ProtonMail teilt die IP-Adresse des Aktivisten mit Europol trotz seiner „No Log“-Behauptungen
Trotz seiner „No-Logs”-Richtlinie, eines Ende-zu-Ende-verschlüsselten E-Mail-Dienstes, gibt ProtonMail die IP-Adressen von Anti-Gentrifizierungs-Aktivisten an die Strafverfolgungsbehörden weiter, was zu Verhaftungen in Frankreich führte.
Eine Aktivistengruppe in Frankreich kämpft gegen Gentrifizierung, Immobilienspekulation und mehr. Am 1. September veröffentlichte die Gruppe einen Artikel auf Paris-luttes.com, der sich auf polizeiliche Ermittlungen gegen verschiedene Mitglieder der Gruppe konzentrierte. Die französische Polizei schickte eine Anfrage an Europol, um ProtonMail anzuweisen, die Identität von Gruppenmitgliedern aufzudecken.
Nach Angaben des Unternehmens erhielt es eine „rechtsverbindliche Verfügung des Eidgenössischen Justizdepartements” bezüglich Youth of Climate, einem Kollektiv, zu dessen Einhaltung Proton verpflichtet war. Der Dienst übergab IP-Adressen und zugehörige Informationen, die von der Aktivistengruppe für den Zugriff auf ProtonMail verwendet wurden.
In einer Antwort auf Reddit sagte das Unternehmen:
„Proton hat eine rechtskräftige Verfügung des Eidgenössischen Justizdepartements erhalten, der wir uns verpflichtet fühlen. Es gab keine Möglichkeit, dieses spezielle Ersuchen anzufechten oder anzufechten, weil tatsächlich eine gegen das Schweizer Recht verstoßende Handlung stattgefunden hat (und dies war auch die endgültige Entscheidung des Eidgenössischen Justizdepartements, das jeden Fall rechtlich prüft).”
Datenschutzrichtlinie von ProtonMail
Das in der Schweiz ansässige Unternehmen Proton bietet einen E-Mail-Dienst namens ProtonMail und ein VPN namens ProtonVPN an. Auf seiner Website sagt ProtonMail, dass sie keine persönlichen Informationen und IP-Protokolle führen. Wir haben jedoch festgestellt, dass sie nach diesem Vorfall ihre Aussage auf ihrer Website komplett geändert haben.
Bild: Thehackernews
Nur wenige Stunden nach dem Vorfall haben wir seine Website überprüft und sie haben die Behauptung „keine IP-Protokolle” von ihrer Homepage entfernt. Vor dem Vorfall bewarb ProtonMail:
„Zum Erstellen Ihres sicheren E-Mail-Kontos sind keine persönlichen Daten erforderlich. Standardmäßig speichern wir keine IP-Protokolle, die mit Ihrem anonymen E-Mail-Konto verknüpft werden können. Ihre Privatsphäre steht an erster Stelle.”
Nach dem Vorfall hat ProtonMail jedoch seine Haltung in Bezug auf keine IP-Protokolle geändert, wie auf ihrer Website zu sehen ist.
„ProtonMail ist eine E-Mail, die die Privatsphäre respektiert und die Menschen (nicht Werbetreibende) an die erste Stelle stellt. Ihre Daten gehören Ihnen und dafür sorgt unsere Verschlüsselung. Wir bieten auch ein anonymes E-Mail-Gateway.”
Die offizielle Antwort von ProtonMail auf den Vorfall
Trotz seines Anspruchs auf keine Protokolle sagte das Unternehmen, dass es keine andere Wahl habe, als den Anfragen ausländischer Behörden wie Europol nachzukommen.
Nach dem Vorfall twitterte Andy Yen, CEO und Gründer von ProtonMain :
„Proton muss Schweizer Recht einhalten. Sobald ein Verbrechen begangen wird, kann der Datenschutz ausgesetzt werden und wir sind nach Schweizer Recht verpflichtet, Anfragen von Schweizer Behörden zu beantworten.”
Er fügte weiter hinzu, dass „ ProtonMail den schweizerischen Strafermittlungen Folge leisten muss. Dies geschieht natürlich nicht standardmäßig, sondern nur, wenn es gesetzlich vorgeschrieben ist.”
Nach dem Vorfall sind ProtonMail-Benutzer besorgt über den Datenschutz und die Sichtbarkeit ihrer IP-Adresse, selbst wenn sie ein VPNzur Verschlüsselung verwenden oder aus Gründen der Anonymität über Tor auf den E-Mail-Dienst zugreifen.
Nach dem französischen Vorfall hat ProtonMail seine Datenschutzrichtlinie überarbeitet und erklärt, dass sie die IP-Adressen der Benutzer protokollieren werden, wenn festgestellt wird, dass sie gegen Schweizer Recht verstoßen. Ihre Datenschutzrichtlinie besagt:
„Standardmäßig führen wir keine permanenten IP-Protokolle in Bezug auf Ihre Nutzung der Dienste. IP-Protokolle können jedoch vorübergehend aufbewahrt werden, um Missbrauch und Betrug zu bekämpfen, und Ihre IP-Adresse kann dauerhaft aufbewahrt werden, wenn Sie an Aktivitäten beteiligt sind, die gegen unsere Allgemeinen Geschäftsbedingungen verstoßen (Spamming, DDoS-Angriffe auf unsere Infrastruktur, Brute-Force-Angriffe usw.). Die Rechtsgrundlage dieser Verarbeitung ist unser berechtigtes Interesse, unsere Dienste vor schädlichen Aktivitäten zu schützen. Wenn Sie Schweizer Gesetze brechen, kann ProtonMail gesetzlich gezwungen werden, Ihre IP-Adresse im Rahmen einer Schweizer Strafermittlung zu protokollieren. „
Die öffentliche Offenlegung seiner Protokollierungspolitik durch ProtonMail ist alarmierend, da das Unternehmen im Jahr 2017 über 13 Anfragen von den Schweizer Behörden erhalten hat. Die Benutzer sind jedoch unsicher, da die illegalen Aktivitäten ausserhalb der Schweiz stattfanden, da die Proteste in Frankreich stattfanden.
Darüber hinaus würden nur wenige glauben, dass Anti-Gentrifizierung die Kriterien „extremer Kriminalfälle” erfüllt, unter denen ProtonMail IP-Adressen protokolliert.
Proton bietet auch einen VPN-Dienst an, der laut Andy Yen keine IP-Informationen protokolliert und außerhalb der Rechtsgrundlage des Schweizer Rechts liegt.
Er sagte auch, dass Benutzer, die sowohl ProtonVPN als auch Tor einsetzen, nicht in der Lage wären, die tatsächliche IP-Adresse zu erhalten, da diese die IP des VPN-Servers zeigt, mit dem der Benutzer verbunden ist.
Trotz dieser Behauptungen sind die Benutzer von ProtonMail wütend und besorgt über ihre Online-Privatsphäre und Anonymität, die von dem Dienst „beworben” wird. Die Gesetzgeber der Europäischen Union haben auch ein Signal gegeben, dass sie versuchen, einen Weg zu finden, legalen Zugang zu verschlüsselten Daten zu erhalten, was Datenschutzbedenken aufwirft.