Das Schweizer Datenschutzrecht schützt Proton-Mail-Nutzer besser als US-Recht, aber es schützt sie nicht vollständig vor dem FBI. Ein aktueller Fall zeigt, wo die Grenze liegt.
Was genau ist passiert
Das FBI hat Zahlungsdaten eines Proton-Mail-Nutzers erhalten und damit einen Aktivisten der Bewegung "Stop Cop City" in Atlanta, Georgia identifiziert. Wichtig dabei: Proton AG hat die Daten nicht direkt an die US-Behörden herausgegeben.
Der Weg war länger und formeller: Die USA stellten über den MLAT-Mechanismus (Mutual Legal Assistance Treaty, ein zwischenstaatliches Rechtshilfeabkommen) ein Ersuchen an die Schweiz. Das Schweizer Justizministerium prüfte die Anfrage und leitete sie an Proton AG weiter. Proton, mit Hauptsitz in Genf, war damit rechtlich verpflichtet zu kooperieren, und tat es.
Herausgegeben wurden keine E-Mail-Inhalte, keine Nachrichten, sondern Zahlungsmetadaten: Informationen, mit denen der Nutzer hinter einem vermeintlich anonymen Account identifiziert werden konnte. Das reichte dem FBI.
Einordnung
Dieser Fall ist kein Einzelfall, er ist ein Muster. Proton hat bereits früher auf MLAT-Anfragen reagiert und dabei IP-Adressen sowie andere Metadaten herausgegeben. Was sich hier wiederholt, ist die grundlegende Spannung zwischen dem Marketing-Versprechen "Swiss Privacy" und der Realität internationaler Rechtshilfeabkommen.
Für DACH-Nutzer ist das besonders relevant: Die Schweiz gilt als Datenschutz-Oase, sie ist es auch, verglichen mit den USA oder Grossbritannien. Aber die Schweiz ist kein rechtsfreier Raum. Sie hat MLAT-Abkommen mit Dutzenden Ländern, darunter den USA. Wenn ein ausreichend begründetes Rechtshilfeersuchen eingeht, sind Schweizer Unternehmen zur Herausgabe verpflichtet.
Was Proton schützt: Nachrichteninhalte, durch Ende-zu-Ende-Verschlüsselung kann Proton diese schlicht nicht herausgeben, weil sie selbst keinen Zugriff haben. Was Proton nicht schützt: Zahlungsdaten, Registrierungsmetadaten und, je nach Konfiguration, IP-Adressen. Wer Proton mit einer nicht-anonymen Zahlungsmethode finanziert, hat sich selbst enttarnt.
Das eigentliche Problem liegt tiefer: Es ist eine Architekturentscheidung. Ein konsequent auf Zero-Knowledge ausgelegter Dienst hätte Zahlungsdaten von der Nutzeridentität von Anfang an getrennt, technisch und organisatorisch. Wer mit einer anonymen Methode zahlt, dessen Zahlungsdaten hätten schlicht keine Verbindung zum Account herstellen können. Das ist keine rechtliche Pflicht, das ist Design. Es gibt Anbieter, die genau diesen Weg gehen, und die können auch bei einem MLAT-Ersuchen schlicht nichts liefern, weil die Daten nie verknüpft wurden. Proton hat sich anders entschieden. Das ist legitim, aber es ist eine Entscheidung, kein Schicksal.
Was bedeutet das für dich
Wer Proton Mail als Privacy-Tool nutzt, sollte zwei Dinge sofort überprüfen:
1. Zahlungsmethode: Kreditkarte oder PayPal verknüpfen den Account mit einer Identität. Wer echte Anonymität will, zahlt mit Kryptowährung oder nutzt die Gratis-Version ohne Zahlungsinfos.
2. IP-Adressen: Proton kann auf Anfrage Verbindungs-IP-Adressen herausgeben. Lösung: Proton VPN oder Tor parallel nutzen, um keine verwertbare IP zu hinterlassen.
Der Kerninhalt deiner Mails bleibt durch E2E-Verschlüsselung geschützt. Die Metadaten drumherum sind es nicht, und genau die reichen oft, um jemanden zu identifizieren.
Meine Meinung Proton hat geltendes Recht befolgt, das ist korrekt und nachvollziehbar. Aber "legal" und "optimal designed" sind zwei verschiedene Dinge. Wer Zero-Knowledge ernst meint, stellt sicher, dass er selbst nichts weiss, auch wenn er gezwungen wird zu reden. Dass Zahlungsdaten überhaupt mit einer Nutzeridentität verknüpft waren, war keine rechtliche Pflicht, das war eine Architekturentscheidung. Proton ist ein gutes Produkt, aber es ist kein Produkt für Menschen, die wirklich nichts hinterlassen wollen.
Quellen:
Golem.de, FBI gelangt an Zahlungsdaten von Protonmail
Tarnkappe.info, Proton Mail half dem FBI, einen Demonstranten zu identifizieren
*Signal der Woche. Eine Nachricht. Eine Analyse. Jeden Freitag im Newsletter.*
