Es ist ein großes Versprechen, das die hannoversche Firma ihren Kunden macht: Der E-Mail-Anbieter Tutanota wirbt damit, der "weltweit sicherste E-Mail-Service" zu sein. Das Start-Up bietet verschlüsselte E-Mail-Kommunikation an. Sechs Millionen Kunden hat die Firma nach eigenen Angaben inzwischen, die auf dieses Sicherheitsversprechen vertrauen.
Doch am 2. Oktober 2018 landete ein Schreiben vom Amtsgericht Itzehoe im Briefkasten von Tutanota. Nach Informationen von NDR, WDR und Süddeutscher Zeitung forderte das Gericht Geschäftsführer Matthias Pfau auf, die E-Mails seines Dienstes unverschlüsselt und in Echtzeit der Polizei zur Verfügung zu stellen. Hacker erpressten mit Schadsoftware mehrere in Schleswig-Holstein ansässige Betriebe. Und sie nutzten dafür eine E-Mail-Adresse von Tutanota. Die Ermittler wollten die E-Mails mitlesen, um den Cyberkriminellen auf die Spur zu kommen.
Der Fall zeigt einen Konflikt, der sich in den vergangenen Jahren verschärft hat: Kriminelle nutzen verschlüsselte oder besonders geschützte Kommunikationswege, die Strafverfolger schwer überwachen können. Etwa Messengerdienste wie Whatsapp, Telegram oder Krypto-Mails wie jene von Tutanota. Das FBI nennt das Phänomen "going dark", bisherige Überwachungspraktiken der Ermittler greifen nicht. So führt Verschlüsselung zu einem Streit zwischen Sicherheitsbehörden, Politikern und Datenschützern.
Die einen wollen, dass Kommunikation nicht zu sicher wird, sodass sie weiterhin Verdächtige überwachen können. Die anderen wollen, dass mehr Daten verschlüsselt werden, um Bürger und Unternehmen besser vor Kriminellen, Spionage und dem Datenhunger der Tech-Konzerne zu schützen. Die Bundesregierung jedenfalls sah Kryptografie lange sogar als Wettbewerbsvorteil und gab das Ziel aus, Deutschland zum "Verschlüsselungsstandort Nummer eins" zu machen.
Tutanotas Dienst funktioniert so: Wenn zwei Nutzer sich eine Mail schreiben, wird diese automatisch mit der besonders sicheren Ende-Zu-Ende-Verschlüsselung geschützt. Nur Sender und Empfänger können die Nachricht lesen. Mail-Anbieter wie Google oder Gmx haben einen solchen Schutz nicht. Wenn ein Kunde eine E-Mail von einer Person bekommt, die keinen Tutanota-Account hat, dann verschlüsselt das Unternehmen laut eigenen Angaben die Nachricht zumindest automatisch, sobald sie auf ihren Servern landet.
Genau das wollte das Amtsgericht Itzehoe nach Informationen von NDR, WDR und SZ nicht hinnehmen. In dem Schreiben vom Oktober 2018 forderte es von Tutanota, die gesamten Inhalte der E-Mails herauszugeben, die nicht ende-zu-ende-verschlüsselt sind. Firmenchef Pfau und seine Kollegen weigerten sich zunächst. "Ich habe die Forderung für falsch gehalten, als das Schreiben bei uns ankam, und ich halte sie bis heute für falsch", sagt Pfau.
Fünf Monate später entschied das Gericht aber, dass Tutanota die Daten herausgeben muss, und verhängte eine Strafe in Höhe von 1000 Euro. "Die Kern-DNA unseres Unternehmens ist Datenschutz", sagt der Geschäftsführer. Jetzt muss Tutanota für die Strafverfolger eine neue Funktion programmieren: Wenn für einen Account eine gültige Anordnung eines deutschen Gerichts vorliegt, kann das Unternehmen zusätzlich eine Kopie der E-Mails erstellen, die auch die Ermittler lesen können. Mails mit Ende-zu-Ende-Verschlüsselung können sie weiterhin nicht lesen. "Ich würde mich lieber um erweiterte Datenschutzfunktionen für unsere Kunden kümmern, als um erweiterte Zugriffsrechte für die Behörden", sagt Matthias Pfau. Natürlich halte man sich aber an die gesetzlichen Vorgaben und kooperiere mit den Behörden.
Experten kritisieren das zugrundeliegende Telekommunikationsgesetz als ungenau
Welche Daten E-Mail-Anbieter weitergeben müssen, regelte zum Zeitpunkt des Itzehoer Gerichtsbeschluss das Telekommunikationsgesetz (TKG). Es stammt aus einer Zeit, in der Smartphones noch nicht weit verbreitet waren. Damals bedeutete Überwachung meistens, dass ein Telefonanbieter der Polizei einen Zugang zur Leitung freischaltet.
"Das Problem ist, dass die Mitwirkungspflichten, die das TKG den Providern auferlegt, relativ unscharf formuliert sind", sagt Ulf Buermeyer, Jurist und Mitgründer der Gesellschaft für Freiheitsrechte. "Gerade im Technikbereich finde ich es sehr wichtig, dass die Gesetze präzise formuliert sind und genau beschreiben, was erlaubt ist und was nicht."
Wenige Monate, nachdem Tutanota Post vom Itzehoer Amtsgericht bekommen hatte, fällte das Bundesverfassungsgericht einen Beschluss in Sachen TKG. Der Berliner E-Mail-Anbieter Posteo hatte dagegen geklagt, IP-Adressen von Kunden an Strafverfolger herauszugeben. Die Firma, die mit besonderer Datensparsamkeit wirbt, speichert diese Adressen nämlich gar nicht. Die Karlsruher Richter beschlossen, dass Posteo diese Daten im Einzelfall herausgeben müsse müsse.
Nach diesem Beschluss entschied Matthias Pfau, sich nicht weiter gegen die Forderung vom Amtsgericht zu wehren. Wegen der damals weitgefassten Gesetzesgrundlage glaubt auch Ulf Buermeyer, dass Tutanota juristisch keine Chance gehabt hätte. Deshalb komme es "eher selten dazu, dass sich ein Provider in solchen Fällen wehrt".
Im Juni 2019 urteilte der europäische Gerichtshof, dass E-Mail-Unternehmen gar nicht als Telekommunikationsdienste (TK-Dienste) zu bewerten seien. ( Mehr zum Hintergrund des Falls lesen sie hier) Demnach würden auch Tutanota oder Posteo nicht mehr unter das TKG fallen. Ein deutsches Urteil dazu wird bald erwartet, die Datenschutzbeauftragten haben allerdings bereits ihre Zuständigkeiten angepasst, so wie es das Urteil des europäischen Gerichtshofs erfordert. Der Mail-Anbieter Posteo führt seit dem Juni 2019 keine Telekommunikationsüberwachungen nach dem TKG mehr durch und betrachtet Ersuchen auf Grundlage des Gesetzes als hinfällig, wie das Unternehmen erklärt.
Korrektur: Laut eines Urteil des europäischen Gerichtshof vom Juni 2019 sind E-Mail-Anbieter nicht mehr als Telekommunikationsanbieter zu sehen und fallen demnach nicht mehr unter das TKG. Wir haben den Artikel an den entsprechenden Stellen korrigiert und präzisiert und bitten den Fehler zu entschuldigen.