Urteil des Bundesverfassungsgerichts 30.01.2019, 09:54 Uhr

E-Mail-Anbieter muss IP-Adressen übermitteln - auch wenn er sie nicht erhebt

Kurioses Urteil des Bundesverfassungsgerichts: Der E-Mail-Anbieter Posteo muss Ermittlungsbehörden auf Verlangen die IP-Adressen von Nutzern herausgeben - und das, obwohl das Unternehmen die lokalen und öffentlichen IP-Daten der Kunden gar nicht erhebt.
E-Mail-Anbieter wie Posteo müssen die IP-Adressen ihrer Nutzer an Behörden herausgeben können, auch wenn sie sie gar nicht erheben wollen.
(Quelle: shutterstock.com/Sybille Yates)
Wenn ein Anbieter eines E-Mail-Dienstes von Ermittlungsbehörden im Rahmen einer Telekommunikationsüberwachung aufgefordert wird, die IP-Adressen seiner Kunden offenzulegen, verstößt das nicht gegen das Grundgesetz. Das ergab nun ein Urteil des Bundesverfassungsgerichts. Das gilt auch dann, wenn der E-Mail-Provider diese IP-Daten aus Datenschutzgründen gar nicht protokolliert.
Dem Gericht zufolge ist das Anliegen, ein datenschutzoptimiertes Geschäftsmodell anzubieten, grundsätzlich ein schützenswertes. Dennoch entbinde es nicht von der Einhaltung der gesetzlichen Vorgaben.

Der Hintergrund

Geklagt hatte der E-Mail-Anbieter Posteo. Er betreibt - ähnlich wie mailbox.org - einen E-Mail-Dienst, der mit einem besonders effektiven Schutz der Kundendaten wirbt und sich den Grundsätzen der Datensicherheit und der Datensparsamkeit verpflichtet sieht. Das heißt, er erhebt und speichert Daten nur dann, wenn das aus technischen Gründen erforderlich oder - aus seiner Sicht - gesetzlich vorgesehen ist.
Im Juli 2016 nun forderte die Staatsanwaltschaft Stuttgart in einem Kriminalfall die Herausgabe aller Daten, die auf den Servern bezüglich des betreffenden E-Mail-Accounts gespeichert waren sowie für insgesamt vier Monate sämtliche künftig anfallende Daten an.
Posteo richtete zwar die geforderte Telekommunikationsüberwachung ein, wies jedoch darauf hin, dass Verkehrsdaten der Nutzer nicht "geloggt" würden und solche Daten inklusive der IP-Adressen deshalb nicht zur Verfügung gestellt werden könnten, sie seien nicht vorhanden. Eine Pflicht zur Herausgabe sah das Unternehmen nicht. Die Staatsanwaltschaft war anderer Ansicht. Posteo wehrte sich weiter mit juristischen Mitteln und erklärte, ein Zwang zum Umbau seines Systems sei rechtswidrig, würde ein Jahr dauern und mindestens 80.000 Euro kosten. Das Landgericht Stuttgart als nächsthöhere Instanz wies das zurück.
Mit einer Verfassungsbeschwerde nun wollte Posteo bestätigt bekommen, dass der Zwang zum Umbau einer Verletzung der Berufsausübungsfreiheit (Artikel 12 Grundgesetz) und des Rechts auf freie Entfaltung der Persönlichkeit (Artikel 2 Grundgesetz) entspricht.

Reaktionen

Posteo selbst zeigt sich sehr überrascht von der Entscheidung des Bundesverfassungsgerichts. "Sie stellt die bisherige rechtliche Auskunftssystematik auf den Kopf: Bisher war unbestritten, dass sich die Auskunftspflicht nur auf Daten bezieht, die bei TK-Anbietern nach § 96 TKG tatsächlich auch vorliegen. Nun sollen Daten auch alleinig zu Ermittlungszwecken erhoben werden: Daten, die beim TK-Anbieter im Geschäftsbetrieb nachweislich gar nicht anfallen - und die er im Geschäftsbetrieb auch nicht benötigt. (Von der Vorratsdatenspeicherung sind E-Mail-Dienste wie Posteo explizit ausgenommen.) Wir bewerten die Entscheidung als recht einseitig. Eine Stellungnahme der Bundesdatenschutzbeauftragten hatte unsere Positionen in vielen Punkten gestärkt, wurde in der Entscheidung aber kaum gewürdigt."
Die Bundesbeauftragte für den Datenschutz (BfDI) ergänzte: "Aus datenschutzrechtlicher Sicht ist das vorliegende Verfahren vielmehr gerade deshalb bedeutend, weil es einen Präzedenzfall für die zukünftige Systematik der sicherheitsbehördlichen Auskunftsverfahren im TK-Bereich darstellen kann."
Wie der Verfassungs- und Bürgerrechtler Ulf Buermeyer gegenüber Spiegel Online jedoch erklärt, werde durch das Urteil "keine Vorratsdatenspeicherung durch die Hintertür" eingeführt. Denn es gehe erstens ausschließlich um IP-Adressen, die während des im Überwachungsbeschluss festgelegten Zeitraum anfielen, und zweitens um die ganz spezielle Systeminfrastruktur von Posteo. Eine generelle Pflicht zur Speicherung von IP-Adressen ergebe sich daraus nicht.
Auch Peer Heinlein, Sicherheitsexperte und Inhaber von mailbox.org, betont: "Das Gericht hat die hohen Hürden in einem Einzelfall nicht infrage gestellt. Es bezieht sich in dem heute veröffentlichten Fall ausschließlich auf eine konkret richterlich angeordnete Telekommunikationsüberwachung. Das aktuelle Urteil des Bundesverfassungsgerichts darf nicht als Argument für eine verdachtsunabhängige Vorratsdatenspeicherung oder eine generelle Schwächung der Privatsphäre und sicherer Kommunikation im Internet umgedeutet werden. Es hat lediglich betont, dass kein Anbieter eine konkrete Überwachung vorsätzlich verhindern darf und dadurch einen rechtsfreien Raum zu schaffen. Ich warne davor, dieses Urteil für eine weitere Aufweichung der Grundrechte, der sicheren Kommunikation und des Schutzes der Privatsphäre politisch zu missbrauchen."

Wie es weitergeht

Wenn es für Posteo rechtlich keine weiteren Optionen mehr gibt, wird das Unternehmen seine System-Architektur anpassen müssen. Posteo will dabei jedoch eine Lösung wählen, die die Sicherheit und die Rechte der Nutzer nicht beeinträchtigt. "Und, um es ganz klar zu sagen: Wir werden nicht damit beginnen, die IP-Adressen unserer unbescholtenen Kundinnen und Kunden zu loggen. Ein konservativer System-Umbau ist für uns keine Option", so Posteo. Änderungen sollen transparent und nachprüfbar kommuniziert und dokumentiert werden.
"In den letzten zwei Jahren haben wir bereits viel Zeit investiert, uns auch auf diesen Fall vorzubereiten. Wir haben die Erfahrung gemacht, dass hochkomplexe, sichere Systemarchitekturen und ihr Nutzen staatlichen Stellen noch kaum verständlich zu machen sind. Es geht nicht nur um Datenschutz, sondern auch um die IT-Sicherheit: Was ist mit dem berechtigten Anspruch aller Nutzer, gegen Cyber-Attacken aus dem Internet bestmöglich geschützt zu sein? Wir haben unsere internen Systeme aus gutem Grund bestmöglich gegen das öffentliche Internet und gegen Angriffe aus ihm abgeschirmt. Es macht aus unserer Sicht überhaupt keinen Sinn, ein System so umzubauen, dass es zusätzliche Daten von Außen ins System lässt, die für den technischen Betrieb überhaupt nicht benötigt werden. Das ist genau das rückständige Denken, das häufig in die Katastrophe führt - wie die massenhaften Datendiebstähle in den letzten Wochen gezeigt haben", so Posteo.



Das könnte Sie auch interessieren