Stephan Jansen* hat Angst. Seit bekannt wurde, dass Deutschlands größte Online-Drogenbande die Daten ihrer Kunden der Polizei auf einem Silbertablett serviert hat, bangt er um seine Freiheit. “Wenn ich jetzt Probleme mit der Polizei bekomme, verliere ich meinen Job, meine Wohnung … dann verliere ich alles”, sagt Jansen, der als leitender Angestellter in der chemischen Industrie arbeitet.
Jansen hatte wie Tausende andere Nutzer Stoff bei Europas größtem Drogen-Versandhaus Chemical Love bestellt. Der mittlerweile abgeschaltete Online-Marktplatz verschickte über hundert Kilo Designerdrogen, Psychedelika und Arzneimittel an Kunden auf dem gesamten Kontinent.
Videos by VICE
Doch dass Jansens Name Drogenfahndern überhaupt ein Begriff ist, liegt womöglich nicht nur an nachlässigen Dealern und beschlagnahmten Bestelllisten. Wie Motherboard-Recherchen zeigen, könnte Jansen erst durch eine Firma, der er bislang blind vertraute, ins Visier der Ermittler geraten sein: dem Bitcoin-Marktplatz auf Bitcoin.de. In mindestens acht Fällen hat das dahinter stehende Unternehmen, die Bitcoin Deutschland AG, sensible Kundendaten an die Polizei Hannover weitergegeben. Laut Gerichtsakten, die Motherboard vorliegen, gab das Unternehmen die gewünschten Daten auf bloße Anfrage hin an die Polizei weiter. Weder ein Schreiben der Staatsanwaltschaft noch ein Richterbeschluss waren dabei nötig.
Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter
“Ich bin sprachlos”, sagt Jansen heute über die Handhabe der Kundendaten bei der Bitcoin AG. “Ich dachte, das ist ein seriöses Unternehmen und dass meine Daten dort sicher aufgehoben sind”, so der Mann aus Süddeutschland.
Bitcoin gilt gemeinhin als sicheres und anonymes Zahlungsmittel, auch wenn das System im engeren Sinn nicht anonym, sondern pseudonym ist: Das Senden und Empfangen der Coins geschieht unter einem Pseudonym – der Bitcoin-Adresse, die aus einer Zeichenkette mit 27 bis 34 Stellen besteht. Kann die Bitcoin-Adresse mit einer realen Person in Verbindung gebracht werden, können auch die damit getätigten Transaktionen dieser Person zugeordnet werden. Dennoch vertrauen viele Nutzer darauf, dass sie beim Zahlen und Bezahlt-Werden bis zu einem gewissen Grad unsichtbar bleiben. Denn Außenstehende sehen in der Blockchain – dem öffentlichen Register, das alle Geldflüsse dokumentiert – nur kryptischen Code.
Das Missverständnis, mit Bitcoin ließen sich Waren völlig anonym besorgen, ist weit verbreitet.
Auch wenn die Digitalwährung längst im ökonomischen Mainstream angekommen ist und unter besonderer Beobachtung renditehungriger Investoren wie regulierungswütiger Bürokraten steht – das Missverständnis, mit Bitcoins ließen sich Waren völlig anonym besorgen, ist bei vielen Usern nach wie vor verbreitet. So haben etwa neben Jansen auch zahlreiche weitere Kunden des Drogen-Webshops Chemical Love ihre Bestellungen über Bitcoin.de abgewickelt, wie Motherboard-Recherchen zeigen.
Bitcoin.de war zur Datenweitergabe berechtigt – aber nicht verpflichtet
Rein rechtlich hätte Bitcoin das polizeiliche Auskunftsersuchen aus Hannover durchaus ablehnen können. Laut Johannes Caspar, Juraprofessor und Datenschutzbeauftragter in Hamburg, besteht eine Pflicht zur Datenherausgabe nur dann, wenn die Staatsanwaltschaft oder ein Gericht nach Auskunft verlangt.
Auch nach dem Geldwäschegesetz (GwG) lasse sich kein rechtlicher Zwang ableiten, die Daten auf Anfrage einer Polizeistelle zu übermitteln, so Caspar. Demnach sind Finanzunternehmen zwar dazu verpflichtet, bereits auf Verdacht hin auffällige Geldbewegungen den Behörden zu melden – und nicht erst, wie für Firmen in anderen Wirtschaftsbereichen üblich, wenn die Staatsanwaltschaft sich einschaltet. Doch ist der Adressat dieser Verdachtsmeldung aus dem GwG eine Spezialbehörde des Finanzministeriums und keine Polizeidienststelle. Zudem gilt die Meldepflicht nur dann, wenn die Unternehmen von selbst Verdacht schöpfen – und nicht auf Zuruf von Ermittlern.
Bitcoin.de verteidigt seine Datenpolitik gegenüber Motherboard mit einer “gesetzlichen Meldepflicht”, die dem Unternehmen keine Wahl ließe, als die polizeilichen Anfragen positiv zu beantworten. Erst auf erneute Nachfrage, aus welcher gesetzlichen Grundlage die Firma eine Pflicht, und nicht nur eine Berechtigung, ableitet, betont der Unternehmenssprecher die jahrelange “vertrauensvolle Zusammenarbeit mit verschiedenen Behörden.” Die Bitcoin Deutschland AG habe bisher keine polizeiliche Anfrage erhalten, der kein “berechtigtes Interesse” zugrunde gelegen habe, so Oliver Flaskämper.
Der niedersächsische Datenschutzbeauftragte kommt wie sein Kollege aus Hamburg jedoch zu einem anderen Schluss: Rechtsgrundlage einer polizeilichen Anfrage ist nicht das Geldwäschegesetz, sondern der Paragraph 28 im Bundesdatenschutzgesetz, der zur Datenherausgabe berechtigt, wie Pressesprecher Matthias Fischer gegenüber Motherboard betont. Eine Meldepflicht, wie von Bitcoin.de behauptet, bestehe jedoch nicht.
Ein Telefonat reichte, und die Plattform lenkte ein
Dennoch gab das Unternehmen Jansens Daten und die weiterer Kunden frei. Voraus ging ein Schreiben der Zentralen Kriminalinspektion Hannover, Fachkommissariat 3 Betäubungsmittel-Handel. Einen Tag vor Weihnachten, am 23.12.2015, schickten die Beamten einen Brief an Bitcoin.de und baten nach Informationen über mögliche Hintermänner der Chemical-Love-Bande. Alles, was die Ermittler bis dato hatten, war die Bitcoin-Adresse 124PF3ByjWxqNFLHKDWeuMBSA5TjNS4iyA, die sie aus einem separaten Verfahren gegen einen Chemical-Love-Kunden in Österreich kannten. Von Bitcoin.de wollten sie nun wissen, wer sich hinter diesem Pseudonym verbirgt.
Am 5. Januar teilte Bitcoin via E-Mail mit, dass “aufgrund der Anzahl der angefragten Bitcoin-Adressen” ein Ersuchen der Staatsanwaltschaft erforderlich sei und eine polizeiliche Anfrage nicht ausreiche. Gezeichnet: das Bitcoin-Vorstandsmitglied Michael Nowak. Laut Gerichtsakten konnten die anfänglichen Bedenken von Bitcoin offenbar schnell beseitigt werden. Noch am selben Tag, heißt es in den Dokumenten weiter, habe man sich telefonisch geeinigt und vereinbart, dass die Firma zumindest die erste Bitcoin-Adresse auch ohne Post vom Staatsanwalt überprüfen werde.
Bitcoin.de lieferte Namen, E-Mail-Adresse, Telefonnummer, Bestellsummen, Kontodaten, Login-Historie und IP-Adressen.
Welche rhetorischen Fähigkeiten der zuständige Kriminaloberkommissar D. an diesem Tag am Telefon bewiesen hat, ist nicht überliefert. Trotzdem konnten die Plattform-Betreiber der Polizei zunächst nicht helfen: Die angefragte Adresse sei nicht bei Bitcoin.de registriert, es lägen keine Nutzerdaten vor, schrieb das Unternehmen drei Tage später nach Hannover. Doch Bitcoin.de ermittelte, offenbar auf eigene Faust, weitere Adressen, die mit der Chemical-Love-Adresse in Verbindung stehen könnten. Für insgesamt acht Bitcoin-Adressen lieferte die Börse an diesem Tag personenbezogene Daten an die Behörde: darunter Klarnamen und Nicknames, Wohnort, E-Mail-Adresse, Telefonnummer, Bestellsummen, Bankverbindung, Kontobewegungen, Login-Historie und IP-Adressen.
Bitcoin laut Forschern weniger anonym als eine herkömmliche Banküberweisung
Die Daten fanden Eingang in die Chemical-Love-Ermittlungsakte. Inwieweit sie den Chemical-Love-Jägern bei ihrer Fahndung geholfen haben oder gegen wie viele der von Bitcoin.de gemeldeten Personen ermittelt wird, ergibt sich nicht aus den Unterlagen.
Doch auch wenn letztlich keiner der Betroffenen strafrechtlich verfolgt werden sollte, zeigt der Fall deutlich, dass Bitcoin.de-Kunden mit einem weit geringeren Schutz rechnen können, als viele User bislang angenommen haben. Dies dürfte jedoch bald auch für Nutzer anderer Bitcoin-Handelsplätze gelten, die weniger kooperationsgeneigt sind als Bitcoin.de: Computerwissenschaftlern zufolge sind persönliche Daten bei Bitcoin-Plattformen ohne entsprechende Anonymisierungs-Tools mittlerweile weniger sicher als bei einer herkömmlichen Überweisung.
Wie viele Kundendaten bisher an Behörden weitergereicht wurde, möchte die Bitcoin Deutschland AG auf Anfrage nicht sagen. Es betreffe aber “nur selten” einen der rund 400.000 Kunden, so der Sprecher Oliver Flaskämper. Die Plattform erreichten “im Schnitt ein bis zwei Behördenanfragen pro Tag”.
“Datenschutz hat für den einzelnen Nutzer oft nur eine sehr geringe Priorität”, sagt Bitcoin
Bei der Imagepflege des Unternehmens spiele Datenschutz und Anonymität ohnehin keine Rolle, sagt Flaskämper auf Anfrage. Der Datenschutz habe, trotz steigender gesellschaftlicher Relevanz, “für den einzelnen Nutzer oft nur eine sehr geringe Priorität”, so der Sprecher.
Stephan Jansen würde der Aussage Flaskämpers wohl nur bedingt zustimmen. Ihn mache die Tatsache “wütend”, dass ihm nicht vorher kommuniziert wurde, dass die Firma auf freiwilliger Basis mit Strafverfolgungsbehörden kooperiere. In den AGB des Unternehmens finde sich kein Hinweis, wie das Unternehmen mit polizeilichen Anfrage umgeht. “Darauf hätte man die Kunden deutlich hinweisen müssen”, sagt Jansen. Dass er mit der Bestellung gegen geltendes Recht verstoßen hat, wisse er.
“Verteidige ich meine Kunden oder helfe ich der Strafverfolgung?”
Laut dem Münchner IT-Anwalt Marc E. Evers ist der Umgang eines Unternehmens mit polizeilichen Anfragen keine rein rechtliche Frage. Solange kein Schreiben von der Staatsanwaltschaft oder des Richters vorliege, könne die Firma zwischen dem Interesse der Strafverfolger und dem Datenschutzinteresse der Kunden abwägen, so Evers.
“Auf dieser Ebene ist das eine Marketing-Frage des entsprechenden Unternehmens”, so der IT-Anwalt. “Die Frage lautet dann: Verteidige ich lieber meine Kunden oder helfe ich der Strafverfolgung?” Diese Abwägung müsse jede Firma selbst vornehmen.
Bei Bitcoin.de scheint man diese Abwägung klar entschieden zu haben. Firmensprecher Flaskämper betont, “auch in Zukunft im Rahmen der geltenden Gesetze (…) entsprechende Auskünfte an berechtigte Behörden zu erteilen.”