Das Bundesinnenministerium will bei den Verhandlungen zur TKG-Novelle offenbar kurzfristig noch Änderungen mit weitreichenden Folgen für alle Internetnutzerinnen durchsetzen: Nach dem Willen des BMI sollen sich die Bürgerinnen und Bürger künftig identifizieren müssen, wenn sie weiterhin online über Messengerdienste, Audio-, Videochats oder auch per E-Mail kommunizieren möchten.

Egal, ob WhatsApp, Zoom, Facetime, iMessage, E-Mail oder Skype: Überall sollen künftig verifizierte Datensätze jedes Nutzers liegen. Dem BMI geht es um alle “nummerunabhängigen interpersonellen TK-Dienste”.

Konkret will das BMI, dass die Bürgerinnen und Bürger ihren Namen, die Anschrift sowie ihr Geburtsdatum zwingend bei den Anbietern hinterlegen, die diese Angaben (z.B. mit Personalausweis oder Ident-Diensten) verifizieren müssen.

#more#

Uns liegt ein entsprechendes Papier aus dem BMI seit letzter Woche vor. Heute wurde uns aus gut informierten Kreisen noch einmal bestätigt, dass die Identifizierungspflicht weiterhin nicht vom Tisch ist. Eine frühere Version des Papiers hatte sogar eine Entschlüsselungspflicht für die Anbieter enthalten – diese scheint nun entfallen. Wir haben uns jetzt für die Veröffentlichung des Papiers (siehe unten) entschieden, um eine öffentliche Debatte zu ermöglichen. Uns wurde berichtet, dass das BMI versucht, möglichst viele der insgesamt 15 im Papier enthaltenen Punkte auf den letzten Metern noch ins Gesetz zu bekommen.

BMI will Personen-Vorratsdatenspeicherung

Im Papier heisst es: “TK-Dienste sollen verpflichtet werden, Identifizierungsmerkmale zu erheben, zu verifizieren und im Einzelfall den Sicherheitsbehörden zur Verfügung zu stellen.” Die Daten der Bürgerinnen und Bürger sollen nur zum Zweck einer möglichen künftigen Strafverfolgung flächendeckend gespeichert werden: das wäre nichts anderes als eine Personen-Vorratsdatenspeicherung.

Die Identifizierungspflicht würde die Art und Weise, wie Menschen hierzulande Online-Dienste nutzen, grundlegend ändern. Die Nutzerinnen müssten stets zunächst ein Ident-Verfahren durchführen bzw. den Ausweis vorzeigen und wären gezwungen, ihre verifizierten Daten bei zahlreichen – über die ganze Welt verstreuten – Unternehmen zu hinterlegen. Oft handelt es sich um Dienste mit werbefinanzierten, datengetriebenen Geschäftsmodellen, denen die verifizierten Daten aller (deutschen) Nutzer auf dem Silbertablett geliefert würden: So verfügen die Plattformen der großen Konzerne wie Google, Facebook oder Apple oft über integrierte Audio-/Video- und Textchat-Angebote, die nicht getrennt vom Benutzerkonto gehalten werden. Daher wären in der Konsequenz die meisten Online-Angebote von der Identifikationspflicht betroffen. Das dürfte einen massiven und unverhältnismäßigen Eingriff in grundrechtlich geschützte Freiheitsrechte darstellen.

Die gesellschaftlichen Konsequenzen wären enorm: Etwa bei der Teilhabe von Personen ohne Ausweis (Kinder, Geflüchtete) oder von Menschen, die aus Sicherheitsbedenken ihre Daten online nicht überall angeben möchten. Das vertrauliche Hilfesuchen und Konsultieren von Beratungsangeboten würde genauso erschwert wie die Arbeit von Journalistinnen und Journalisten.
Die Anbieter würden hochattraktiv für Datendiebe und vermehrt Ziel von Angriffen. Datenschutzrechtliche Grundsätze würden zudem übergangen: Die Daten würden nur zum Zweck einer möglichen künftigen Strafverfolgung flächendeckend erhoben – und nicht etwa aus betrieblichen Erfordernissen. Wie die Anbieter Nutzerinnen und Nutzer aus Deutschland von ausländischen Nutzern zweifelsfrei unterscheiden sollen, wird in dem Papier nicht erörtert. Auch nicht, dass der Internetstandort Deutschland massiv benachteiligt würde. Es würde massive Ausweichbewegungen hin zu im Ausland sitzenden Angeboten geben, die widerum dazu gezwungen würden, deutsche Nutzer auszusperren – oder deren Identität festzustellen. Datensparsame Online-Dienste würden unmöglich gemacht.

Warum das BMI angesichts eines globalen Internets eine solche Regelung überhaupt für umsetzbar hält, ist völlig offen. Man kann das Internet nicht mit weitgehend nationalen Netzstrukturen – wie etwa Telefonnetzen – vergleichen.
Auch wird im Papier fälschlicherweise und irreführend davon gesprochen, für Strafverfolger solle dann künftig “im Einzelfall die Anonymität” aufgehoben werden. Erstens werden Bestandsdaten nicht in Einzelfällen, sondern millionenfach pro Jahr bei den Anbietern abgefragt – schon bei Ordnungswidrigkeiten (2019: Über 16 Millionen Anfragen laut Bundesnetzagentur). Und zweitens ist ein Account, der bei einem Anbieter mit einem verifizierten Datenatz verknüpft ist, niemals anonym – der Benutzername ist lediglich ein Pseudonym.

15 Punkte: Die Wunschliste des BMI ist lang

Das Papier enthält mehr als ein Dutzend weiterer Punkte, die das BMI im Rahmen der TKG-Novellierung gerne durchsetzen würde. Es ist unserer Ansicht nach durchaus möglich, dass der “Empörungs”-Punkt Identifikationspflicht ggf. die Aufmerksamkeit von den anderen Punkten des Papiers nehmen soll. Auch diese würden aber weitreichende Konsequenzen haben. So sollen die Begriffsdefinitionen für Bestands- und Verkehrsdaten erheblich weiter gefasst und aus ihrem datenschutzrechtlichen Kontext genommen werden. Auch den schon jetzt unklaren Begriff der sogenannten “Mitwirkenden” an TK-Diensten will das BMI ausweiten, bis hin zu Auftragsdatenverarbeitern. Auch sollen diese “Mitwirkenden” (z.B. Internetcafes, Krankenhäuser, Hotels usw.) verpflichtet werden, ebenfalls Daten für Auskunftsersuchen der Sicherheitsbehörden zu erheben und zu speichern. Es wird versucht, jeden zur Datenerhebung heranzuziehen, der auch nur im entferntesten in Berührung mit dem Erbringen von TK-Dienstleistungen kommt. So entstehen an vielen Stellen in der Gesellschaft Datenhalden – und zur Auskunft gegenüber den Behörden Verpflichtete.

Aus unserer Sicht wird hier durch das BMI klar versucht, im TKG ein eigenes Regime für die Erhebung von Daten – nur für die Strafverfolgungsbehörden – zu schaffen und diese Datenerhebung von den datenschutzrechtlichen Vorgaben der DSGVO zu entkoppeln: Dass man nämlich nur erheben darf, was für den Betrieb notwendig ist. Dieser Datenschutzgrundsatz wird auch im neuen TTDSG verankert, einem Gesetz, das künftig den Datenschutz für die TK-Anbieter regeln wird.

Dass nun versucht wird, im TKG einen anderen Datenbegriff zu etablieren und ein anderes Erhebungsregime festzuschreiben, ist alarmierend. Hier wird nun zielgericht konstruiert, dass immer alles erfasst werden muss, was für die Strafverfolgung notwendig ist – und nicht – wie bisher bei E-Mail-Diensten – nur das, was aus betrieblichen Gründen erforderlich ist.

Man hält sich nicht an das, was das BverfG für Datenerhebungen und Datenauskünfte vorgegeben hat, wenn man auf diesem Wege aushebeln möchte, was verfassungs- und datenschutzrechtlich vorgegeben ist. Man kann spezialgesetzliche Regelungen treffen, doch auch diese müssen den verfassungsrechtlichen Vorgaben entsprechen. In den Eingriffsvoraussetzungen muss klar sein, wann, welche und warum Daten erhoben werden. Aber nicht dieses “große Öffnen”, indem man an den Begriffsdefintionen für Bestands-, Verkehrsdaten und am ungeklärten Begriff der sogenannten “Mitwirkung” schraubt und diese so weit öffnet, dass Anbieter und beliebige Dritte am Ende alles erheben und speichern müssen – nur für die Zwecke der Ermittlungsbehörden.

TK-Dienste, die Internetzugangs- oder Signalübertragungsdienste anbieten, will das BMI außerdem verpflichten, im Rahmen einer Quellen-TKÜ sowie bei Online-Durchsuchungen “Auskünfte zu erteilen und Hilfestellung zu gewähren”. Das bedeutet: Diese Anbieter sollen verpflichtet werden, den Datenstrom so umzuleiten bzw. die hierzu notwendigen Hilfestellungen zu geben, dass die Sicherheitsbehörden die staatliche Überwachungssoftware (Staatstrojaner) auf dem Endgerät des Nutzers aufbringen können.

Welche Erfolgsaussichten die Forderungen aus dem BMI im derzeit laufenden Gesetzgebungsverfahren haben, ist noch unklar. Uns wurde aus dem Bundestag signalisiert, dass das BMI nicht locker lässt und weiter versucht, auf den letzten Drücker noch Themen ins TKG zu bekommen, die in der Ressortabstimmung eigentlich verworfen wurden – und dass es in der SPD-Fraktion Bedenken gibt. Das BMI beabsichtigt, so viele seiner Forderungen durchzusetzen wie möglich. Auch, da es wahrscheinlich ist, dass nach der Bundestagswahl andere Koalitionspartner mitregieren, die für solch tiefgreifende sicherheitspolitische Verschärfungen wenig offen wären. Wir hatten im Herbst bereits Stellung zum bisherigen Gesetzentwurf genommen – damals wurden Wirtschaft und Zivilgesellschaft nur 2 Tage Zeit für eine Stellungnahme eingeräumt. Wir möchten nicht in den kommenden Wochen von einem in wesentlichen Teilen verschärften Gesetzentwurf überrascht werden, zu dem kaum noch Stellung bezogen werden kann.

Disclaimer: Wenn Sie das Dokument lesen, beachten Sie bitte, dass es sich bisher nur um ein Forderungspapier aus dem Bundesinnenministerium handelt. Die dort enthaltenen Ausführungen und Begründungen geben daher ausschliesslich die Ansichten des BMI wieder – und entsprechen nicht zwingend Tatsachen. Es ist derzeit auch völlig unklar, welche oder ob wesentliche Teile des Papiers in den Gesetzentwurf gelangen werden.

Liebe Posteo-Kundinnen und Kunden,
liebe Interessierte,

wir wenden uns heute an alle Nutzer von Thunderbird in Verbindung mit dem Verschlüsselungs-Add-on Enigmail. Bitte vermeiden Sie ein Update auf die kommende Version Thunderbird 78.0, wenn Sie Ihre E-Mails regelmäßig mit OpenPGP verschlüsseln und weiterhin darauf angewiesen sind. Enigmail wird von Thunderbird 78 nicht mehr unterstützt. Die neue, eigene OpenPGP-Verschlüsselung des Mailprogramms ist in Version 78.0 noch experimentell – und standardmäßig abgeschaltet.

Sollten Sie die automatische Aktualisierung verwenden, müssen Sie nichts weiter unternehmen: Ein Update auf Thunderbird 78 wird nicht automatisch installiert.

Zum Hintergrund:
Mozilla plant noch für diesen Sommer die neue Version Thunderbird 78, mit der sich die Unterstützung von Add-ons ändert. Dies war unter anderem aus Sicherheitsgründen notwendig geworden.
Das hatte auch ein Sicherheits-Audit im Auftrag von Posteo Ende 2017 gezeigt, das diverse Sicherheitslücken in Thunderbird, insbesondere der Add-on-Schnittstelle identifiziert hatte.

Externe Add-ons wie Enigmail, die auf interne Komponenten von Thunderbird zugreifen müssen, werden künftig nicht mehr unterstützt.

Daher implementiert Mozilla in Thunderbird 78 eine eigene OpenPGP-Funktion. Die eingebaute Verschlüsselung soll das Add-on Enigmail ersetzen.
Aktuell wird die OpenPGP-Unterstützung in Thunderbird 78 als experimentell eingestuft und ist standardmäßig ausgeschaltet: Enigmail wird in Thunderbird 78 nicht mehr unterstützt.

Warten auf Thunderbird 78.2

Ab Thunderbird 78.2 soll OpenPGP in Thunderbird standardmäßig zur Verfügung stehen. Wir werden Sie darüber informieren, sobald die Version zur Verfügung steht und ein Update für OpenPGP-Nutzer möglich ist.

Viele freundliche Grüße sendet
das Posteo-Team

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir haben eine kurze Mitteilung in eigener Sache:
aufgrund der zunehmenden Verbreitung des Coronavirus bleibt unser Posteo-Lab auf dem Berliner Kreuzberg bis auf Weiteres geschlossen.

Das Posteo-Lab ist unser Öffentlichkeitsraum in Berlin.
Interessierte können dort normalerweise täglich zwischen 15 und 18 Uhr vorbeikommen, um Posteo auszuprobieren, Guthaben aufzuladen und Fragen zu stellen.

Wir bitten alle, die uns in Kürze besuchen wollten, um Verständnis.
Wir werden hier im Blog darüber informieren, sobald wir das Lab wieder öffnen.

Hintergrund der Schliessung ist, dass wir unserem Team bereits seit Ende Februar empfehlen, nach Möglichkeit im Homeoffice zu arbeiten.
Deswegen können wir das Lab nicht mehr durchgängig besetzen. Mit der vorübergehenden Schliessung möchten wir auch das Risiko einer Ansteckung verringern. Ansonsten ist der Betriebsablauf durch das Coronavirus nicht gestört. Sie können alle Fragen per E-Mail an support@posteo.de an uns richten und ihr Guthaben online wieder aufladen.

Viele Grüße
Ihr Posteo-Team

Liebe Kundinnen und Kunden, liebe Interessierte,

wir haben einen Transparenzhinweis für Sie: Wir haben unsere Spenden-Seite aktualisiert. Dort legen wir offen, welche Organisationen wir im vergangenen Jahr (2019) finanziell unterstützt haben.

Im vergangenen Jahr haben wir insgesamt 44.500 Euro gespendet. Davon waren 42.045 Euro freiwillige Spenden durch das Unternehmen Posteo. Aus gespendeten Restguthaben gekündigter Postfächer stammten die übrigen 2455 Euro. Im Vergleich zum Vorjahr konnten wir unsere Spenden im Jahr 2019 um 3900 Euro erhöhen.

#more#

Uns ist es wichtig, gesellschaftliches Engagement zu fördern und als Unternehmen Verantwortung zu übernehmen. Deshalb spenden wir an ausgewählte Organisationen aus den Bereichen Umwelt- und Klimaschutz, Netzpolitik und Meinungsfreiheit sowie aus der Flüchtlingshilfe.

Im Jahr 2019 wurden unterstützt:

BUND
Der Bund für Umwelt und Naturschutz Deutschland (BUND) ist einer der größten deutschen Umweltverbände. Deutschlandweit gibt es über 2000 ehrenamtliche BUND-Gruppen, die sich u.a. zu Umweltthemen in ihrer Region engagieren. Der BUND setzt sich außerdem für den Klimaschutz, für eine ökologische Landwirtschaft sowie für den Schutz bedrohter Arten, der Wälder und des Wassers ein. Der BUND ist das deutsche Mitglied des internationalen Umweltschutznetzwerkes “Friends of the Earth”.

ECCHR
Das Europäisches Zentrum für Verfassungs- und Menschenrechte (ECCHR) setzt sich mit juristischen Mitteln für die Menschenrechte ein. Ziel der Anwälte des ECCHR ist es, staatliche und nichtstaatliche Akteure für schwerwiegende Menschenrechtsverletzungen gerichtlich zur Verantwortung zu ziehen. Gegründet wurde das ECCHR im Jahr 2007 unter anderem von dem Menschenrechtsanwalt Wolfgang Kaleck, der in Deutschland den Whistleblower Edward Snowden vertritt.

Netzpolitik.org
netzpolitik.org ist eine journalistische Plattform für digitale Freiheitsrechte und bildet die wichtigen politischen Debatten und Entwicklungen rund um das Internet ab. Auf der Plattform wird dokumentiert, wie die Politik das Internet und die Gesellschaft durch Regulierung und den kontinuierlichen Ausbau von Überwachungsgesetzen verändert. Netzpolitik.org will mit seiner Arbeit Menschen zum Engagement für ihre digitalen Freiheitsrechte und für eine offene Gesellschaft anregen.

Reporter ohne Grenzen
Reporter ohne Grenzen setzt sich weltweit für die Presse- und Informationsfreiheit ein. Die Organisation dokumentiert Verstöße gegen die Pressefreiheit und unterstützt Journalisten, die in Gefahr sind. Reporter ohne Grenzen kämpft gegen Zensur und restriktive Mediengesetze.

UNICEF – Living Schools
UNICEF ist das Kinderhilfswerk der Vereinten Nationen. Die Organisation setzt sich seit 1946 in 190 Staaten für die Gesundheit, Bildung und Rechte von Kindern und Müttern ein. Politisch engagiert sich UNICEF gegen den Einsatz von Kindersoldaten und für den Schutz von Flüchtlingen und die Umsetzung der Kinderrechtskonventionen. Posteo unterstützt das Projekt Living Schools in Malawi: Dort werden Schulen gebaut, die auf den Prinzipien Umweltbewusstsein, E-Learning und Mitbestimmung basieren. Die Schulen haben ein eigenes Wassersystem für sauberes Trinkwasser und Hygiene, nutzen die Sonne zur Energiegewinnung und lehren in einem Schulgarten den Umweltschutz. E-Learning-Angebote stehen auch der Nachbarschaft zur Verfügung.

Die UNO-Flüchtlingshilfe
Die UNO-Flüchtlingshilfe ist der deutsche Ableger des Flüchtlingshilfswerks der Vereinten Nationen (UNHCR). Sie sichert das Überleben geflüchteter Menschen in akuten Krisensituationen mit lebensrettenden Nothilfemaßnahmen. So sorgt die UNO-Flüchtlingshilfe beispielsweise für eine ausreichende Versorgung mit Wasser, Lebensmitteln und Medikamenten in Flüchtlingscamps oder in schwer zugänglichen Regionen.

Zusätzliches Sponsoring im Jahr 2019:

taz – Panter Stiftung
Die taz Akademie lädt zweimal im Jahr 20 NachwuchsjournalistInnen und -journalisten und Aktivistinnen und Aktivisten nach Berlin ein, um zusammen einen Beileger für die Tageszeitung zu produzieren. Im Jahr 2019 hieß das Thema „Klima retten? Klar, aber wie?“. Posteo hat den Klima-Workshop als Sponsor unterstützt.

Reporter ohne Grenzen – Press Freedom Awards
Die Press Freedom Awards von Reporter ohne Grenzen ehren außergewöhnlich mutige und unabhängige Journalistinnen und Journalisten, die trotz widrigster Umstände und Gefahren nicht schweigen wollen. Posteo stiftete im Jahr 2019 das Preisgeld in der Kategorie „Courage“.

Posteo wirtschaftet nachhaltig und ist unabhängig: Unser Dienst wird ausschließlich mit den Postfachgebühren unserer Kundinnen und Kunden finanziert. Investoren oder Werbepartner gibt es bei Posteo nicht. Deshalb sind Sie es, die unser Engagement ermöglichen – und einen Unterschied machen. Hierfür bedanken wir uns bei Ihnen.

Viele Grüße
Ihr Posteo-Team

Update 14.11.2019:

Die Redaktionen haben sich inzwischen bei uns gemeldet und die falschen Presseberichte von Tagesschau, SZ, Spiegel Online u.a. wurden korrigiert bzw. ergänzt.
Dass Webmaildienste nicht mehr dem TKG unterliegen, war vielen offenbar noch nicht bekannt. Die uns vertretende TK- und Verfahrensrechtsexpertin Dr. Grace Nacimiento (GvW) hat sich freundlicherweise dazu bereit erklärt, für Interessierte noch einmal eine kurze schriftliche Einordnung der aktuellen rechtlichen Situation zu geben:
#more#
Zitat Dr. Grace Nacimiento vom 13.11.2019:
“Der EuGH hat in seinem Googlemail-Urteil vom 13. Juni 2019 entschieden, dass Webmaildienste wie Posteo nicht als Telekommunikationsdienste im Sinne der einschlägigen Definition in den EU-Richtlinien einzustufen sind. In Deutschland ist diese unionsrechtliche Definition im TKG umgesetzt worden. Die Auslegung der unionsrechtlichen Definition eines Telekommunikationsdienstes durch den EuGH ist für die mitgliedstaatlichen Verwaltungen verbindlich. Die Bundesnetzagentur ist demnach in ihrer Verwaltungspraxis verpflichtet, die vom EuGH getroffene Auslegung zugrunde zu legen. Behördliche Maßnahmen gegenüber Anbietern von Webmaildiensten sind daher jedenfalls auf Basis des TKG nicht zulässig. Das gilt insbesondere auch für Maßnahmen zur Erfüllung von Pflichten, die das TKG im Zusammenhang mit TK-Überwachungen für Anbieter von Telekommunikationsdiensten regelt. In zeitlicher Hinsicht hat dieses Urteil nach den unionsrechtlichen Vorschriften Rückwirkung. Das heißt, es gilt auch für alle vor dem Urteil entstandenen Sachverhalte, bei denen es um Verpflichtungen von Webmaildiensteanbietern nach dem TKG geht.”

---

Liebe Posteo-Nutzerinnen und Posteo-Nutzer,

dieser Blogbeitrag richtet sich ausnahmsweise einmal nicht direkt an Sie, sondern an Redaktionen. Seit gestern befinden sich leider falsche Tatsachenbehauptungen zu E-Mail-Diensten wie Posteo (Webmaildienste), Rechtsgrundlagen und Urteilen im Zusammenhang mit Posteo in der medialen Berichterstattung, die zu korrigieren sind.

Viele Grüße,
das Posteo-Team

A) Falsche Berichterstattung u.a. der SZ, tagesschau.de und anderen Medien zur aktuellen Rechtslage bei E-Maildiensten:

Die gestern (11.11.2019) und heute (12.11.2019) in den Medien dargestellte Rechtslage zu E-Mail-Diensten, die dort pauschal als TK-Dienste bezeichnet werden, ist inzwischen veraltet und falsch. Von dieser falschen Grundannahme ausgehend folgt eine in vielen Punkten falsche Berichterstattung. Richtig ist: E-Mail-Dienste wie Posteo (Webmaildienste) unterliegen bereits seit Juni 2019 überhaupt nicht mehr dem TKG. Über die neue Rechtslage informieren wir bereits seit dem Sommer 2019 auf unserer Transparenzberichte-Website wie folgt:

“In Folge eines Urteils des Europäischen Gerichtshofes vom 13.06.2019 fallen E-Mail-Dienste wie Posteo nicht mehr unter die Pflichten des TKG.

Alle Verweise auf das Telekommunikationsgesetz (TKG) auf diesen Seiten sowie die Bezeichnung von Posteo als „Telekommunikations-Anbieter nach dem TKG“ sind daher nicht mehr aktuell.

Derzeit gibt es keine Rechtsgrundlage mehr für etwaige Telekommunikationsüberwachungen (TKÜ) bei E-Mail-Diensten; Posteo darf und wird solche Anordnungen daher nicht mehr umsetzen.

Auch alle sonstigen Ersuchen/Verpflichtungen auf Grundlage des TKG sind hinfällig.

Voraussichtlich wird eine neue gesetzliche Regelung im Jahr 2020 auf den Weg gebracht werden.”

Bis zur neuen gesetzlichen Regelung gilt außerdem:

1) In der Folge des EUGH-Urteils vom 13.06. ist der Bundesdatenschutzbeauftragte ab sofort nicht mehr für E-Mail-Dienste wie Posteo zuständig, da diese nicht mehr dem TKG unterliegen.

Quelle/Beleg für Redaktionen:

Aus dem Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – 12.09.2019

“Sachliche Zuständigkeit für E-Mail und andere Over-the-top (OTT)-Dienste

Auf Basis des Urteils des EuGH vom 13. Juni 2019 (Az. C – 193/18) zur Auslegung des Begriffs des „Telekommunikationsdienstes“ gelten für die Zuständigkeitsverteilung zwischen dem BfDI und den Aufsichtsbehörden der Länder vorbehaltlich einer Änderung der gesetzlichen Zuständigkeitsregelungen folgende Grundsätze:

Webmaildienste sind keine Telekommunikationsdienste i.S.d. Telekommunikationsgesetzes (TKG) in der derzeit geltenden Fassung. Dies gilt für reine Webmaildienste und für E-Maildienste, die zusammen mit einem Internetzugang angeboten werden, wenn die E-Mails (zumindest auch) über einen Webmailer abgerufen werden können. Daraus folgt, dass für die Datenschutzaufsicht mangels anderer besonderer Zuständigkeitsvorschriften allein die jeweiligen Landesdatenschutzaufsichtsbehörden zuständig sind. Die bisher beim Bundesbeauftragten für den Datenschutz (BfDI) geführten Verfahren werden an die jeweils zuständigen Landesaufsichtsbehörden zur Bearbeitung zuständigkeitshalber abgegeben."

Original-Quelle im Pdf-Format: Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden vom 12.09.2019

2) Die Bundesnetzagentur ist ebenfalls nicht mehr die für Webmaildienste wie Googlemail oder Posteo zuständige Aufsichtsbehörde. Achtung Redaktionen: Das Urteil des EuGH hat bereits ab Entscheidungsverkündung (Juni 2019) sofortige und rückwirkende Wirkung (ex tunc), auch wenn das zugrundeliegende Verfahren auf nationaler verwaltungsrechtlicher Ebene – nach den Vorgaben des EuGH – noch abgeschlossen werden muss.

B) Falsche Berichterstattung zum heute und gestern in den Medien zitierten Nicht-Annahme-Beschluss des BVerfG zu Posteo vom Januar 2019:

Der Beschluss vom Januar 2019 war keine “Grundsatzentscheidung zum TKG”, wie u.a. die Süddeutsche Zeitung berichtet: Unsere damalige Beschwerde wurde vielmehr schlichtweg überhaupt nicht zur Entscheidung angenommen – und diese Nichtannahme wurde durch das Gericht ausführlich begründet. Das macht in der Praxis einen Unterschied (ein Nicht-Annahmebeschluss ist rechtlich nicht bindend). Außerdem hat das BVerfG damals vieles von tatsächlichen Annahmen abhängig gemacht, die die Verwaltungsgerichte noch aufzuklären hätten (wenn sich das nicht durch das EuGH-Urteil ohnehin erledigt hätte).
Auch wurde nicht geurteilt, dass Posteo IP-Adressen seiner Nutzer grundsätzlich speichern und im Bedarfsfall herausgeben muss. Das wäre Vorratsdatenspeicherung, und von dieser sind E-Maildienste wie Posteo explizit ausgenommen. Es ging lediglich um das Erheben von IP-Adressen im Einzelfall – im Rahmen einer Strafermittlung. Das BVerfG hat angenommen, dass IP-Adressen ausgeleitet werden müssten, wenn diese Daten in den Posteo-Systemen tatsächlich vorhanden seien – das ist aber nicht der Fall.

Achtung Redaktionen:

Aufgrund der EuGH-Entscheidung im Juni 2019 ist der Nichtannahme-Beschluss des BVerfG in Bezug auf das TKG überholt.

Posteo hat u.a. aufgrund der vorliegenden EuGH-Entscheidung außerdem keinerlei Umbaumaßnahmen an seinen Systemen vorgenommen.

C) Falsche Berichterstattung zum weiteren Vorgehen von Posteo

Des Weiteren wird unter anderem von der SZ der falsche Eindruck vermittelt, dass wir uns nicht weiter gegen den Beschluss des BVerfG gewehrt hätten.
Hierzu stellen wir richtig: Das ist falsch. Über konkrete rechtskonforme Lösungen für die Ausgestaltung von Telekommunikationsüberwachungen hat Posteo sich weiter mit der Bundesnetzagentur rechtlich auseinandergesetzt. Verwaltungsgerichtliche Verfahren hierzu laufen, seit dem Googlemail-Urteil im Juni 2019 fallen Webmaildienste aber nicht mehr unter das TKG. Die Bundesnetzagentur kann daher nach aktuellem Stand keine Anordnungen mehr uns gegenüber treffen.

Die Richtigstellungen im Einzelnen:

SZ:
“Wenige Monate, nachdem Tutanota Post vom Itzehoer Amtsgericht bekommen hatte, traf das Bundesverfassungsgericht eine Grundsatzentscheidung zum TKG.”
→ Richtig ist: Es handelt sich nicht um eine Grundsatzentscheidung zum TKG, sondern um einen Nichtannahmebeschluss einer Verfassungsbeschwerde von Posteo. Wie wir inzwischen wissen, entfaltet dieser keine rechtliche Bindungswirkung. Das Verfahren vor dem BVerfG ist in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist.

SZ:
“Ende Januar 2019 urteilten die Richter aber, dass Posteo die Daten nun speichern und herausgeben muss.”
Richtig ist:
→ Es wurde nicht geurteilt, dass Posteo IP-Adressen seiner Nutzer grundsätzlich speichern und im Bedarfsfall herausgeben muss. Das wäre Vorratsdatenspeicherung, und von dieser sind E-Maildienste wie Posteo explizit ausgenommen. Es ging lediglich um das Erheben von IP-Adressen im Einzelfall – im Rahmen einer Strafermittlung. Wie wir inzwischen wissen, entfaltet dieser keine rechtliche Bindungswirkung. Das BVerfG hat angenommen, dass IP Adressen ausgeleitet werden müssten, wenn diese Daten in den Posteo-Systemen tatsächlich vorhanden seien – das ist aber nicht der Fall. Das Verfahren vor dem BVerfG ist in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist. Es werden auch in Einzelfällen weiter keine IP-Adressen erhoben.

SZ:
“Nach diesem Urteil entschied auch (…), sich nicht weiter gegen die Forderung vom Amtsgericht zu wehren.”
→ Der Satz impliziert fälschlicherweise, Posteo habe sich in der Sache nicht weiter gewehrt. Richtig ist: Posteo hat sich weiter gewehrt, das implizierende “auch” ist richtigzustellen. Über konkrete rechtskonforme Lösungen für die Ausgestaltung von Telekommunikationsüberwachungen hat Posteo sich weiter mit der Bundesnetzagentur rechtlich auseinandergesetzt. Verwaltungsgerichtliche Verfahren hierzu laufen, seit dem Googlemail-Urteil im Juni 2019 fallen Webmaildienste aber nicht mehr unter das TKG. Die Bundesnetzagentur kann daher nach aktuellem Stand keine Anordnungen mehr uns gegenüber treffen.

SZ:
“Welche Daten E-Mail-Anbieter weitergeben müssen, regelt das Telekommunikationsgesetz (TKG).”
Das ist falsch. Richtig ist: Webmail-Dienste wie Posteo fallen derzeit nicht mehr unter das TKG.

SZ:
“Es (das TKG) stammt aus einer Zeit, in der es noch keine Smartphones und Krypto-Mails gab. Damals bedeutete Überwachung, dass ein Telefonanbieter der Polizei einen Zugang zur Leitung freischaltet.”
Richtig ist: Das ursprüngliche TKG stammt von 1996 und wird laufend aktualisiert. PGP gibt es als IETF-Standard seit 1996, als Programm seit 1991. Der erste Nokia Communicator ist aus 1996. Mit ihm konnte man E-Mails verschicken. Eine grundlegende Erneuerung des TKG fand 2004 statt, bei der das TKG auf die Richlinien der EU (2002) angepasst wurde.

tagesschau.de
“Jurist: Keine Chance gegen Aufforderung”
→ Richtig ist: In dem Text geht es um Webmaildienste. E-Mail-Dienste wie Posteo oder Googlemail fallen derzeit nicht mehr unter das TKG. Derzeit gibt es aufgrund einer Entscheidung des EuGH vom 13.06.2019 keine Rechtsgrundlage mehr für etwaige Telekommunikationsüberwachungen (TKÜ) (“solche Aufforderungen”) bei Webmaildiensten; Posteo darf und wird solche Anordnungen daher nicht mehr umsetzen. Auch alle sonstigen Ersuchen/Verpflichtungen auf Grundlage des TKG sind hinfällig.

tagesschau.de
“Das Telekommunikationsgesetz (TKG) regelt in Deutschland, welche Daten ein Provider weitergeben muss und welche nicht.”
Richtig ist: Im Text geht es um E-Mail-Dienste. Webmail-Dienste wie Posteo fallen derzeit (s.o.) aber nicht mehr unter das TKG.

tagesschau.de
“Allerdings stammt das Gesetz aus einem Zeitalter, als es noch keine Smartphones oder kryptierten E-Mail-Dienste gab.”
Richtig ist: Das ursprüngliche TKG stammt von 1996 und wird laufend aktualisiert. Verschlüsselte E-Mail-Kommunikation gab es auch damals schon: PGP gibt es als IETF-Standard seit 1996, als Programm seit 1991. Der erste Nokia Comunicator ist aus 1996. Mit ihm konnte man E-Mails verschicken. Eine grundlegende Erneuerung des TKG fand 2004 statt, bei der das TKG auf die Richlinien der EU (2002) angepasst wurde.

tagesschau.de
“[…] traf das Bundesverfassungsgericht eine Grundsatzentscheidung in Sachen Telekommunikationsgesetz (TKG): Der Berliner E-Mail-Anbieter Posteo hatte dagegen geklagt, die IP-Adressen seiner Kunden an die Polizei herauszugeben. Dabei speicherte das Unternehmen, das mit großer Datensparsamkeit wirbt, diese Informationen gar nicht. Die Richter am Bundesverfassungsgericht aber sahen Posteo in der Pflicht: Ende Januar 2019 urteilten sie, dass die Firma die Daten speichern und auch herausgeben muss.”

Richtig ist: Es handelt sich nicht um eine Grundsatzentscheidung zum TKG, sondern um einen Nichtannahmebeschluss einer Verfassungsbeschwerde von Posteo. Die Beschwerde von Posteo wurde nicht zur Entscheidung angenommen.
Es wurde auch nicht geurteilt, dass Posteo IP-Adressen seiner Nutzer grundsätzlich speichern und im Bedarfsfall herausgeben muss. Das wäre Vorratsdatenspeicherung, und von dieser sind E-Maildienste wie Posteo explizit ausgenommen. Es ging lediglich um das Erheben von IP-Adressen im Einzelfall – im Rahmen einer Strafermittlung. Wie wir inzwischen wissen, entfaltet dieser Nichtannahme-Beschluss keine rechtliche Bindungswirkung. Das BVerfG hat angenommen, dass IP Adressen ausgeleitet werden müssten, wenn diese Daten in den Posteo-Systemen tatsächlich vorhanden seien – das ist aber nicht der Fall. Das Verfahren vor dem BVerfG ist in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist. Es werden auch in Einzelfällen weiter keine IP-Adressen erhoben.
Über konkrete rechtskonforme Lösungen für die Ausgestaltung von Telekommunikationsüberwachungen hat Posteo sich weiter mit der Bundesnetzagentur rechtlich auseinandergesetzt. Verwaltungsgerichtliche Verfahren hierzu laufen, seit dem Googlemail-Urteil des EuGH im Juni 2019 fallen Webmaildienste aber nicht mehr unter das TKG. Die Bundesnetzagentur kann daher nach aktuellem Stand keine Anordnungen mehr uns gegenüber treffen.

spiegel.de
“Das TKG regelt, welche Daten Provider weitergeben müssen, es gilt allerdings in vielen Punkten als veraltet oder vage formuliert.”
→ Richtig ist: Im Text geht es um E-Mail-Dienste. Webmail-Dienste fallen derzeit aber tatsächlich nicht mehr unter das TKG. Derzeit gibt es aufgrund einer Entscheidung des EuGH vom 13.06.2019 keine Rechtsgrundlage mehr für etwaige Telekommunikationsüberwachungen (TKÜ) bei Webmaildiensten; Posteo darf und wird solche Anordnungen daher nicht mehr umsetzen. Auch alle sonstigen Ersuchen/Verpflichtungen auf Grundlage des TKG sind hinfällig.

spiegel.de
“(…)und das Bundesverfassungsgericht fällte ein Urteil,(…)”
“In einem Rechtsstreit um den Berliner Anbieter Posteo entschied das Bundesverfassungsgericht im Januar, dass Mail-Anbieter IP-Adressen ihrer Kunden an Strafverfolger herausgeben können müssen – selbst dann, wenn sie diese wie im Fall von Posteo gar nicht erheben wollen.”
Es handelt sich nicht um ein Urteil des BVerfG, sondern um einen Nichtannahmebeschluss einer Verfassungsbeschwerde von Posteo. Die Beschwerde von Posteo wurde nicht zur Entscheidung angenommen.
Es wurde auch nicht geurteilt, dass Posteo IP-Adressen seiner Nutzer grundsätzlich speichern und im Bedarfsfall herausgeben muss. Das wäre Vorratsdatenspeicherung, und von dieser sind E-Maildienste wie Posteo explizit ausgenommen. Es ging lediglich um das Erheben von IP-Adressen im Einzelfall – im Rahmen einer Strafermittlung. Wie wir inzwischen wissen, entfaltet dieser Nichtannahme-Beschluss keine rechtliche Bindungswirkung. Das BVerfG hat angenommen, dass IP Adressen ausgeleitet werden müssten, wenn diese Daten in den Posteo-Systemen tatsächlich vorhanden seien – das ist aber nicht der Fall. Das Verfahren vor dem BVerfG ist in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist. Es werden auch in Einzelfällen weiter keine IP-Adressen erhoben.
Über konkrete rechtskonforme Lösungen für die Ausgestaltung von Telekommunikationsüberwachungen hat Posteo sich weiter mit der Bundesnetzagentur rechtlich auseinandergesetzt. Verwaltungsgerichtliche Verfahren hierzu laufen, seit dem Googlemail-Urteil des EuGH im Juni 2019 fallen Webmaildienste aber nicht mehr unter das TKG. Die Bundesnetzagentur kann daher nach aktuellem Stand keine Anordnungen mehr uns gegenüber treffen.

spiegel.de
“Posteo kündigte nach der Entscheidung aus Karlsruhe eine “architektonische Lösung” an, die “die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt”."
→ das ist falsch (da verkürzt).
Richtig ist das vollständige Zitat aus unserer Blogmeldung von damals: “Wie es jetzt weitergeht: Sollte es rechtlich keine weiteren Optionen mehr geben, werden wir unsere System-Architektur anpassen müssen, dabei jedoch eine Lösung wählen, die die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt.”
Wir haben also eine rechtliche Prüfung “angekündigt” und diese auch durchgeführt, zusammen mit unseren Anwälten und einem Verfassungsrechtler.
Eine mögliche architektonische Lösung wurde nur in dem oben zitierten Kontext im Konjunktiv erwähnt – und zwingend an die Bedingung etwaiger fehlender rechtlicher Optionen geknüpft.