Wer nicht viel speichert, muss auch nicht viel herausgeben. Das zeigt der diesjährige Transparenzbericht des Berliner Mailanbieters. Gleichzeitig kritisiert das Unternehmen die Forderungen nach einem behördlichen Datenzugriff bei Facebook und Telekommunikationsdiensten innerhalb von einer Stunde als unverhältnismäßig und nicht praktikabel.

Der E-Mailanbieter Posteo hat seinen Transparenzbericht für das Jahr 2015 veröffentlicht. Der Bericht gibt einen Überblick über alle Auskunftsersuchen von Strafverfolgungsbehörden und Geheimdiensten an das Unternehmen – und wieviele von diesen Ersuchen am Ende zu einer Datenherausgabe führten. Posteo hatte vor zwei Jahren als erster deutscher Mailanbieter einen Transparenzbericht vorgelegt, andere Telekommunikationsanbieter sind mittlerweile nachgezogen.

Bei fünf Postfächern wurden Daten herausgegeben

Die Anzahl der behördlichen Anfragen an Posteo hat sich seit 2013 etwa versiebenfacht, während sich die Anzahl der E-Mail-Konten nach Auskunft des Unternehmens jedoch verzehnfacht habe. Posteo erhielt 48 Anfragen von Behörden im Jahr 2015 und musste bei fünf Postfächern Inhaltsdaten (E-Mails) herausgeben. In jedem der Fälle lag ein richterlicher Beschluss vor. Bestandsdaten (Namen, Adressen, Bezahldaten) und Verkehrdaten (IP-Adresse) musste Posteo nicht herausgeben, weil das Unternehmen diese Daten nicht speichert.

Anzahl der Ersuchen 2015

insgesamt: 48

davon deutsche Behörden: 47

davon ausländische Behörden: 1

Art der Behörde

Strafverfolgungsbehörden: 47

Geheimdienste: 1

Art des Ersuchens

Bestandsdatenersuchen: 27

Postfachbeschlagnahmungen: 8

Verkehrsdatenersuchen: 6

TKÜ (Überwachung eines Postfachs für einen bestimmten Zeitraum): 4

unklares Ersuchen: 3

Herausgaben

Herausgabe von Bestandsdaten: 0

Begründung: Daten nicht vorhanden/anonyme Anmeldung

Begründung: Daten nicht vorhanden/anonyme Anmeldung Herausgabe von Bestandsdaten zu vorliegenden Bezahldaten: 0

Begründung: Daten nicht vorhanden/anonyme Bezahlung

Begründung: Daten nicht vorhanden/anonyme Bezahlung Herausgabe von Verkehrsdaten: 0

Begründung: Daten (IP-Adressen) nicht vorhanden/betrieblich nicht benötigt

Begründung: Daten (IP-Adressen) nicht vorhanden/betrieblich nicht benötigt Anzahl betroffener Postfächer bei Herausgabe von Inhaltsdaten nach Postfachbeschlagnahme, laufende Übermittlung von Daten nach TKÜ: 5

Begründung: formal korrekter richterlicher Beschluss

Die Differenz zwischen den Ersuchen nach Inhaltsdaten (8) und deren Herausgaben (5) kommt wie folgt zustande: Eine Beschlagnahme konnte wegen aktiviertem Krypto-Mailspeicher nicht durchgeführt werden, zwei Postfächer wurden jeweils zweimal beschlagnahmt (verschiedene ersuchte Zeiträume).

Formale Qualität der Ersuchen hat sich verbessert

Im Transparenzbericht für das Jahr 2014 hatte das Unternehmen die formale Qualität der Anfragen moniert. Die Qualität der Anfragen habe sich im letzten Jahr jedoch verbessert, sagt Posteo-Gründerin Sabrina Löhr gegenüber netzpolitik.org.

Dennoch beschwerte sich das Unternehmen in 13 Fällen bei den anfragenden Behörden und/oder bei der Landesdatenschutzbeauftragten wegen rechtswidrigem Ersuchen nach Verkehrsdaten und rechtswidrigem unsicheren Übermitteln der Behördenersuchen. Die niedrige Zahl an Herausgaben von Daten hänge aber nicht mit Formfehlern zusammen, sondern mit der Tatsache, dass Posteo wegen seiner Speicherpraxis gar keine Daten herausgeben könne.

„Antworten innerhalb von einer Stunde sind unverhältnismäßig und nicht praktikabel“

Zur Facebook-Debatte und der Forderung nach einer Reaktionszeit von einer Stunde, sagt Löhr, dass deutsche Telekommunikationsanbieter bereits heute gesetzlich verpflichtet seien, „unverzüglich“ auf Ersuchen zu antworten. Deshalb beantworte man die eingehenden Ersuchen auch innerhalb weniger Stunden – auch wenn die Antworten meist nur „Negativmeldungen“ seien. Bei richterlichen Beschlüssen brauche man aber Zeit für die Prüfung durch die eigenen Anwälte. Löhr ist deswegen der Meinung:

Internetanbieter zur Antwort innerhalb einer Stunde zu verpflichten, erscheint uns unverhältnismäßig und nicht praktikabel: Auch Beschlüsse sind mitunter fehlerhaft – und als Provider dürfen wir Daten nur bei korrekter Beschlusslage herausgeben. Schon alleine deshalb ist es aus unserer Sicht dringend abzulehnen, Provider zur Antwort binnen einer Stunde zu verpflichten. Es muss unbedingt genügend Zeit für den Provider verbleiben, eine Rechtsprüfung vornehmen zu können. Sonst werden rechtsstaatliche Prinzipien ad absurdum geführt. Dieses Argument vermissen wir in der aktuellen Debatte.

Offenlegung: Posteo spendet regelmäßig an netzpolitik.org ohne dafür eine Gegenleistung zu erwarten.