ProtonMail: Nutzerdaten für die USA dank Rechtshilfe und guter Zusammenarbeit mit Behörden

Screenshot: ProtonMail-Homepage mit dem Werbeversprechen «Sicherer E-Mail-Dienst aus der Schweiz»ProtonMail, nach eigenen Angaben ein «sicherer E-Mail-Dienst aus der Schweiz», liefert Nutzerdaten an Sicherheitsbehörden. Nutzerdaten gehen auch an Strafverfolgungsbehörden in den USA, wie ein aktuelles Verfahren zeigt.

Das Verfahren betrifft Drohungen unter anderem gegen den bekannten Immunologen Anthony Fauci. In einer Reihe von E-Mails drohte der Absender unter anderem, Fauci und seine Familie zu töten.

Wie das amerikanische Justizministerium schreibt, nutzte der Beschuldigte «an email account from a provider of secure, encrypted email services based in Switzerland».

Gemäss dem entsprechenden Affidavit handelte es sich bei diesem E-Mail-Dienst um ProtonMail. Die einschlägigen E-Mails enden entsprechend jeweils mit «Sent with ProtonMail Secure Email».

Aufgrund von Daten von ProtonMail, die rechtshilfeweise in die USA gingen, zeigte sich, dass der Beschuldigte gleich mehrere Nutzerkonten bei ProtonMail verwendet hatte.

Nach eigenen Angaben hatte der Beschuldige zu ProtonMail gewechselt, weil er glaubte, durch das schweizerische Datenschutzrecht und Ende-zu-Ende-Verschlüsselung geschützt zu sein. Dennoch konnte der Absender im Zusammenspiel von Daten von ProtonMail sowie weiteren Online-Diensten wie beispielsweise Mail.com identifiziert werden.

Gute Zusammenarbeit zwischen ProtonMail und Sicherheits­behörden

Gemäss einem Artikel im Tages-Anzeiger bestätigte das Bundesamt für Polizei (Fedpol) den Austausch mit den amerikanischen Behörden. Gleichzeitig äusserte sich das Fedpol erfreut über die Zusammenarbeit mit ProtonMail:

«Protonmail kooperiert mit den Behörden. Die Zusammenarbeit ist gut.»

ProtonMail muss mit schweizerischen Sicherheitsbehörden kooperieren. Die Schweiz ist mit dem Überwachungsgesetz BÜPF und dem Nachrichtendienstgesetz (NDG) ein ausgewachsener Überwachungsstaat. Die Schweiz leistet Rechtshilfe an die USA auf Grundlage des Rechtshilfevertrages von 1973, zum Beispiel für die Beweiserhebung in amerikanischen Strafverfahren.

ProtonMail-Gründer Andy Yen hatte ursprünglich erklärt, das Unternehmen werde eher die Schweiz verlassen, als das BÜPF einzuhalten. ProtonMail blieb in der Schweiz und muss das schweizerische Überwachungsrecht einhalten.

Screenshot: Werbeversprechen auf der Homepage von ProtonMail

ProtonMail als Glücksfall für schweizerische Sicherheits­behörden

Für Sicherheitsbehörden in der Schweiz ist ProtonMail ein Glücksfall, denn viele Nutzer glauben fälschlicherweise, ihre Daten seien bei ProtonMail tatsächlich durch die «strengen Schweizer Datenschutzgesetze geschützt» geschützt. Sie wissen nicht, dass das geltende Datenschutzgesetz (DSG) in der Schweiz keinen wirksamen Datenschutz gewährleistet sowie Strafverfahren und Überwachungsmassnahmen gar nicht unter das DSG fallen (Art. 2 Abs. 2 lit. c DSG).

Solche Nutzerinnen glauben auch an die Versprechen von «automatischer E-Mail-Sicherheit» und «anonymer E-Mail». Sie übersehen, dass ProtonMail bereits auf der Homepage erwähnt, nicht immer, sondern nur «standardmässig» auf die Protokollierung von IP-Adressen zu verzichten. ProtonMail weist in der Datenschutzerklärung ausserdem darauf hin, den Inhalt von eingehenden und ausgehenden E-Mails zu scannen.

Auf den Schutz der Privatsphäre, den ProtonMail verspricht, vertrauen gerade auch Nutzer mit kriminellen Absichten. Sie übersehen, dass selbst bei ProtonMail Daten anfallen. Solche Daten dienen Sicherheitsbehörden in der Schweiz und im Ausland als wertvolle Grundlage für Ermittlungen.

Im Transparenzbericht von ProtonMail finden sich (noch?) keine Informationen über den Fall. Der Transparenzbericht soll zwar am 23. Juni 2021 aktualisiert worden sein, endet aber bei den Fallbeschreibungen im Juni 2020. Gemäss den Fallzahlen lieferte ProtonMail im Jahr 2020 in über 3’000 Fällen Daten an Sicherheitsbehörden in der Schweiz und im Ausland.

Siehe auch: «Made in Switzerland» wird zum löchrigen Käse (Republik)

16 Kommentare

  1. Protonmail hat immer klar gemacht, dass es für kriminelle Aktivitäten nicht verwendbar ist, und dass auf juristische Anfragen nach CH-Recht reagiert wird. Das ist doch auch richtig so, sonst wäre das ein krimineller Anbieter. «Ausgehende Emails scannen» bedeutet nichts, die sind eh Klartext und können von jeder Behörde bei Bedarf mitgelesen werden, ausser vielleicht Protonmail zu Protonmail. Aber man darf sich natürlich dennoch fragen, ob Protonmail das neue Crypto AG ist. Schweizer Datenschutz ist natürlich ein Witz, wobei Proton offenbar immer noch nicht als ISP gilt wie Swisscom etc.

    1. @Max:

      Woher weiss ProtonMail, ob Aktivitäten von Nutzerinnen und Nutzern kriminell sind? Das ist ja häufig erst nach aufwendigen Verfahren klar und vorher gilt die Unschuldsvermutung. Aber ja, informierte Kriminelle werden nicht ProtonMail nutzen …

      Wie sicher ProtonMail tatsächlich ist, kann ich nicht beurteilen. Kürzlich erklärte ProtonMail, einen Audit erfolgreich überstanden zu haben: https://protonmail.com/blog/security-audit/

      1. Wenn man erst gegen einen Verdächtigen ermitteln darf, wenn seine Schuld erwiesen ist, sprich er verurteilt wurde, dann wird diese Sache mit der Strafverfolgung etwas schwierig. Zu einem funktionierenden Rechtstaat gehören aber nicht nur Rechte von Beschuldigten, sondern auch das Recht der Allgemeinheit auf eine funktionierende Strafverfolgung. Letztes wird von Anwälten natürlich gerne mal vergessen…

        1. Das kommt dann für mich mit einer Vorverurteilung gleich .
          Wenn ich Mailinhalte als Betreiber nicht frei lasse als privates Eigentum der Benutzer unterstelle ich generell Böses.

        2. man darf gegen einen Verdächtigen ermitteln, wenn ein konkreter Anfangsverdacht besteht. Nicht erst, wenn seine Schuld bewiesen ist. Hier aber wird ohne Anlass alles über jeden gesammelt – mal sehen, wofür es gut ist. Zu einem funktionierenden Rechtstaat gehört auch das Freiheitsrecht der Allgemeinheit.
          Und wer sagt denn, dass die Strafverfolger immer die Guten sind – im aufkommenden Überwachungsstaat?

    2. Das Kann so sein und ist auch richtig so. Das Problem liegt aber meines Erachtens in der Tatsache, dass Proton Mail behauptet, dass es nicht möglich wäre auf die geschützten und verschlüsselten E-Mail Account zu zugreifen. sollten also irgendwelche Journalisten oder ähnliche Personen diesen Dienst nutzen um Whistleblower zu kontaktieren, wäre der Verfolgung Tür und Tor geöffnet. Ich werde schon deshalb meine Proton Account stilllegen. Ich brauche keinen E-Mail Account der genauso funktioniert wie alle anderen!

      1. @H:

        Genau, ProtonMail erweckt auf der Homepage und zum Teil in der Kommunikation einen falschen Eindruck. Die positive Nebenwirkung ist, dass dadurch einige Kriminelle enttarnt werden können, wie es bei der Nutzung anderer Dienste häufig nicht möglich wäre …

  2. Die USA lassen keine Verschlüsselungssysteme zu die nicht Entschlüsselt werden können bzw. zu denen diese keinen Hauptschlüssel haben ausser ein Land stellt sich dem erfolgreich entgegen. Die Schweiz als das Land das der CIA seit den 50′ Jahren vom BR her Carte Blanche gibt ist es garantiert nicht aber auch sonst wird sich da niemand finden…

    1. Mich wundernimmt, wie jemand eine Sekunde lang den Beteuerungen von Protonmail vertrauen könnte. Sehen die Leute nicht, was weltweit geschieht? Da werden zur Friedensverhandlungen eingeladene hohe Offiziere von einem Land öffentlich schamlos mit Drohnen getötet. Ohne Kriegserklärung. Unter Anderem. In Sachen Datenverkehr gibt es auch keine Moral mehr. Datenschutz und Privacy gibt es nicht mehr. Punkt.

  3. I wonder if Proton will make a public statement about this ‹incident›. While I got criminal activities to hide, I’m still lightly disturbed by this news.
    I recently explained my associates and family why I switched to Proton and why they should too, but now I feel a little ashamed.

  4. Seit kurzem muss ich j e d e sm a l,wenn ich auf meinen account bei protonmail will und nachdem ich mein Passwort eingegeben habe,beweisen,dass ich ein Mensch und kein Roboter bin
    Ausserdem wurde vor einiger Zeit das Design geaendert,und seitdem kann ich die erhaltenen mails nur mit Schwierigkeiten lesen.Nach einer unteren Zeile komme ich nicht auf die naechste,-ein Stueck wird ausgelassen…So habe ich schon mal eine erhaltene mail auf eine meiner anderen Adressen geschickt.-Ob das Schikane ist,weil ich kritisch bin und von Handschellen traeume fuer bestimmte Psychopathen und von dementsprechend vollen Gefaengnissen?—-Mir ist vollkommen klar,dass meine mails sowieso von Unbefugten gelesen werden koennen,da keiner meiner Adressaten protonmail hat.

  5. @ Rechtsanwalt Martin Steiger: Wahrscheinlich gibt es auf diesem Planeten überhaupt keinen Provider, welcher das halten kann was Proton verspricht -oder kennen Sie einen?

  6. ich hatte früher offen kritisiert , alles und jeden, der nicht zu meiner überzeugung passte. ich dachte, das internet ist anonym. nur dann traute ich mich, offen zu sagen, wo es stinkt. aber schon das, ohne straftaten anzukündigen, wie etwa, «dem haue ich später noch eine runter» reichte es, meine mehreren anonym eingerichteten konten bei protonmail plötzlich gelöscht vorzufinden oder das passwort ging plötzlich nicht mehr. das ist alles schon viele jahre her. schon damals hatte ich den eindruck, dieser dienst ist nicht das wert, was er vorgibt. ich stellte alles ein, weil auch internet ein offenens blatte mittlerweile ist. ich kritisiere nichts mehr und lese nur noch .wir sind nun da , wo wir vor dem internet waren. das internet ist nur noch ein flüchtiger dienst für nachrichten und banking. und email allgemeiner art zu verfassen. sonst ist es tot.

  7. Das was Proton-Mail macht ist meines Erachtens bezüglich «Datensicherheit» arglistige Täuschung.
    Es wird suggeriert, man wäre vor dem Einblick von öffentlichen Diensten sicher. Dann noch mit dem Zertifikat werben … echte Rosstäuscher!