen Auskunftsverfahren im TK-Bereich darstellen kann. Sollte nunmehr im Rahmen der zur Entscheidung vorliegenden Rechtsfrage festgestellt werden, dass ein TK-Anbieter in Abkehr von der bisherigen Regelungssystematik verpflichtet ist, seine Datenverarbeitungsprozesse aufgrund sicherheitsbehördlicher Auskunftsersuchen über die nach dem TKG eigentlich erforderlichen Maße hinaus umzugestalten, besteht die Gefahr, dass hierdurch das aktuell geltende Ursache-Folge-Verhältnis in diesem Bereich ins Gegenteil verkehrt wird.”
Auch der bekannte Strafverteidiger Udo Vetter erklärte in seinem Blog, dass seiner rechtliche Einschätzung nach Posteo in dem Verfahren lediglich ein Zeuge ist und daher nicht aktiv Informationen beschaffen muss.
Das Unternehmen erklärte nach der Entscheidung des Verfassungsgerichts weitere rechtliche Möglichkeiten zu prüfen.
„Sollte es rechtlich keine weiteren Optionen mehr geben, werden wir unsere System-Architektur anpassen müssen, dabei jedoch eine Lösung wählen, die die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt. Und, um es ganz klar zu sagen: Wir werden nicht damit beginnen, die IP-Adressen unserer unbescholtenen Kundinnen und Kunden zu loggen. Ein konservativer System-Umbau ist für uns keine Option“, kündigte Posteo an. Zudem habe man die Erfahrung gemacht, dass „hochkomplexe, sichere Systemarchitekturen und ihr Nutzen staatlichen Stellen noch kaum verständlich zu machen sind.“