Wenn Polizisten bei einem E-Mail-Anbieter Auskunft verlangen, kann man was erleben. Zum Beispiel, dass sie dabei selbst Gesetze verletzen. Verbesserungen kommen nur schleppend voran.

Trotz Hackerangriffen und Datenskandalen gehen deutsche Behörden noch immer sorglos mit sensiblen Daten um. Das zeigt der kürzlich veröffentlichte neue Transparenzbericht eines kleinen E-Mail-Dienstes aus Berlin.

Stefan Tomik Redakteur in der Politik. F.A.Z.

Mittlerweile stellen viele E-Mail-Anbieter solche Berichte ins Netz. Aus ihnen geht hervor, in welchem Umfang und auf welcher Rechtsgrundlage Behörden Kundendaten angefordert haben. Doch meistens beschränken sich die Angaben auf ein paar knappe Zahlen, und die Aussagekraft ist begrenzt. Manchmal bleibt sogar unklar, ob es sich nur um Anfragen oder tatsächlich erteilte Auskünfte handelt. Dazwischen können Welten liegen.

Die Firma Posteo geht über bloße Statistiken hinaus und veröffentlicht auch eine Auswahl der konkreten Behördenanfragen. Die teils geschwärzten Dokumente offenbaren, wie dilettantisch manche Polizisten bei ihren Auskunftsersuchen vorgehen. Laut dem Anbieter sind etwa die Hälfte aller Ersuchen rechtswidrig.

„Ein bedauerlicher Einzelfall“?

Nach wie vor werden die meisten Behördenanfragen per E-Mail gestellt. Darin enthalten sind sensible Informationen wie E-Mail-Adressen, Aktenzeichen und Tatvorwürfe. Auch im Jahr 2016 waren alle bei Posteo eingehenden Mails unverschlüsselt und damit so unsicher wie eine Postkarte. Polizisten aus vielen Bundesländern verstoßen dadurch selbst gegen Datenschutzgesetze, die eine Verschlüsselung zwingend vorschreiben.

So auch ein Kriminalhauptkommissar der „Abteilung Cybercrime“ der Polizeidirektion Dresden. „Dies geschah aus Unkenntnis des Sachbearbeiters“, teilte die Polizei FAZ.NET mit. „Wir nehmen den Fall zum Anlass, unsere Mitarbeiter für die ganze Thematik nochmals zu sensibilisieren.“ Ein Polizist aus Mecklenburg-Vorpommern schickte gar einmal ein Auskunftsersuchen von einer offensichtlich privaten E-Mail-Adresse, die auf „online.de“ endet, und gab diese sogar in seiner offiziellen Signatur an. Das eingeschaltete Landesinnenministerium konnte den Fall bislang nicht aufklären. Ein großer deutscher E-Mail-Anbieter bestätigte FAZ.NET, dass dort immer noch schätzungsweise zehn Prozent der Kommunikation mit den Ermittlungsbehörden über unverschlüsselte E-Mails geführt werde.

Überdies fordern die Beamten oft Daten an, ohne die Rechtsgrundlage zu benennen, wie es ausdrücklich im Gesetz vorgeschrieben ist. Oder sie nennen eine falsche, verwechseln etwa das Telekommunikationsgesetz mit dem Telemediengesetz. Auch der Berliner E-Mail-Anbieter mailbox.org kennt solche Fälle und bestätigt: Etwa die Hälfte aller Anfragen enthielten Fehler. Man wundert sich dort, dass es in manchen Bundesländern offenbar nicht einmal Formbriefe gibt. Stattdessen tippe wohl jeder Polizist jedes Auskunftsersuchen aufs Neue.

Mehr zum Thema 1/ Die Politik in Wiesbaden und in Berlin würdigt die Rolle der Rechenzentrums-Branche viel zu wenig, trotz enormer Investitionen durch die Rechenzentrumsbetreiber. Das ist kurzsichtig.

Ein wichtiger rechtlicher Unterschied ist der zwischen Bestands- und Verkehrsdaten. Die weitaus meisten Anfragen betreffen Bestandsdaten, das sind etwa Name, Adresse und Bankverbindung eines Kunden. Sie dürfen schon beim Verdacht auf eine bloße Ordnungswidrigkeit abgefragt werden. (Das bringt allerdings nichts, wenn der E-Mail-Anbieter wie etwa Posteo gar keine Bestandsdaten speichert.) Verkehrsdaten sind etwa Angaben darüber, wann und an wen jemand eine E-Mail verschickt hat und wann er eingeloggt war. Sie dürfen nur bei Verdacht auf eine schwere Straftat abgefragt werden oder wenn die Straftat mittels Telekommunikation begangen wurde, und die Behörden brauchen dafür eine richterliche Genehmigung. In der Praxis versuchen Polizisten es trotzdem immer wieder ohne.

Im Rahmen einer Bestandsdatenabfrage forderte etwa eine Kriminalkommissarin des Bundeskriminalamtes wie selbstverständlich „die letzten Login-Daten“ an. Das BKA teilte FAZ.NET auf Anfrage mit: „Es kann sich hierbei nur um einen bedauerlichen Einzelfall handeln.“ Das bestreitet Posteo: „Bisher haben uns insgesamt sechs Bestandsdaten-Ersuchen des BKA erreicht. Fünf waren nicht korrekt. In drei Fällen wurde nach Verkehrsdaten gefragt.“