Der auf sichere Kommunikation spezialisierte E-Mail-Anbieter Mailbox.org fordert eine gesetzliche Neuregelung der Grundlagen für die Überwachung seiner Kunden durch Strafverfolgungsbehörden.

Der Berliner E-Mail-Anbieter Mailbox.org gibt jedes Jahr einen Transparenzbericht über die Anfragen heraus, die der Dienst von Ermittlungsbehörden erhält. Ich hatte über den Bericht für 2018 im vergangenen Jahr für heise online berichtet. Auch für das Jahr 2019 hat die Firma nun eine entsprechende Bilanz veröffentlicht. Im Grunde bleibt alles beim Alten: Viele Gesuche werden von den Behörden nicht korrekt gestellt und von Mailbox.org ignoriert. Nur die wenigsten Anfragen sind verschlüsselt.

Behörden verschlüsseln ihre Anfragen nur selten

Eigentlich schreibt die Bundesnetzagentur (BNetzA) seit 2017 aus Datenschutzgründen vor, entsprechende Anfragen über abgesicherte Schnittstellen an die Provider zu übermitteln. Das scheint aber nach wie vor kaum zu funktionieren. Mailbox.org-Gründer und Inhaber Peer Heinlein kritisiert das scharf – verständlich, denn sein Dienst versucht sich schließlich mit Verschlüsselung und durch Datenschutz-konformen Umgang mit den Mails seiner Kunden von der Masse der Mail-Provider abzusetzen.

“Bereits im letzten Jahr habe ich darauf hingewiesen, dass die Anfragen per E-Mail verschlüsselt erfolgen müssen. Die technischen Möglichkeiten dafür sind seit Jahren vorhanden. Es ist ein Armutszeugnis für ein vermeintliches Hochtechnologie-Land, wenn die staatlichen Institutionen solch elementare Anforderungen noch immer nicht einhalten können – oder wollen sie gar nicht?”

Viel interessanter finde ich persönlich allerdings einen anderen Umstand, auf den die Mailbox-Leute in ihrer Pressemitteilung zum aktuellen Transparenzbericht hinweisen: Es gibt offensichtlich Rechtsunsicherheit was die Anfragen der Behörden angeht.

E-Mail-Überwachung dank Gmail ausgesetzt?

Nach einer Entscheidung des Europäischen Gerichtshofes (EuGH) aus dem Sommer 2019 ist Googles E-Mail-Dienst Gmail nämlich nicht als “elektronischer Kommunikationsdienst” im Sinne des Telekommunikationsgesetzes (TKG) zu werten. Nach diesem Urteil muss Google keine neuen Überwachung-Schnittstellen in Gmail einbauen, um Ermittlungsbehörden die Echtzeitüberwachung bestimmter Nutzer zu erlauben. Der EuGH hatte in diesem Fall als letzte Instanz entschieden, weil das deutsche TKG auf einer entsprechenden EU-Richtlinie beruht.

Laut Mailbox.org suggerieren einige Mitbewerber des Dienstes ihren Kunden seitdem, das TKG sei für Mail-Provider nicht anwendbar und damit entfalle in Deutschland eine entsprechende Rechtsgrundlage für die Datenherausgabe an Ermittlungsbehörden. Der Provider aus Berlin sieht das allerdings anders. In Deutschland gelte weiterhin das Telemediengesetz (TMG) und das regele, etwa in §§ 14 und 15, die Herausgabe von Bestands- und Nutzerdaten an Ermittlungsbehörden. Richtig sei nur, dass die Rechtsgrundlage für die Überwachung von E-Mail-Konversationen, im Sprachgebrauch der Behörden als Telekommunikationsüberwachungsmaßnahme (TKÜ) bezeichnet, nach dem EuGH-Urteil in Frage stehe. Denn fortlaufende Überwachung sei nur im TKG geregelt, das TMG kenne keine solche Maßnahmen.

Gesetzliche Neuregelung gefordert

Mailbox.org hat deshalb bis auf Weiteres alle TKÜ-Maßnahmen ausgesetzt. Die im Transparenzbericht für das Jahr 2019 verzeichneten drei Anfragen zur Telekommunikationsüberwachung beziehen sich auf den Zeitraum vor dem EuGH-Urteil im Sommer. Auf Grund der unübersichtlichen Rechtslage fordert Firmengründer Heinlein eine gesetzliche Neuregelung der Auskunftspflicht von E-Mail-Providern gegenüber Ermittlungsbehörden.

“Wir sehen die entstandene Verwirrung rund um die Rechtsprechung des EuGHs keinesfalls nur positiv. Aus unserer Sicht ist eine baldige Neuregelung notwendig. Diese muss bestehende Zweifel und Fragen beseitigen und grundrechtlich geschützte Kommunikation von Internet-Nutzern unzweifelhaft einem Richtervorbehalt unterwerfen. Nur so lässt sich ein ausreichend hoher Schutz gegen Missbrauch und vorschnellen Eingriff sicherstellen.”

Obwohl Mailbox.org als einer der kleineren Anbieter auf dem Markt wohl mit weit weniger solcher Anfragen nach Überwachung und Nutzerdaten zu tun hat, als die wirklich großen Fische, kämpft die Firma beharrlich gegen die Übergriffigkeit der deutschen Behörden. Im Sinne seiner Nutzer wünscht sich Heinleins Unternehmen deshalb eine “restriktive spezialgesetzliche Regelung” statt “allgemeinerer Regelungen mit niedrigen Zugriffshürden”, die Missbrauch ermöglichen. Mailbox.org prüfe jede Anfrage umfassend juristisch und gebe Daten nur bei zwingender Notwendigkeit heraus.

Full Disclosure: Ich nutze im Rahmen meiner Tätigkeit als investigativer Journalist ein Mailbox.org-Konto, das mir die Firma kostenfrei zur Verfügung stellt. Ich verwende dieses Konto auch explizit deswegen, weil der Dienst die Privatsphäre seiner Nutzer und die Sicherheit ihrer Mail-Kommunikation immer wieder in den Vordergrund stellt.

→ Kommentar-Thread zu diesem Post im Fediverse

Aufmacherbild: Fang-Wei Lin