Erster Kommentar zur Entscheidung des Bundesverfassungsgerichts
Erstellt am 29.Januar 2019, 15:00 Uhr | Kategorie: Blog
Liebe Posteo-Nutzerinnen und Posteo-Nutzer,
heute wird in der Presse über eine Entscheidung des Bundesverfassungsgerichtes zu E-Mail-Anbietern berichtet.
Es handelt sich um unsere Verfassungsbeschwerde.
Wir prüfen derzeit noch die Entscheidung, die uns seit wenigen Stunden vorliegt und werden mit unseren Anwälten beraten, welche rechtlichen Optionen wir noch haben.
Grundsätzlich möchten wir sagen:
Wir sind sehr überrascht von der Entscheidung des Bundesverfassungsgerichts. Sie stellt die bisherige rechtliche Auskunftssystematik auf den Kopf: Bisher war unbestritten, dass sich die Auskunftspflicht nur auf Daten bezieht, die bei TK-Anbietern nach § 96 TKG tatsächlich auch vorliegen. Nun sollen Daten auch alleinig zu Ermittlungszwecken erhoben werden: Daten, die beim TK-Anbieter im Geschäftsbetrieb nachweislich gar nicht anfallen – und die er im Geschäftsbetrieb auch nicht benötigt. (Von der Vorratsdatenspeicherung sind E-Mail-Dienste wie Posteo explizit ausgenommen.)
Wir bewerten die Entscheidung als recht einseitig. Eine Stellungnahme der Bundesdatenschutzbeauftragten hatte unsere Positionen in vielen Punkten gestärkt, wurde in der Entscheidung aber kaum gewürdigt.
Die Bundesbeauftragte für den Datenschutz (BfDI) hatte vor der Entscheidung im Verfahren wie folgt Stellung bezogen und gewarnt:
“Aus datenschutzrechtlicher Sicht ist das vorliegende Verfahren vielmehr gerade deshalb bedeutend, weil es einen Präzedenzfall für die zukünftige Systematik der sicherheitsbehördlichen Auskunftsverfahren im TK-Bereich darstellen kann. Bislang gilt der Grundsatz: Bei Vorliegen einer entsprechenden Rechtsgrundlage müssen TK-Anbieter die bei ihnen vorliegenden Verkehrsdaten anfragenden Sicherheitsbehörden zur Verfügung stellen. (…) Sollte nunmehr im Rahmen der zur Entscheidung vorliegenden Rechtsfrage festgestellt werden, dass ein TK-Anbieter in Abkehr von der bisherigen Regelungssystematlk verpflichtet ist, seine Datenverarbeitungsprozesse aufgrund sicherheitsbehördlicher Auskunftsersuchen über die nach dem TKG eigentlich erforderlichen Maße hinaus umzugestalten, besteht die Gefahr, dass hierdurch das aktuell geltende Ursache-Folge-Verhältnis in diesem Bereich ins Gegenteil verkehrt wird.”
Und weiter:
“Mit der Verpflichtung, nach den aktuellen Vorschriften des TKG eigentlich nicht erforderliche Daten überhaupt erst zu erheben, um ein Auskunftsersuchen erfüllen zu können, würde das eigentliche Entstehen von Telekommunikationsdaten zu einem Mittel, das nicht der Telekommunikation selbst, sondem ausschließlich der Unterstützung und gegebenenfalls sogar Ermöglichung sicherheitsbehördlicher Maßnahmen dient. Letztere werden damit zur eigentlichen Ursache für die Datenverarbeitung.”
Zur vollständigen Stellungnahme der Bundesbeauftragten für den Datenschutz
Warum wir keine Verkehrsdaten zu den Postfächern erheben
Nutzer-Verkehrsdaten dürfen wir nach § 96 TKG nur dann erheben, wenn wir sie für betriebliche Zwecke benötigen.
Wir benötigen solche Daten aber nicht – deshalb dürfen wir sie aus unserer Sicht auch nicht erheben. Unsere Systemarchitektur ist u.a. aus Sicherheitserwägungen so aufgebaut, dass sich IP-Adressen auch überhaupt nicht postfachbezogen erheben lassen.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatierte in einem technischen Gutachten im Verfahren:
“Ohne Änderungen an den eingesetzten Systemen kann Posteo den Zugriff auf ein Postfach nicht einer IP-Adresse des Kunden zuordnen.”
Wie es jetzt weitergeht
Sollte es rechtlich keine weiteren Optionen mehr geben, werden wir unsere System-Architektur anpassen müssen, dabei jedoch eine Lösung wählen, die die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt.
Und, um es ganz klar zu sagen: Wir werden nicht damit beginnen, die IP-Adressen unserer unbescholtenen Kundinnen und Kunden zu loggen. Ein konservativer System-Umbau ist für uns keine Option.
Es geht darum, bei richterlich angeordneten Telekommunikations-Überwachungen eine IP-Adresse zu einem betroffenen Postfach erheben zu können.
Jegliche Änderungen werden wir transparent und nachprüfbar kommunizieren und dokumentieren. In den letzten zwei Jahren haben wir bereits viel Zeit investiert, uns auch auf diesen Fall vorzubereiten.
Wir haben die Erfahrung gemacht, dass hochkomplexe, sichere Systemarchitekturen und ihr Nutzen staatlichen Stellen noch kaum verständlich zu machen sind.
Es geht nicht nur um Datenschutz, sondern auch um die IT-Sicherheit: Was ist mit dem berechtigten Anspruch aller Nutzer, gegen Cyber-Attacken aus dem Internet bestmöglich geschützt zu sein?
Wir haben unsere internen Systeme aus gutem Grund bestmöglich gegen das öffentliche Internet und gegen Angriffe aus ihm abgeschirmt. Es macht aus unserer Sicht überhaupt keinen Sinn, ein System so umzubauen, dass es zusätzliche Daten von Aussen ins System lässt, die für den technischen Betrieb überhaupt nicht benötigt werden. Das ist genau das rückständige Denken, das häufig in die Katastrophe führt – wie die massenhaften Datendiebstähle in den letzten Wochen gezeigt haben.
Viele Grüße
das Posteo-Team