Behörden wollten per richterlicher Anordnung von Posteo die IP-Adressen eines Tatverdächtigen bekommen. Doch der E-Mail-Anbieter erhebt und speichert diese Daten gar nicht – und konnte sie daher auch nicht zur Verfügung stellen. Doch das muss ein Onlinedienst können, hat nun das Verfassungsgericht entschieden.

Wie viel muss ein Onlinedienst eigentlich von seinen Kunden wissen? Nun, die meisten können gar nicht genug Daten bekommen und speichern. Andere sind sehr diskret unterwegs.

Der Berliner Mail-Dienst Posteo ist ein Beispiel dafür. Hier wird Datenschutz großgeschrieben. Doch weil der Mail-Dienst die Polizei nicht mit Kontaktdaten versorgen konnte, gab es Ärger. Nun hat das Bundesverfassungsgericht entschieden: Mail- und Online-Dienste müssen im Zweifel ein Minimum an Daten bereitstellen können.

Die Hintergründe

Posteo ist ein Mail-Dienst aus Berlin, der auf Datenschutz aller größten Wert legt. Man kann hier seine Mails bequem verschlüsseln, der Zugang ist durch Zwei-Faktor-Authentifizierung abgesichert. Und: Posteo speichert keine IP-Adressen seiner Kunden.

Ruft man also seine Mails ab oder verschickt welche, werden nicht – wie sonst fast überall üblich – die IP-Adressen des Rechners oder Smartphones gespeichert. Über diese IP-Adresse kann die Polizei im Zweifel ermitteln, wer das gewesen ist.

Nun hat das Amtsgericht 2016 die Überwachung eines möglicherweise Schwerstkriminellen angeordnet. Doch Posteo hat gesagt: Geht nicht. Wir können die Daten nicht rausgeben, weil wir sie gar nicht haben. Das hat dann zu Klagen geführt, die bis zum Bundesverfassungsgericht gegangen sind.

Post wollte seinen Prinzipien treu bleiben

Posteo will anders als andere Mail-Dienste sein will und deshalb keine IP-Adressen speichert. Es gibt auch keine gesetzliche Vorschrift, die das vorschreibt. Posteo sollte aber nun einen Kunden gezielt überwachen: Wenn der sich wieder anmeldet, um Mails abzurufen, sollte Posteo den Behörden die IP-Adressen herausgeben.

Das aber soll laut Posteo aus technischen Gründen nicht möglich sein, weil die IP-Adressen bei Posteo maskiert werden – also so verstümmelt, dass man sie nicht herausgeben kann. Posteo hat keinen Knopf, auf den man drücken könnte, um das für einen User abzuschalten. Deshalb ging die Sache vor Gericht.

Eine Anordnung zur Komplettüberwachung? Nein!

Jetzt steht also höchstinstanzlich fest: Online-Dienste müssen in der Lage sein, wenigstens die IP-Adressen der User rauszurücken. Viele fragen sich nun: Ist das nun eine Art Vorratsdatenspeicherung durch die Hintertür und damit Komplettüberwachung?

Nein, davon kann nun wirklich keine Rede sein. Das Bundesverfassungsgericht hat nicht das Speichern von persönlichen als verbindlich vorgeschrieben, nicht mal das Loggen/Speichern alle IP-Adressen.

Wozu ein Anbieter aber in der Lage sein muss, ist: Wenn die Polizei oder eine Behörde durch richterliche Anordnung die Herausgabe von IP-Daten anfordert, dann muss das Unternehmen das auch machen. Dann geht es nicht, dass das Unternehmen sagt: Das können wir aber nicht, weil das bei uns nicht vorgesehen ist. Das ist also etwas völlig anderes.

Stellt Posteo nun also seine Technik um?

Das wird Posteo wohl müssen, denn gegen das Urteil des Bundesverfassungsgerichts kann man wohl kaum etwas machen. Posteo behauptet, es koste 80.000 EUR die betriebsinterne Software umzustellen und es würde zwölf Monate dauern. Ich kann natürlich nicht wirklich beurteilen, wie das bei Posteo organisiert ist, aber das erscheint mir doch massiv übertrieben.

Andere Mail-Dienste

Es ist durchaus üblich, die IP-Adressen zu speichern. Oft ist das auch zu administrativen Zweck oder zur korrekten Abrechnung erforderlich. An dieser Praxis wird sich wohl nicht viel ändern. Wenn eine richterliche Anordnung kommt, müssen die Daten halt herausgegeben werden.

Aber um es noch mal deutlich zu sagen: Eine in die Vergangenheit gerichtete Pflicht zur Speicherung von IP-Adressen lässt sich aus dem Urteil wohl nicht ableiten. Lediglich, dass die Unternehmen – auch Posteo – die Daten im laufenden Betrieb ermitteln und herausgeben müssen, wenn ein Gericht das anordnet.

User ermitteln über IP-Adresse

Das funktioniert dann problemlos, wenn der User seine IP-Adresse nicht verschleiert. Also ein User, der über seinen Mobilfunkanbieter, DSL-Anschluss oder Kabeldienst online geht, den können die Behörden identifizieren. Setzt aber jemand Verschleierungstechniken wie TOR-Browser oder VPN (virtuelle Private Netzwerke) ein, dann wird es schwierig bis unmöglich.

Ich kann es sehr gut nachvollziehen. Schließlich müssen Polizeibehörden die Möglichkeit haben, Täter zu ermitteln. Es ging im vorliegenden Fall im Schwerstkriminalität. Das schränkt niemanden in seinen Rechten ein, es entstehen keine Profile, es gibt keine Missbrauchsgefahr. Ich kann das Urteil daher sehr gut nachvollziehen und finde es richtig.