Der E-Mail-Anbieter Tutanota kann per Gerichtsbeschluss gezwungen werden, Nachrichten seiner Kunden unverschlüsselt an Ermittler herauszugeben. Das wurde durch Recherchen von "Süddeutscher Zeitung", NDR und WDR  bekannt. Das Start-up aus Hannover stellt sich selbst als "weltweit sicherster E-Mail-Service" dar. Als in Deutschland ansässiges Unternehmen sieht es sich jedoch mit einer Rechtslage konfrontiert, die es ihm schwer macht, sich Anfragen von Ermittlern zu entziehen.

Bei Tutanota hatte sich Anfang Oktober 2018 das Amtsgericht Itzehoe gemeldet: Geschäftsführer Matthias Pfau sei mit einem Schreiben aufgefordert worden, Ermittlern das Mitlesen bestimmter E-Mails eines Kunden in Echtzeit zu ermöglichen, heißt es in den Berichten. In der Aufforderung ging es um ein- und ausgehende Mails, die nicht Ende-zu-Ende-verschlüsselt sind, die aber auf den Tutanota-Servern durch eine vom Unternehmen eingesetzte Verschlüsselung vor fremdem Zugriff geschützt werden. Die Inhalte von Nachrichten dagegen, bei denen eine Ende-zu-Ende-Verschlüsselung zum Einsatz kommt, weil beide Kommunikationspartner den Dienst benutzen, kann Tutanota gar nicht entschlüsseln.

Hintergrund der Gerichtsforderung waren dem WDR zufolge Ransomware-Attacken  auf Betriebe aus Schleswig-Holstein, bei denen eine Mail-Adresse von Tutanota genutzt wurde. Diese Adresse wollten Ermittler überwachen. Verwiesen wurde im Rahmen der Aufforderung auf Paragraf 100a der Strafprozessordnung und auf Paragraf 110 des Telekommunikationsgesetzes (TKG), hieß es.

Matthias Pfau weigerte sich zunächst, der Forderung des Amtsgerichts nachzukommen. Dann jedoch entschied das Gericht, dass Tutanota die Daten herausgeben muss und verhängte 1000 Euro Ordnungsgeld - und das Bundesverfassungsgericht traf im Januar eine Entscheidung, die Pfau bewog, sich nicht weiter zu wehren.

Damals hatte das Bundesverfassungsgericht eine Verfassungsbeschwerde von Posteo abgewiesen. In der Pressemitteilung des Gerichts dazu hieß es: "Es verstößt nicht gegen das Grundgesetz, dass der Anbieter eines E-Mail-Dienstes im Rahmen einer ordnungsgemäß angeordneten Telekommunikationsüberwachung verpflichtet ist, den Ermittlungsbehörden die Internetprotokolladressen (im Folgenden: IP-Adressen) der auf ihren Account zugreifenden Kunden auch dann zu übermitteln, wenn er seinen Dienst aus Datenschutzgründen so organisiert hat, dass er diese nicht protokolliert."

Ähnlich wie Tutanota wirbt auch Posteo mit einem Fokus auf Datensparsamkeit und IT-Sicherheit um Kunden für seine Mail-Postfächer. Posteo hatte unmittelbar nach der Nachricht aus Karlsruhe eine "architektonische Lösung" angekündigt, die "die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt". Mittlerweile verweist das Unternehmen auf eine Entscheidung des Europäischen Gerichtshofs aus dem Juni und betont, keinerlei Umbaumaßnahmen an seinen Systemen vorgenommen zu haben. Das Verfahren vor dem Bundesverfassungsgericht sei "in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist".

Tutanota reagierte auf den Konflikt mit dem Amtsgericht Itzehoe mit einer neuen Funktion, heißt es in den Medienberichten: Wenn für einen Account eine gültige Anordnung eines deutschen Gerichts vorliegt, könne das Unternehmen zusätzlich eine Kopie der nicht Ende-zu-Ende-verschlüsselten E-Mails erstellen, die auch die Ermittler lesen können. Rückwirkend ließen sich solche Kopien aber nicht anlegen - und die Inhalte Ende-zu-Ende-verschlüsselter Mails blieben für Tutanota und Ermittler weiter unlesbar.

Dem SPIEGEL sagte Matthias Pfau, die beschriebene Funktion gebe es bei Tutanota seit Juni. Sie werde selektiv und nur für einzelne Accounts eingeschaltet, wenn ein entsprechender gültiger Gerichtsbeschluss vorliege. "Wir versuchen die Privatsphäre so gut wie möglich zu schützen und sind daher nicht glücklich, so eine Funktion einbauen zu müssen", betont Pfau.