Datenschutz: Ermittlungsbehörden strotzen vor Unwissenheit bei Anfragen

Nicolas La Rocco
33 Kommentare
Datenschutz: Ermittlungsbehörden strotzen vor Unwissenheit bei Anfragen
Bild: Heinlein Support GmbH

Die Heinlein Support GmbH, Betreiber von mailbox.org und JPBerlin, hat ihren Transparenzbericht zu Auskunftsersuchen und Telekommunikationsüberwachung für das Jahr 2017 veröffentlicht. Aus dem Bericht geht vor allem eines hervor: die Unwissenheit der Ermittlungsbehörden bei Anfragen und mit dem Umgang von persönlichen Daten.

Geht es um Transparenzberichte zu Auskunftsersuchen werden häufig Statistiken von Großkonzernen wie Apple, Google oder Microsoft herangezogen. Die Heinlein Support GmbH als Betreiber von mailbox.org und JPBerlin gibt in ihrem aktuellen Transparenzbericht hingegen Einblick in die Abläufe eines eher auf den deutschen Markt fokussierten Unternehmens. 38 Anfragen hat das Unternehmen im vergangenen Jahr erhalten, davon 30 Bestandsdatenabfragen und 8 zur Telekommunikationsüberwachung. 37 der Anfragen stammten von deutschen Strafverfolgungsbehörden, eine kam aus dem EU-Ausland. Zollbehörden oder Nachrichtendienste stellten keine Anfragen.

Formfehler und rechtswidrige Anfragen

Neben der reinen Statistik zu Anfragen zeigt der Transparenzbericht vor allem auf, mit welcher Unwissenheit die Strafverfolgungsbehörden die Anfragen abwickeln. Heinlein erklärt, dass von den insgesamt 38 Anfragen über die Hälfte offensichtliche Formfehler enthielt und aufgrund ihrer Rechtswidrigkeit zurückgewiesen werden musste. Darunter fielen auch zwei Anfragen zur Telekommunikationsüberwachung. Während in 20 Fällen die Anfragen formfehlerfrei erneut gestellt und daraufhin von Heinlein bearbeitet wurden, mussten zwei Anfragen dauerhaft abgelehnt werden. Nur rechtmäßige und fehlerfreie Anfragen seien beantwortet worden, außerdem lagen zu allen Anordnungen der Telekommunikationsüberwachung entsprechende Gerichtsbeschlüsse im Original vor, erklärt Heinlein.

Dass Anfragen teilweise rechtswidrig sind oder Formfehler beinhalten, zeigt die Tatsache, dass Ermittlungsbehörden in rund 50 Prozent der Fälle versuchten, bei Bestandsdatenabfragen Informationen anzufordern, die nicht zu den Bestandsdaten gehören. Diese dürfen Heinlein zufolge auf diesem Weg weder angefragt, noch übermittelt werden. Je nach Bundesland würden die Behörden „mit höchst unterschiedlicher Professionalität“ vorgehen: „Einige Landesbehörden verfügen offensichtlich über genormte Formulare, mit denen sie durchgehend rechtskonforme und auch im Umfang zulässige Anfragen stellen können. Polizeidienststellen in anderen Bundesländern nutzen hingegen frei formulierte Briefanfragen mit erheblichen Formfehlern.

Unverschlüsselte Kommunikation

Heinlein bemängelt zudem die unverschlüsselte E-Mail-Kommunikation der Ermittlungsbehörden , die nach wie vor „an der Tagesordnung“ sei. In nur einem der 38 Fälle nutzte eine Bundesbehörde die PGP-verschlüsselte Kommunikation. Den anderen Behörden war diese Form der Kommunikation laut Einschätzung von Heinlein offenbar nicht möglich. „Hier herrscht dringender Nachholbedarf, denn die technischen Möglichkeiten sind seit Jahren vorhanden und lassen sich sehr leicht nutzen.

Um sich vor der unrechtmäßigen Herausgabe von personenbezogener Daten zu schützen, die zu Verstößen gegen das Datenschutzgesetz führen können, lässt Heinlein laut eigener Aussage alle Anfragen an die beiden Angebote mailbox.org und JPBerlin von einem bestellten Datenschützer sowie spezialisierten Anwälten prüfen. Damit will das Unternehmen auch seine eigenen Mitarbeiter schützen, die „regelmäßig mit unbeabsichtigten aber eben auch wissentlichen Aufforderungen zum rechtswidrigen Handeln konfrontiert“ seien.

Behörden machen sich strafbar

Dass sich die Strafverfolgungsbehörden bei ihren Anfragen zum Teil selbst strafbar machen, zeigt das Beispiel des Weiterreichens von Informationen, die nicht weitergegeben werden dürfen. Vor allem in den frei formulierte Briefanfragen stehen neben den Straftatvorwürfen häufig auch Daten zur Person selbst, gegen die sich das Ermittlungsverfahren richtet. Hierzu zählen Informationen wie Name und Wohnort. „Rechtlich gesehen dürfen diese einem Provider weder zur Kenntnis gebracht, noch von Behörden unter Missachtung grundlegender Datenschutzvorschriften via Internet transportiert werden“, erklärt Heinlein.

Peer Heinlein, Geschäftsführer der Heinlein Support GmbH, kommentiert die Gesamtsituation folgendermaßen: „Sehr oft ernten unsere Kollegen Unverständnis, wenn sie Auskunftsersuchen ablehnen müssen. Nur wenigen Beamten sind die gesetzlichen Rahmenbedingungen in vollem Umfang bewusst, so dass unsere Mitarbeiter Aufklärung über die rechtlichen Anforderungen leisten müssen. Wir helfen im Sinne von höherem Datenschutz und Verbraucherschutz sehr gern aus, doch eigentlich sollte diese Aufgabe der jeweiligen Behörde obliegen.

Offenlegung: Die ComputerBase GmbH ist Kunde der Heinlein Support GmbH.