Update 14.11.2019:

Die Redaktionen haben sich inzwischen bei uns gemeldet und die falschen Presseberichte von Tagesschau, SZ, Spiegel Online u.a. wurden korrigiert bzw. ergänzt.
Dass Webmaildienste nicht mehr dem TKG unterliegen, war vielen offenbar noch nicht bekannt. Die uns vertretende TK- und Verfahrensrechtsexpertin Dr. Grace Nacimiento (GvW) hat sich freundlicherweise dazu bereit erklärt, für Interessierte noch einmal eine kurze schriftliche Einordnung der aktuellen rechtlichen Situation zu geben:
#more#
Zitat Dr. Grace Nacimiento vom 13.11.2019:
“Der EuGH hat in seinem Googlemail-Urteil vom 13. Juni 2019 entschieden, dass Webmaildienste wie Posteo nicht als Telekommunikationsdienste im Sinne der einschlägigen Definition in den EU-Richtlinien einzustufen sind. In Deutschland ist diese unionsrechtliche Definition im TKG umgesetzt worden. Die Auslegung der unionsrechtlichen Definition eines Telekommunikationsdienstes durch den EuGH ist für die mitgliedstaatlichen Verwaltungen verbindlich. Die Bundesnetzagentur ist demnach in ihrer Verwaltungspraxis verpflichtet, die vom EuGH getroffene Auslegung zugrunde zu legen. Behördliche Maßnahmen gegenüber Anbietern von Webmaildiensten sind daher jedenfalls auf Basis des TKG nicht zulässig. Das gilt insbesondere auch für Maßnahmen zur Erfüllung von Pflichten, die das TKG im Zusammenhang mit TK-Überwachungen für Anbieter von Telekommunikationsdiensten regelt. In zeitlicher Hinsicht hat dieses Urteil nach den unionsrechtlichen Vorschriften Rückwirkung. Das heißt, es gilt auch für alle vor dem Urteil entstandenen Sachverhalte, bei denen es um Verpflichtungen von Webmaildiensteanbietern nach dem TKG geht.”

Liebe Posteo-Nutzerinnen und Posteo-Nutzer,

dieser Blogbeitrag richtet sich ausnahmsweise einmal nicht direkt an Sie, sondern an Redaktionen. Seit gestern befinden sich leider falsche Tatsachenbehauptungen zu E-Mail-Diensten wie Posteo (Webmaildienste), Rechtsgrundlagen und Urteilen im Zusammenhang mit Posteo in der medialen Berichterstattung, die zu korrigieren sind.

Viele Grüße,
das Posteo-Team

A) Falsche Berichterstattung u.a. der SZ, tagesschau.de und anderen Medien zur aktuellen Rechtslage bei E-Maildiensten:

Die gestern (11.11.2019) und heute (12.11.2019) in den Medien dargestellte Rechtslage zu E-Mail-Diensten, die dort pauschal als TK-Dienste bezeichnet werden, ist inzwischen veraltet und falsch. Von dieser falschen Grundannahme ausgehend folgt eine in vielen Punkten falsche Berichterstattung. Richtig ist: E-Mail-Dienste wie Posteo (Webmaildienste) unterliegen bereits seit Juni 2019 überhaupt nicht mehr dem TKG. Über die neue Rechtslage informieren wir bereits seit dem Sommer 2019 auf unserer Transparenzberichte-Website wie folgt:

“In Folge eines Urteils des Europäischen Gerichtshofes vom 13.06.2019 fallen E-Mail-Dienste wie Posteo nicht mehr unter die Pflichten des TKG.

Bis zur neuen gesetzlichen Regelung gilt außerdem:

1) In der Folge des EUGH-Urteils vom 13.06. ist der Bundesdatenschutzbeauftragte ab sofort nicht mehr für E-Mail-Dienste wie Posteo zuständig, da diese nicht mehr dem TKG unterliegen.

Quelle/Beleg für Redaktionen:

Aus dem Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – 12.09.2019

“Sachliche Zuständigkeit für E-Mail und andere Over-the-top (OTT)-Dienste

Auf Basis des Urteils des EuGH vom 13. Juni 2019 (Az. C – 193/18) zur Auslegung des Begriffs des „Telekommunikationsdienstes“ gelten für die Zuständigkeitsverteilung zwischen dem BfDI und den Aufsichtsbehörden der Länder vorbehaltlich einer Änderung der gesetzlichen Zuständigkeitsregelungen folgende Grundsätze:

Webmaildienste sind keine Telekommunikationsdienste i.S.d. Telekommunikationsgesetzes (TKG) in der derzeit geltenden Fassung. Dies gilt für reine Webmaildienste und für E-Maildienste, die zusammen mit einem Internetzugang angeboten werden, wenn die E-Mails (zumindest auch) über einen Webmailer abgerufen werden können. Daraus folgt, dass für die Datenschutzaufsicht mangels anderer besonderer Zuständigkeitsvorschriften allein die jeweiligen Landesdatenschutzaufsichtsbehörden zuständig sind. Die bisher beim Bundesbeauftragten für den Datenschutz (BfDI) geführten Verfahren werden an die jeweils zuständigen Landesaufsichtsbehörden zur Bearbeitung zuständigkeitshalber abgegeben."

Original-Quelle im Pdf-Format: Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden vom 12.09.2019

2) Die Bundesnetzagentur ist ebenfalls nicht mehr die für Webmaildienste wie Googlemail oder Posteo zuständige Aufsichtsbehörde. Achtung Redaktionen: Das Urteil des EuGH hat bereits ab Entscheidungsverkündung (Juni 2019) sofortige und rückwirkende Wirkung (ex tunc), auch wenn das zugrundeliegende Verfahren auf nationaler verwaltungsrechtlicher Ebene – nach den Vorgaben des EuGH – noch abgeschlossen werden muss.

B) Falsche Berichterstattung zum heute und gestern in den Medien zitierten Nicht-Annahme-Beschluss des BVerfG zu Posteo vom Januar 2019:

Der Beschluss vom Januar 2019 war keine “Grundsatzentscheidung zum TKG”, wie u.a. die Süddeutsche Zeitung berichtet: Unsere damalige Beschwerde wurde vielmehr schlichtweg überhaupt nicht zur Entscheidung angenommen – und diese Nichtannahme wurde durch das Gericht ausführlich begründet. Das macht in der Praxis einen Unterschied (ein Nicht-Annahmebeschluss ist rechtlich nicht bindend). Außerdem hat das BVerfG damals vieles von tatsächlichen Annahmen abhängig gemacht, die die Verwaltungsgerichte noch aufzuklären hätten (wenn sich das nicht durch das EuGH-Urteil ohnehin erledigt hätte).
Auch wurde nicht geurteilt, dass Posteo IP-Adressen seiner Nutzer grundsätzlich speichern und im Bedarfsfall herausgeben muss. Das wäre Vorratsdatenspeicherung, und von dieser sind E-Maildienste wie Posteo explizit ausgenommen. Es ging lediglich um das Erheben von IP-Adressen im Einzelfall – im Rahmen einer Strafermittlung. Das BVerfG hat angenommen, dass IP-Adressen ausgeleitet werden müssten, wenn diese Daten in den Posteo-Systemen tatsächlich vorhanden seien – das ist aber nicht der Fall.

Achtung Redaktionen:

Aufgrund der EuGH-Entscheidung im Juni 2019 ist der Nichtannahme-Beschluss des BVerfG in Bezug auf das TKG überholt.

Posteo hat u.a. aufgrund der vorliegenden EuGH-Entscheidung außerdem keinerlei Umbaumaßnahmen an seinen Systemen vorgenommen.

C) Falsche Berichterstattung zum weiteren Vorgehen von Posteo

Des Weiteren wird unter anderem von der SZ der falsche Eindruck vermittelt, dass wir uns nicht weiter gegen den Beschluss des BVerfG gewehrt hätten.
Hierzu stellen wir richtig: Das ist falsch. Über konkrete rechtskonforme Lösungen für die Ausgestaltung von Telekommunikationsüberwachungen hat Posteo sich weiter mit der Bundesnetzagentur rechtlich auseinandergesetzt. Verwaltungsgerichtliche Verfahren hierzu laufen, seit dem Googlemail-Urteil im Juni 2019 fallen Webmaildienste aber nicht mehr unter das TKG. Die Bundesnetzagentur kann daher nach aktuellem Stand keine Anordnungen mehr uns gegenüber treffen.

Die Richtigstellungen im Einzelnen:

SZ:
“Wenige Monate, nachdem Tutanota Post vom Itzehoer Amtsgericht bekommen hatte, traf das Bundesverfassungsgericht eine Grundsatzentscheidung zum TKG.”
→ Richtig ist: Es handelt sich nicht um eine Grundsatzentscheidung zum TKG, sondern um einen Nichtannahmebeschluss einer Verfassungsbeschwerde von Posteo. Wie wir inzwischen wissen, entfaltet dieser keine rechtliche Bindungswirkung. Das Verfahren vor dem BVerfG ist in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist.

SZ:
“Ende Januar 2019 urteilten die Richter aber, dass Posteo die Daten nun speichern und herausgeben muss.”
Richtig ist:
→ Es wurde nicht geurteilt, dass Posteo IP-Adressen seiner Nutzer grundsätzlich speichern und im Bedarfsfall herausgeben muss. Das wäre Vorratsdatenspeicherung, und von dieser sind E-Maildienste wie Posteo explizit ausgenommen. Es ging lediglich um das Erheben von IP-Adressen im Einzelfall – im Rahmen einer Strafermittlung. Wie wir inzwischen wissen, entfaltet dieser keine rechtliche Bindungswirkung. Das BVerfG hat angenommen, dass IP Adressen ausgeleitet werden müssten, wenn diese Daten in den Posteo-Systemen tatsächlich vorhanden seien – das ist aber nicht der Fall. Das Verfahren vor dem BVerfG ist in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist. Es werden auch in Einzelfällen weiter keine IP-Adressen erhoben.

SZ:
“Nach diesem Urteil entschied auch (…), sich nicht weiter gegen die Forderung vom Amtsgericht zu wehren.”
→ Der Satz impliziert fälschlicherweise, Posteo habe sich in der Sache nicht weiter gewehrt. Richtig ist: Posteo hat sich weiter gewehrt, das implizierende “auch” ist richtigzustellen. Über konkrete rechtskonforme Lösungen für die Ausgestaltung von Telekommunikationsüberwachungen hat Posteo sich weiter mit der Bundesnetzagentur rechtlich auseinandergesetzt. Verwaltungsgerichtliche Verfahren hierzu laufen, seit dem Googlemail-Urteil im Juni 2019 fallen Webmaildienste aber nicht mehr unter das TKG. Die Bundesnetzagentur kann daher nach aktuellem Stand keine Anordnungen mehr uns gegenüber treffen.

SZ:
“Welche Daten E-Mail-Anbieter weitergeben müssen, regelt das Telekommunikationsgesetz (TKG).”
Das ist falsch. Richtig ist: Webmail-Dienste wie Posteo fallen derzeit nicht mehr unter das TKG.

SZ:
“Es (das TKG) stammt aus einer Zeit, in der es noch keine Smartphones und Krypto-Mails gab. Damals bedeutete Überwachung, dass ein Telefonanbieter der Polizei einen Zugang zur Leitung freischaltet.”
Richtig ist: Das ursprüngliche TKG stammt von 1996 und wird laufend aktualisiert. PGP gibt es als IETF-Standard seit 1996, als Programm seit 1991. Der erste Nokia Communicator ist aus 1996. Mit ihm konnte man E-Mails verschicken. Eine grundlegende Erneuerung des TKG fand 2004 statt, bei der das TKG auf die Richlinien der EU (2002) angepasst wurde.

tagesschau.de
“Jurist: Keine Chance gegen Aufforderung”
→ Richtig ist: In dem Text geht es um Webmaildienste. E-Mail-Dienste wie Posteo oder Googlemail fallen derzeit nicht mehr unter das TKG. Derzeit gibt es aufgrund einer Entscheidung des EuGH vom 13.06.2019 keine Rechtsgrundlage mehr für etwaige Telekommunikationsüberwachungen (TKÜ) (“solche Aufforderungen”) bei Webmaildiensten; Posteo darf und wird solche Anordnungen daher nicht mehr umsetzen. Auch alle sonstigen Ersuchen/Verpflichtungen auf Grundlage des TKG sind hinfällig.

tagesschau.de
“Das Telekommunikationsgesetz (TKG) regelt in Deutschland, welche Daten ein Provider weitergeben muss und welche nicht.”
Richtig ist: Im Text geht es um E-Mail-Dienste. Webmail-Dienste wie Posteo fallen derzeit (s.o.) aber nicht mehr unter das TKG.

tagesschau.de
“Allerdings stammt das Gesetz aus einem Zeitalter, als es noch keine Smartphones oder kryptierten E-Mail-Dienste gab.”
Richtig ist: Das ursprüngliche TKG stammt von 1996 und wird laufend aktualisiert. Verschlüsselte E-Mail-Kommunikation gab es auch damals schon: PGP gibt es als IETF-Standard seit 1996, als Programm seit 1991. Der erste Nokia Comunicator ist aus 1996. Mit ihm konnte man E-Mails verschicken. Eine grundlegende Erneuerung des TKG fand 2004 statt, bei der das TKG auf die Richlinien der EU (2002) angepasst wurde.

tagesschau.de
“[…] traf das Bundesverfassungsgericht eine Grundsatzentscheidung in Sachen Telekommunikationsgesetz (TKG): Der Berliner E-Mail-Anbieter Posteo hatte dagegen geklagt, die IP-Adressen seiner Kunden an die Polizei herauszugeben. Dabei speicherte das Unternehmen, das mit großer Datensparsamkeit wirbt, diese Informationen gar nicht. Die Richter am Bundesverfassungsgericht aber sahen Posteo in der Pflicht: Ende Januar 2019 urteilten sie, dass die Firma die Daten speichern und auch herausgeben muss.”

Richtig ist: Es handelt sich nicht um eine Grundsatzentscheidung zum TKG, sondern um einen Nichtannahmebeschluss einer Verfassungsbeschwerde von Posteo. Die Beschwerde von Posteo wurde nicht zur Entscheidung angenommen.
Es wurde auch nicht geurteilt, dass Posteo IP-Adressen seiner Nutzer grundsätzlich speichern und im Bedarfsfall herausgeben muss. Das wäre Vorratsdatenspeicherung, und von dieser sind E-Maildienste wie Posteo explizit ausgenommen. Es ging lediglich um das Erheben von IP-Adressen im Einzelfall – im Rahmen einer Strafermittlung. Wie wir inzwischen wissen, entfaltet dieser Nichtannahme-Beschluss keine rechtliche Bindungswirkung. Das BVerfG hat angenommen, dass IP Adressen ausgeleitet werden müssten, wenn diese Daten in den Posteo-Systemen tatsächlich vorhanden seien – das ist aber nicht der Fall. Das Verfahren vor dem BVerfG ist in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist. Es werden auch in Einzelfällen weiter keine IP-Adressen erhoben.
Über konkrete rechtskonforme Lösungen für die Ausgestaltung von Telekommunikationsüberwachungen hat Posteo sich weiter mit der Bundesnetzagentur rechtlich auseinandergesetzt. Verwaltungsgerichtliche Verfahren hierzu laufen, seit dem Googlemail-Urteil des EuGH im Juni 2019 fallen Webmaildienste aber nicht mehr unter das TKG. Die Bundesnetzagentur kann daher nach aktuellem Stand keine Anordnungen mehr uns gegenüber treffen.

spiegel.de
“Das TKG regelt, welche Daten Provider weitergeben müssen, es gilt allerdings in vielen Punkten als veraltet oder vage formuliert.”
→ Richtig ist: Im Text geht es um E-Mail-Dienste. Webmail-Dienste fallen derzeit aber tatsächlich nicht mehr unter das TKG. Derzeit gibt es aufgrund einer Entscheidung des EuGH vom 13.06.2019 keine Rechtsgrundlage mehr für etwaige Telekommunikationsüberwachungen (TKÜ) bei Webmaildiensten; Posteo darf und wird solche Anordnungen daher nicht mehr umsetzen. Auch alle sonstigen Ersuchen/Verpflichtungen auf Grundlage des TKG sind hinfällig.

spiegel.de
“(…)und das Bundesverfassungsgericht fällte ein Urteil,(…)”
“In einem Rechtsstreit um den Berliner Anbieter Posteo entschied das Bundesverfassungsgericht im Januar, dass Mail-Anbieter IP-Adressen ihrer Kunden an Strafverfolger herausgeben können müssen – selbst dann, wenn sie diese wie im Fall von Posteo gar nicht erheben wollen.”
Es handelt sich nicht um ein Urteil des BVerfG, sondern um einen Nichtannahmebeschluss einer Verfassungsbeschwerde von Posteo. Die Beschwerde von Posteo wurde nicht zur Entscheidung angenommen.
Es wurde auch nicht geurteilt, dass Posteo IP-Adressen seiner Nutzer grundsätzlich speichern und im Bedarfsfall herausgeben muss. Das wäre Vorratsdatenspeicherung, und von dieser sind E-Maildienste wie Posteo explizit ausgenommen. Es ging lediglich um das Erheben von IP-Adressen im Einzelfall – im Rahmen einer Strafermittlung. Wie wir inzwischen wissen, entfaltet dieser Nichtannahme-Beschluss keine rechtliche Bindungswirkung. Das BVerfG hat angenommen, dass IP Adressen ausgeleitet werden müssten, wenn diese Daten in den Posteo-Systemen tatsächlich vorhanden seien – das ist aber nicht der Fall. Das Verfahren vor dem BVerfG ist in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist. Es werden auch in Einzelfällen weiter keine IP-Adressen erhoben.
Über konkrete rechtskonforme Lösungen für die Ausgestaltung von Telekommunikationsüberwachungen hat Posteo sich weiter mit der Bundesnetzagentur rechtlich auseinandergesetzt. Verwaltungsgerichtliche Verfahren hierzu laufen, seit dem Googlemail-Urteil des EuGH im Juni 2019 fallen Webmaildienste aber nicht mehr unter das TKG. Die Bundesnetzagentur kann daher nach aktuellem Stand keine Anordnungen mehr uns gegenüber treffen.

spiegel.de
“Posteo kündigte nach der Entscheidung aus Karlsruhe eine “architektonische Lösung” an, die “die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt”."
→ das ist falsch (da verkürzt).
Richtig ist das vollständige Zitat aus unserer Blogmeldung von damals: “Wie es jetzt weitergeht: Sollte es rechtlich keine weiteren Optionen mehr geben, werden wir unsere System-Architektur anpassen müssen, dabei jedoch eine Lösung wählen, die die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt.”
Wir haben also eine rechtliche Prüfung “angekündigt” und diese auch durchgeführt, zusammen mit unseren Anwälten und einem Verfassungsrechtler.
Eine mögliche architektonische Lösung wurde nur in dem oben zitierten Kontext im Konjunktiv erwähnt – und zwingend an die Bedingung etwaiger fehlender rechtlicher Optionen geknüpft.

Liebe Posteo-Kundinnen und Posteo-Kunden,

die Press Freedom Awards von Reporter ohne Grenzen (ROG) ehren außergewöhnlich mutige und unabhängige Journalistinnen und Journalisten, die trotz widrigster Umstände und Gefahren von Leib und Leben nicht schweigen wollen. Posteo stiftet in diesem Jahr das Preisgeld in der Kategorie „Courage“.

Es freut uns, auf diese Weise mutige Medienschaffende unterstützen zu dürfen. Am 12. September werden die Press Freedom Awards erstmals in Berlin vergeben.

Die diesjährigen Nominierten in den drei Preiskategorien stammen aus 12 verschiedenen Ländern. Unter ihnen sind ein russischer Investigativjournalist, auf den bereits mehrere Anschläge verübt wurden, eine vietnamesische Journalistin, die wegen ihrer Arbeit geschlagen und inhaftiert wurde, sowie Pakistans älteste Tageszeitung, die immer wieder von Offiziellen in ihrer Tätigkeit behindert wird.

Die Nominierten aus der von Posteo geförderten Kategorie “Courage”






Igor Rudnikov (Russland) – Auf den Gründer der unabhängigen Zeitung Novye Kolesa wurden wegen seiner Recherchen zu Korruption und dem Missbrauch öffentlicher Gelder schon mehrere Anschläge verübt. Außerdem wurde er wegen seiner Arbeit verhaftet. Im Gefängnis schrieb er weiter Artikel und ein Buch, indem das Zitat vorkommt: “Der Gedanke kann nicht in Handschellen gelegt oder ins Gefängnis geworfen werden. Er wird immer frei sein.”







Eman Al-Nafjan (Saudi-Arabien) – Die Bloggerin und Journalistin hatte sich in Saudi-Arabien massiv dafür eingesetzt, dass Frauen Auto fahren dürfen und mehr Rechte bekommen. Dafür wurde sie verhaftet. Aktuell ist sie vorläufig frei. Sie rief die Webseite SaudiWoman.me ins Leben und schreibt für internationale Medien wie die britische Zeitung “The Guardian” und die “New York Times”. Seit Mitte 2018 erlaubt der Staat auch Frauen, Auto zu fahren.






Paolo Borrometi (Italien) – Wegen seiner unerschrockenen Berichterstattung über die Mafia wird er regelmäßig mit dem Tode bedroht und lebt unter ständigem Polizeischutz. Er schreibt für die Zeitung “Giornale di Sicilia” und die von ihm ins Leben gerufene Webseite “La Spia”.






Lola Aronovich (Brasilien) – Die Bloggerin ist mit ihren feministischen Texten und dem Einsatz für Frauenrechte im ganzen Land bekannt geworden. Gleichzeitig wird sie immer wieder massiv angefeindet. Online erhielt sie hunderte Todesdrohungen. Seit 2018 gilt in Brasilien ein Gesetz, dass frauenfeindliche Online-Kriminalität besser verfolgbar macht – es wird auch als “Lola-Gesetz” bezeichnet.

Unsere Unterstützung

Uns ist es wichtig, gesellschaftliches Engagement zu fördern und als Unternehmen Verantwortung zu übernehmen. Deshalb unterstützen wir ausgewählte Organisationen aus den Bereichen des Klima- und Umweltschutzes, der Netzpolitik, Meinungsfreiheit und Menschenrechte sowie aus der Flüchtlingshilfe.

Viele Grüße
Ihr Posteo-Team

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir waren gestern auf Einladung der Staatssekretäre Gerd Billen und Klaus Vitt im Bundesjustizministerium (BMJV) zu Gast: Dort fand die Auftaktveranstaltung der neuen Dialogreihe „IT-Sicherheit für Verbraucherinnen und Verbraucher“ statt.
Wir möchten ein wenig von unseren Eindrücken berichten.

Eingeladen waren neben ausgewählten Providern auch große Internet-Unternehmen wie Facebook und Google sowie Vertreter der Zivilgesellschaft (wie z.B. die Verbraucherschutzzentralen). Außerdem waren Vertreter des Kanzleramtes, verschiedener Ministerien, des Bundesamtes für Sicherheit in der Informationstechnik(BSI) und des Bundesdatenschutzbeauftragten anwesend. Wir waren gespannt auf die Themen und die Ausrichtung der Veranstaltung: Denn offenbar ist die Dialogreihe auch eine Reaktion auf den jüngsten Datendiebstahl bei Politikern und Prominenten.

#more#
Und tatsächlich wurde zunächst diskutiert, wie die Sicherheit von Online-Konten für die Verbraucherinnen und Verbraucher erhöht werden kann. Wir wurden kurz zu unseren Erfahrungen aus der Praxis befragt. Schwerpunkte der Diskussion waren die Passwort-Sicherheit sowie die Zwei-Faktor-Authentifizierung. Offenbar wird in der Bundesregierung evaluiert, ob man in diesem Bereich gesetzgeberisch tätig werden will, Konkretes liegt aber nicht vor.

Auch weitere Sicherheitsaspekte wurden diskutiert: Mit dem BSI standen wir in den vergangenen Monaten zum Beispiel zum Thema Webkey-Directory in einem regen Austausch. Das Verfahren erleichert das Finden und Verwalten von öffentlichen Schlüsseln für die Ende-zu-Ende-Verschlüsselung. BSI-Präsident Arne Schönbohm berichtete von der guten Zusammenarbeit mit Posteo beim Thema der Ende-zu-Ende-Verschlüsselung und wünschte sich, dass andere Provider hier nun mitmachten.

Auch Bildung und Wissensvermittlung waren ein Thema: So berichteten unter anderem die Verbraucherschutzzentralen über ihre Arbeit bei der Förderung der Medien- und Online-Kompetenz.

Posteo: BSI soll unabhängig werden

Im Weiteren wurde darüber gesprochen, die Informationsangebote des BSI, aber auch seinen Stellenwert und die Akzeptanz der Behörde bei den Verbraucherinnen und Verbrauchern weiter auszubauen. Hierzu erklärten wir, dass der aus unserer Sicht wichtigste Schritt sei, das BSI unabhängig zu machen. Derzeit ist die Behörde noch dem Bundesinnenministerium unterstellt und hier kann es in Sicherheitsfragen zu Interessenskonflikten kommen.
Unabhängigkeit ist aus unserer Sicht unabdingbar für Behörden, die sich mit Handlungsempfehlungen an die Verbraucherinnen und Verbraucher wenden. Sie benötigen ein besonders hohes Maß an Glaubwürdigkeit. Ein Beispiel für eine unabhängige Bundesbehörde ist der Bundesbeauftragte für den Datenschutz.

Die Unabhängigkeitsproblematik wurde auch beim nächsten Programmpunkt noch einmal deutlich.
Das die meiste Veranstaltungszeit einnehmende Thema waren die Pläne für das “IT-Sicherheitskennzeichen” des Bundesinnenministeriums: Es soll Verbrauchern künftig offenbar aufzeigen, ob Hardwareprodukte wie Router oder Mobiltelefone Mindeststandards an die IT-Sicherheit einhalten. Ob auch Internetdienste das Sicherheits-Kennzeichen erhalten sollen, wurde in der Runde nicht ausgeführt.
Über den Sinn und Nutzen eines solchen Siegels für die Verbraucherinnen und Verbraucher kann man sich streiten. Aus unserer Sicht sollte ein solches IT-Sicherheitskennzeichen aber von einem unabhängigen BSI initiiert und verantwortet werden.

Wir freuen uns auf weitere Termine der Dialogreihe.

Viele Grüße
das Posteo-Team

Liebe Posteo-Nutzerinnen und Posteo-Nutzer,

heute wird in der Presse über eine Entscheidung des Bundesverfassungsgerichtes zu E-Mail-Anbietern berichtet.

Es handelt sich um unsere Verfassungsbeschwerde.
Wir prüfen derzeit noch die Entscheidung, die uns seit wenigen Stunden vorliegt und werden mit unseren Anwälten beraten, welche rechtlichen Optionen wir noch haben.

Grundsätzlich möchten wir sagen:
Wir sind sehr überrascht von der Entscheidung des Bundesverfassungsgerichts. Sie stellt die bisherige rechtliche Auskunftssystematik auf den Kopf: Bisher war unbestritten, dass sich die Auskunftspflicht nur auf Daten bezieht, die bei TK-Anbietern nach § 96 TKG tatsächlich auch vorliegen. Nun sollen Daten auch alleinig zu Ermittlungszwecken erhoben werden: Daten, die beim TK-Anbieter im Geschäftsbetrieb nachweislich gar nicht anfallen – und die er im Geschäftsbetrieb auch nicht benötigt. (Von der Vorratsdatenspeicherung sind E-Mail-Dienste wie Posteo explizit ausgenommen.)
Wir bewerten die Entscheidung als recht einseitig. Eine Stellungnahme der Bundesdatenschutzbeauftragten hatte unsere Positionen in vielen Punkten gestärkt, wurde in der Entscheidung aber kaum gewürdigt.
#more#
Die Bundesbeauftragte für den Datenschutz (BfDI) hatte vor der Entscheidung im Verfahren wie folgt Stellung bezogen und gewarnt:

“Aus datenschutzrechtlicher Sicht ist das vorliegende Verfahren vielmehr gerade deshalb bedeutend, weil es einen Präzedenzfall für die zukünftige Systematik der sicherheitsbehördlichen Auskunftsverfahren im TK-Bereich darstellen kann. Bislang gilt der Grundsatz: Bei Vorliegen einer entsprechenden Rechtsgrundlage müssen TK-Anbieter die bei ihnen vorliegenden Verkehrsdaten anfragenden Sicherheitsbehörden zur Verfügung stellen. (…) Sollte nunmehr im Rahmen der zur Entscheidung vorliegenden Rechtsfrage festgestellt werden, dass ein TK-Anbieter in Abkehr von der bisherigen Regelungssystematlk verpflichtet ist, seine Datenverarbeitungsprozesse aufgrund sicherheitsbehördlicher Auskunftsersuchen über die nach dem TKG eigentlich erforderlichen Maße hinaus umzugestalten, besteht die Gefahr, dass hierdurch das aktuell geltende Ursache-Folge-Verhältnis in diesem Bereich ins Gegenteil verkehrt wird.”

Und weiter:
“Mit der Verpflichtung, nach den aktuellen Vorschriften des TKG eigentlich nicht erforderliche Daten überhaupt erst zu erheben, um ein Auskunftsersuchen erfüllen zu können, würde das eigentliche Entstehen von Telekommunikationsdaten zu einem Mittel, das nicht der Telekommunikation selbst, sondem ausschließlich der Unterstützung und gegebenenfalls sogar Ermöglichung sicherheitsbehördlicher Maßnahmen dient. Letztere werden damit zur eigentlichen Ursache für die Datenverarbeitung.”

Zur vollständigen Stellungnahme der Bundesbeauftragten für den Datenschutz

Warum wir keine Verkehrsdaten zu den Postfächern erheben
Nutzer-Verkehrsdaten dürfen wir nach § 96 TKG nur dann erheben, wenn wir sie für betriebliche Zwecke benötigen.
Wir benötigen solche Daten aber nicht – deshalb dürfen wir sie aus unserer Sicht auch nicht erheben. Unsere Systemarchitektur ist u.a. aus Sicherheitserwägungen so aufgebaut, dass sich IP-Adressen auch überhaupt nicht postfachbezogen erheben lassen.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatierte in einem technischen Gutachten im Verfahren:
“Ohne Änderungen an den eingesetzten Systemen kann Posteo den Zugriff auf ein Postfach nicht einer IP-Adresse des Kunden zuordnen.”

Wie es jetzt weitergeht
Sollte es rechtlich keine weiteren Optionen mehr geben, werden wir unsere System-Architektur anpassen müssen, dabei jedoch eine Lösung wählen, die die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt.
Und, um es ganz klar zu sagen: Wir werden nicht damit beginnen, die IP-Adressen unserer unbescholtenen Kundinnen und Kunden zu loggen. Ein konservativer System-Umbau ist für uns keine Option.
Es geht darum, bei richterlich angeordneten Telekommunikations-Überwachungen eine IP-Adresse zu einem betroffenen Postfach erheben zu können.
Jegliche Änderungen werden wir transparent und nachprüfbar kommunizieren und dokumentieren. In den letzten zwei Jahren haben wir bereits viel Zeit investiert, uns auch auf diesen Fall vorzubereiten.

Wir haben die Erfahrung gemacht, dass hochkomplexe, sichere Systemarchitekturen und ihr Nutzen staatlichen Stellen noch kaum verständlich zu machen sind.

Es geht nicht nur um Datenschutz, sondern auch um die IT-Sicherheit: Was ist mit dem berechtigten Anspruch aller Nutzer, gegen Cyber-Attacken aus dem Internet bestmöglich geschützt zu sein?
Wir haben unsere internen Systeme aus gutem Grund bestmöglich gegen das öffentliche Internet und gegen Angriffe aus ihm abgeschirmt. Es macht aus unserer Sicht überhaupt keinen Sinn, ein System so umzubauen, dass es zusätzliche Daten von Aussen ins System lässt, die für den technischen Betrieb überhaupt nicht benötigt werden. Das ist genau das rückständige Denken, das häufig in die Katastrophe führt – wie die massenhaften Datendiebstähle in den letzten Wochen gezeigt haben.

Viele Grüße
das Posteo-Team

Von Kreuzberg aus Nigeria erschließen: Das war am 14. August in unserem Berliner Posteo Lab möglich. Dort veranstaltete eine neue Missing Maps-Gruppe ihren ersten deutschen Mapathon. Bei Mapathons verbessern Freiwillige unter Anleitung Online-Karten, indem sie beispielsweise Dörfer und Straßen auf Satellitenaufnahmen eintragen. Bei den Veranstaltungen von Missing Maps werden OpenStreetMap-Karten von Krisenregionen verbessert. So können beispielsweise Hilfsorganisationen ihre Einsätze effektiver planen. #more#

Missing Maps ist ein humanitäres Projekt, das im November 2014 vom amerikanischen und britischen “Roten Kreuz”, dem “Humanitarian OpenStreetMap Team”und “Ärzte ohne Grenzen” ins Leben gerufen wurde. Seitdem organisiert Missing Maps in verschiedenen europäischen Ländern regelmäßig Mapathons. Bei der ersten deutschen Veranstaltung im Posteo Lab nahmen etwa 17 Interessierte teil.
#more#
Im Fokus der Veranstaltung in Berlin standen Satellitenaufnahmen des Bundestaats Niger, im Westen Nigerias. Dort sind aktuell Teams einer medizinischen Hilforganisation aktiv, die genauere Karten der Region für ihre Arbeit benötigen.

Zu Beginn des Mapathons gab es eine ausführliche Einführung. Marcel Werdier von der Organisation Missing Maps erklärte anhand einer Präsentation anschaulich, wie Mapping funktioniert, zeigte die hierfür benötigten Programme und erläuterte den Freiwilligen die wichtigsten Regeln beim Mappen.

Nach dem Vortrag konnten die Teilnehmerinnen und Teilnehmer ihr Erlerntes sofort anwenden und an ihren mitgebrachten Laptops mit dem Mapping beginnen. Sie sichteten Satellitenaufnahmen und zeichneten mit wenigen Klicks Straßen und Dörfer ein. Das Team von Missing Maps half den Teilnehmerinnen und Teilnehmern und beantwortete aufkommende Fragen.

Im Anschluss gab es eine Abschlusspräsentation, bei der die Freiwilligen die gemeinsam erarbeiteten Karten-Fortschritte ansehen konnten. Mit den erworbenen Kenntnissen können sie auch privat weiter mappen.

Das Team von Missing Maps zeigte sich zufrieden mit der Deutschlandpremiere seiner Mapathons. Es gibt Pläne, weitere solcher Abende in Berlin zu organisieren.

Hintergrund:
Wir wollen gesellschaftliches Engagement stärken: Deshalb stellen wir das Posteo Lab regelmäßig gemeinnützigen Vereinen und Organisationen unentgeltlich zur Verfügung. Uns ist wichtig, dass die Veranstaltungen zu Posteo und unseren Themen Nachhaltigkeit, Technologie, Demokratie, Open Source, Netzpolitik, IT-Sicherheit und Datenschutz passen. Bei Interesse können Sie uns gerne eine Anfrage an veranstaltungen@posteo.de schicken.

Posteo wird zu 100 Prozent aus den Beiträgen seiner Nutzerinnen und Nutzer finanziert. Sie ermöglichen auch unser gesellschaftliches Engagment: Dafür möchten wir uns an dieser Stelle bei ihnen bedanken.