Der E-Mail-Anbieter ProtonMail verspricht, keine Nutzerdaten aufzuzeichnen. Eben jene wurden nun jedoch an die französische Polizei weitergegeben. Der Dienst steht in der Kritik und möchte transparenter werden.
Der Anbieter ProtonMail aus der Schweiz bietet sichere Postfächer sowie E-Mail-Kommunikation mit Ende-zu-Ende-Verschlüsselung an und verspricht den Nutzern ein Höchstmaß an Anonymität. Laut eigener Aussage werden keine persönlichen Daten aufgezeichnet und alle weiteren Informationen liegen nur verschlüsselt vor, sodass sogar der Dienst selbst keinen Zugriff darauf hat.
Behörden ermitteln gegen Klimaaktivisten
Im Kontrast dazu steht die Meldung, dass ProtonMail personenbezogene Nutzerdaten wie IP-Adressen an französische Behörden weitergegeben hat. Mittlerweile berichten auch US-amerikanische Medien über den Fall.
Konkret geht es um Aktivisten der Klimagruppe „Youth for Climate“, die der Fridays-For-Future-Bewegung nahesteht. Einzelnen Mitgliedern wird vorgeworfen, sich an illegalen Hausbesetzungen beteiligt zu haben.
Die französische Polizei ermittelt wegen Diebstahl, Hausfriedensbruch und Sachbeschädigungen. Es ist bereits zu rund 20 Festnahmen, mehreren Durchsuchungen, Haft- und Geldstrafen gekommen.
Im Rahmen der Ermittlungen sind die Behörden darauf gestoßen, dass Mitglieder des Kollektivs über den E-Mail-Dienst ProtonMail kommuniziert haben sollen. Über Europol wurde kurzerhand eine entsprechende Auskunftsanordnung an das Unternehmen gerichtet – und zur Überraschung vieler konnte ProtonMail handfeste Daten liefern.
ProtonMail bricht mit den eigenen Versprechen
Regelmäßig werden Unternehmen, die Dienstleistungen und Produkte zum Schutz der Privatsphäre der Kunden im Internet anbieten, von Behörden bezüglich einschlägiger Auskünfte kontaktiert. Die Dienste sind zwar rechtlich dazu verpflichtet, den Aufforderungen nachzukommen, doch zumeist gewinnen die anfragenden Parteien keine Informationen daraus.
Der Grund ist einfach: Seriöse Unternehmen aus der Branche speichern keine Nutzerdaten oder löschen sie in Echtzeit. Deshalb können zwar Auskünfte erteilt werden, diese sind aber im wahrsten Sinne des Wortes »leer«. Vor allem VPN-Anbieter geraten dadurch immer mehr in den Fokus diverser Interessengemeinschaften.
Mit diesem Wissen ist es höchst verwunderlich, dass ProtonMail sensible Informationen wie IP-Adressen herausgeben konnte, da solche Daten laut eigener Aussage gar nicht aufgezeichnet werden. Hier gibt es zwei Möglichkeiten: Entweder wurden nach der behördlichen Anfrage vereinzelte Nutzerdaten aufgezeichnet oder es werden – entgegen der eigenen Werbung – doch Informationen mitgeschrieben.
Hinweis: In unserem Artikel „Anonym im Internet: So surft ihr geschützt und sicher“ nennen wir verschiedene Anbieter und Dienste mit einem sehr hohen Datenschutzverständnis.
ProtonMail mit Stellungnahme
Der ProtonMail-Gründer Andy Yen bietet auf Twitter eine kurze Erklärung an. Er weist darauf hin, dass ProtonMail den Schweizer Gesetzen unterliege und über die Plattform keine Handlungen begangen werden können, die gegen geltendes Schweizer Recht verstoßen.
In general, ProtonMail cannot be used by people engaged in activities which are illegal in Switzerland. This is explicitly prohibited by the terms of service. Proton must also comply with Swiss government orders.
— Andy Yen (@andyyen) September 5, 2021
Die knappe Rechtfertigung hat jedoch einen faden Beigeschmack, da sich Hausbesetzungen offensichtlich nicht über E-Mail-Dienste durchführen lassen. Aller Voraussicht nach hat lediglich eine Text-Kommunikation über ProtonMail stattgefunden, die in jedem Falle nicht illegal ist.
Es ist klar, dass sich der E-Mail-Dienst nun mit einer Welle der Entrüstung konfrontiert sieht. Auf der hauseigenen Homepage wurde deshalb eine umfangreiche Stellungnahme veröffentlicht.
ProtonMail verdeutlicht, dass anhand der herausgegeben Daten keine Personen identifiziert werden können. Außerdem wird darauf hingewiesen, dass man alleine 2020 in über 700 Fällen rechtlich gegen Auskunftsanfragen vorgegangen sei, in diesem Falle aber solch ein Weg keinen Sinn gemacht hätte.
ProtonMail weist darauf hin, dass die Daten der Nutzer und Kunden sicher seien. Für einen vollständig anonymen Zugang sollte man jedoch in jedem Falle den Tor Browser verwenden. Außerdem wolle das Unternehmen transparenter kommunizieren, welche rechtlichen Verpflichtungen man unterliege.
Angepasste Datenschutzerklärung
Inzwischen hat ProtonMail die eigene Datenschutzerklärung angepasst. Der Absatz „IP Logging“ ist eindeutiger formuliert und offenbart, dass IP-Adressen sehr wohl gespeichert werden. Wir haben den betroffenen Abschnitt übersetzt:
Standardmäßig werden keine IP Logs in Verbindung mit der Benutzung des Dienstes gespeichert. Dennoch können IP Logs temporär vorgehalten werden, um einen Missbrauch zu bekämpfen. IP-Adressen können dauerhaft gespeichert werden, wenn Handlungen vorgenommen werden, die mit den Allgemeinen Geschäftsbedingungen brechen (Spamming, DDoS-Attacken, Brute Force Attacken etc.). Die Begründung dieser Vorgehensweise ist unser berechtigtes Interesse daran, unseren Dienst gegen schändliche Aktivitäten zu schützen.
Wird gegen Schweizer Recht verstoßen, kann ProtonMail rechtlich dazu angehalten werden, IP-Adressen im Rahmen von behördlichen Ermittlungen aufzuzeichnen. Diese Verpflichtungen gelten jedoch nicht für ProtonVPN (Anm.: Der VPN-Dienst des Anbieters).