Welche IP-Adressen muss ProtonMail an Behörden liefern?

Wie lange speichert ProtonMail die IP-Adressen der Nutzerinnen und Nutzer?

Ein ProtonMail-Nutzer machte mich darauf aufmerksam, dass die Datenschutzerklärung von ProtonMail kürzlich in diesem Punkt ergänzt wurde.

In der Datenschutzerklärung vom 8. Juni 2021 hatte ProtonMail behauptet, man speichere IP-Adressen ausschliesslich temporär, um Nutzerkonten verifizieren und Spammer identifizieren zu können:

«IP addresses, email addresses, and phone numbers provided are saved temporarily in order to send you a verification code and to determine if you are a spammer.»

Anfang September 2021 war bekannt geworden, dass ProtonMail unter anderem die IP-Adresse eines Klimaaktivisten auf dem Weg der Rechtshilfe an französische Behörden geliefert hatte.

In der Folge nahm ProtonMail am 6. September 2021 verschiedene Anpassungen an der Datenschutzerklärung vor.

In Bezug auf das Aufbewahren von IP-Adressen wurde der oben zitierte Satz wie folgt ergänzt (mit Hervorhebung):

«IP addresses, email addresses, and phone numbers provided are saved temporarily in order to send you a verification code and for anti-spam purposes. The period of temporary data retention is determined by our legitimate interests of protecting the service from spam, and also by any applicable Swiss legal requirements we must comply with.»

Nun schreibt ProtonMail zwar weiterhin von einer temporären Speicherung von IP-Adressen, macht aber die Dauer von «temporär» ausdrücklich von anwendbaren rechtlichen Bestimmungen in der Schweiz abhängig. Welche Bestimmungen damit gemeint sind, erklärt ProtonMail nicht.

Speicherung von IP-Adressen: Auf welche rechtlichen Bestimmungen bezieht sich ProtonMail?

ProtonMail unterliegt als Anbieterin abgeleiteter Kommunikationsdienste (AAKD) dem schweizerischen Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF).

Standardmässig müssen solche Anbieterinnen nur jene Daten über Nutzerinnen an Behörden liefern, die ihn vorliegen (Art. 22 Abs. 3 BÜPF). Sie sind nicht verpflichtet, bestimmte Nutzerdaten während einer bestimmten Dauer zu speichern.

Das BÜPF spricht von Anbieterinnen mit weitergehenden Auskunftspflichten.

Allerdings kann der Bundesrat «Anbieterinnen abgeleiteter Kommunikations­dienste, die Dienstleistungen von grosser wirtschaftlicher Bedeutung oder für eine grosse Benutzerschaft anbieten», verpflichten, Daten über die Identifikation von Nutzern ganz oder teilweise «während der Dauer der Kundenbeziehung» sowie während weiteren sechs Monaten aufzubewahren und auf Anfrage an Behörden zu liefern (Art. 22 Abs. 4 i.V.m. Abs. 2 BÜPF).

Das BÜPF spricht von Anbieterinnen mit weitergehenden Auskunftspflichten.

Der zuständige Dienst Überwachung Post- und Fernmeldeverkehr (Dienst ÜPF) erklärt eine AKKD unter anderem zu einer Anbieterin mit weitergehenden Auskunftspflichten, wenn diese per 30. Juni von Behörden mindestens 100 Auskunftsgesuche in den letzten 12 Monaten erhalten hat (Art. 22 Abs. 1 lit. a VÜPF).

ProtonMail hat bislang nie erklärt, ob man zu einer AAKD mit weitergehenden Auskunftspflichten erklärt wurde.

ProtonMail erhielt gemäss dem eigenen Transparenzbericht im Kalenderjahr 2018 zum ersten Mal mehr als 100 Behördenanfragen, nämlich 2018. 2019 waren es bereits 1’465 Anfragen, 2020 sogar 3’572 Anfragen. Demnach wäre ProtonMail vom Dienst ÜPF spätestens per 30.­Juni 2019 zu einer Anbieterin mit weitergehenden Auskunftspflichten erklärt worden.

ProtonMail hat bislang nie erklärt, ob man zu einer AAKD mit weitergehenden Auskunftspflichten erklärt wurde. ProtonMail erklärt auf meine Nachfrage hin lediglich, man sehe sich als AAKD und nicht als Fernmeldedienstanbieterin (FDA), was mit Blick auf das entsprechende Bundesgerichtsurteil betreffend Threema richtig erscheint.

Der Dienst ÜPF verweigerte den vergleichbaren Zugang zu einer Liste aller Fernmeldedienstanbieterinnen mit reduzierten Überwachungspflichten entgegen einer entsprechenden Empfehlung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vom 12. August 2019.

Siehe auch: ProtonMail – Heimliche Anpassungen am Transparenzbericht.

Welche Auskunft muss ProtonMail erteilen?

Wenn eine Strafverfolgungsbehörde über den Dienst ÜPF ein Auskunftsgesuch stellt, muss eine AAKD wie ProtonMail die geforderte Auskunft erteilen. Die betroffene Nutzerin darf von der Auskunftserteilung keine Kenntnis erhalten (Art. 6 VÜPF).

Eine Staatsanwaltschaft oder sonstige Strafverfolgungsbehörde entscheidet im eigenen Ermessen, ob sie eine solche Auskunft benötigt. Auch Geheimdienste wie insbesondere der schweizerische Nachrichtendienst des Bundes (NDB) können solche Auskünfte einholen. Es gibt keine gerichtliche Behörde wie beispielsweise ein Zwangsmassnahmengericht, die solche Auskunftsersuchen genehmigen muss.

Die Lieferung von IP-Adresse und «Push Token» mit einer einfachen Auskunft wäre eine naheliegende Erklärung.

Beim erwähnten Fall des französischen Klimaaktivisten wurde neben der IP-Adresse anscheinend ein «Push Token» für Mobilgeräte geliefert.

Ein solcher Token wird von Apple und Google verwendet, um Push-Benachrichtigungen an Smartphones senden zu können, zum Beispiel an Nutzerinnen von ProtonMail. Mit einem solchen Token können Behörden bei Apple und Google weitere Daten über Nutzer anfordern.

Die Lieferung von IP-Adresse und «Push Token» im Rahmen einer Auskunft wäre eine naheliegende Erklärung.

Siehe auch: ProtonMail – Nutzerdaten für die USA dank Rechtshilfe und guter Zusammenarbeit mit Behörden.

Ist eine Echtzeit-Überwachung bei ProtonMail möglich?

Bei «Überwachungsaufträgen zu 10 verschiedenen Zielen der Überwachung in den letzten 12 Monaten» könnte Protonmail sogar verpflichtet werden, Nutzerinnen in Echtzeit zu überwachen und Vorratsdatenspeicherung zu betreiben (Art. 27 Abs. 3 BÜPF i.V.m. Art. 52 Abs. 1 VÜPF).

Bei einer Echtzeit-Überwachung hätte ProtonMail über den französischen Klimaaktivisten vermutlich nicht nur die IP-Adresse und einen Push Token liefern können. Ausserdem gäbe es bei einer Echtzeit-Überwachung die – wenn auch bescheidene – Hürde, dass innerhalb von fünf Tagen ein Zwangsmassnahmengericht die Genehmigung erteilen müsste.

Die Hürde ist bescheiden, weil Zwangsmassnahmengerichte fast immer zu Gunsten der Strafverfolgungsbehörden entscheiden. Man spricht auch von einer «Dunkelkammer der Justiz». Dennoch hat eine Strafverfolgungsbehörde normalerweise kein Interesse, eine teure Echtzeit-Überwachung anzuordnen, wenn die benötigten Daten im Rahmen einer einfachen Auskunft erhältlich sind.

Auf den Umstand, dass Echtzeit-Überwachungen möglich sind, weist ProtonMail erst seit dem 6. September 2021 ausdrücklich in der Datenschutzerklärung hin:

«If you are breaking Swiss law, ProtonMail can be legally compelled to log your IP address as part of a Swiss criminal investigation.»

Die Einschränkung in der Datenschutzerklärung auf Überwachungsmassnahmen bei «Breaking Swiss Law» sollte übrigens nicht so verstanden werden, dass keine Echtzeit-Überwachung für ausländische Behörden möglich ist. Das schweizerische Rechtshilfegesetz sieht ausdrücklich vor, dass die Überwachung des Fernmeldeverkehrs angeordnet werden kann (Art. 18a Abs. 2 ff. IRSG).

Wenn ProtonMail nicht selbst Echtzeit-Überwachungen ermöglichen müsste, könnten Behörden in der Schweiz solche Überwachungen selbst vornehmen. ProtonMail wäre verpflichtet, «Zugang zu ihren Anlagen zu gewähren» sowie «die für die Überwachung notwendigen Auskünfte erteilen» (Art. 27. Abs. 1 BÜPF). Dazu kommt die Möglichkeit für Armee und Geheimdienst, die Internet-Kommunikation mittels Kabelaufklärung zu überwachen.

Nachtrag vom 8. Oktober 2021

Ich wurde gefragt, wieso ich nicht ausführe, was die Pflichten von ProtonMail als Fernmeldedienstanbieterin (FDA) gemäss dem Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) wären. Dafür gibt es verschiedene Gründe:

• Ich gehe davon, dass ProtonMail gemäss BÜPF nicht als FDA, sondern als Anbieterinnen abgeleiteter Kommunikationsdienste (AAKD) zu qualifizieren ist, genauso wie Threema.
• Gemäss einem Artikel in der «Republik» vom 26. Mai 2021 wurde ProtonMail vom Dienst ÜPF als FDA eingestuft und beschreitet dagegen den Rechtsweg. Allerdings wollte ProtonMail auf Nachfrage hin nicht einmal die Verfahrensnummer – mutmasslich am Bundesverwaltungsgericht – nennen.
• Es ist ohne weiteres möglich, dass der Dienst ÜPF nicht nur Threema, sondern auch ProtonMail als FDA einstufte. Allerdings müsste ProtonMail als FDA erst recht Nutzerdaten speichern und Auskunft erteilen.

Sollte ProtonMail vom Dienst ÜPF als FDA – allenfalls mit reduzierten Überwachungspflichten – eingestuft worden sein und dagegen erfolgreich Beschwerde führen, gehe ich davon aus, dass ProtonMail ein solches Urteil als Erfolg für die Nutzerinnen kommunizieren würde. Wie meine ausführlichen Erläuterungen zu den Pflichten von AAKD zeigen, wäre ein solcher Erfolg mit Vorsicht zu geniessen. Aus Sicht der Nutzer spielt es letztlich keine Rolle, ob sich eine Anbieterin wie ProtonMail als AAKD oder als FDA am schweizerischen Überwachungsstaat beteiligen muss.

Nachtrag vom 25. Oktober 2021

Gemäss einem neuen Urteil des Bundesverwaltungsgerichts ist ProtonMail tatsächlich als AAKD bzw. Over-the-Top (OTT)-Dienst zu qualifizieren.

Bild: Pixabay / Akela999, Public Domain-ähnlich.