Proton Technologies hat einen wichtigen Rechtsstreit für sich entschieden. Die Firma hinter dem E-Mail-Anbieter ProtonMail aus der Schweiz muss sich bis auf Weiteres nicht strengeren Gesetzen zur Überwachung seiner Nutzer*innen unterwerfen. ProtonMail-Gründer Andy Yen bezeichnet das gegenüber der Nachrichtenagentur Reuters als ersten wichtigen Schritt für mehr Privatsphäre und Freiheit.
Anlass für den Rechtsstreit war eine Entscheidung einer Schweizer Behörde. Diese hatte ProtonMail als Fernmeldedienstanbieter eingestuft, wozu beispielsweise auch Internetprovider gehören. Was auf den ersten Blick nach einem bürokratischen Detail klingt, hätte für Nutzer*innen Konsequenzen: Fernmeldedienstanbieter müssen in der Schweiz Strafverfolgungsbehörden in höherem Maß bei der Überwachung ihrer Nutzer*innen unterstützen. Zum Beispiel müssen sie sechs Monate lang Informationen darüber speichern, mit wem Nutzer*innen wann geschrieben haben.
ProtonMail hatte gegen die Einstuftung eine Beschwerde eingelegt und am vergangenen Freitag vor dem Schweizer Bundesverwaltungsgericht Recht bekommen. ProtonMail wirbt damit, ein besonders datensparsamer und privatssphäreschonender E-Mail-Dienst zu sein.
Durchgesetzt hat sich der E-Mail-Anbieter gegen den Dienst Überwachung Post- und Fernmeldeverkehr (Dienst ÜPF). Der Dienst ÜPF hat in der Schweiz die Aufgabe „Überwachungsmaßnahmen“ durchzuführen. Für betroffene Anbieter heißt das konkret: Sie können mit unbequemen Anfragen rechnen. Wenn sich der Dienst ÜPF im Zuge von Ermittlungen bei ihnen meldet, dann müssen sie Daten von Nutzer*innen herausrücken.
Mit Metadaten gegen Ende-zu-Ende-Verschlüsselung
Der Dienst ÜPF vertritt die Position, E-Mail- und Messengerdienste wie ProtonMail seien „funktional gleichzusetzen“ mit klassischen Fernmeldediensten wie Telefon- und Internetanbietern. Dann würden für sie auch die gleichen Kooperationspflichten mit Polizei und Geheimdiensten gelten. Zum Beispiel müssten Metadaten, also Informationen darüber, wer wann mit wem kommuniziert hat, sechs Monate lang gespeichert werden, damit sie für eine „rückwirkende Überwachung“ angefordert werden können.
Die Behörde macht in ihrem jüngsten Jahresrückblick klar, dass sie Ende-zu-Ende-Verschlüsselung als „Herausforderung“ betrachtet. Deshalb seien „neue Ansätze in der Fernmeldeüberwachung“ gefragt: Metadaten.
Tatsächlich sind Metadaten ähnlich sensibel wie die Inhalte der Nachrichten – wenn nicht sogar sensibler. Denn sie lassen sich viel leichter automatisiert auswerten und können genutzt werden, um Verhaltensmuster und soziale Kontakte von Personen ausführlich zu analysieren.
Schweizer Behörden setzen sichere Messenger unter Druck
ProtonMail ist nicht die einzige Firma, die mit dem Dienst ÜPF im Konflikt steht. Auch der Ende-zu-Ende-verschlüsselte Messenger Threema wurde als Fernmeldedienst eingestuft, legte dagegen Beschwerde ein und bekam Recht.
Die Schweiz ist unter anderem so populär bei Anbietern, die mit Privatssphäre werben, da die Hürden für Überwachung dort vergleichsweise hoch sind und das Land weder EU- noch US-Gesetzgebung unterliegt. Dennoch sind Nutzer*innen nicht komplett davor geschützt, dass Behörden auf ihre Daten zugreifen: Vor einigen Wochen legte ProtonMail auf Anordnung von Europol IP-Adressen von französischen Aktivist*innen offen.
Das war nicht das einzige Mal, dass ProtonMail mit Behörden kooperieren musste, wie der Transparenzbericht des Unternehmens zeigt. Laut eigenen Angaben beantwortet der Anbieter aber nur Anfragen, die rechtlich bindend sind. Durch den gewonnenen Rechtsstreit werden die Möglichkeiten der Schweizer Behörden hier vorerst begrenzt bleiben.
Ich danke den Menschen bei PM für ihren Einsatz!
Das zeigt mir, dass ich seit Jahren die Richtigen unterstütze, indem ich dort einen bezahlten(!) Account mit mehreren Email-Adressen habe.
Ich habe PM offensichtlich nicht wegen der möglichen Anonymität gewählt, sondern wegen deren Einsatz für Privatssphäre, weil sie keine Email-Inhalte auswerten und weil man ggf auch mit dem Tor-Browser darauf zugreifen kann (Hidden Service!). Sehr sinnvoll, wenn man in einem Hotel sitzt, was ich häufiger tue.
Einige Freunde und Verwandte haben auch PM-Adressen, dann sind die Inhalte auch gleich E2E verschlüsselt. Bei anderen Leuten ist das nicht Fall, da werden meine Mails dann halt beim fremden Provider mitgescannt, aber dieser Schnüffeldienst kennt dann wenigstens nur einen kleinen Ausschnitt meiner Kommunikation.
In diesem Sinne: Danke und weiter so, Protonmail !
„Der Dienst ÜPF vertritt die Position, E-Mail- und Messengerdienste wie ProtonMail seien „funktional gleichzusetzen“ mit klassischen Fernmeldediensten wie Telefon- und Internetanbietern.“
Ob das auch bei DNS-Anbietern so gesehen wird?
https://netzpolitik.org/2021/edit-policy-quad9-in-stoererhaftung-neue-rechtsunsicherheit-fuer-dns-resolver/