- Anfragen von Sicherheitsbehörden häufig mangelhaft und per unverschlüsselter E-Mail
- Urteil des EuGHs schafft Unsicherheit über Anwendungsbereich des Telekommunikationsgesetzes (TKG)
- org fordert gesetzliche Neuregelung für Behördenanfragen
Berlin, 23.01.2020 – mailbox.org veröffentlicht heute den Transparenzbericht zu behördlichen Auskunftsersuchen und Telekommunikationsüberwachungen (TKÜ). Im Jahr 2019 erhielt der Dienst der Heinlein Support GmbH insgesamt 79 Anfragen von Strafverfolgungsbehörden, das sind sieben mehr als im Vorjahr. Zugleich sorgt ein Urteil des Europäischen Gerichtshofs (EuGH) für Verwirrung um die Anwendbarkeit des deutschen Telekommunikationsrechts auf E-Mail-Anbieter. mailbox.org fordert daher dringend eine rechtliche Neuregelung.
Insgesamt 26 Anfragen deutscher Behörden enthielten offensichtliche Fehler und mussten aufgrund ihrer Rechtswidrigkeit zurückgewiesen werden. 22 davon wurden anschließend korrekt gestellt. Lediglich drei Dienststellen haben es geschafft, sich datenschutzkonform per verschlüsselter E-Mail an mailbox.org zu wenden. Für nur eine der sieben ausländischen Anfragen lag ein Rechtshilfeersuchen vor. Die restlichen sechs Anfragen mussten wegen fehlender Rechtsgrundlagen abgewiesen werden.
mailbox.org fordert verschlüsselte Kommunikation
Die Bundesnetzagentur bereits schreibt seit 2017 sichere Schnittstellen vor, die für Datenabfragen von Behörden unterstützt werden müssen. Dazu gehören auch mit PGP verschlüsselte E-Mails. Diese Idee scheitert daran, dass Behörden auch im Jahr 2019 diese Schnittstellen noch immer so gut wie nie nutzen. Peer Heinlein, Inhaber von mailbox.org: „Bereits im letzten Jahr habe ich darauf hingewiesen, dass die Anfragen per E-Mail verschlüsselt erfolgen müssen. Die technischen Möglichkeiten dafür sind seit Jahren vorhanden. Es ist ein Armutszeugnis für ein vermeintliches Hochtechnologie-Land, wenn die staatlichen Institutionen solch elementare Anforderungen noch immer nicht einhalten können – oder wollen sie gar nicht?“
Die Zahlen der Ersuchen an mailbox.org im Jahr 2019
insgesamt: 79
davon deutsche Behörden: 72
davon ausländische Behörden: 7 (Europa und Schweiz)
Art der Behörde
Strafverfolgungsbehörden: 79
Zollbehörden: 0
Nachrichtendienste: 0
Art des Ersuchens
Bestandsdatenabfragen: 74
Postfachbeschlagnahmungen: 0
Verkehrsdatenabfragen: 2
Telekommunikationsüberwachung: 3
In jedem Fall wurden Daten nur bei rechtmäßigen und fehlerfreien Anfragen beantwortet. Dementsprechend lagen auch zu allen Anordnungen zur Telekommunikationsüberwachung (TKÜ) entsprechende Gerichtsbeschlüsse im Original vor. Frühere Transparenzberichte hat mailbox.org auf https://mailbox.org/de/unternehmen#transparenzbericht veröffentlicht.
Verwirrung um Anwendungsbereiche, mailbox.org fordert gesetzliche Neuregelung
Nachdem der Europäische Gerichtshof im Sommer 2019 über den Dienst Gmail urteilte, er wäre kein „elektronischer Kommunikationsdienst“ im Sinne der EU-Richtlinie 2002/21/EG, suggerierten einige Anbieter, damit wäre auch das TKG für E-Mail-Provider nicht mehr anwendbar, die Rechtsgrundlage für die Datenherausgabe an Ermittlungsbehörden entfallen. Dies ist so jedoch, aus Sicht von mailbox.org, nicht richtig. Auch das weiterhin geltende Telemediengesetzes (TMG) kennt entsprechende Rechtsgrundlagen zur Datenherausgabe an Ermittlungsbehörden. So regeln beispielsweise §14 TMG und §15 TMG die Herausgabe von Bestands- bzw. Nutzungsdaten.
Eine Rechtsgrundlage für eine Telekommunikationsüberwachungsmaßnahme (TKÜ) bietet jedoch nur das TKG, denn das Telemediengesetz (TMG) kennt keine fortlaufende Überwachung. TKÜ-Maßnahmen sind deshalb derzeit bis zur Klärung aller Fragen bei mailbox.org ausgesetzt. Die oben genannten Zahlen aus 2019 beziehen sich alle auf den Zeitraum vor dem EuGH-Urteil.
„Wir sehen die entstandene Verwirrung rund um die Rechtsprechung des EuGHs keinesfalls nur positiv. Aus unserer Sicht ist eine baldige Neuregelung notwendig“, sagt Peer Heinlein, Gründer und Geschäftsführer von mailbox.org. „Diese muss bestehende Zweifel und Fragen beseitigen und grundrechtlich geschützte Kommunikation von Internet-Nutzern unzweifelhaft einem Richtervorbehalt unterwerfen. Nur so lässt sich ein ausreichend hoher Schutz gegen Missbrauch und vorschnellem Eingriff sicherstellen.“
Eine restriktive spezialgesetzliche Regelung muss dafür sorgen, dass allgemeinere Regelungen mit niedrigen Zugriffshürden keinen Anwendungsraum mehr haben. In jedem Fall aber sichert mailbox.org seinen Nutzern eine umfassende juristische Prüfung aller eingehenden Anfragen zu: Daten werden nur bei zwingender Notwendigkeit herausgegeben.
Über mailbox.org
mailbox.org bot als weltweit erster Provider automatisch PGP-verschlüsselte Postfächer an und wurde unter 15 getesteten Mailanbietern im September 2016 Testsieger der Stiftung Warentest. Erst Anfang 2014 gestartet, hat sich mailbox.org in kurzer Zeit als leicht bedienbarer Service für sichere E-Mail-Kommunikation etabliert. Neben klassischen E-Mail-Kernfunktionen erhalten sicherheitsbewusste Kunden auf Basis der OX App Suite auch Kalender, Aufgabenverwaltung, Online-Textverarbeitung, Dateispeicher in der Cloud und eine Chat-Lösung.
mailbox.org ist ein Produkt der Heinlein Support GmbH. Inhaber und Geschäftsführer des unabhängigen Unternehmens ist der Berliner E-Mail-Experte und IT-Sicherheitsberater Peer Heinlein. Er bietet bereits seit über 25 Jahren E-Mail-Dienste für sicherheitsbewusste Unternehmen und Privatanwender an. Seit 1992 betreibt Peer Heinlein den E-Mail-Provider JPBerlin.de, mit dem er Unternehmen und Einrichtungen wie beispielsweise das OpenSUSE-Projekt vertrauenswürdige digitale Infrastrukturen zur Verfügung stellt. Auch NGOs wie Attac, Ärzte ohne Grenzen, Arbeitskreis Vorratsdatenspeicherung, Wikimedia und X1000malquer sowie ehrenamtlich aktive Menschen nutzen die Kommunikationslösungen seit Jahren erfolgreich für ihre Arbeit. Das Angebot reicht vom sicheren E-Mail-Postfach über Mailinglisten bis hin zu Webhosting und DNSSEC-Domainregistrierung.