Welchen Überwachungspflichten unterliegen Proton Mail sowie Proton VPN und Proton Drive?
Die schweizerische Anbieterin dieser Dienste, die Proton AG, erteilt dazu keine Auskunft.
Proton bewirbt Proton Mail und andere Angebote gerne mit dem angeblich besonders guten Schutz der Privatsphäre in der Schweiz (Beispiel: «Switzerland has the best of privacy protections»).
Viele Nutzer wechseln zu Proton, weil sie sich mehr Datenschutz und weniger Überwachung versprechen. Proton erwähnt allerdings ungern, dass die Schweiz ein ausgewachsener und wachsender Überwachungsstaat ist.
Welchen Überwachungspflichten unterliegt Proton in der Schweiz?
Welchen Überwachungspflichten eine schweizerische Anbieterin wie Proton unterliegt, hängt insbesondere davon ab, ob die Anbieterin als Fernmeldedienstanbieterin (FDA) oder als Anbieterin abgeleiteter Kommunikationsdienste (AAKD) bzw. als Kommunikationsdienst eingestuft wird.
Innerhalb dieser Einstufung wird zwischen FDA mit reduzierten Überwachungspflichten und AAKD mit weitergehenden Überwachungspflichten unterschieden (Art. 26 u. Art. 27 BÜPF).
Je nach Einstufung einer Anbieterin unterliegt sie beispielsweise der Vorratsdatenspeicherung oder nicht.
Die Vorratsdatenspeicherung bedeutet in der Schweiz, dass die Metadaten bzw. Randdaten der Kommunikation der Nutzer ohne Anlass und Verdacht während sechs Monaten gespeichert werden. Die gespeicherten Daten müssen an Staatsanwaltschaften und andere Sicherheitsbehörden herausgegeben werden.
Ein Kommunikationsdienst wird unter anderem als AAKD mit weitergehenden Überwachungspflichten eingestuft., wenn in den letzten 12 Monaten vor jeweils dem 30. Juni Überwachungsaufträge zu 10 oder mehr verschiedenen Zielen erteilt wurden (Art. 52 Abs. 1 lit. a VÜPF).
Für die Einstufung ist der Dienst Überwachung Post- und Fernmeldeverkehr (Dienst ÜPF), die zentrale Überwachungsbehörde in der Schweiz, zuständig.
Was ist die aktuelle Einstufung von Proton in der Schweiz?
Proton kennt die aktuelle eigene Einstufung und die entsprechenden Überwachungspflichten in der Schweiz.
Ich gelangte deshalb mit einer Anfrage an Proton und fragte nach der aktuellen Einstufung von Proton Mail, Proton VPN und Proton Drive.
«Could you please tell me the current status of the following services under Swiss surveillance laws?
- Proton Mail
- Proton VPN
- Proton Drive
Are these services considered as one of the following?
- provider of telecommunications services
- provider of telecommunications services with reduced surveillance duties
- provider of derived communications services
- provider of derived communications services with more extensive duties to provide information»
Proton hätte meine Anfrage kurz und knapp beantworten können. Ich erhielt stattdessen die folgende Antwort:
«Proton Mail’s zero access architecture means that your data is encrypted in a way that makes it inaccessible to us. Data is encrypted on the client-side using an encryption key that we do not have access to. This means we don’t have the technical ability to decrypt your messages, and as a result, we are unable to hand your data over to third parties.
We have invested heavily in owning and controlling our own server hardware at several locations within Switzerland so your data never goes to the cloud. This provides an extra layer of protection by ensuring your encrypted emails are not easily accessible to any third parties. On a system level, our servers utilize fully encrypted hard disks with multiple password layers so data security is preserved even if our hardware is seized.
Unlike competing services, we do not save any tracking information. By default, we do not record metadata such as the IP addresses used to log into accounts. As we have no way to read encrypted emails, we do not serve targeted advertisements. To protect user privacy, Proton Mail does not require any personally identifiable information to register.»
Für weitere Informationen «on what is encrypted» wurde ich auf https://proton.me/support/proton-mail-encryption-explained verwiesen.
Die Antwort bezieht sich ausschliesslich auf Proton Mail. Die anderen Dienste, nach denen ich gefragt hatte, Proton VPN und Proton Drive, werden nicht erwähnt.
Nicht hilfreich ist der Verweis auf den Standort der digitalen Infrastruktur in der Schweiz. Meine Frage zielte gerade darauf, wie Proton in der Schweiz eingestuft wird.
ProtonMail: Nutzerdaten für die USA dank Rechtshilfe und guter Zusammenarbeit mit Behörden
Ist Proton eine Fernmeldedienstanbieterin oder ein Kommunikationsdienst?
Im Jahr 2021 hatte das schweizerische Bundesverwaltungsgericht geurteilt, dass Proton – damals für Proton Mail – den Überwachungspflichten als AAKD unterliegt.
Im gleichen Urteil wurde Proton VPN nicht eingestuft, aber angedeutet, dass Proton dafür eine FDA sein könnte.
Wie sieht die heutige Einstufung durch den Dienst ÜPF aus?
Mit Blick auf die Zahl der 6’000+ Behördenanfragen, die Proton nach eigenen Angaben jedes Jahr erhält, ist mindestens von der Einstufung als AAKD mit weitergehenden Überwachungspflichten auszugehen.
Unabhängig von den Überwachungspflichten, denen Proton direkt unterliegt, können die Sicherheitsbehörden eigene Überwachungsmassnahmen durchführen.
Proton muss dem Dienst ÜPF den Zugang zur eigenen Infrastruktur gewähren und die Überwachungsmassnahmen dulden sowie mit eigenen Auskünften oder Informationen unterstützen (Art. 26 Abs. 2 u. Art. 27 Abs. 1 BÜPF).
Ferner muss Proton in jedem Fall die vorhandenen Metadaten bzw. Randdaten über die Kommunikation einzelner Kunden liefern (Art. 26 Abs. 1 u. Art. 27 Abs. 2 BÜPF).
Diese Überwachungsmöglichkeiten stehen nicht nur der Polizei und den Staatsanwaltschaften zur Verfügung, sondern insbesondere auch den Geheimdiensten in der Schweiz.
Im Rahmen der Kabelaufklärung kann der Nachrichtendienst des Bundes (NDB) darüber hinaus durch die Schweizer Armee direkt Daten aus den Kommunikationsverbindungen von und zu Proton ausleiten und auswerten lassen (Art. 39 ff. NDG, insbesondere Art. 43 Abs. 2 NDG):
«Liegt die Freigabe für einen Auftrag vor, so sind die Betreiberinnen von leitungsgebundenen Netzen und die Anbieterinnen von Telekommunikationsdienstleistungen verpflichtet, die Signale an den durchführenden Dienst zu liefern. Von ihnen angebrachte Verschlüsselungen müssen sie entfernen.»
Den Auftrag müssen die betroffenen Anbieterinnen geheim halten (Art. 43 Abs. 3 NDG):
«Die Betreiberinnen von leitungsgebundenen Netzen und die Anbieterinnen von Telekommunikationsdienstleistungen sind verpflichtet, die Aufträge geheim zu halten. »
Proton zählt über 100 Millionen Nutzer aus der ganzen Welt, die grossmehrheitlich davon ausgehen, ihre Privatsphäre werde bei einer Anbieterin in der Schweiz besonders gut geschützt. In der Folge ist Proton offensichtlich ein besonders interessantes und wichtiges Überwachungsziel.
Bild: Pixabay / CordMediaDigitalServices, Public Domain-ähnlich.