Alles erlaubt
Das 2009 gegründete Unternehmen Posteo machte nach den Snowden-Veröffentlichungen mit einem starken Wachstum von sich reden – und voriges Jahr mit der Veröffentlichung des ersten Transparenzberichts eines deutschen E-Mail-Anbieters. Darin geht es um die Anfragen staatlicher Verfolgungsbehörden zu Personendaten. Die Anfragen dürfen den Betroffenen nicht bekannt gemacht, aber statistisch aufbereitet werden. Das hat Posteo nun zum zweiten Mal getan, und der Bericht ist noch erschreckender als der für das Jahr 2013. Das Unternehmen legt Wert auf Datensparsamkeit und erhebt deshalb keine persönlichen Bestandsdaten wie Name und Anschrift, auch keine dynamischen IP-Adressen. Selbst die Bezahlung kann anonym abgewickelt werden. »Wird Posteo mit einem richterlichen Beschluss dazu verpflichtet, Kundendaten herauszugeben, können den Behörden deshalb lediglich Inhaltsdaten (z. B. E-Mails) übermittelt werden«, hält der Transparenzbericht fest.
Anfragen gibt es dennoch – und sie sind meistens gleich mehrfach fehlerhaft. 2014 waren dem Bericht zufolge von 17 Anfragen nach Bestandsdaten 15 formal falsch. Bestandsdatenanfragen enthalten personenbezogene Informationen, manchmal sogar Kontodaten und Tatvorwürfe. Sie müssen laut Datenschutzgesetz sicher verschickt werden und dürfen nicht von Unbefugten gelesen werden können. Die Anfragen an Posteo wurden aber alle unverschlüsselt verschickt, was Posteo zufolge rechtswidrig ist. Oft waren sie auch in anderer Hinsicht problematisch: Sie wurden fälschlicherweise an die Support-Abteilung für die Kundschaft geschickt, also an Unbefugte. Zudem wurden sie nicht von dienstlichen E-Mail-Adressen aus verschickt und bezogen sich auf Daten, die vom angeführten Paragraphen nicht gedeckt wurden und nur nach richterlichem Beschluss herausgegeben werden dürfen. Oder sie enthielten keine Angabe der Rechtsgrundlage oder sichere Antwortmöglichkeit. Ein E-Mail-Anbieter kann sich bei solchen Anfragen mit der Herausgabe von Daten strafbar machen.
Posteo beschwerte sich deswegen 15 Mal bei Landesdatenschutzbeauftragten. »Die Antworten der Datenschützer waren eindeutig: Das Problem der unsicheren Übermittlung sensibler Daten durch Polizeibehörden ist bekannt und immer wieder Anlass für Gespräche und Kontrollen«, heißt es in dem Report. Weil sich die Behördenpraxis nicht geändert hat, übergab Posteo im Juli dem Vorsitzenden der SPD-Bundestagsfraktion, Thomas Oppermann, eine entsprechende Stellungnahme. Der könnte mit dem Thema schon mal zu tun gehabt haben, denn es war sein Fraktionskollege Burkhard Lischka, der im Januar 2013 die Bundesregierung gefragt hatte, ob ihr bekannt sei, dass Bestandsdatenanfragen oft auch Daten anfordern, die keine Bestandsdaten sind, wie dynamische IP-Adressen oder Datum und Uhrzeit des letzten Zugriffs auf ein E-Mail-Konto. Vorher hatte bereits der Branchenverband Bitkom den Rechtsausschuss des Bundestags über dieses Problem informiert.
Die Bundesregierung wiegelte ab. Nach einer ähnlichen Anfrage des Bundestagsabgeordneten Dieter Janecek (Grüne) schrieb das Innenministerium am 19. August: »Der Bundesregierung liegen weiterhin keine Anhaltspunkte für rechtswidrige Anfragen vor.« Deswegen hat Posteo nun die Behördenbriefe veröffentlicht, die genau solche Fälle belegen sollen.
Zum Richtervorbehalt, der auch bei der umstrittenen Vorratsdatenspeicherung eine wichtige Bedeutung hat, kann der Transparenzbericht ebenfalls mit interessanten Erkenntnissen aufwarten: Die Gerichte erlauben den Behörden offenbar so ziemlich alles. Eine Statistik führt demnach zwar nur das Land Berlin, aber die ist umso aussagekräftiger. Seit 2007 wurde dort kein einziger Antrag auf Telekommunikationsüberwachung abgelehnt.
