heute hat die Bundesdatenschutzbeauftragte, Andrea Voßhoff, ihren aktuellen Tätigkeitsbericht für die Jahre 2015 und 2016 vorgelegt.
Im Bericht wird unter anderem aufgeführt, welche Unternehmen in den vergangenen zwei Jahren einem Kontrollbesuch unterzogen wurden.
Hier werden auch wir aufgelistet. Denn Posteo wurde im November 2016 routinemäßig und anlasslos geprüft.
Die Bundesdatenschutzbeauftragte schreibt über Posteo (anonymisiert) in ihrem Bericht:
“Ein E-Mail-Diensteanbieter hat den Datenschutz hingegen wirklich beeindruckend umgesetzt. Obwohl es sich um einen gebührenpflichtigen Dienst handelt, hat das Unternehmen einen Weg gefunden, weder Bestandsdaten im Sinne des § 95 TKG noch Verkehrsdaten nach § 97 TKG für den Betrieb zu benötigen und diese folglich auch nicht zu erheben oder dauerhaft zu speichern. Wie mir berichtet wurde, zweifeln viele Sicherheitsbehörden, die Auskunft nach § 113 TKG verlangen, diese Praxis an und versuchen, teilweise gerichtlich nicht vorhandene Daten einzuklagen.”
Quelle: 26. Tätigkeitsbericht zum Datenschutz für die Jahre 2015 und 2016, Seite 177
Das Betreiben eines konsequent datenschutzfreundlichen Internetangebotes ist in Deutschland tatsächlich mitunter schwierig – es ist mit einem enormen bürokratischen Aufwand und hohen Anwaltskosten verbunden.
Wir freuen uns deshalb sehr über diese wohlwollende Erwähnung im Tätigkeitsbericht der BfDI.
Da der Tätigkeitsbericht nun vorliegt, veröffentlichen wir aus Transparenzgründen heute auch den Prüfbericht der Bundesdatenschutzbeauftragten zu Posteo. Der Kontrollbesuch der Bundesdatenschutzbeauftragten bei uns fand am 24. November 2016 statt. Aus Sicherheitsgründen haben wir im Prüfbericht der Bundesdatenschutzbeauftragten wenige technische Details, die u.a. dem Schutz vor Mißbrauch dienen, geschwärzt. Das gilt auch für zwei Passagen zu einem laufenden juristischen Verfahren.
Hier der Bericht der BfDI zu Posteo im Pdf-Format.
Eine Auswahl von Zitaten aus dem Prüfbericht:
zu Bestandsdaten:
“Zusammenfassend stelle ich fest, dass Posteo im Sinne des § 95 TKG keine Bestandsdaten erhebt.” (Seite 4)
“Posteo berücksichtigt den Grundsatz der Dansparsamkeit sehr umfassend. Obwohl die Konten gebührenpflichtig sind, hat Posteo einen Weg gefunden, keine Bestandsdaten erheben zu müssen.” (Seite 8)
zu Bezahldaten:
“Die Bezahldaten werden nicht mit den E-Mail-Postfächern verknüpft, sondern getrennt gespeichert. Hierfür hat Posteo bereits 2009 ein eigenes System zur Anonymisierung der Zahlungsvorgänge entwickelt, das in 2015 den neuen gesetzlichen Vorgaben zur länderspezifischen Mehrwertsteuer angepasst wurde.” (Seite 2)
zu IP-Adressen, Logdaten und Verkehrsdaten:
“IP-Adressen von Kunden sind in den internen Systemen von Posteo nicht verfügbar und können daher auch nicht gespeichert werden.” (Seite 5)
“Zusammenfassend stelle ich fest, dass Posteo keine auf Kunden beziehbaren IP-Adressen und damit keine Verkehrsdaten nach § 96 TKG zur Diensterbringung benötigt und speichert.” (Seite 6)
“Die Gewährleistung der Sicherheit der Systeme nach § 109 TKG ist ohne Erhebung von personenbeziehbaren Verkehrsdaten sichergestellt.” (Seite 8)
zur Verschlüsselung:
“Gegen physischen Diebstahl sind alle Festplatten verschlüsselt, wobei Posteo im Besitz dieses Schlüssels ist. Zusätzlich kann der Nutzer den Posteo-Krypto-E-Mail-Speicher nutzen, um seine E-Mail mit einem eigenen Schlüssel zu verschlüsseln. Posteo unterstützt zusätzlich die Ende-zu-Ende-Verschlüsselung basierend auf PGP und S/MIME. Eine E-Mail kann also dreimal unabhängig voneinander verschlüsselt sein.” (Seite 7)
“Jeder Nutzer kann eine TLS-Versand-Garantie einschalten. Diese stellt sicher, dass die E-Mail über eine sichere, verschlüsselte Verbindung gesendet wird. (…) Ist ein sicherer Versand nicht möglich, wird die E-Mail nicht versendet und Posteo benachrichtigt den Absender per E-Mail.” (Seite 7)
Viele Grüße
Ihr Posteo-Team