ProtonMail Datenschutz · Daten an US-Behörden · Statement

In den USA läuft ein Strafverfahren gegen einen Nutzer von ProtonMail, der u.a. den bekannten Immunologen Anthony Fauci bedroht hat. Dies zeigt ein Dokument des amerikanischen Justiz-Ministeriums. Diesbezüglich kooperiert der Mail-Anbieter mit Schweizer Sicherheitsbehörden. Der kriminelle Absender wurde trotz „Schweizer Datenschutz-Versprechen“ im Zusammenspiel von ProtonMail-Daten sowie weiteren Online-Diensten identifiziert. Richtig ist, dass durch den Datenschutz allen voran nicht Kriminelle, sondern das Recht auf selbstbestimmtes Leben in einer Informationsgesellschaft, geschützt werden soll. Der Genfer Mail-Anbieter ProtonMail zeigt sich laut Tages-Anzeiger (Premium) mit den Schweizer Sicherheitsbehörden kooperativ. Problem ist das Überwachungsgesetz BÜPF. Das Bundesamt für Polizei (Fedpol) verlautbart:

Protonmail kooperiert mit den Behörden. Die Zusammenarbeit ist gut.

Protonmail selbst hat keine Nutzerdaten an US-Strafverfolgungsbehörden weitergegeben. Dies wäre strafbar. Denn laut Art. 271 StGB des Schweizer Strafgesetzbuches (StGB) dürfen ohne Bewilligung der Schweiz keine Handlungen für einen frem­den Staat, wie die USA, vorgenommen werden, die einer Behörde oder einem Beam­ten zukommen. Jedoch haben Schweizer Behörden mit US-Behörden kooperiert, sodass der Protonmail-Nutzer von US-Behörden überführt wurde. Anders formuliert: Die Schweiz mit seinen Überwachungsgesetzen kooperiert mit den USA.

Twitter-Statement vom ProtonMail-CEO

Ich kann mir gut vorstellen, dass viele Nutzer von ProtonMail derzeit verunsichert sind. Auf Twitter meldet sich der CEO von ProtonMail, Andy Yen, deshalb zur Situation klärend zu Wort. Die englischen Tweets vom ProtonMail-CEO verlautbaren (von mir) frei übersetzt auf Deutsch:

Es gibt viele falsche Informationen zu ProtonMail und eine angebliche Zusammenarbeit mit US-Behörden. Einige Klarstellungen:
1) ProtonMail gibt keine Daten an US-Behörden weiter. Das ist nach Artikel 271 des Schweizerischen Strafgesetzbuches illegal
2) ProtonMail befolgt nur rechtsverbindliche Anordnungen von Schweizer Behörden. Dies bedeutet, dass der rechtliche Standard darin besteht, dass schweizerisches Recht verletzt wird (kein US-Recht oder ein anderes Gesetz)
3) Im Fall Fauci entschied sich die Schweizer Regierung, die US-Behörden bei ihren Ermittlungen zu unterstützen, da auch gegen Schweizer Recht verstoßen wurde (das Versenden von Todesdrohungen ist höchst illegal)
4) Die einzige von ProtonMail erhaltene Information war das Datum, an dem das Konto erstellt wurde, da dies alles war, was verfügbar war.
5) Unter keinen Umständen kann die Verschlüsselung umgangen werden.
Bitte verwenden Sie ProtonMail nicht, um gegen Schweizer Recht zu verstoßen – es ist illegal.

Das Märchen vom Schweizer Datenschutz

Zur behördlichen Kooperation ist die Proton Technologies AG als Schweizer Unternehmen (Hauptsitz: Genf) auch verpflichtet. Das schreiben die Schweizer Überwachungsgesetze wie das Bundesgesetz betreffend die Überwachung des Post- und. Fernmeldeverkehrs (BÜPF) und das Bundesgesetz über den Nachrichtendienst vor. Entsprechende Gesetze sind am 1. März 2018  bzw. 1. September 2017 in Kraft getreten und haben die wunderschöne Schweiz vom Hort des Datenschutzes zum Hort der Überwachung(sgesetze) transformiert. Juristisch sollte der Mail-Provider als Anbieter abgeleiteter Kommunikationsdienste (Art. 2c BÜPF) einzuordnen sein, sodass man reduzierten Überwachungs- und Auskunftspflichten (Art. 27 BÜPF) unterliegt.

Überwachung von Instant-Messaging

ProtonMail-CEO Andy Yen hat mir auf Nachfrage dieses Dokument per Twitter-DM geschickt:

Wieder auf Twitter antwortet mir der ProtonMail-CEO schnell zu der Schweizer Rechtslage:

In unserem Transparenzbericht heißt es: „ProtonMail ist nicht verpflichtet, Kommunikations-Metadaten oder IP-Informationen zu speichern, da wir nach dem Bundesgesetz über die Post- und Fernmeldeüberwachung (BÜPF) und der dazugehörigen Verordnung ausgenommen sind. (Original: Englischer Tweet)

Meine Einschätzung, dass ProtonMail als Anbieter abgeleiteter Kommunikationsdienste (Art. 2c BÜPF) einzuordnen ist, scheint sich zu bestätigen. Andy Yen bekräftigt auf Twitter: „Eine sehr wichtige Klarstellung. Der Präzedenzfall im Threema-Fall gilt auch für Proton, und auch wir können nicht als Telekommunikationsanbieter betrachtet werden.“ (Original: One very important clarification. The precedent set in the Threema case also applies to Proton, and we also cannot be considered to be a telco provider.). Darauf aufbauend auf Twitter: „Der Dienst ÜPF darf Anbieter von Instant-Messaging-Diensten nicht verpflichten, die Kommunikation aktiv zu überwachen (Echtzeit- oder nachträgliches Abhören). Gleiches gilt für Internet-Videokonferenzen oder Telefondienste oder reine E-Mail-Dienste.“ (Original: „The PTSS must not oblige providers of instant messaging services to actively monitor communications (real-time or retrospective interception). The same applies to Internet video conferencing or telephone services, or pure email services.“). Auf das Bundesgerichtsurteil BGer 2C_544/2020 (29.04.2021) wird verwiesen.

Juristischer Erfolg: Threema ist kein Anbieter von Fernmeldediensten. Vorratsdatenspeicherung und Nutzeridentifikation sind somit nicht erforderlich.

Eine Beruhigung der Threema-Nutzerschaft: Threema ist kein Fernmelde­dienstanbieter und untersteht als Schweizer Unternehmen nicht allen Pflichten des Überwachungsgesetzes BÜPF. Da Threema auf Datensparsamkeit setzt, können selbst bei einer Kooperation mit Schweizer Behörden nur sehr wenige Daten, an etwaige ausländische Behörden weitergegeben werden.

Rückzug aus der Schweiz?

Wegen des Überwachungsgesetzes BÜPF hat Andy Yen in der Vergangenheit mit dem Rückzug aus der Schweiz gedroht. Meine Frage: „Plant die Proton Technologies AG aufgrund des BÜPF ihren Hauptsitz aus der Schweiz zu verlegen? (Is the Proton Technologies AG planning to relocate its headquarters from Switzerland due to #BÜPF-laws?) blieb leider unbeantwortet.

Wir haben nicht die Absicht, dem BÜPF nachzukommen und würden die Schweiz eher verlassen, anstatt das Gesetz einzuhalten. – Andy Yen, CEO (in Nau.ch)

Die Proton Technologies AG ist in der Schweiz geblieben und muss sich damit an die Gesetze halten. In diesem Fall greift sogar das Bundesgesetz über den Datenschutz (DSG) nicht. Denn in Art. 2 Abs. lit.c DSG ist eine Ausnahme für „hängige Zivilprozesse, Strafverfahren, Verfahren der internationalen Rechts­hilfe sowie staats- und verwaltungsrechtliche Verfahren“ normiert.

Art. 2 Abs. lit.c DSG: Dieses Gesetz gilt für das Bearbeiten von Daten natürlicher und juristischer Per­sonen durch private Personen; Bundesorgane. Es ist nicht anwendbar auf: […] hängige Zivilprozesse, Strafverfahren, Verfahren der internationalen Rechts­hilfe sowie staats- und verwaltungsrechtliche Verfahren mit Ausnahme erst­in­stanzlicher Verwaltungsverfahren; […]

Werbeversprechen von ProtonMail

Auffällig ist auch die Formulierung des ProtonMail-Werbeversprechen von anonymen E-Mails.

Zum Erstellen Ihres sicheren E-Mail-Kontos werden keine persönlichen Daten benötigt. Standardmäßig erstellen wir keine IP-Protokolle, die Ihrem anonymen E-Mail-Konto zugeordnet werden können. Ihre Privatsphäre steht an erster Stelle.

Anders formuliert: Grundsätzlich werden keine IP-Protokolle erstellt, in Ausnahmefällen schon. Hier wäre es wünschenswert, wenn das Wort „standardmäßig“ gestrichen wird. In juristischer Rechtssprache eröffnet man sich in der jetzigen Fassung einen Gestaltungsspielraum. Martin Steiger von Steiger Legal sieht in den Werbeaussagen von Protonmail unlauteren Wettbewerb.

Datenschutzerklärung von ProtonMail

Die Datenschutzerklärung von ProtonMail räumt dem Unternehmen außerdem das Recht ein (mit dem Zweck Spam-Schutz), Inhalte von eingehenden und ausgehenden E-Mails zu scannen.

We do NOT do any analysis on the limited data we do possess with two exceptions: Emails sent unencrypted to ProtonMail accounts are scanned automatically pursuing the legitimate interest of detecting spam so we can block IPs which are sending a lot of spam to ProtonMail users and place spam messages in a spam directory. Inbound messages are scanned for spam in memory, and then encrypted and written to disk. We do not possess the technical ability to scan messages after they have been encrypted. Emails sent by ProtonMail users to outside users with encryption disabled are scanned automatically pursuing the legitimate interest of detecting spam in the same manner as incoming email. This is to ensure a ProtonMail account which is being used for spamming purposes can be detected and locked so email deliverability for legitimate users is not degraded.

Wir führen KEINE Analyse der begrenzten Daten durch, die wir besitzen, mit zwei Ausnahmen: E-Mails, die unverschlüsselt an ProtonMail-Konten gesendet werden, werden automatisch gescannt, um das berechtigte Interesse der Spam-Erkennung zu verfolgen, damit wir IPs blockieren können, die viel Spam an ProtonMail-Benutzer senden und Spam-Nachrichten in einem Spam-Verzeichnis platzieren. Eingehende Nachrichten werden im Speicher auf Spam gescannt, dann verschlüsselt und auf die Festplatte geschrieben. Wir verfügen nicht über die technische Möglichkeit, Nachrichten zu scannen, nachdem sie verschlüsselt wurden. E-Mails, die von ProtonMail-Benutzern an externe Benutzer mit deaktivierter Verschlüsselung gesendet werden, werden automatisch gescannt, um das berechtigte Interesse der Spam-Erkennung auf die gleiche Weise wie eingehende E-Mails zu verfolgen. Dadurch soll sichergestellt werden, dass ein ProtonMail-Konto, das zu Spamzwecken verwendet wird, erkannt und gesperrt werden kann, damit die E-Mail-Zustellbarkeit für legitime Benutzer nicht beeinträchtigt wird.

Hier verstehe ich zwar grundsätzlich das Interesse, Spam zu reduzieren. Ein Scannen von unverschlüsselten Mails ist dennoch – abseits der Intension – bedenklich für den Datenschutz.

Der Transparenzbericht

Im Transparenzbericht von ProtonMail gibt es kein Update zum aktuellen Fall. Privat erklärt der CEO, dass in dem Fall von Seiten des Nutzers ein klarer Verstoß gegen Schweizer Recht vorliegt.

In June 2020, we received a request targeting an investigative journalism group that was improperly approved by Swiss authorities. As a result, we have refused the request and also demanded that Swiss authorities investigate how this request was mistakenly approved in the first place. (Letztes Update – 23 June 2021)

Fazit: ProtonMail und Schweizer Gesetze

Insbesondere wenn Dienste mit Datenschutz und Privatsphäre werben, ist Vertrauen und die Wahl eines rechtssicheren Standorts wichtig. In vielen Köpfen ist die Schweiz noch immer Hort des Datenschutzes, sodass man den Datenschutz-Versprechen von Anbietern blind vertraut.

Der Fall Threema zeigt, dass Schweizer Unternehmen gegen ausufernde staatliche Überwachung juristisch ankämpfen müssen. Für die Sicherheitsbehörden aus der Schweiz und im Ausland ist die Illusion vom „Schweizer Datenschutz“ ein Glücksfall. Kriminelle, die sich in scheinbarer Sicherheit wiegen, können auf diese Weise überführt werden. Das hier US-Behörden über die Kooperation mit Schweizer Behörden Zugang zu ProtonMail-Daten erlangt haben, schadet dem Ansehen von ProtonMail. In der Diskussion scheint v.a. der Mail-Anbieter das Vertrauen in die eigene Integrität verspielt zu haben. Dem Unternehmen wird der „schwarze Peter“ zugeschoben.

Das ist nur bedingt gerechtfertigt. Korrekterweise muss die Schweiz insbesondere wegen seinen Überwachungsgesetzen und der regen Kooperation mit US-Behörden kritisiert werden. In einem Referendum hat die Schweiz eine 6-monatige Vorratsdatenspeicherung beschlossen. Protonmail hat sich lediglich an Schweizer Gesetze gehalten und die jeweilige IP-Adresse mit Schweizer Behörden geteilt. Die einfache Verschlüsselung von E-Mails und die verschlüsselte Speicherung wurden nicht kompromittiert. Der Täter hat unzureichende Sicherheitsvorkehrungen getroffen. Er hätte er auf den Onion Service setzen können. Zudem stimmte der ProtonMail-Benutzername des Drohenden (sichtbar für den E-Mail-Empfänger, Fauci) sogar mit dem eines Instagram-Kontos überein. Ein Abgleich der IP-Adressen mit Hilfe von Facebook hat den Täter überführt.

Für datenschutzbewusste Nutzer hat das einen faden Beigeschmack. Der Finger sollte vor allem auf die Nachlässigkeit des Täters und die Schweizer Gesetze gelegt werden. Konsequent, wenn die Proton Technologies AG bei Verschärfungen der Rechtslage die Alpenrepublik verlässt.


LG Mr. Datenschutz – die Adresse für Datenschutz und Freiheit

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.