Warum veröffentlicht Posteo einen Transparenzbericht?

Wir wollen, dass Sie wissen, wieviele und welche Art von Auskunftsersuchen wir von Behörden erhalten. Auch wollen wir darüber informieren, wie Posteo mit solchen Anfragen umgeht. Nach dem NSA-Skandal ist es wichtiger denn je, dass Provider Transparenzberichte veröffentlichen. Sie stärken die digitalen Bürgerrechte, die Selbstbestimmung im Internet und die Demokratie insgesamt.

Warum hat Posteo bisher keinen Transparenzbericht veröffentlicht?

Weil die Rechtslage in Deutschland hierzu nicht eindeutig ist. Der Gesetzgeber verpflichtet Telekommunikationsanbieter wie Posteo zur Verschwiegenheit über Auskunftsersuchen, u.a. im TKG und in den G10-Gesetzen. Allerdings geht aus den Gesetzestexten nicht eindeutig hervor, wie weit diese Verschwiegenheitspflichten gehen. Deshalb haben wir vor der Veröffentlichung ein umfassendes Rechtsgutachten durch unsere Anwälte erstellen lassen. ob es in Deutschland möglich ist, Transparenzberichte zu veröffentlichen. Uns war es wichtig, diesen Sachverhalt nun zu klären, da wir im vergangenen Jahr (2013) zum ersten Mal Auskunftsersuchen erhalten haben.

Deckt der Bericht alle bisherigen Auskunftsersuchen ab?

Ja. Im vorliegenden Bericht sind alle Auskunftsersuchen erfasst, die uns bisher erreicht haben. Der Bericht umfasst zwar nur das Jahr 2013, in den ersten vier Geschäftsjahren (2009-2012) von Posteo haben wir aber keine Anfragen von Behörden erhalten. Posteo war bis zum Frühjahr 2013 ein sehr kleiner Anbieter. Dies kann ein Grund dafür sein, dass wir bis 2013 keine Anfragen erhalten haben. Evtl. hat auch die Neuregelung der Bestandsdatenauskunft im vergangenen Jahr zu einem Anstieg der Anfragen geführt.

Warum sollte eine Behörde Nutzerdaten bei einem E-Mailprovider abfragen?

Behörden ersuchen aus verschiedensten Gründen um Nutzerdaten: Zum Beispiel im Zuge von Ermittlungsarbeiten, um Straftaten aufzuklären oder dem Verdacht auf Ordnungswidrigkeiten nachzugehen. Insbesondere Strafverfolgungsbehörden sind unter bestimmten Umständen dazu berechtigt, E-Mails oder Verkehrsdaten von Providern zu erhalten.

Was unternimmt Posteo bei Behördenanfragen? Geht Posteo rechtlich gegen unrechtmäßige Ersuchen vor?

Wir lassen jede Behördenanfrage zunächst sorgfältig durch unsere Anwälte prüfen. Wir nehmen den Schutz der Daten unserer Nutzer sehr ernst. Wir möchten Ermittlungen nicht behindern, wollen aber sicherstellen, dass die ermittelnden Behörden auch tatsächlich berechtigt sind, die angeforderten Daten zu erhalten. Meist verfügen wir über die angeforderten Daten (Bestandsdaten) nicht. Diese Anfragen beantworten wir stets negativ. Sind Behörden tatsächlich berechtigt, bei Posteo gespeicherte Daten zu erhalten (nach einem richterlichen Beschluss), müssen wir diese übermitteln. Ergibt die Prüfung unserer Anwälte aber, dass ein Ersuchen nicht rechtskonform oder formal falsch ist oder deckt der Umfang eines Beschlusses nicht die Daten ab, um die eine Behörde ersucht, setzen wir uns gemeinsam mit unserem Rechtsbeistand für den betroffenen Nutzer ein. So haben unsere Anwälte im vergangenen Jahr aufgrund mehrerer Fälle Beschwerde bei einem Landesdatenschutzbeauftragten eingelegt. Ausserdem wurden Dienstaufsichtsbeschwerden/Strafanzeigen gegen beteiligte Kriminalbeamte, sowie gegen einen Staatsanwalt und einen Richter gestellt. Wir scheuen hier keine Kosten und Mühen: Wir versichern Ihnen, dass unsere auf Telekommunikation spezialisierten Anwälte alles tun, um Ihr Recht auf informationelle Selbstbestimmung „im Fall der Fälle“ gegenüber den verschiedenen Organen des Staates zu verteidigen.

Wie oft hat Posteo bisher Daten an berechtigte Behörden übergeben?

Wir mussten in bisher einem Fall Daten an Strafverfolgungsbehörden übergeben. Die Behörden hatten einen formal korrekten Beschluss zur Beschlagnahmung sowie zur laufenden Überwachung eines E-Mailpostfachs vorgelegt. Inhaltlich sind wir und unsere Anwälte jedoch davon überzeugt, dass der Beschluss ohne ausreichende rechtliche Grundlage erwirkt wurde. Deshalb haben wir Dienstaufsichtsbeschwerde gegen den verantwortlichen Staatsanwalt gestellt.

Wurden Mitarbeiter von Posteo schon einmal bedroht oder wurde versucht, sie rechtswidrig zur Herausgabe von Daten zu bewegen?

Ja, in einem Fall. Beamte des Staatsschutzes hatten im Juli 2013 eine Durchsuchung bei Posteo durchgeführt und versucht, uns zu einer rechtswidrigen Kooperation und zur Herausgabe von Daten zu nötigen. Wir haben Strafanzeige gegen die beteiligten Kriminalbeamten gestellt. Als Druckmittel setzten sie einen angeblichen Beschluss zur Durchsuchung und Beschlagnahmung unserer gesamten Geschäftsunterlagen ein. Tatsächlich verfügten sie nur über einen Beschluss zur Herausgabe eines einzigen Blattes Papier. Gegen den Richter, der den Beschluss zur Durchsuchung bei Posteo unterzeichnet hatte, haben wir Dienstaufsichtsbeschwerde eingelegt. Die Kriminalbeamten wollten (unter anderem), dass wir ein Skript für sie schreiben, das dokumentiert hätte, mit welchen IP-Adressen Posteo-Nutzer beim Login auf ihre E-Mailadressen zugreifen. Mit diesem wollten sie in Erfahrung bringen, welche E-Mailadresse zu bestimmten, ihnen bekannten IP-Adressen gehört. Die Beamten drohten, sonst würden wir per Beschluss zur Kooperation gezwungen. Es gibt aber keinerlei rechtliche Grundlage, die Telekommunikationsanbieter zu einer solchen Kooperation verpflichten könnte. Hier können Sie unsere Dienstaufsichtsbeschwerde/Strafanzeige einsehen.

Werden betroffene Nutzer durch Posteo informiert?

Nein, wir dürfen betroffene Nutzer nicht informieren. Damit würden wir uns strafbar machen. Anders als in anderen Ländern werden deutsche Telekommunikationsanbieter durch verschiedene Gesetze (u.a. TKG und die G10-Gesetze) zur Verschwiegenheit über die meisten Auskunftsersuchen von Behörden verpflichtet. Dies wurde gesetzlich so geregelt, um auszuschliessen, dass laufende Ermittlungen gefährdet werden.

Schützt mich die datensparsame Konzeption bei Posteo vor Auskunftsersuchen von Behörden?

Da wir bei der Anmeldung keine personenbezogenen Daten erheben und Daten, die wir bei Zahlungen erhalten, nicht mit den E-Mailpostfächern verknüpfen, können wir verschiedene Auskunftsersuchen der Behörden (z.B. Anfragen im Rahmen einer Bestandsdatenauskunft) nur "negativ" beantworten. Beim Verdacht auf bestimmte schwere Straftaten können wir aber dazu verpflichtet werden (mit einem richterlichen Beschluss), Inhaltsdaten sowie bestimmte Verkehrsdaten an Strafverfolgungsbehörden zu übermitteln.

Was sind Bestandsdaten und warum erhebt Posteo keine Bestandsdaten?

Ihre persönlichen Daten (wie Ihr Name, Ihre Adresse oder Ihre Kontonummer) werden in den Gesetzestexten als „Bestandsdaten“ bezeichnet. Werden Sie Kunde eines Telekommunikationsunternehmens, muss das Unternehmen (TKG § 111) folgende persönliche Daten von Ihnen speichern: Ihren Namen, Ihr Geburtsdatum, Ihre Adresse. Bei Anschlüssen ausserdem: Ihre Telefon- und Faxnummern, die Anschrift des jeweiligen Anschlusses. Bei Mobilfunkverträgen, die ein Gerät beinhalten: die Gerätenummer des Gerätes sowie das Datum des Vertragsbeginns. Bei Anschlüssen generell: die Anschlusskennung sowie das Datum des Vertragsbeginns und das Datum des Vertragsendes. Für E-Mailanbieter besteht eine Sonderregelung: Sie dürfen darauf verzichten, Ihre persönlichen Daten zu erheben (TKG §111) und müssen sie dann auch nicht speichern. Davon macht Posteo Gebrauch. Wir benötigen Ihre persönlichen Daten nicht – auch nicht für Abrechnungszwecke (siehe: anonyme Zahlung bei Posteo). Wenn E-Mailanbieter Ihre persönlichen Daten speichern möchten, müssen sie (TKG §111) folgende Daten speichern: den Namen des E-Mailpostfachs, den Namen des Inhabers des E-Mailpostfachs sowie dessen Anschrift. Viele E-Mailanbieter erheben auch Ihr Geburtsdatum, obwohl sie dazu gesetzlich nicht verpflichtet sind. Manchmal können diese Zusatzangaben „freiwillig“ erfolgen. Speichern die Anbieter Ihre Bankdaten postfachbezogen, sind auch diese vorliegende Bestandsdaten. Hier sind viele „Mogelpackungen“ auf dem Markt: Es gibt inzwischen einige Anbieter, die mit Datensparsamkeit oder anonymer Anmeldung werben - und Ihre Bestandsdaten dennoch erheben. Posteo erhebt diese Daten nicht, da wir so datensparsam wie möglich arbeiten möchten. Nur Daten, die nicht erhoben wurden, können nicht gestohlen oder missbraucht werden. Inzwischen sind zahlreiche Fälle bekannt geworden, in denen Kriminelle Kundendaten bei Unternehmen gestohlen haben. Zum Beispiel, um an Bankdaten zu gelangen und Betrugsdelikte zu begehen. Der Gesetzgeber fordert Unternehmen sogar explizit dazu auf (Bundesdatenschutzgesetz § 3a), das Speichern von personenbezogenen Daten zu vermeiden, wann immer es möglich ist - und mahnt zu Datensparsamkeit:



Bundesdatenschutzgesetz §3a - Datenvermeidung und Datensparsamkeit: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.



An dieser Forderung haben wir uns bei der Konzeption von Posteo orientiert. Wir erheben keine persönlichen Daten und haben alle Zahlungsprozesse anonymisiert.

Unter welchen Umständen dürfen Behörden Bestandsdaten bei E-Mailanbietern anfordern? Können Bestandsdaten bei Posteo abgefragt werden?

Bestandsdaten dürfen schon beim Verdacht auf Ordnungswidrigkeiten (z.B. Falschparken oder Ruhestörung) von zahlreichen Behörden und anderen Berechtigten bei den Providern abgefragt werden. Eine inhaltliche Überprüfung oder einen Richtervorbehalt gibt es nicht. Das Gesetz erlaubt die Identifizierung von Internetnutzern zur Verfolgung von Ordnungswidrigkeiten jeder Art.

Anbieter mit mehr als 100.000 Teilnehmern müssen Bestandsdaten automatisiert zur Abfrage bereistellen, wenn sie Daten erheben. Nach Angaben der Bundesnetzagentur wurden auf diese Weise im Jahr 2012 rund 36 Millionen Abfragen durchgeführt. (Quelle: Tätigkeitsbericht Bundesnetzagentur 2013, Seite 266)



Bei Posteo können keine Bestandsdaten abgefragt werden, da wir sie nicht erheben.

Fragen Behörden nur nach Daten, die Unternehmen im Rahmen einer Bestandsdatenauskunft auch herausgeben dürfen?

Leider nein. Wir - und auch andere Provider- machen die Erfahrung, dass Behörden bei Bestandsdatenanfragen häufig nach Daten fragen, die bei diesen nicht abgefragt werden dürfen. Der Anbieter ist dazu verpflichtet, zu prüfen, ob ein Behördenersuchen formal richtig ist. Der Verband der deutschen Telekommunikationsanbieter (BITKOM) hat im Jahr 2012 folgende Stellungnahme veröffentlicht: „In der Praxis sind zahllose, auf § 113 TKG gestützte Auskunftsersuchen bekannt, die die Herausgabe von Daten zum Gegenstand haben, die gerade keine Bestandsdaten sind (z.B. logfiles, IP-Adressen, Datum und Uhrzeit des letzten Zugriffs auf einen Account, bekannte E-Mail-Adressen des Betroffenen bei anderen Providern, Identität der Behörden, die bereits nach denselben Bestandsdaten gefragt haben, etc.). Daraus folgt, dass die Anbieter bereits heute mit zahlreichen Anfragen umzugehen haben, die der Ausforschung dienen und weit über den Regelungsgehalt der Norm hinausgehen.“

Was sind Verkehrsdaten?

Verkehrsdaten sind Daten, die bei Telekommunikationsvorgängen entstehen. Sie dokumentieren zum Beispiel, zu welchem Zeitpunkt eine E-Mail zwischen zwei E-Mailpostfächern ausgetauscht wurde. Seit die Vorratsdatenspeicherung im März 2010 durch das Bundesverfassungsgericht gekippt wurde, dürfen E-Mailanbieter Verkehrsdaten nur noch für die Dauer von maximal 7 Tagen speichern. Die sensiblen Verkehrsdaten unterliegen dem Schutz des Fernmeldegeheimnisses. Das bedeutet, dass Behörden einen richterlichen Beschluss benötigen, wenn sie diese Daten bei Telekommunikationsanbietern abfragen möchten. Dieser darf nur beim Verdacht auf bestimmte schwere Straftaten ausgestellt werden. Verkehrsdaten, die bei E-Mailanbietern anfallen, sind z.B.:

Die Information, wann (Zeitpunkt) eine E-Mail von einer bestimmten E-Mailadresse an eine andere E-Mailadresse versendet wurde

Die Information, von welcher IP-Adresse diese E-Mail versendet wurde.

Diese Daten werden in den so genannten „Logfiles“ des E-Mailanbieters gespeichert. Verwenden dürfen sie die Daten nur für zwei Zwecke:

Zum Erkennen, Eingrenzen und Beseitigen technischer Störungen (§ 100 Abs. 1 TKG), zum Beispiel beim Mailversand oder -empfang. Zum Aufdecken von Missbrauch der Systeme (§ 100 Abs. 3 TKG), z.B. durch Spammer.

Verkehrsdaten und Auskunftsersuchen von Behörden:

Die Verkehrsdaten unterliegen dem Schutz des Fernmeldegeheimnisses. Es ist verboten, Verkehrsdaten auf einfache Anfragen von Behörden herauszugeben. Strafverfolgungsbehörden benötigen eine richterliche Anordnung, um Verkehrsdaten bei uns abzufragen. Diese wird nur dann durch einen Richter erteilt, wenn der Verdacht auf eine schwere Straftat besteht. Das deutsche Gesetz erlaubt es auch nicht, dass Verkehrsdaten für den Zweck der Strafverfolgung gesondert gespeichert werden (insb. keine Vorratsdatenspeicherung). Für eine Auskunftserteilung dürfen ausschließlich Daten verwendet werden, die aus betrieblichen Gründen rechtmäßig gespeichert sind. Das bedeutet, dass Behörden von uns nicht einfordern dürfen, zusätzliche Verkehrsdaten unserer Nutzer zu erheben. Wenn Sie unsere Website besuchen und sich in Ihr Postfach einloggen, speichern wir Ihre IP-Adresse z.B. nicht.

Was ist das Fernmeldegeheimnis und wann darf es beschränkt werden?

Das Fernmeldegeheimnis ist ein Grundrecht und steht ebenso wie das Brief- und Postgeheimnis unter dem Schutz von Artikel 10 des Grundgesetzes. Es besagt, dass die Bürgerinnen und Bürger gegenüber dem Staat ein Recht auf Abschirmung ihrer privaten Kommunikation haben, um den unbeobachteten Austausch und die Weitergabe von Tatsachen und Gedanken zu ermöglichen. Dem Fernmeldegeheimnis unterliegen sowohl die konkrete Inhalte (Telefonate, E-Mails) als auch die Verkehrsdaten einer Telekommunikation. Es darf aber auch beschränkt werden: In welchen Fällen das möglich ist, ist z.B. in der Strafprozessordnung (StPO) und in den G 10-Gesetzen geregelt. Bei Strafverfolgungsmaßnahmen darf eine Überwachung der Telekommunikation für einen bestimmten Zeitraum angeordnet werden, wenn der begründete Verdacht einer schweren Straftat besteht (§ 100a StPO). Die Überwachung muss durch einen Richter oder – bei Gefahr im Verzug – durch die Staatsanwaltschaft angeordnet werden. In Einzelfällen kann nach § 100g StPO auch die Mitteilung der Verkehrsdaten angeordnet werden. Wann Dienste wie die Verfassungsschutzbehörden und das Amt für den Militärischen Abschirmdienst berechtigt sind, Telekommunikation zu überwachen, ist im G10-Gesetz geregelt. Wird eine Überwachung angeordnet, muss der Telekommunikationsanbieter eine Kopie des Telekommunikationsvorgangs den berechtigten Behörden zur Verfügung stellen, Der Betroffene einer solchen Überwachung muss über die durchgeführte Maßnahme (von den Behörden) unterrichtet werden, sobald der „Zweck der Maßnahme“ dies erlaubt. Die Behörden müssen die Daten, die sie erhalten haben, im Anschluß vernichten.

Was sind Inhaltsdaten und unter welchen Umständen können sie bei E-Mailanbietern abgefragt werden?

Inhaltsdaten sind nichts anderes als die „Inhalte“ Ihrer Kommunikation - Ihre E-Mails. Der Gesetzgeber hat die Hürde zur Herausgabe von Inhalten recht hoch gelegt: Ihre E-Mails unterliegen dem Fernmeldegeheimnis. Da wir Postfächer niemals freiwillig herausgeben (§ 94 Abs. 1 StPO), sondern Anfragen stets förmlich widersprechen, muss eine strafrechtliche Beschlagnahme eines Posteo-Postfachs durch einen Richter angeordnet werden (§ 94 Abs. 2 StPO, § 98 Abs. 1 S. 1 bzw. Abs. 2 S. 1 StPO). Auch eine strafrechtliche TKÜ-Anordnung zur Überwachung eines Postfachs für einen bestimmten Zeitraum kann ausschließlich bei bestimmten schweren Straftaten erwirkt werden. Jeder richterliche Beschluss muss von den Behörden bei uns (dem Provider) vorgelegt werden und wird durch unsere Anwälte auf Umfang und formale Korrektheit geprüft, bevor wir ggf. Daten übergeben. Der betroffene Kunde darf über eine TKÜ-Anordnung nicht informiert werden. Damit würden wir uns strafbar machen.

Wir möchten allerdings darauf hinweisen, dass der Richtervorbehalt als Kontrollmechanismus unter Umständen kein ausreichend wirksames Instrument ist: Schon im Jahr 2003 haben die Universität Bielefeld und das Max-Planck-Institut (MPI) in unabhängigen Studien die Mängel des Verfahrens aufgezeigt. Aus der Studie des MPI geht z.B. hervor, dass lediglich in 0,4% der Fälle ein Richter eine beantragte Überwachungsmaßnahme nicht genehmigt hat. (Quelle: Studie des MPI, Seite 177 bzw. PDF Seite 197)

Was ist der Unterschied zwischen einer Postfachbeschlagnahmung und einer TKÜ?

Bei einer strafrechtlichen Beschlagnahme eines Posteo-Postfachs (§ 94 Abs. 2 StPO, § 98 Abs. 1 S. 1 bzw. Abs. 2 S. 1 StPO) sind wir dazu verpflichtet, alle E-Mails zu übergeben, die sich zum Zeitpunkt der Beschlagnahme in dem betroffenen E-Mailpostfach befanden. Bei einer TKÜ-Anordnung zur Überwachung eines Postfachs sind wir dazu verpflichtet, alle E-Mails an die berechtigten Behörden auszuleiten, die ab dem Zeitpunkt der Anordnung in dem betroffenen Postfach ein- und ausgehen. Zuvor gespeicherte E-Mails sind bei einer TKÜ nicht betroffen. Allerdings können beide Maßnahmen, Beschlagnahmung und laufende Überwachung, miteinander kombiniert werden.

Ich habe gelesen, dass E-Mailanbieter ab 10.000 Nutzer eine staatliche Abhörschnittstelle (SINA-Box) aufstellen müssen. Stimmt das und steht bei Posteo eine SINA-Box?

Bei Posteo steht bisher keine SINA-Box. Und eine SINA-Box ist auch keine „Abhörschnittstelle“. In der Telekommunikations-Überwachungsverordnung gibt es die Pflicht für Telekommunikations-Anbieter, ab einer Teilnehmerzahl von 10.000 einen speziellen Computer (SINA-Box) aufzustellen. Bei uns ist nicht zweifelsfrei zu sagen, wieviele Teilnehmer unser Dienst hat, da wir keine Bestandsdaten unserer Nutzer erheben. Wir wissen nur die Anzahl der Postfächer. Wir werden sicher irgendwann eine SINA-Box anschaffen müssen – die Einschätzung des richtigen Zeitpunkts überlassen wir unseren sehr erfahrenen Anwälten, die für verschiedene Telekommunikations-Unternehmen SINA-Lösungen mit der Bundesnetzagentur verhandeln. Das ist aber eher ein finanzielles Ärgernis. Die Sicherheit der Daten unserer Nutzer wird dadurch nicht gemindert. Davon sind wir inzwischen, nach einer intensiven Auseinandersetzung mit diesem Thema (u.a. mit Anwälten und Behörden), überzeugt – und können Ihnen dies versichern. Mehr Informationen zur SINA-Box und der Art und Weise, wie E-Mailanbieter Daten an Behörden übermitteln, finden Sie in unserem Blogbeitrag zum Thema.

Kann Posteo von Behörden dazu gezwungen werden, Verschlüsselung zu brechen?

Nein, das ist in Deutschland, anders als z.B. in den USA oder in Großbritannien, nicht möglich. Hierzulande gibt es keine Gesetze, die uns dazu verpflichten könnten. Wir haben dies durch unsere Anwälte klären lassen, da Posteo verschiedene Verschlüsselungsoptionen für die Daten seiner Nutzer anbietet bzw. schon bald weitere Verschlüsselungsoptionen freischalten wird.

Können Behörden Posteo dazu zwingen, Hintertüren o.ä. bei Posteo einzubauen?

Nein. Hierfür gibt es keine rechtliche Grundlage in Deutschland.

Kann Posteo mein Posteo-Passwort an Behörden herausgeben?

Nein. Wir speichern Ihr Passwort nicht im Klartext ab, sondern nur als so genannte „gesaltete Hash-Werte“. Wir kennen Ihr Passwort also nicht und können es weder an Sie, noch an Dritte herausgeben. Mehr Informationen zur Verschlüsselung der Passwörter bei Posteo erfahren Sie auf unserer Themenseite Verschlüsselung.

Ich habe eine Mobilfunknummer bei Posteo hinterlegt. Kann diese Nummer an Behörden herausgegeben werden?

Nein. Ihre Handynummer liegt verschlüsselt in unserer Datenbank, ebenfalls als „gesalteter Hash“. Wir kennen Ihre Mobilfunknummer nicht und können sie an Dritte nicht herausgeben. Mehr Informationen zur Verschlüsselung der Mobilfunknummern bei Posteo erfahren Sie auf unserer Erklärungsseite zur Verschlüsselung