Für die Polizei ist es ein Leichtes, an Nutzerdaten der größten deutschen Bitcoin-Börse zu gelangen. Kunden der Plattform können mit einem weit geringeren Schutz rechnen als bisher angenommen.
Stephan Jansen* hat Angst. Seit bekannt wurde, dass Deutschlands größte Online-Drogenbande die Daten ihrer Kunden der Polizei auf einem Silbertablett serviert hat, bangt er um seine Freiheit. "Wenn ich jetzt Probleme mit der Polizei bekomme, verliere ich meinen Job, meine Wohnung … dann verliere ich alles", sagt Jansen, der als leitender Angestellter in der chemischen Industrie arbeitet.
Jansen hatte wie Tausende andere Nutzer Stoff bei Europas größtem Drogen-Versandhaus Chemical Love bestellt. Der mittlerweile abgeschaltete Online-Marktplatz verschickte über hundert Kilo Designerdrogen, Psychedelika und Arzneimittel an Kunden auf dem gesamten Kontinent.
Doch dass Jansens Name Drogenfahndern überhaupt ein Begriff ist, liegt womöglich nicht nur an nachlässigen Dealern und beschlagnahmten Bestelllisten. Wie Motherboard-Recherchen zeigen, könnte Jansen erst durch eine Firma, der er bislang blind vertraute, ins Visier der Ermittler geraten sein: dem Bitcoin-Marktplatz auf Bitcoin.de. In mindestens acht Fällen hat das dahinter stehende Unternehmen, die Bitcoin Deutschland AG, sensible Kundendaten an die Polizei Hannover weitergegeben. Laut Gerichtsakten, die Motherboard vorliegen, gab das Unternehmen die gewünschten Daten auf bloße Anfrage hin an die Polizei weiter. Weder ein Schreiben der Staatsanwaltschaft noch ein Richterbeschluss waren dabei nötig.
"Ich bin sprachlos", sagt Jansen heute über die Handhabe der Kundendaten bei der Bitcoin AG. "Ich dachte, das ist ein seriöses Unternehmen und dass meine Daten dort sicher aufgehoben sind", so der Mann aus Süddeutschland.
Bitcoin gilt gemeinhin als sicheres und anonymes Zahlungsmittel, auch wenn das System im engeren Sinn nicht anonym, sondern pseudonym ist: Das Senden und Empfangen der Coins geschieht unter einem Pseudonym – der Bitcoin-Adresse, die aus einer Zeichenkette mit 27 bis 34 Stellen besteht. Kann die Bitcoin-Adresse mit einer realen Person in Verbindung gebracht werden, können auch die damit getätigten Transaktionen dieser Person zugeordnet werden. Dennoch vertrauen viele Nutzer darauf, dass sie beim Zahlen und Bezahlt-Werden bis zu einem gewissen Grad unsichtbar bleiben. Denn Außenstehende sehen in der Blockchain – dem öffentlichen Register, das alle Geldflüsse dokumentiert – nur kryptischen Code.
Das Missverständnis, mit Bitcoin ließen sich Waren völlig anonym besorgen, ist weit verbreitet.
Auch wenn die Digitalwährung längst im ökonomischen Mainstream angekommen ist und unter besonderer Beobachtung renditehungriger Investoren wie regulierungswütiger Bürokraten steht – das Missverständnis, mit Bitcoins ließen sich Waren völlig anonym besorgen, ist bei vielen Usern nach wie vor verbreitet. So haben etwa neben Jansen auch zahlreiche weitere Kunden des Drogen-Webshops Chemical Love ihre Bestellungen über Bitcoin.de abgewickelt, wie Motherboard-Recherchen zeigen.
Bitcoin.de war zur Datenweitergabe berechtigt – aber nicht verpflichtet
Rein rechtlich hätte Bitcoin das polizeiliche Auskunftsersuchen aus Hannover durchaus ablehnen können. Laut Johannes Caspar, Juraprofessor und Datenschutzbeauftragter in Hamburg, besteht eine Pflicht zur Datenherausgabe nur dann, wenn die Staatsanwaltschaft oder ein Gericht nach Auskunft verlangt.
Auch nach dem Geldwäschegesetz (GwG) lasse sich kein rechtlicher Zwang ableiten, die Daten auf Anfrage einer Polizeistelle zu übermitteln, so Caspar. Demnach sind Finanzunternehmen zwar dazu verpflichtet, bereits auf Verdacht hin auffällige Geldbewegungen den Behörden zu melden – und nicht erst, wie für Firmen in anderen Wirtschaftsbereichen üblich, wenn die Staatsanwaltschaft sich einschaltet. Doch ist der Adressat dieser Verdachtsmeldung aus dem GwG eine Spezialbehörde des Finanzministeriums und keine Polizeidienststelle. Zudem gilt die Meldepflicht nur dann, wenn die Unternehmen von selbst Verdacht schöpfen – und nicht auf Zuruf von Ermittlern.
Bitcoin.de verteidigt seine Datenpolitik gegenüber Motherboard mit einer "gesetzlichen Meldepflicht", die dem Unternehmen keine Wahl ließe, als die polizeilichen Anfragen positiv zu beantworten. Erst auf erneute Nachfrage, aus welcher gesetzlichen Grundlage die Firma eine Pflicht, und nicht nur eine Berechtigung, ableitet, betont der Unternehmenssprecher die jahrelange "vertrauensvolle Zusammenarbeit mit verschiedenen Behörden." Die Bitcoin Deutschland AG habe bisher keine polizeiliche Anfrage erhalten, der kein "berechtigtes Interesse" zugrunde gelegen habe, so Oliver Flaskämper.
Der niedersächsische Datenschutzbeauftragte kommt wie sein Kollege aus Hamburg jedoch zu einem anderen Schluss: Rechtsgrundlage einer polizeilichen Anfrage ist nicht das Geldwäschegesetz, sondern der Paragraph 28 im Bundesdatenschutzgesetz, der zur Datenherausgabe berechtigt, wie Pressesprecher Matthias Fischer gegenüber Motherboard betont. Eine Meldepflicht, wie von Bitcoin.de behauptet, bestehe jedoch nicht.
Stephan Jansen* hat Angst. Seit bekannt wurde, dass Deutschlands größte Online-Drogenbande die Daten ihrer Kunden der Polizei auf einem Silbertablett serviert hat, bangt er um seine Freiheit. "Wenn ich jetzt Probleme mit der Polizei bekomme, verliere ich meinen Job, meine Wohnung … dann verliere ich alles", sagt Jansen, der als leitender Angestellter in der chemischen Industrie arbeitet.
Jansen hatte wie Tausende andere Nutzer Stoff bei Europas größtem Drogen-Versandhaus Chemical Love bestellt. Der mittlerweile abgeschaltete Online-Marktplatz verschickte über hundert Kilo Designerdrogen, Psychedelika und Arzneimittel an Kunden auf dem gesamten Kontinent.
Doch dass Jansens Name Drogenfahndern überhaupt ein Begriff ist, liegt womöglich nicht nur an nachlässigen Dealern und beschlagnahmten Bestelllisten. Wie Motherboard-Recherchen zeigen, könnte Jansen erst durch eine Firma, der er bislang blind vertraute, ins Visier der Ermittler geraten sein: dem Bitcoin-Marktplatz auf Bitcoin.de. In mindestens acht Fällen hat das dahinter stehende Unternehmen, die Bitcoin Deutschland AG, sensible Kundendaten an die Polizei Hannover weitergegeben. Laut Gerichtsakten, die Motherboard vorliegen, gab das Unternehmen die gewünschten Daten auf bloße Anfrage hin an die Polizei weiter. Weder ein Schreiben der Staatsanwaltschaft noch ein Richterbeschluss waren dabei nötig.
"Ich bin sprachlos", sagt Jansen heute über die Handhabe der Kundendaten bei der Bitcoin AG. "Ich dachte, das ist ein seriöses Unternehmen und dass meine Daten dort sicher aufgehoben sind", so der Mann aus Süddeutschland.
Bitcoin gilt gemeinhin als sicheres und anonymes Zahlungsmittel, auch wenn das System im engeren Sinn nicht anonym, sondern pseudonym ist: Das Senden und Empfangen der Coins geschieht unter einem Pseudonym – der Bitcoin-Adresse, die aus einer Zeichenkette mit 27 bis 34 Stellen besteht. Kann die Bitcoin-Adresse mit einer realen Person in Verbindung gebracht werden, können auch die damit getätigten Transaktionen dieser Person zugeordnet werden. Dennoch vertrauen viele Nutzer darauf, dass sie beim Zahlen und Bezahlt-Werden bis zu einem gewissen Grad unsichtbar bleiben. Denn Außenstehende sehen in der Blockchain – dem öffentlichen Register, das alle Geldflüsse dokumentiert – nur kryptischen Code.
Das Missverständnis, mit Bitcoin ließen sich Waren völlig anonym besorgen, ist weit verbreitet.
Auch wenn die Digitalwährung längst im ökonomischen Mainstream angekommen ist und unter besonderer Beobachtung renditehungriger Investoren wie regulierungswütiger Bürokraten steht – das Missverständnis, mit Bitcoins ließen sich Waren völlig anonym besorgen, ist bei vielen Usern nach wie vor verbreitet. So haben etwa neben Jansen auch zahlreiche weitere Kunden des Drogen-Webshops Chemical Love ihre Bestellungen über Bitcoin.de abgewickelt, wie Motherboard-Recherchen zeigen.
Bitcoin.de war zur Datenweitergabe berechtigt – aber nicht verpflichtet
Rein rechtlich hätte Bitcoin das polizeiliche Auskunftsersuchen aus Hannover durchaus ablehnen können. Laut Johannes Caspar, Juraprofessor und Datenschutzbeauftragter in Hamburg, besteht eine Pflicht zur Datenherausgabe nur dann, wenn die Staatsanwaltschaft oder ein Gericht nach Auskunft verlangt.
Auch nach dem Geldwäschegesetz (GwG) lasse sich kein rechtlicher Zwang ableiten, die Daten auf Anfrage einer Polizeistelle zu übermitteln, so Caspar. Demnach sind Finanzunternehmen zwar dazu verpflichtet, bereits auf Verdacht hin auffällige Geldbewegungen den Behörden zu melden – und nicht erst, wie für Firmen in anderen Wirtschaftsbereichen üblich, wenn die Staatsanwaltschaft sich einschaltet. Doch ist der Adressat dieser Verdachtsmeldung aus dem GwG eine Spezialbehörde des Finanzministeriums und keine Polizeidienststelle. Zudem gilt die Meldepflicht nur dann, wenn die Unternehmen von selbst Verdacht schöpfen – und nicht auf Zuruf von Ermittlern.
Bitcoin.de verteidigt seine Datenpolitik gegenüber Motherboard mit einer "gesetzlichen Meldepflicht", die dem Unternehmen keine Wahl ließe, als die polizeilichen Anfragen positiv zu beantworten. Erst auf erneute Nachfrage, aus welcher gesetzlichen Grundlage die Firma eine Pflicht, und nicht nur eine Berechtigung, ableitet, betont der Unternehmenssprecher die jahrelange "vertrauensvolle Zusammenarbeit mit verschiedenen Behörden." Die Bitcoin Deutschland AG habe bisher keine polizeiliche Anfrage erhalten, der kein "berechtigtes Interesse" zugrunde gelegen habe, so Oliver Flaskämper.
Der niedersächsische Datenschutzbeauftragte kommt wie sein Kollege aus Hamburg jedoch zu einem anderen Schluss: Rechtsgrundlage einer polizeilichen Anfrage ist nicht das Geldwäschegesetz, sondern der Paragraph 28 im Bundesdatenschutzgesetz, der zur Datenherausgabe berechtigt, wie Pressesprecher Matthias Fischer gegenüber Motherboard betont. Eine Meldepflicht, wie von Bitcoin.de behauptet, bestehe jedoch nicht.
Die Ironie ist die Lust an der Distanz zu Dingen, deren Nähe Unlust erzeugt.
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Wollmilchsau ()