ProtonMail fälschte heimlich seinen Transparenzbericht

ProtonMail fälschte heimlich seinen Transparenzbericht

Heimliche Anpassungen am Transparenzbericht des E-Mail-Anbieters ProtonMail werfen die Frage nach der Vertrauenswürdigkeit auf.

Berichteten wir Ende Mai diesen Jahres noch davon, dass ProtonMail Echtzeitüberwachungen im Auftrag des Züricher Staatsanwalt Stephan Walder, Leiter des Kompetenzzentrum Cybercrime im Kanton Zürich, durchführte und das sogar ohne Vorlegen eines Bundesgerichtsentscheids. So steht der E-Mail-Dienst nun erneut in der Kritik: Rechtsanwalt Martin Steiger zeigt aktuell auf seinem Blog auf, dass ProtonMail „heimliche, erhebliche Anpassungen am Transparenzbericht“ vornahm.

Anfragen änderte ProtonMail zu Verfügungen

So weist Martin Steiger belegte, widersprüchliche Angaben nach: Gemäß Transparenzbericht erfolgte die letzte Anpassung am 24. April 2019 («Updated on 24.04.2019»). Jedoch stimmt dieses Datum nicht mit den abgespeicherten Informationen der Wayback Machine vom Internet Archive vom 25. April und 26. Juli 2019 überein, denn diese zeigen verschiedene Anpassungen. Die am 25. April 2019 von der Wayback Machine abgerufene Mitteilung verweist auf den 13. März 2019. Steiger zieht folglich den logischen Schluss: „Die Version, die das Datum vom 24. April 2019 trägt, kann demnach nicht vom 24. April 2019 stammen“.

Regierungsbehörden wurden zu Strafverfolgungsbehörden

protonmailWeiterhin zeigt Steiger explizit folgende maßgebend vorgenommenen Änderungen auf, die man heimlich vorgenommen hat:

ProtonMail behauptet nun nicht mehr, man sei vom Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) ausgenommen («[…] we are exempted from the Swiss Federal Act on the Surveillance of Post and Telecommunications [BÜPF] […]»), sondern behauptet lediglich noch, man müsse gemäss BÜPF keine IP-Adressen oder Metadaten speichern («[…] not required to store communications metadata or IP information»).

Die Behauptung wird außerdem gleich anschließend widerlegt, denn ProtonMail schreibt seit Mitte Mai 2019 nun, in «extreme criminal cases» könne man verpflichtet sein, IP-Adressen in Echtzeit zu überwachen: «In addition to the items listed in our privacy policy, in extreme criminal cases, ProtonMail may also be obligated to monitor the IP addresses which are being used to access the ProtonMail accounts which are engaged in criminal activities. […]» Allenfalls besteht ein Zusammenhang mit meinem Tweet vom 10. Mai 2019 über Echtzeit-Überwachungen bei ProtonMail, auf den ProtonMail am 13. Mai 2019 reagiert hatte.

Merkwürdige Manipulationen

Den Begriff «request» (Anfrage) hat Protonmail im gesamten Transparenzbericht durch «order» (Verfügung) ersetzt. Auch wurde aus «requested account data» beispielsweise «relevant account data» und «decided to comply with the data request» beispielsweise auf «decided to comply» gekürzt. Weiter wurde der Betriff «government» (Regierung) im gesamten Bericht durch «law enforcement» oder «law enforcement authorities» Strafverfolgungsbehörden) ersetzt.

Schon vor längerer Zeit wurde der Hinweis entfernt, dass der Transparenzbericht nicht vollständig ist, sondern sich auf «special or significant new legally binding request[s]» beschränkt. Im Frühjahr 2017 hatte ProtonMail vor der grossen Zahl von Behördenanfragen kapituliert: «Because of the large number of requests we receive, it is not practical for us to disclose every single request on this warrant canary page. […]» Anfang 2017 hatte ProtonMail noch angekündigt, in Zukunft vierteljährlich einen neuen Transparenzbericht zu veröffentlichen sowie über Anfragen in Echtzeit zu informieren.

protonmailIn der angepassten Datenschutzerklärung behauptet ProtonMail nun nicht mehr, Login-IP-Adressen würden nur mit Einwilligung der betreffenden Nutzer erfasst. Die beiden entsprechenden Sätze wurden vollständig aus der Datenschutzerklärung entfernt. Die beiden Sätze lauteten wie folgt (mit Hervorhebungen):

«IP Logging: By default, ProtonMail does not keep permanent IP logs. We also don’t record your login IP address unless this feature is specifically enabled by the user.

The legal basis of this processing is consent, and you are free to opt-in or opt-out at any time in the security panel of your ProtonMail account.»

 

Die Schweiz entwickelt sich zum Überwachungsstaat

Fazit: Zwar vermittelt ProtonMail bei den Nutzern den Eindruck, ein vertrauenswürdiger E-Mail-Dienst zu sein, der Datenschutz und sogar Verschlüsselung anbietet. Auch die Schweizer Neutralität wird werbewirksam als Vorteil herbeigezogen. Jedoch gleicht die Schweiz realistisch betrachtet laut Steiger schon jetzt einem „Überwachungsstaat“ den man Schritt für Schritt ausbaut, wovon auch die oben erwähnten Anpassungen Zeugnis geben

Foto pasja1000, thx!

Tarnkappe.info

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.