Gerichtsurteil: Sicherer E-Mail-Dienst Tutanota muss Kundendaten preisgeben

Ausgerechnet ein E-Mail-Provider, der mit hoher Privatsphäre wirbt, muss Ermittlern in Einzelfällen Kunden-E-Mails unverschlüsselt zugänglich machen.

In Pocket speichern vorlesen Druckansicht 328 Kommentare lesen
Gerichtsurteil: Sicherer E-Mail-Dienst Tutanota muss Kundendaten preisgeben

(Bild: pixabay)

Lesezeit: 3 Min.

Der in Hannover ansässige E-Mail-Anbieter Tutanota muss Ermittlern künftig die Möglichkeit geben, auf den Klartext nicht Ende-zu-Ende-verschlüsselter E-Mails verdächtiger Personen zuzugreifen, wann immer eine entsprechende gültige Gerichtsanordnung vorliegt. Das hat das Itzehoer Amtsgericht entschieden.

Wie die Süddeutsche Zeitung (SZ) berichtet, war das Unternehmen im Oktober 2018 einer erstmaligen Aufforderung, E-Mails im Rahmen von Ermittlungen "unverschlüsselt und in Echtzeit der Polizei zur Verfügung zu stellen", nicht nachgekommen. Damals hätten Kriminelle mittels Ransomware "mehrere in Schleswig-Holstein ansässige Betriebe" erpresst und zu diesem Zweck eine E-Mail-Adresse von Tutanota verwendet. Die Ermittler erhofften sich Hinweise auf die Identität der Täter.

Fünf Monate später fiel das Urteil, dem Tutanota laut SZ-Bericht Folge leisten wird. Darin verwies das Amtsgericht auf Tutanotas Verpflichtung der Preisgabe von Daten zu Ermittlungszwecken gemäß Strafprozessordnung (StPO) § 100a und Telekommunikationsgesetz (TKG) § 110. Zusätzlich verhängte es ein Bußgeld von 1000 Euro.

Das Besondere am Fall Tutanota ist, dass sich der Mail-Service vor allem an Kunden richtet, denen Datenschutz und -sicherheit besonders wichtig sind. Die (ausschließlich) verschlüsselte Speicherung sämtlicher E-Mails und sonstiger Kundendaten – etwa in der integrierten Kalender- und Notizen-Funktionen oder im Cloud-Speicher – ist, anders als bei den meisten anderen Anbietern, Standard. Ende-zu-Ende-Verschlüsselung ist beim E-Mail-Austausch zwischen zwei Tutanota-Accounts automatisch aktiviert.

Auf seinen Servern eingehende unverschlüsselte Mails verschlüsselte der Provider bislang nachträglich – automatisiert und ohne vorherige Anfertigung einer Kopie des Klartexts. Somit war es dem Unternehmen gar nicht möglich, der ersten Aufforderung des Amtsgerichts Folge zu leisten.

Hinzu kam aber auch, dass das Unternehmen ihr nicht nachkommen wollte. "Ich habe die Forderung für falsch gehalten, als das Schreiben bei uns ankam, und ich halte sie bis heute für falsch", zitiert SZ den Tutanota-Geschäftsführer Matthias Pfau. Und: "Die Kern-DNA unseres Unternehmens ist Datenschutz".

Laut SZ ist das Tutanota-Team derzeit mit einer Erweiterung seines Services um eine Funktion beschäftigt, die Ermittlern unter Vorlage einer Gerichtsanordnung das (Mit-)Lesen von E-Mail-Kopien im Klartext ermöglicht. Mails mit Ende-zu-Ende-Verschlüsselung werden davon aber weiterhin ausgenommen sein. Dazu sagte Pfau laut SZ: "Ich würde mich lieber um erweiterte Datenschutzfunktionen für unsere Kunden kümmern, als um erweiterte Zugriffsrechte für die Behörden".

Mehr zum Thema:

Update 13.11.19, 12:34: Der (Tutanota ähnliche) Webmaildienst Posteo hat eine Richtigstellung veröffentlicht. Darin weist Posteo darauf hin, dass solche Dienste nach einem Urteil des europäischen Gerichtshof vom Juni 2019 nicht mehr unter das TKG fallen. Der Verweis auf das TKG in der vorliegenden Meldung ist also (wie auch Tutanotas Reaktion auf das Gerichtsurteil) vor dem Hintergrund von dessen damaliger Anwendbarkeit auf den Fall zu betrachten. (ovw)