SfN

ProtonMail fälschte heimlich seinen Transparenzbericht

Laut Rechtsanwalt Martin Steiger gehört Protonmail zu den wenigen Netz-Unternehmen in der Schweiz mit einem Transparenzbericht. Die Transparenz, die ein solcher Bericht herstellen kann, soll Vertrauen schaffen.

Unter anderem dank diesem Transparenzbericht wurde bekannt, dass Echtzeit-Überwachungen auch bei ProtonMail möglich sind.

Der Transparenzbericht von ProtonMail hat allerdings den Schönheitsfehler, dass er in den letzten Wochen still und heimlich erheblich angepasst wurde.

Anpassungen am Transparenzbericht

Glaubt man den Angaben im Transparenzbericht, erfolgte die letzte Anpassung am 24. April 2019 («Updated on 24.04.2019»).

Vergleicht man aber die Versionen, welche die Internet Archive Wayback Maschine am 25. April und am 26. Juli 2019 abgespeichert hatte (Screenshot), zeigen sich verschiedene Anpassungen, unter anderem:

  • Die Version, die von der Internet Archive Wayback Maschine am 25. April 2019 abgerufen wurde, trug das Datum vom 13. März 2019. Die Version, die das Datum vom 24. April 2019 trägt, kann demnach nicht vom 24. April 2019 stammen.
  • ProtonMail behauptet nun nicht mehr, man sei vom Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) ausgenommen («[…] we are exempted from the Swiss Federal Act on the Surveillance of Post and Telecommunications [BÜPF] […]»), sondern behauptet lediglich noch, man müsse gemäss BÜPF keine IP-Adressen oder Metadaten speichern («[…] not required to store communications metadata or IP information»).
  • Die Behauptung wird ausserdem gleich anschliessend widerlegt, denn ProtonMail schreibt seit Mitte Mai 2019 nun, in «extreme criminal cases» könne man verpflichtet sein, IP-Adressen in Echtzeit zu überwachen: «In addition to the items listed in our privacy policy, in extreme criminal cases, ProtonMail may also be obligated to monitor the IP addresses which are being used to access the ProtonMail accounts which are engaged in criminal activities. […]» Allenfalls besteht ein Zusammenhang mit Rechtsanwalt Martin Steigers Tweet vom 10. Mai 2019 über Echtzeit-Überwachungen bei ProtonMail, auf den ProtonMail am 13. Mai 2019 reagiert hatte.
  • Der Begriff «request» (Anfrage) wurde im gesamten Transparenzbericht durch «order» (Verfügung) ersetzt. Auch wurde aus «requested account data» beispielsweise «relevant account data» und «decided to comply with the data request» beispielsweise auf «decided to comply» gekürzt.
  • Weiter wurde der Betriff «government» (Regierung) im gesamten Bericht durch «law enforcement» oder «law enforcement authorities» (Strafverfolgungsbehörden) ersetzt.

Weitere Anpassungen zeigt die Internet Archive Wayback Machine (Screenshot).

Schon vor längerer Zeit wurde der Hinweis entfernt, dass der Transparenzbericht nicht vollständig ist, sondern sich auf «special or significant new legally binding request[s]»beschränkt. Im Frühjahr 2017 hatte ProtonMail vor der grossen Zahl von Behördenanfragen kapituliert:

«Because of the large number of requests we receive, it is not practical for us to disclose every single request on this warrant canary page. […]»

Anfang 2017 hatte ProtonMail noch angekündigt, in Zukunft vierteljährlich einen neuen Transparenzbericht zu veröffentlichen sowie über Anfragen in Echtzeit zu informieren.

Anpassungen an der Datenschutzerklärung

Angepasst wurde auch die Datenschutzerklärung, die allerdings – zu Recht – kein Versionsdatum trägt.

In der angepassten Datenschutzerklärung (Screenshot) behauptet ProtonMail nun nicht mehr, Login-IP-Adressen würden nur mit Einwilligung der betreffenden Nutzer erfasst. Die beiden entsprechenden Sätze wurden vollständig aus der Datenschutzerklärung entfernt. Die beiden Sätze lauteten wie folgt (mit Hervorhebungen):

«IP Logging: By default, ProtonMail does not keep permanent IP logs. We also don’t record your login IP address unless this feature is specifically enabled by the user.

The legal basis of this processing is consent, and you are free to opt-in or opt-out at any time in the security panel of your ProtonMail account.»

Bei der Datenschutzerklärung gäbe es durchaus Anpassungsbedarf. So behauptetProtonMail, die Datenschutz-Grundverordnung (DSGVO) einzuhalten, hat aber – soweit ersichtlich – keinen EU-Datenschutz-Vertreter gemäss Art. 27 DSGVO benannt. Weiter unternimmt ProtonMail den untauglichen Versuch, die Datenschutzerklärung mit einem Gerichtsstand und einer Rechtswahl zu versehen.

Wieviel Vertrauen verdient ProtonMail?

ProtonMail macht es informierten Nutzerinnen und Nutzern weiterhin nicht einfach, dem Dienst zu vertrauen.

Am 2. März 2018, nach dem Inkrafttreten des revidierten BÜPF, das insbesondere auf Internet-Unternehmen wie ProtonMail zielt, hatte ProtonMail noch behauptet, man sei «still not subject to the law». Andy Yen, Mitgründer von ProtonMail, hatte sogar erklärt, wenn man doch betroffen sein sollte, würde man die Schweiz eher verlassen als das Gesetz einzuhalten …

ProtonMail sitzt zum heutigen Zeitpunkt immer noch in der Schweiz und ist selbstverständlich vom revidierten BÜPF betroffen. Die Werbung von ProtonMail passt nicht zum Standort in der Schweiz und damit in einem Überwachungsstaat, der Schritt für Schritt ausgebaut wird.

2 Kommentare

Inhalte melden

Beiträge, Kommentare und sonstige Veröffentlichungen in dem SfN Informationsblog werden vor dem Hintergrund der gültigen Gesetzgebung in der BRD überprüft. Sollte dennoch der Verdacht bestehen, dass ein Beitrag gegen Gesetze verstoßen könnte und / oder Beschwerden sonstiger Art vorliegen, wird gebeten, die Redaktion zu kontaktieren, um den bedenklichen Inhalt zu überprüfen bzw. entfernen.




Es liegt an dir selbst, was du für dich und deine Sicherheit übernimmst.