Das amerikanische Federal Bureau of Investigation (FBI) konnte mit Daten von Proton Mail die Person hinter einem scheinbar anonymen E‑Mail-Konto identifizieren.
Gemäss einem Bericht von «404 Media» ermittelte das FBI gegen die «Stop Cop City»-Protestbewegung, auch bekannt als «Defend the Atlanta Forest»-Gruppe, in den USA.
Die Aktivisten verwendeten defendtheatlantaforest@protonmail.com als E‑Mail-Kontaktadresse für ihr Blog und bei Facebook. Sie verwendeten demnach ein E‑Mail-Konto bei Proton Mail in der Schweiz.
Proton bewirbt den eigenen E‑Mail-Dienst unter anderem wie folgt:
«Mit Proton Mail, dem verschlüsselten E-Mail-Dienst mit Sitz in der Schweiz, ist deine Kommunikation Privatsache.»
Viele Nutzer glauben, amerikanische Behörden hätten keinen Zugriff auf Daten bei «Proton Mail». Der E‑Mail-Dienst wird beispielsweise vom «Digital Independence Day» als Alternative zu Gmail empfohlen.
Wie gelangten Nutzerdaten von Proton in die USA?
Um die Person hinter dem E‑Mail-Konto zu identifizieren, ersuchten die amerikanischen Behörden über die internationale Rechtshilfe in Strafsachen um die Herausgabe von Daten bei Proton in der Schweiz.
In der Folge erhielt das FBI die Daten, die verwendet worden waren, um für das kostenpflichtige E‑Mail-Konto zu bezahlen. Mit diesen Zahlungsdaten konnte die Person hinter dem E‑Mail-Konto identifiziert werden.
Das Beispiel zeigt die Bedeutung der internationalen Rechtshilfe, wenn amerikanische Behörden an Daten von Personen im Ausland gelangen wollen.
Für die Rechtshilfe in Strafsachen zwischen der Schweiz und den USA besteht ein Staatsvertrag von 1973.
Wie erklärt Proton die Herausgabe von Nutzerdaten?
Proton betont gegenüber «404 Media», man habe die Nutzerdaten nicht direkt an das FBI geliefert. Das macht für die betroffene Person allerdings keinen Unterschied.
«404 Media» zitiert Edward Shone, den Kommunikationschef von Proton, wie folgt (in deutscher Übersetzung):
«Wir möchten […] klarstellen, dass Proton dem FBI keine Informationen zur Verfügung gestellt hat. Die Informationen wurden vom Schweizer Justizministerium über MLAT bereitgestellt. Proton stellt nur die begrenzten Informationen zur Verfügung, über die wir verfügen, wenn wir eine rechtsverbindliche Anordnung von den Schweizer Behörden erhalten, was nur nach Abschluss aller schweizerischen Rechtsprüfungen möglich ist. Dies ist ein wichtiger Unterschied, da Proton ausschliesslich nach Schweizer Recht arbeitet.»
MLAT steht für Mutual Legal Assistance Treaty, in diesem Fall für den erwähnten Staatsvertrag von 1973.
Proton weist ferner darauf hin, dass Nutzer von Proton Mail, die per Kreditkarte bezahlen, auf diesem Weg allenfalls identifiziert werden können (in deutscher Übersetzung):
«Proton akzeptiert Zahlungen per Kryptowährung, Bargeld und auch Kreditkarte. Wenn Sie eine Kreditkarte verwenden, haben wir Zugriff auf die Zahlungs-ID, mit der wir den Kreditkarteninhaber beim Kartenaussteller identifizieren können.»
Proton wickelt Zahlungen nach Angaben in der Datenschutzerklärung insbesondere über die amerikanische Anbieterin Chargebee ab:
«Zahlungsangaben: Wir stützen uns bei der Abwicklung von Zahlungen auf die Dienste von Chargebee. Für Kreditkarten-, PayPal-, Stripe- und Bitcoin-Transaktionen werden unbedingt notwendige Informationen an Chargebee weitergegeben, damit die Zahlung erfolgreich durchgeführt und deinem Konto zugeordnet werden kann. Chargebee hat keinen Zugriff auf deine E-Mail-Adresse oder deine Proton-Kontoinformationen. Wir stützen uns bei der Abwicklung von Kreditkarten-, PayPal- und Bitcoin-Transaktionen auf Dritte und müssen daher Zahlungsdaten an diese weitergeben.»
Jedenfalls gehe es, so Proton gegenüber «404 Media», ohnehin um einen Polizisten, der erschossen worden sei:
«Wir prüfen alle rechtmässigen Anordnungen, die wir von Schweizer Behörden erhalten, und haben festgestellt, dass ein Strafverfolgungsbeamter erschossen wurde und Sprengkörper im Spiel waren. Wir haben überprüft, dass die gesetzlichen Anforderungen der Schweiz erfüllt wurden.»
Gemäss «404 Media» ist diese Darstellung nicht richtig oder mindestens ungenau:
«In der eidesstattlichen Erklärung zum Durchsuchungsbefehl des FBI wird keine Schiesserei erwähnt. Die Polizei tötete Manuel Paez Terán im Januar 2023 bei einer Walddemonstration, nachdem er aus einem Zelt heraus mit einer Waffe auf Polizisten geschossen und einen Beamten verletzt hatte, wie aus Unterlagen hervorgeht, die ‹The Guardian› eingesehen hat. Vor der Schiesserei hatte die Polizei Pfefferkugeln in das Zelt geschossen, wie aus den Unterlagen hervorgeht.»
Wie häufig liefert Proton Nutzerdaten an Behörden?
Proton liefert Nutzerdaten in tausenden Fällen pro Jahr an die Behörden. Im Jahr 2024 geschah das gemäss dem damaligen Transparenzbericht von Proton in 10’368 Fällen.
Gemäss diesem Transparenzbericht wehrte sich Proton nur in wenigen Fällen gegen die Herausgabe von Nutzerdaten. Im Jahr 2024 ist das nach Angaben von Proton in weniger als 6 Prozent der Fälle geschehen.
Proton informiert die betroffenen Personen nicht über Anfragen für Behörden, damit sich diese zur Wehr setzen können. In der Datenschutzerklärung behauptet Proton, die Information sei Sache der Behörden – jedenfalls bei Gerichtsverfahren:
«Nach schweizerischem Recht müssen Personen, die einem Gerichtsverfahren unterworfen sind, über ein solches Verfahren informiert werden, wobei diese Benachrichtigung durch die Behörden und nicht durch das Unternehmen erfolgen muss.»
Proton behauptet in der Datenschutzerklärung gleichzeitig, sich so weit wie möglich gegen Anfragen von Behörden zur Wehr zu setzen:
«Die allgemeine Vorgehensweise von Proton besteht darin, Ersuchen anzufechten, wann immer dies möglich ist und wenn Zweifel an der Gültigkeit des Ersuchens bestehen oder wenn ein öffentliches Interesse daran besteht, so zu verfahren. In solchen Fällen werden wir dem Ersuchen erst dann nachkommen, wenn alle rechtlichen oder sonstigen Mittel ausgeschöpft worden sind.»
Bei Onlinediensten von amerikanischen Anbietern ist es inzwischen eine gängige Forderung, dass diese ihre Nutzer über Anfragen von Behörden informieren oder sich für ihre Nutzer gegen Behördenanfragen zur Wehr setzen müssen. In der Schweiz hingegen ist die Kooperation mit Behörden der Normalfall.
Siehe auch:
- Proton erhält 72 Prozent mehr Anfragen für Nutzerdaten im Jahr 2024
- Proton erteilt keine Auskunft zu Überwachungspflichten für Proton Mail, Proton VPN und Proton Drive
- Urteil: Proton Mail unterliegt Überwachungspflichten in der Schweiz als Kommunikationsdienst
- Proton Mail: Nutzerdaten für die USA dank Rechtshilfe und guter Zusammenarbeit mit Behörden
Beitragsbild: Google / Gemini.