mailbox.org Transparenzbericht 2019: Fast die Hälfte aller Anfragen rechtswidrig

Heute veröffentlichen wir unseren Transparenzbericht 2019, in dem wir Art- und Umfang behördlicher Auskunftsanfragen an uns als Provider offen legen.

Für etwas Aufregung sorgte im Sommer 2019 ein Urteil des Europäischen Gerichtshofes EuGH, nachdem manche E-Mail-Anbieter nicht dem deutschen Telekommunikationsgesetz (TKG) unterliegen könnten. Schnell machte das Gerücht die Runde, nun sei für alle behördlichen Auskunftsanfragen bei Providern die Rechtsgrundlage entfallen. Manch Einer stellte daraufhin sogar die Notwendigkeit eines jährlichen Transparenzberichtes in Frage... -Dass das so nicht stimmt und was sich in Wirklichkeit zum Guten wie zum Schlechten verändert hat, zeigen wir am Ende des Beitrages.

Doch zunächst die Zahlen aus 2019:

Anzahl der Ersuchen an mailbox.org im Jahr 2019
insgesamt: 79
davon deutsche Behörden: 72
davon ausländische Behörden: 7 (EU+CH)

Art der Behörde
Strafverfolgungsbehörden: 79
Zollbehörden: 0
Verfassungsschutz: 0
Nachrichtendienste: 0

Art des Ersuchens
Bestandsdatenabfragen: 74
Postfachbeschlagnahmungen: 0
Verkehrsdatenabfragen: 2
Telekommunikationsüberwachung: 3


Anfragen häufig mangelhaft und per unverschlüsselter E-Mail

Im vergangenen Jahr 2019 hat die Anzahl der Anfragen leicht zugenommen. Insgesamt 26 Anfragen deutscher Behörden wurden von uns abgelehnt, da sie Fehler enthielten oder rechtlich unzulässig waren. 22 davon wurden anschließend korrekt gestellt und entsprechend bearbeitet. In 4 Fällen ist es bei der Ablehnung geblieben.

Zwar nutzen immer mehr Ermittlungsbehörden die E-Mail für Datenabfragen, jedoch wird hier noch immer zu wenig bis gar nicht auf den Datenschutz geachtet. So wurden fast alle Anfragen, die uns per E-Mail erreicht haben, im Klartext unverschlüsselt durch das Internet verschickt – was rechtswidrig ist.

Lediglich 3 Dienststellen haben es geschafft, datenschutzkonform per verschlüsselter E-Mail mit uns zu kommunizieren, obwohl die Bundesnetzagentur bereits seit 2017 Anbietern wie mailbox.org sichere Schnittstellen vorschreibt, die für Datenabfragen von Behörden unterstützt werden müssen. Dazu gehören auch mit PGP verschlüsselte E-Mails. Diese Idee scheitert daran, dass Behörden auch im Jahr 2019 diese Schnittstellen noch immer so gut wie nie nutzen.

Ablehnungsgrund Nummer zwei war die Nennung keiner oder falscher Gesetzesgrundlagen. Für nur eine der 7 ausländischen Anfragen lag ein Rechtshilfeersuchen vor. Die restlichen 6 Anfragen wurden von uns ebenfalls wegen fehlender Rechtsgrundlagen abgewiesen.

Mailanbieter unterliegen nicht mehr dem TKG?

Zurück zur Aufregung rund um die EuGH-Rechtssprechung: Nachdem der Europäische Gerichtshof im Sommer 2019 über den Dienst Gmail urteilte, er wäre kein „elektronischer Kommunikationsdienst“ im Sinne der EU-Richtlinie 2002/21/EG, suggerierten einige Anbieter und Forenschreiber, nun würden „reine Mailanbieter“ nicht mehr dem deutschen Telekommunikationsgesetz (TKG) unterliegen und damit wäre die Rechtsgrundlage für die Datenherausgabe an Ermittlungsbehörden für alle Bereiche weggefallen.

Doch: Sieht man davon ab, dass ggf. in jedem weiteren Einzelfall überhaupt erstmal zu prüfen wäre, ob bei einem anderen Anbieter tatsächlich die gleichen Voraussetzungen vorliegen, wie im geurteilten Gmail-Fall, kann selbst bei Nicht-Anwendbarkeit des TKG noch lange keine Rede davon sein, dass nun keine Daten mehr an Ermittlungsbehörden rausgegeben werden dürfen.

Denn: Zwar wären dann Anfragen nach Bestands- und Verkehrsdaten auf Basis des TKG tatsächlich nicht mehr zulässig, jedoch kennt das dann immer noch anzuwendende Telemediengesetz (TMG) weitere Rechtsgrundlagen und Datenherausgaben. Diese betreffen ähnliche (wenn auch nicht identische) Bereiche. So regeln beispielsweise §14 TMG und §15 TMG die Herausgabe von Bestands- bzw. Nutzungsdaten.

Richtig ist aber: Für Telekommunikationsüberwachungsmaßnahmen ("TKÜ") ist nun das TKG als Rechtsgrundlage weggefallen und das Telemediengestz (TMG) kennt eine solche fortlaufende Überwachung nicht. Auch wir bei mailbox.org gehen derzeit restriktiv davon aus, dass das TKG nicht mehr angewendet werden kann. TKÜ-Maßnahmen auf Basis des TKG sind darum derzeit bis zur Klärung aller Fragen bei mailbox.org ausgesetzt. -Die oben genannten Zahlen aus 2019 beziehen sich alle auf den Zeitraum vor dem EuGH-Urteil.

Die Herausgabe anderer Daten nehmen wir derzeit (wie immer nach eingehender juristischer Prüfung) nur auf Basis des TMG und (sowieso) nur bei zwingender Notwendigkeit vor. Dabei wären ggf. auch verschiedene von uns angebotenen Dienste unterschiedlich zu beurteilen. Wir lassen alle neu eingehenden Fälle nun auch unter diesen Gesichtspunkten von unseren Anwälten klären.

mailbox.org fordert gesetzliche Neuregelung

Insofern sieht mailbox.org aufgrund der Unsicherheiten die Ereignisse rund um die Rechtsprechung des EuGH durchaus durchwachsen. Unabdingbar ist aus unserer Sicht eine baldige Neuregelung notwendig, die die Zweifel und Fragen beseitigt und diese Daten auch klar als grundgesetzlich geschützte Telekommunikation i.S.d. Art. 10 GG versteht. Zugriffe darauf müssen konsequent einem Richtervorbehalt unterworfen werden, so dass ein ausreichend hoher Schutz gegen Missbrauch und vorschnellem Zugriff sichergestellt ist. Eine restriktive spezialgesetzliche Regelung muss dafür sorgen, dass allgemeinere Regelungen mit niedrigen Zugriffshürden keinen Anwendungsraum mehr haben.