Wir haben uns kürzlich ausführlich mit dem datensparsamen E-Mail-Anbieter Tutanota unterhalten. Das Team stellte sich im Gespräch 14 Fragen.
Tutanota ist gleichzeitig eine E-Mail-Software und ein Freemium Mailer. Übersetzt bedeutet der Firmenname geschützter Brief. Mit Absicht haben die Betreiber Hannover als Hauptsitz gewählt. Wir richteten die Fragen unserer Community an Hanna, eine langjährige Mitarbeiterin von Tutanota. Sie ist dort für die Presse- und Öffentlichkeitsarbeit zuständig.
Als waschechte Datenschützerin hat sie uns ihren Nachnamen natürlich nicht verraten. Der Dienst lebt übrigens von Spenden und den Nutzern, die bereit sind, Geld in ihren Premium-Account zu investieren. Wer Gmail oder einen anderen kostenlosen E-Mail-Dienst benutzt, bezahlt hingegen mit der Offenlegung seiner Vorlieben und seiner ganzen Daten.
Über die Entstehung von Tutanota
Ihr bezeichnet euch selbst als den sichersten E-Mail Anbieter weltweit. Wie seid ihr überhaupt auf die Idee mit Tutanota gekommen?
Wir waren einfach frustriert darüber, wie kompliziert E-Mail-Verschlüsselung ist. In der Konsequenz hat das bedeutet, dass dann doch häufig E-Mails mit sensiblen Inhalten oder Anhängen unverschlüsselt verschickt worden sind, und das hat uns geärgert. Deshalb haben wir 2011 damit begonnen einen verschlüsselten E-Mail-Service zu entwickeln, der wirklich von jedem ganz einfach genutzt werden kann – ganz ohne IT-Kenntnisse.
Welche der käuflichen Dienstleistungen nehmen die Kunden am häufigsten wahr? Was ist am beliebtesten?
Premium. Ganz einfach, weil es günstig ist (12 Euro im Jahr) und dennoch wichtige Funktionen bietet. Beispielsweise kann man mit Premium so viele eigene Domains zu Tutanota hinzufügen, wie man möchte. Aber auch die Kalenderfunktion – wie das Freigeben von verschlüsselten Kalendern – wird immer beliebter. Dies ermöglicht Nutzern erstmals auch den Kalender verschlüsselt zu speichern und sogar mit Freunden oder der Familie zu teilen, und zwar ohne, dass Fremde mitlesen können.
Generell kann man sagen, dass mit einem steigenden Funktionsumfang auch das Interesse an Tutanota wächst. Das schlägt sich natürlich auch auf die Buchung von bezahlten Optionen nieder. Das freut uns sehr, da es uns ermöglicht einen privatsphärefreundlichen Service anzubieten. Wir zeigen, dass es auch anders geht als mit Nutzer-Tracking und zielgerichteter Werbung.
Eigene Server mit Standort Deutschland
Wo stehen die Server?
Tutanota besitzt eigene Server, die in Hochsicherheitsdatenzentren in Deutschland gehostet werden. Außerdem sind alle Daten in Tutanota verschlüsselt, so dass nur der Nutzer darauf zugreifen kann. Hier gibt es Details dazu, was alles verschlüsselt ist.
Warum sollte man gerade einem deutschen Unternehmen in Sachen Datenschutz vertrauen? Weshalb die Firma inmitten der Höhle der Löwen? Datenschutz ist in der EU ja so eine Sache.
Die Datenschutzrichtlinien (DSGVO) sind sehr gut. Das heißt nicht, dass die Behörden nicht zunehmend versuchen, an Daten heranzukommen. Allerdings unterliegt auch dies Gesetzen, die wir als Deutsche kennen und verstehen, was beim Anbieten eines datenschutzfreundlichen Services nicht zu vernachlässigen ist. Auch wenn die Gesetzeslage in Deutschland natürlich noch besser sein könnte, ist sie in Sachen Datenschutz grundsätzlich schon sehr gut, da es beispielsweise keine Vorratsdatenspeicherung gibt.
Laut EuGH war es das für den Privacy Shield. Welche Konsequenzen hat das für euch bzw. uns als Kunden? Sind daraufhin unsere Daten künftig wirklich sicher vor jeglichen US-Behörden oder Geheimdiensten?
Die meisten Anfragen, die wir bekommen sind von deutschen Behörden. Ausländische Behörden müssen den Umweg über deutsche Behörden gehen. Es scheint, dass viele diesen Aufwand scheuen, aber auch solche Anfragen bekommen wir. Da die Ende-zu-Ende verschlüsselten E-Mails aber von uns auch nur verschlüsselt herausgegeben werden können, sind diese grundsätzlich sicher.
Quellcode von Tutanota ist als Open Source verfügbar
Gerade in Anbetracht der Entwicklung in der EU. Wie sehen die Zukunftspläne aus, wenn entsprechende Gesetze verabschiedet werden? Stichwort Hintertür in WhatsApp, Threema, Signal & Co.
Der Code von Tutanota ist als Open Source veröffentlicht. So können wir beweisen, dass keine Hintertür im Code enthalten ist; dies würden wir auch niemals zulassen. Hier ist unsere Position dazu.
Eine neu entwickelte Funktion soll im Fall einer richterlichen Anordnung zukünftig erlauben, eine Kopie einer E-Mail zu erstellen und an die Behörden weiterzuleiten. Meint ihr nicht, dass ihr mittlerweile die Benutzer eures Dienstes, der Reihe nach hinter das Licht führt, wenn ihr dauernd von Datenschutz oder einem zu verhindernden Zugriff auf eure SSL-Zertifikate (im Bezug zu den DDoS-Attacken der letzten Tage / Wochen) redet und dieses propagiert, wenn man sich diese „neue Funktion“ von 2019 anschaut ?!?! Wird man jemals wieder solch eine Funktion integrieren?
Gesetzgeber ändert juristische Grundlagen für Preisgabe von Daten
Gegen die Herausgabe unverschlüsselter (!) E-Mails sind wir juristisch vorgegangen und haben dabei einen Erfolg erzielt, siehe auch hier. Allerdings überarbeitet die Bundesregierung das Telekommunikationsgesetz (TKG) gerade. Und wir erwarten, dass wir bald wieder zur Herausgabe unverschlüsselter E-Mails gezwungen werden können.
Deshalb weisen wir stets darauf hin, dass einzig Ende-zu-Ende verschlüsselte Daten (E-Mails, Kalendereinträge, Kontakte) wirklich sicher vor fremden Blicken sind. Tutanota minimiert die Daten, auf die wir Zugriff haben, soweit wie möglich – anders als die meisten E-Mail-Anbieter. Wir verschlüsseln auch unverschlüsselt versandte E-Mails, aber eben erst nach dem Eingang auf dem Server. Wirklich sicher sind daher nur Ende-zu-Ende verschlüsselte E-Mails; auf diese haben auch wir keinerlei Zugriff.
Tutanota: Wir wollen keine Backdoor in der E2E-Verschlüsselung!
Sobald die EU beschlossen hat, das die End2End Verschlüsselung etc. aufgeweicht werden soll, werdet ihr dies dann auch machen?
Nein, das werden wir nicht machen. Deshalb sind auch alle Clients als Open Source verschlüsselt. So kann jeder prüfen, dass die Ende-zu-Ende-Verschlüsselung in Tutanota hält, was wir versprechen.
Das heißt, ihr wandert dann mit dem Hauptsitz in die Schweiz oder andere Länder aus? Oder ist geplant, juristisch dagegen vorzugehen?
Falls ein Gesetz zu Verschlüsselungshintertüren in Deutschland verabschiedet werden würde und nicht vom Verfassungsgericht gekippt werden würde, müssten wir prüfen, wie wir dem am besten begegnen. Derzeit gehen wir nicht davon aus, dass es dazu kommt. Die Behörden fordern solche Gesetze ja regelmäßig; geklappt hat es in Deutschland bisher noch nie.
In die Schweiz auszuwandern wäre jedenfalls keine Option: Dort gibt es schon jetzt – anders als in Deutschland – eine anlasslose Vorratsdatenspeicherung. An EU-Regularien müssen sich die Schweizer auch halten. In Sachen Privatsphäre ist der Standort Schweiz dem deutschen Standort in keiner Weise überlegen.
Umzug in die Schweiz ist keine Lösung
Bezüglich der Transparenz-Reports: Wie hat sich die Anzahl der behördlichen Anfragen denn geändert in den letzten Jahren? Welche Behörde liegt bei den Anfragen denn ganz vorne? Und wie viele von den Anfragen hat man bei Tutanota korrekt bzw. fehlerhaft gestellt?
Mit der wachsenden Zahl an Nutzern sind natürlich auch die Anfragen der Behörden gestiegen. Allerdings prüfen wir jede Anfrage und gehen ggf. auch dagegen vor. Es ist schon erstaunlich, wie viele unrechtmäßige Anfragen wir erhalten, eine genaue Prüfung ist deshalb unabdinglich
Wenn es mit dem „Datenschutz“ hier in Deutschland/der EU so weiter geht, werdet ihr dann irgendwann außerhalb der EU den Dienst ansiedeln müssen?
Das kann passieren; wir gehen aber nicht davon aus. Die Gesetzeslage sowie das Grundgesetz in Deutschland ist grundsätzlich sehr gut und schützt die Privatsphäre der Menschen. Auch der Aktivismus in der Gesellschaft hilft uns, problematische (Überwachungs)Gesetze zu verhindern oder abzuschwächen. An dieser Stelle möchten wir allen, die sich mit uns für Privatsphäre und Datenschutz einsetzen danken – auch Sunny von der Tarnkappe!
Der Blick nach vorne
Was glaubt ihr, wie das Internet in fünf oder zehn Jahren aussehen wird? Und wo seid ihr dann bzw. euer Dienst?
Wir glauben, dass wir in fünf Jahren eine vollumfängliche Alternative zu Google oder Outlook anbieten können, mit verschlüsseltem Kalender (haben wir schon), verschlüsselter Cloud etc. Dann können die Menschen sich besser entscheiden, ob sie weiterhin von Konzernen wir Google ausspioniert werden wollen, die mit dem Ausbeuten von Nutzerdaten riesige Gewinne erzielen, oder ob sie eine Alternative wählen, die nur ihnen den Zugriff auf ihre Daten ermöglicht und sie so vor ungewollter, personalisierter Werbung schützt.
Hanna, vielen Dank für die vielen Antworten. Und ebenfalls ein herzliches Dankeschön an Sunny, der das Gespräch eingefädelt und im Vorfeld viele Fragen aus unserer Community zusammengetragen hat.
Tarnkappe.info