Behörden wollten per richterlicher Anordnung von Posteo die IP-Adressen eines Tatverdächtigen bekommen. Doch der E-Mail-Anbieter erhebt und speichert diese Daten gar nicht – und konnte sie daher auch nicht zur Verfügung stellen. Doch das muss ein Onlinedienst können, hat nun das Verfassungsgericht entschieden. Ein Urteil mit weitreichenden Folgen für die gesamte IT-Branche.
Wie viel muss ein Onlinedienst eigentlich von seinen Kunden wissen? Nun, die meisten können gar nicht genug Daten bekommen und speichern. Andere sind sehr diskret unterwegs – was aber rechtliche Grenzen hat, wie ein wegweisendes Urteil zeigt.
Der Berliner Mail-Dienst Posteo ist ein Beispiel für datenschutzfreundliche Anbieter. Hier wird Datenschutz großgeschrieben. Doch weil der Mail-Dienst die Polizei nicht mit Kontaktdaten versorgen konnte, gab es Ärger. Nun hat das Bundesverfassungsgericht entschieden: Mail- und Online-Dienste müssen im Zweifel ein Minimum an Daten bereitstellen können.
Die Hintergründe: Datenschutz trifft Strafverfolgung
Posteo ist ein Mail-Dienst aus Berlin, der auf Datenschutz größten Wert legt. Man kann hier seine Mails mit modernen Verschlüsselungsverfahren schützen, der Zugang ist durch Zwei-Faktor-Authentifizierung abgesichert. Und: Posteo speicherte bewusst keine IP-Adressen seiner Kunden – ein Alleinstellungsmerkmal in der Branche.
Ruft man also seine Mails ab oder verschickt welche, werden nicht – wie sonst fast überall üblich – die IP-Adressen des Rechners oder Smartphones gespeichert. Über diese IP-Adresse kann die Polizei im Zweifel ermitteln, wer das gewesen ist. Ein wichtiges Instrument der digitalen Forensik.
Nun hat das Amtsgericht 2016 die Überwachung eines möglicherweise Schwerstkriminellen angeordnet. Doch Posteo hat gesagt: Geht nicht. Wir können die Daten nicht rausgeben, weil wir sie gar nicht haben. Das hat dann zu Klagen geführt, die bis zum Bundesverfassungsgericht gegangen sind.
Posteo wollte seinen Prinzipien treu bleiben
Posteo will anders als andere Mail-Dienste sein und deshalb keine IP-Adressen speichern. Es gibt auch keine generelle gesetzliche Vorschrift, die das vorschreibt. Posteo sollte aber nun einen Kunden gezielt überwachen: Wenn der sich wieder anmeldet, um Mails abzurufen, sollte Posteo den Behörden die IP-Adressen herausgeben.
Das aber sei laut Posteo aus technischen Gründen nicht möglich, weil die IP-Adressen bei Posteo maskiert werden – also so verstümmelt, dass man sie nicht herausgeben kann. Posteo habe keinen Schalter, den man umlegen könnte, um das für einen User abzuschalten. Deshalb ging die Sache vor Gericht.
Die Argumentation des Anbieters war klar: Privacy-by-Design – Datenschutz als Grundprinzip der Systemarchitektur. Was technisch nicht erfasst wird, kann auch nicht missbraucht werden oder durch Hackerangriffe in falsche Hände geraten.
Eine Anordnung zur Komplettüberwachung? Nein!
Jetzt steht also höchstinstanzlich fest: Online-Dienste müssen in der Lage sein, wenigstens die IP-Adressen der User rauszurücken. Viele fragen sich nun: Ist das nun eine Art Vorratsdatenspeicherung durch die Hintertür und damit Komplettüberwachung?
Nein, davon kann keine Rede sein. Das Bundesverfassungsgericht hat nicht das permanente Speichern von persönlichen Daten als verbindlich vorgeschrieben, nicht mal das routinemäßige Loggen aller IP-Adressen.
Worin ein Anbieter aber in der Lage sein muss, ist: Wenn die Polizei oder eine Behörde durch richterliche Anordnung die Herausgabe von IP-Daten anfordert, dann muss das Unternehmen das auch technisch umsetzen können. Dann geht es nicht, dass das Unternehmen sagt: Das können wir aber nicht, weil das bei uns systembedingt nicht vorgesehen ist. Das ist etwas völlig anderes als eine anlasslose Totalüberwachung.
Das Urteil schafft rechtliche Klarheit in einem Spannungsfeld zwischen Datenschutz und Strafverfolgung, das in der digitalen Gesellschaft immer wichtiger wird. Es gilt sowohl für klassische E-Mail-Anbieter als auch für moderne Messenger-Dienste und Cloud-Plattformen.
Stellte Posteo seine Technik um?
Posteo musste seine Systeme tatsächlich anpassen, denn gegen das Urteil des Bundesverfassungsgerichts gibt es keinen Widerspruch. Der Anbieter hatte zunächst behauptet, es koste 80.000 EUR die betriebsinterne Software umzustellen und würde zwölf Monate dauern. Diese Zahlen erschienen schon damals übertrieben.
Inzwischen hat Posteo seine Infrastruktur entsprechend angepasst und kann bei richterlicher Anordnung die erforderlichen Daten bereitstellen. Dabei bleibt der grundsätzlich datenschutzfreundliche Ansatz erhalten – nur die technische Unmöglichkeit der Datenherausgabe wurde beseitigt.
Das Unternehmen betont weiterhin seinen Datenschutz-first-Ansatz und speichert nach wie vor deutlich weniger Nutzerdaten als die meisten Konkurrenten. Die Änderung betrifft lediglich die technische Fähigkeit zur gezielten, gerichtlich angeordneten Datenerhebung.
Andere Mail-Dienste und die Branchenauswirkungen
Es ist durchaus üblich, IP-Adressen zu speichern. Oft ist das auch zu administrativen Zwecken oder zur korrekten Abrechnung erforderlich. An dieser Praxis hat sich nach dem Urteil nichts geändert. Wenn eine richterliche Anordnung kommt, müssen die Daten halt herausgeben werden.
Aber um es noch mal deutlich zu sagen: Eine in die Vergangenheit gerichtete Pflicht zur Speicherung von IP-Adressen lässt sich aus dem Urteil nicht ableiten. Lediglich, dass die Unternehmen – auch Posteo – die Daten im laufenden Betrieb ermitteln und herausgeben müssen, wenn ein Gericht das anordnet.
Das Urteil hat auch Auswirkungen auf andere Privacy-orientierte Dienste. Anbieter von VPN-Services, Messenger-Diensten oder Cloud-Speicher müssen sicherstellen, dass sie bei legitimen Ermittlungsverfahren kooperationsfähig bleiben. Totale technische Verweigerung ist keine Option mehr.
User ermitteln über IP-Adresse: Grenzen und Möglichkeiten
Das funktioniert dann problemlos, wenn der User seine IP-Adresse nicht verschleiert. Also ein User, der über seinen Mobilfunkanbieter, DSL-Anschluss oder Kabeldienst online geht, den können die Behörden identifizieren. Setzt aber jemand Verschleierungstechniken wie den TOR-Browser oder VPN (Virtual Private Networks) ein, dann wird es schwierig bis unmöglich.
Moderne VPN-Anbieter werben sogar explizit damit, keine Logs zu führen („No-Log-Policy“). Hier zeigt sich die Komplexität digitaler Ermittlungen: Während rechtschaffene Nutzer identifizierbar bleiben, können technik-affine Kriminelle weiterhin Spuren verwischen.
Dennoch ist das Urteil ein wichtiger Baustein für die digitale Rechtsdurchsetzung. Denn viele Straftäter nutzen eben keine ausgeklügelten Verschleierungstechniken und sind über IP-Adressen durchaus zu ermitteln.
Fazit: Balance zwischen Datenschutz und Rechtsstaat
Ich kann das Urteil sehr gut nachvollziehen. Schließlich müssen Polizeibehörden die Möglichkeit haben, Täter zu ermitteln. Es ging im vorliegenden Fall um Schwerstkriminalität. Das schränkt niemanden grundlos in seinen Rechten ein, es entstehen keine Profile, es gibt keine strukturelle Missbrauchsgefahr.
Das Urteil zeigt exemplarisch, wie sich Rechtsstaat und Datenschutz in der digitalen Welt ausbalancieren lassen. Anbieter können weiterhin datenschutzfreundlich agieren – müssen aber bei begründeten richterlichen Anordnungen kooperationsfähig bleiben. Ein vernünftiger Kompromiss für die digitale Gesellschaft.
Zuletzt aktualisiert am 06.03.2026
