E-Mail-Überwachung

E-Mail-Überwachung ist die konkrete Ausgestaltung der staatlichen Telekommunikationsüberwachung auf den Dienst E-Mail.

Rechtslage in Deutschland

Nach Telekommunikationsgesetz (TKG) § 110 und Telekommunikations-Überwachungsverordnung müssen seit dem Jahr 2005 alle Betreiber, die Telekommunikationsdienste für die Öffentlichkeit anbieten, d. h. in diesem Zusammenhang öffentliche E-Mail-Server betreiben, auf Anordnung eine E-Mail-Überwachung durchführen. Anbieter die insgesamt mehr als 10.000 (vor 2008: 1.000) Teilnehmer haben, müssen technische und organisatorische Vorkehrungen zur unverzüglichen Einleitung einer Überwachung treffen, sprich „überwachungsbereit“ sein.

Anordnung

Je nach Fall und Rechtsgrundlage kann die Anordnung in der Regel vorgenommen werden von

• einem Richter,
• einem zuständigen Bundesminister oder Landesminister,
• der Polizei,
• dem Zoll,
• dem Bundesamt für Verfassungsschutz oder
• einem Landesamt für Verfassungsschutz.

Kosten

Die Kosten, sowohl für die Vorhaltung der Überwachungstechnik als auch für die konkrete Durchführung, hat der Betreiber zu tragen. Entsprechende Lösungen kosten ab etwa 20.000 Euro.

Funktionsweise

Es wird anhand von E-Mail-Adressen überwacht. Der komplette E-Mail-Verkehr muss dazu im Mail-Server oder einem separaten Filter auf die Existenz einer gesuchten E-Mail-Adresse im verwendeten Protokoll (z. B. SMTP, POP3, IMAP, Webmail) überprüft werden. Wurde eine solche E-Mail-Adresse gefunden, werden mindestens die Verbindungsdaten (z. B. Absender, Empfänger, Datum, Uhrzeit etc.) meist jedoch auch eine Kopie der kompletten E-Mail per FTP auf einen Server der überwachenden Behörde (Bedarfsträger) übertragen. Die Verbindung zwischen E-Mail-Server/-Filter und Behörden-Server (Monitoring-Center) wird durch ein VPN verschlüsselt, damit kein Unbefugter von der Überwachungsmaßnahme als solches oder dem Inhalt der überwachten E-Mails erfährt.

Auch der Betreiber darf keinen aktuell überwachten Teilnehmer über die laufende Überwachung informieren, da dieser dann ja gewarnt wäre. Auf der anderen Seite besteht jedoch die Verpflichtung für die Behörde, dass der betroffene Teilnehmer nach Abschluss der Überwachungsmaßnahme über Art und Umfang der durchgeführten Überwachung informiert wird.

Der Inhalt von Mail-Nachrichten kann jedoch durch einfache technische Mittel, wie etwa asymmetrische Kryptographie, die ein hohes Maß an Sicherheit bietet, verschlüsselt werden. Somit ist für den Bedarfsträger nur mehr das Vorhandensein einer Kommunikation nachvollziehbar, deren Inhalt bleibt ihm verborgen. Das bekannteste Verfahren zur Verschlüsselung von E-Mails ist PGP bzw. GnuPG. Solche Verschlüsselungen können in vielen Fällen nur durch das Abfangen der noch oder wieder unverschlüsselten Kommunikationsinhalte beim Sender oder Empfänger umgangen werden. Dies kann durch eine Online-Durchsuchung realisiert werden.

Ungeklärte Fragen

• Wie zählt man Teilnehmer / Teilnehmeranschlüsse?

„Ein Teilnehmer ist jede natürliche oder juristische Person, die mit einem Anbieter von Telekommunikationsdiensten einen Vertrag über die Erbringung derartiger Dienste geschlossen hat.“

– Bundesnetzagentur: FAQ – Häufig gestellte Fragen der Betreiber von E-Mail-Servern oder Anbieter von E-Mail-Diensten

Dies würde nahelegen, dass eine natürliche oder juristische Person auch dann als nur ein Teilnehmer zählt, wenn diese Person bspw. 10000 E-Mail-Accounts nutzt. Wie wird gezählt, wenn eine Firma (= juristische Person) für ihre 10000 Mitarbeiter 10000 E-Mail-Accounts bei einem externen E-Mail-Dienstleister nutzt? Ist dann der Teilnehmer die eine Firma oder sind es die 10000 Mitarbeiter?

• In welcher Form und Zeitmaßgabe muss eine Überwachung bei Anbietern mit weniger als 10000 Teilnehmern durchgeführt werden

Siehe auch

• TKÜV
• Vorratsdatenspeicherung
• Überwachungsstaat

Literatur

• Waltraud Kotschy, Sebastian Reimer: Die Überwachung der Internet-Kommunikation am Arbeitsplatz (PDF), ZAS 2004, 29
• Florian Meininghaus: Der Zugriff auf E-Mails im strafrechtlichen Ermittlungsverfahren, Dissertation Universität Passau 2007

Weblinks

• Bundesnetzagentur (ehemals RegTP)
  • Informationen zur Technischen Umsetzung von Maßnahmen zur Überwachung und zur Auskunftserteilung
  • Zusätzliche Informationen für die Betreiber von E-Mail-Servern
  • Downloads: siehe TR-TKÜ und Dokumente für die Betreiber von E-Mail-Servern

• Heise-Artikel zu den Kosten der E-Mail-Überwachung
  • Auf eigene Kosten abgehört
  • Verpflichtung zur E-Mail-Überwachung trifft die Providerbranche hart

• Eco – Verband der deutschen Internetwirtschaft e. V.
  • „Petersberger Erklärung“ gegen Internet-Überwachung