Posteo zur Mär von der "Abhör-Schnittstelle"
Erstellt am 29.Januar 2014, 18:05 Uhr | Kategorie: Blog
Liebe Posteo-Nutzer,
in diesem Blogbeitrag geht es um ein Thema, das viele von Ihnen verunsichert und zu dem wir aktuell zahlreiche Anfragen erhalten. Es geht darum, auf welche Art deutsche E-Mailanbieter Daten an Ermittlungsbehörden übergeben, wenn ein richterlicher Beschluss zur Herausgabe oder Überwachung eines E-Mailpostfachs vorliegt.
Die Computerzeitschrift c`t schreibt hierzu in Ihrer aktuellen Ausgabe (4/2014):
“E-Mailprovider mit mehr als 10.000 Kunden müssen eine so genannte SINA-Box betreiben, die den Mailverkehr aller Kunden ausleiten kann, ohne dass es der Provider oder der Kunde bemerkt.”
Das ist falsch. Es ist deutschen Behörden nicht möglich, ohne das Wissen eines Providers auf E-Mails von Nutzern zuzugreifen. Und eine SINA-Box hat keinen Zugriff auf die Systeme eines Providers.
Wir haben die Redaktion um Richtigstellung gebeten. Sie hat den Fehler inzwischen eingeräumt und eine Richtigstellung im c’t-Blog veröffentlicht. Da wir nicht alle Anfragen persönlich beantworten können, möchten wir nun an dieser Stelle darüber informieren, wie es sich mit der SINA-Box verhält:
Bei Posteo steht bisher keine SINA-Box.
In der Telekommunikations-Überwachungsverordnung gibt es die Pflicht für Telekommunikations-Anbieter, ab einer Teilnehmerzahl von 10.000 einen speziellen Computer (SINA-Box) aufzustellen. Bei uns ist nicht zweifelsfrei zu sagen, wieviele Teilnehmer unser Dienst hat, da wir keine Bestandsdaten unserer Nutzer erheben. Wir wissen nur die Anzahl der Postfächer.
Wir werden sicher irgendwann eine SINA-Box anschaffen müssen – die Einschätzung des richtigen Zeitpunkts überlassen wir unseren sehr erfahrenen Anwälten, die für verschiedene Telekommunikations-Unternehmen SINA-Lösungen mit der Bundesnetzagentur verhandeln. Das ist aber eher ein finanzielles Ärgernis. Die Sicherheit der Daten unserer Nutzer wird dadurch nicht gemindert. Davon sind wir inzwischen, nach einer intensiven Auseinandersetzung mit diesem Thema (u.a. mit Anwälten und Behörden), überzeugt – und können Ihnen dies versichern.
Eine SINA-Box ist ein Computer, der eine verschlüsselte Verbindung zu den berechtigten Behörden aufbaut, ein so genanntes VPN. Wir hätten zwar keinen Zugriff auf die SINA-Box. Aber die Behörden hätten über die SINA-Box umgekehrt auch keinen Zugriff auf unsere Server oder auf unseren Netzwerkverkehr.
Im Gegenteil: Die Behörde hätte keinen Zugriff auf unsere Server. Sie würde uns aber die Möglichkeit geben, den Inhalt eines Postfachs über die SINA-Box auf einem Behörden-Server abzuspeichern, wenn ein Richter die Herausgabe/Überwachung eines Postfachs angeordnet hätte.
Auf diesen hätten wir danach keinen Zugriff mehr, sondern nur die Behörde. Allerdings würden sich auf diesem Computer ausschließlich die Daten befinden, die wir selbst (Posteo) dort hinterlegt hätten.
-———
Anmerkung: Die c`t schreibt, dass über eine SINA-Box der Mailverkehr aller Kunden ausgeleitet werden kann, ohne dass es der Provider oder der Kunde bemerkt.
Das ist falsch.
-———
Auch der Behördencomputer (hinter der SINA-Box) wäre, ebenso wie die SINA-Box selbst, weder mit unseren Servern verbunden, noch würde er Zugriff auf unsere Server ermöglichen. Es geht den Behörden sogar im Gegenteil darum, ein absolut abgeschottetes System aufzustellen, damit Dritte keine Möglichkeit erhalten, Daten mitzulesen, die wir manuell übergeben müssten. Wenn ein richterlicher Beschluss vorliegt, müssten wir über diesen Computer Kopien der Daten zur Verfügung stellen, also z.B. indem wir die Daten per FTP-Zugriff an die Behörde übertragen (einseitig durch uns).
Schon jetzt, auch ohne SINA-Box, sind wir dazu verpflichtet, auf einen richterlichen Beschluss hin die Daten eines Postfachs herauszugeben, worauf wir in unserer Datenschutzerklärung auch hinweisen. Dazu ist jeder E-Mailanbieter in Deutschland ab dem ersten Nutzer verpflichtet.
Der Gesetzgeber hat die Hürde zur Herausgabe von Inhalten recht hoch gelegt: Ihre E-Mails unterliegen dem Fernmeldegeheimnis.
Da wir Postfächer niemals freiwillig herausgeben (§ 94 Abs. 1 StPO), sondern Anfragen stets förmlich widersprechen, muss eine strafrechtliche Beschlagnahme eines Posteo-Postfachs durch einen Richter angeordnet werden (§ 94 Abs. 2 StPO, § 98 Abs. 1 S. 1 bzw. Abs. 2 S. 1 StPO). Eine strafrechtliche TKÜ-Anordnung zur Überwachung eines Postfachs kann ausschließlich bei bestimmten schweren Straftaten erwirkt werden – nicht bei Ordnungswidrigkeiten o.ä. Die gesetzliche Regelung hierzu finden Sie z.B. hier. Der richterliche Beschluss muss von den Behörden bei uns (dem Provider) vorgelegt werden und wird durch unsere Anwälte auf Umfang und formale Korrektheit geprüft, bevor wir Daten ausleiten.
Der Provider händigt Daten nach Vorlage eines richterlichen Beschlusses also selbst aus. Der Kunde darf über eine TKÜ-Anordnung nicht informiert werden. Das ist verboten, damit würden wir uns strafbar machen.
Aktuell müssten wir z.B. eine DVD mit dem Postfach-Inhalt an die abfragende Stelle schicken – über die aufgestellte Sina-Box haben die Behörden die Daten schneller und sicherer. Sonst gibt es keinen Unterschied zum bisherigen Vorgehen. Und auch keine darüber hinausgehenden Möglichkeiten der Behörden, auf Daten unserer Nutzer zuzugreifen.
Wir würden gerne so bald wie möglich einen Transparenzbericht zur Anzahl von Behördenanfragen herausgeben. Dies würde der allgemeinen Verunsicherung sicher entgegenwirken. Leider ist noch nicht abschließend geklärt, ob dies nach deutschem Recht überhaupt zulässig ist. Eventuell würden wir uns mit dem Veröffentlichen eines Transparenzberichtes strafbar machen. Wir lassen hierzu gerade ein Rechtsgutachten erstellen. Wir werden in Kürze ausserdem eine Seite bereitstellen, auf der wir über rechtliche Fragen informieren, die uns häufig erreichen.
Wir hoffen, wir konnten mit diesem Beitrag zur Klärung beitragen.
Viele liebe Grüße sendet,
das Posteo-Team
PS: Hier finden Sie ein Dokument mit häufigen Fragen des Herstellers von SINA-Boxen.