Unverschlüsselte Auskunftsersuchen: Posteo wirft BKA Rechtsverstoß vor
BKA-Ermittler fragten Bestandsdaten bei Providern in "absoluten" Ausnahmefällen per unverschlüsselter Mail ab, hat Bundesinnenminister Thomas de Maizière eingeräumt. Der Anbieter Posteo spricht von einem Rechtsverstoß.
Bundesinnenminister Thomas de Maizière hat bestätigt, dass Mitarbeiter des Bundeskriminalamts (BKA) teils ohne die erforderlichen Absicherungen von Providern Bestandsdaten verlangt haben. Solche Ersuchen seien aber nur in "absoluten Ausnahmen" per unverschlüsselter E-Mails verschickt worden, erklärt der CDU-Politiker in einem heise online vorliegenden Schreiben an den SPD-Fraktionsvorsitzenden Thomas Oppermann.
Oppermann hatte den Innenminister bereits Mitte Juli nach einem Besuch beim Berliner E-Mail-Anbieter Posteo gebeten, "im Interesse der Datensicherheit sicherzustellen", dass sensible Daten sicher und nach den gesetzlichen Regeln abgefragt und übertragen werden. Dies sei gerade "im Zuge der öffentlichen Diskussion über die Wiedereinführung der Vorratsdatenspeicherung" nötig. Der Bundestag segnete den Gesetzentwurf dazu am Freitag ab; auch Oppermann stimmte dafür.
De Maizière teilte Oppermann nun mit, dass das BKA nur im Klartext Bestandsdaten begehre, wenn beim Provider keine Verschlüsselung für die E-Mail-Kommunikation möglich sei oder der Zugangsanbieter die bei der Polizeibehörde genutzten Methoden nicht unterstütze. Zudem entwickelten die zuständigen Gremien und Arbeitsgruppen mit den Bundesländern eine "elektronische Schnittstelle" auf Behördenseite für größere Anbieter mit über 100.000 Kunden. Diese sind bereits gesetzlich verpflichtet, ihrerseits eine automatische Kontaktmöglichkeit vorzuhalten.
Fax oder Brief statt E-Mail
Eine Posteo-Sprecherin hat die Angaben des Ministers gegenüber heise online scharf kritisiert. Zum einen verstoße das BKA mit seiner Praxis gegen das Bundesdatenschutzgesetz. Demnach müssten die Strafverfolger gewährleisten, "dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können". Biete ein Provider keine Möglichkeit zur verschlüsselten Kommunikation an, sei so der Fax- oder Postweg zu verwenden.
Zum anderen bezeichnet Posteo die Aussage de Maizières als "nicht haltbar". Allein im eigenen Haus lägen zwei Ersuchen des BKA vor, die beide unsicher übermittelt worden seien. Dabei stelle der Anbieter die Schlüssel bereit, mit ihm könne "problemlos mittels PGP oder S/Mime kommuniziert werden".
Laut Paragraph 113 Telekommunikationsgesetz (TKG) müssen Telekommunikationsfirmen in einem manuellen Verfahren Sicherheitsbehörden einschließlich Geheimdiensten Bestandsdaten wie Namen von Anschlussinhabern herausgeben und den Zugriff auf Informationen auf räumlich getrennten Endgeräten oder in Speichereinrichtungen wie Cloud-Plattformen ermöglichen. Derlei Auskünfte bilden häufig wiederum die Basis vieler weiterer Abfragen von Verbindungs- und Standortdaten, die künftig wieder auf Vorrat gespeichert werden müssen.
Posteo beklagte in seinem jüngsten Transparenzbericht im Juli, dass die Firma bislang alle Ersuchen unverschlüsselt erhalten habe, obwohl in den E-Mails teils konkrete Tatvorwürfe oder Zahlungsdaten einer Person aufgeführt würden. Unzulässigerweise werde immer wieder auch nach dynamischen IP-Adressen gefragt. Dies betreffe nicht nur das BKA, sondern auch Polizeibehörden der Länder. Ein Austausch mit Landesdatenschutzbeauftragten habe ergeben, dass das Problem dort bekannt, aber noch nicht gelöst sei. (anw)