Bundesverfassungsgericht: Mail-Provider muss IP-Adressen herausgeben
Auch E-Mail-Anbieter, die mit hohem Datenschutz werben, müssen mit Strafverfolgern kooperieren und auf Anfrage IP-Adressen nennen. Das hat Karlsruhe bestätigt.
Datensparsame E-Mail-Anbieter müssen Strafverfolgern IP-Adressen von Nutzern mitteilen, auch wenn sie die normalerweise nicht protokollieren. Die Tatsache, dass sie im Sinne der Grundrechte durchaus schutzwürdig sind, steht dem nicht im Weg. Mit dieser Kernaussage schmetterte die dritte Kammer des Bundesverfassungsgerichts am Dienstag die Klage eines Mailproviders als unzulässig und teils unbegründet ab.
Hoher Datenschutz als Unterscheidungsmerkmal
Der E-Mail-Anbieter hatte für seinen Dienste mit besonderer Datensparsamkeit geworben, weil er via Network Adress Translation (NAT) die IP-Adressen nicht nach außen zeige und sie jeweils nur sitzungsbezogen sowie temporär in einer internen Datenbank zwischenspeichere. Als die Staatsanwaltschaft Stuttgart 2016 anklopfte und wegen eines Verdachts auf Verstöße gegen das Betäubungsmittel- und Kriegswaffenkontrollgesetz Telekommunikationsdaten eines Kunden haben wollten, erklärte der Provider, die IP-Adressen nicht liefern zu können.
In den sich anschließenden Verfahren vor dem Amtsgericht und dem Landgericht Stuttgart hielten die Anwälte den Gerichten unter anderem entgegen, dass auch die sogenannte Infrastrukturpflicht (§ 110 TKG), mit der Provider zum Vorhalten von Überwachungstechnik verpflichtet wird, keine klare Rechtsgrundlage für die Erhebung der IP-Adressen beinhalte.
Das Bundesverfassungsgericht folgte nun klar den Vorinstanzen und unterstrich, dass IP-Adressen wie andere Verkehrsdaten unter den Sammelbegriff "andere Adressierungsangabe" ( § 7 Abs.1 Satz1 Nr.4 TKÜV) fallen. Bei Straftaten erheblicher Bedeutung können die Strafverfolger die IP-Adressen daher verlangen. Das bedeutet nach Ansicht der Verfassungsrichter "nicht zwangsläufig, dass der Beschwerdeführer als Betreiber einer Telekommunikationsanlage verpflichtet ist, Vorkehrungen zu treffen, um den Ermittlungsbehörden auch und gerade diese IP-Adressen zur Verfügung zu stellen." Die fallbezogene Herausgabe ab Mitteilung, so der Schluss, sollte ausreichen.
Datenschutzfokus schĂĽtzt nicht vor Strafverfolgern
Der Provider, der das gegen ihn verhängte, bescheidene Ordnungsgeld von 500 Euro längst bezahlt hat, hatte dazu allerdings in Feld geführt, dass diese Maßnahme für ihn teuer werden kann. Eine etwa über 12 Monate laufende Überwachungsmaßnahme schlage bei Beibehaltung seines datensparsamen Systems mit rund 80.000 Euro zu Buche.
Die Richter erkennen an, dass der Beschwerdeführer Sanktionen künftig eben nur durch "erhebliche, zeit- und kostenintensive Umbauarbeiten vermeiden kann." Dies sei aber eben "lediglich eine Folge der vom Beschwerdeführer bewusst gewählten Systemstruktur", schreiben die Richter und mahnen "allein die Wahl eines datenschutzoptimierten Geschäftsmodells kann den Beschwerdeführer nicht von der Einhaltung dieser Pflichten suspendieren." Auf eine mögliche Existenzbedrohung hatte das Unternehmen nicht verwiesen. Für kleine, oder neu auf dem Markt kommende Mailanbieter oder andere Provider, die auf besonders hohen Datenschutz setzen, könnte das allerdings anders aussehen.
[Update 29.01.2019 15:47]:
Der betroffene Mail-Provider Posteo zeigte sich von dem Urteil "sehr überrascht". Die Entscheidung stelle die bisherige rechtliche Auskunftssystematik auf den Kopf. "Bisher war unbestritten, dass sich die Auskunftspflicht nur auf Daten bezieht, die bei TK-Anbietern nach § 96 TKG tatsächlich auch vorliegen. Nun sollen Daten auch alleinig zu Ermittlungszwecken erhoben werden: Daten, die beim TK-Anbieter im Geschäftsbetrieb nachweislich so gar nicht anfallen - und die er für im Geschäftsbetrieb auch nicht benötigt", argumentierte Posteo. Der Anbieter werde nicht damit beginnen, die IP-Adressen der Kunden zu loggen. "Ein konservativer System-Umbau ist für uns keine Option." (mho)