Bei Hotmail fragen wir erst gar nicht

Unser Mandant hatte was teures bestellt, die Lieferung kam aber nicht bei ihm an. Weil sie nie abgeschickt wurde. So richtige Anknüpfungspunkte gab es für die Ermittler bei der örtlichen Polizei leider nicht; der Täter hat wohl fingierte Adressdaten verwendet.

Mit einer Ausnahme. Mein Mandant hatte von dem Verkäufer mal eine Antwort auf eine Rückfrage erhalten, die von einer anderen E-Mail-Adresse kam als sonst. Das haben wir der Polizei natürlich auch mitgeteilt. Mit dem ausdrücklichen Hinweis, dass die verwendete Hotmail-Adresse nur einmal auftaucht.

Möglicherweise hat der Betrüger sie nur versehentlich verwendet, weil er sich auf seinem Smartphone im Account irrte. Nach einigen Monaten kriege ich von der Staatsanwaltschaft nun die Ermittlungsakte und lese folgenden Vermerk des zuständigen Kommissars:

Auf eine Anfrage bei Microsoft hinsichtlich der angegebenen E-Mail-Adresse wurde verzichtet, da bei Hotmail die angegebenen Personaldaten nicht geprüft werden.

Dumm nur, dass die betreffende E-Mail-Adresse doch authentisch war. Sogar seine korrekte Postadresse hatte der Verdächtige hinterlegt. Das ergibt sich aus anderen Unterlagen, die später aufgetaucht sind. Microsoft verfügte also zu einem frühen Zeitpunkt über echte Stammdaten des Verdächtigen und hätte sie mitteilen können – wenn die Polizei gefragt hätte.

Und das alles auch noch zu einem Zeitpunkt, als der Mann mit einiger Sicherheit noch an der Adresse wohnte. Mittlerweile ist das aber wohl Schnee von gestern. Der Beschuldigte soll seinen Versandhandel nun von Thailand aus betreiben; jedenfalls ist er vor geraumer Zeit dorthin ausgereist.

  • Rüdiger

    Ist natürlich blöd, wenn man mal auf der anderen Seite steht, und an persönliche Daten von jemandem ran will.
    Und dann nicht bekommt, wegen Datenschutz oder anderer Begründungen.

  • Peter

    @Rüdiger: Äpfel != Birnen

  • zf.8

    Möglicherweise hat der Betrüger sie nur versehentlich verwendet, weil er sich auf seinem Smartphone im Account irrte.

    Wenn der schon verurteilt ist, dann müsste man doch wissen wo er wohnt, oder?

  • Jorn

    @Rüdiger: Ist natürlich blöd, wenn man mit der Meinung “Kirk ist doof” in einen Star Wars Film geht und danach allen erzählt, welch schlechter Charakter dieser Kirk doch war.

  • kinder-sind-unschlag

    @zf.8:
    Selbstverständlich mein U.V. den “mutmaßlichen Betrüger”.
    Aber wie Rüdiger schon richtig anmerkt: Die Sicht der Dinge ändert sich, wenn man selber mal auf der anderen Seite steht…

  • Troll

    Schlampig arbeitende Polizei und Staatsanwaldschaft kenne ich.
    Mein Fall:
    Bei mir (in meinem Onlineshop) wurde mit einer Falschen Rechnungsanschrift und den dazugehörigen bankdaten per lastschrift bestellt.
    Lieferadresse war eine gekaperte Packstation.
    Der Mensch, von dem die Bankdaten waren, hat sich Gott sei dank vor versenden der Ware gemeldet.
    Ich konnte deshalb vor Versand die Polizei benachrichtigen.
    Im Paket habe ich, aus gründen des Gewichtes, einen Liter Milch verschickt.
    Die Polizei wollte an Ort und Stelle die Packstation observieren.
    Nach dem die Polizei am ersten tag bis 19 Uhr gewartet hatte, zog Sie von dannen, denn die Dienstzeit war vorbei.
    Laut Packstationdaten wurde das Paket dann um 21:00 Uhr dort geholt.

    Die Polizei arbeitet also nur tagsüber, außerdem wurde angenommen es ist ein großer Betrügerring aus Polen an den man nicht ran kommt.

    Was für eine scheiß Polizeiarbeit.

  • Ano Nym

    @kinder-sind-unschlag: Ursächlich für diese geänderte “Sicht der Dinge” ist aber ein Irrtum. Und zwar der Irrtum, dass aus dem Umstand, wenn die Daten schon gespeichert sind und ich nichts dagegen tun kann (das ist mein Fazit aus PRISM, VDS usw.), folgen würde, diese Daten müssen mir dann doch wenigstens auch einmal zum Vorteil gereichen.

    Dazu sind sie aber nicht gespeichert worden.

  • Jens Scholz

    Muss man wirklich den Unterschied zwischen anlassloser Speicherung und Rasterung von Verkehrsdaten (VDS / Äpfel) und der fallbezogenen Ermittlung von Kundendaten bei einem begründeten Verdacht (klassische Ermittlungsarbeit/ Birnen) erklären?

  • Hans

    @ Troll
    In Berlin kann man auch relativ unbehelligt nach 22 Uhr mit dem PKW rasen, weil die Polizisten, die am Laser stehen dann eine Nachtzulage bezahlt bekommen müssten. Da Berlin bekanntermaßen faktisch pleite ist passiert das sehr selten.
    (Ich selber fahre übrigens nicht Auto.)

  • Ano Nym

    @Jens Scholz: Die Daten bei Hotmail wurden nicht zu dem Zweck gespeichert zu dem Sie hätten beauskunftet werden können. Anlass der Speicherung und Anlass der möglichen Beauskunftung durch die Polizei fallen also auch im vorliegenden Fall auseinander.

    Man stelle sich vor, der Täter hätte Daten einer anderen Person angegeben und die Polizei hätte diese Daten von Hotmail erhalten. Diese andere Person wäre dann womöglich in den Genuss einer zusätzlichen Portion Rechtsstaat gekommen.

  • max

    Strafvereitelung im Amt?

  • karl

    @Rüdiger: Thema verfehlt. Hier geht es eher darum, dass der ermittelnde Polizeibeamte einfach zu faul war (“Klappt eh nicht”).

  • wonko

    @Ano Nym:

    Die Daten bei Hotmail wurden nicht zu dem Zweck gespeichert zu dem Sie hätten beauskunftet werden können.

    Aha. Da Sie ja offensichtlich weiterreichende Information haben – aus welchem Grund genau erhebt denn Hotmail die Daten?

  • Ano Nym

    @wonko: Dass Hotmail persönliche Daten deshalb erfasst, um der deutschen Polizei hernach Auskunft zu geben, bestreite ich mit Nichtwissen. Zu welchem anderen Zweck Hotmail die Daten erhebt, ist mir nicht bekannt.

  • alter Jakob

    @Ano Nym:
    Ist für den Unterschied zwischen einer anlasslosen Datenspeicherung (Äpfel) und der verdachtsbegründeten Ermittlung (Birnen) auch völlig unerheblich (siehe Jens Scholz).

  • Ano Nym

    @alter Jakob: Das Problem ist doch, dass etwa im Rahmen der VDS die Datenspeicherung anlasslos erfolgt (zum Zeitpunkt der Speicherung liegt kein Tatverdacht vor). Diese Anlasslosigkeit ist aber bei der Anmeldung eines Hotmail-Accounts ebenfalls gegeben. Also liegt hier schon mal kein Unterschied.

    Der Unterschied liegt nur auf der Seite der Beauskunftung: Hotmail-Daten werden (meines Wissens oder genauer: Nichtwissens!) eben nicht zu dem Zweck gespeichert, einer deutschen Polizeibehörde Auskunft zu geben. Letzteres ist aber im Falle der VDS-Daten genau intendiert.

  • akbwl

    Wurde die Hotmail-Adresse verifiziert ? Schließlich kann der Adressbesitzer alles mögliche eingeben. Von daher dürfte die Information nicht rechtsicher sein. Wahrscheinlich meinte der Polizist auch genau dies mit seiner Aussage: Hotmail überprüft die Daten nicht.
    Die Polizei hat in diesem Fall sich genau so verhalten, wie es UV immer wieder fordert.

  • Stefan Koch

    Ich stimme da mit Rüdiger überein. Auf der anderen Seite fordern wir immer, dass die Telefongesellschaften keine Daten an Musikvertriebe rausgeben sollen. Oder eben nur nach richterliche Anordnung. Dann beklagen wir uns aber auch darüber, dass Richter nur 1 Minute pro Antrag haben und sowieso alles unterschreiben.

    Also entweder nur Herausgabe bei Schwerverbrechen, Rausgabe ohne richerliche Prüfung oder Rausgabe praktisch ohne richterliche Prüfung (wegen Zeitmangels).

  • alter Jakob

    @Ano Nym:
    Die Daten sind da. Es gibt einen Anlass. Und daher können die Daten abgefragt werden. Das ist etwas anderes, als anlasslose Datenspeicherung (nämlich der Schritt später). Mehr hat Jens Scholz nicht gesagt. Und auch UV beschwert sich nicht darüber, dass von hotmail zu wenig Daten erhoben werden, sondern dass die Polizei die vorhandenen Daten nicht abgefragt hat. Man kann das beanstanden und dennoch gegen anlasslose Datenspreicherung sein. Das ist kein Widerspruch.

    Und wozu die Daten bei hotmail gespeichert werden ist egal. Ein Fingerabsruck wird am Tatort ja auch nicht hinterlassen, um der Polizei die Ermittlungsarbeit zu erleichtern.

  • Hans

    Wie immer muss man die Mitteilung genau lesen: Microsoft hätte sie mitteilen können, ja klar. Aber die FRage ist, hätte Microsoft sie auch tatsächlich mitgeteilt? Da ist die Antwort vermutlich eher nein. Da Microsoft in Amerika sitzt, müssen sie gar nichts mitteilen. Und in solchen Fällen tun sies wohl auch nicht.

  • Manfred49

    @Troll: Das habe ich gern: Selber zu faul sein, viele Stunden die Packstation zu beobachten und zu gegebener Zeit die Polizei zu rufen. Aber sich beschweren, wenn die Polizeibeamten um 19 Uhr gehen. Meinst du Troll eigentlich, die Polizei hat nichts wichtigeres zu tun, als dein blödes Milchpaket zu überwachen? Die Polizei hat Anlassbezogen ihre Arbeit getan, mehr kann bei so einem Pipifax-Fall nicht erwartet werden. Also bei aller Polizeischelte in diesem Blog (ich bin übrigens auch kein Freund von denen) immer schön den Ball flach halten.

  • Bernd

    @Stefan Koch:

    Ich denke, der entscheidende Unterschied ist, dass ich mich der Datenkrake Microsoft durch Wahl eines anderen E-Mail-Anbieters entziehen kann, der Datenkrake Staat zumindest innerhalb der Rechtsordnung nicht. Natürlich mag man das Verhalten Microsofts in Punkto Datensparsamkeit kritisieren, aber wenn ein Krimineller schon so blöd ist, einen solchen Dienst zu nutzen, dann ist es meines Erachtens durchaus legitim, diese Dummheit zur Strafverfolgung auszunutzen.

  • Kai

    @Manfred49: Wow. Auf den Gedanken muss man mal erst kommen. Bei Betrugsversuchen soll man jetzt selbst die Betrüger stellen und sie konfrontieren? Ja, wozu ist die Polizei denn sonst da?

  • MaxR

    Ja, das trifft sich doch gut, Herr Vetter. Da können Sie ja beim nächsten Urlaub das Angenehme mit dem Nützlichen verbinden und dem Delinquenten einen Besuch abstatten.

  • Aluser

    @Manfred49: Ist das Ihr Ernst? o.O Und was sollte er dann machen, wenn er ihn gestellt hat? Mal davon abgesehen, dass für sowas die Polizei doch da ist, hat er keine Befugnisse um den Betrüger bspw. fest zu nehmen.

  • Chris

    @Aluser: Da haben Sie recht. Außerdem ist es recht unwahrscheinlich, dass der Versender in der gleichen Stadt wohnt. Quer durch die Republik fahren, um unbezahlt die Arbeit von anderen zu erledigen, für die man nicht ausgebildet ist, ist nicht jedermanns Sache.

  • andersdenkende
  • Klaus

    Die dachten sich nur: Da machen wir dem Piraten im Anwalt eine Freude und lassen mal ein – vermutlich ohnehin unschuldiges – Opfer unseres Orwell’schen Überwachungs-Polzeistaates von der Schippe springen.

  • wonko

    @Ano Nym: Persönliche Daten sind für das Betreiben eines Email-Kontos vollkommen unnötig. Damit ist der Schluß, daß Hotmail/Microsoft die Daten lediglich erhebt, um sie bei Bedarf der Polizei zur Verfügung zu stellen nicht weniger schlüssig als Ihre Behauptung des Gegenteils.

  • Aluser

    @andersdenkende: Ok, danke, den kannte ich noch nicht. Wobei ich an seiner Stelle dem Betrüger auch nicht aufgelauert hätte, auch wenn ich doch das Recht hätte, ihn festzuhalten. Nur wegen eines Betruges riskiere ich doch nicht, mir auf die Nase hauen zu lassen.

  • Lars

    “Microsoft verfügte also zu einem frühen Zeitpunkt über echte Stammdaten des Verdächtigen”

    Was trotzdem wertlos gewesen wäre – denn zu dem Zeitpunkt waren es noch keine echten Stammdaten, sondern einfach nur Daten.

    Man stelle sich vor, es hätte eine Hausdurchsuchung gegeben einzig aufgrund von irgendeinem Quatsch den jemand bei Hotmail als Adresse angegeben hat. Da wäre sofort ein UV Posting aufgetaucht:”Weiss die Polizei nicht, dass bei Hotmail irgendwas eingetragen werden kann?”

  • zacha

    @lars… naja man muss ja vielleicht nicht gleich eine hausdurchsuchung machen. vielleicht gibt es ja noch mildere mittel, z.B. koennte man ja mal versuchen heraus zu bekommen, ob auf den konten der jeweiligen person gewissen zahlungsströme eingegangen sind. oder ob derjenige anderweitig mit gewissen onlineshops in verbindung steht oder diese verwaltet. es sagt doch niemand, dass die polizei nicht ihre arbeit machen soll.

  • Densor

    @zacha: Muss nicht einmal so kompliziert sein. Hotmail wird wohl auch die IP Adressen loggen, mit denen Nutzer ihre Mails abrufen. Mit diesen sollte sich eigentlich schon abgleichen lassen ob die angegebenen Daten mit dem wirklichen Nutzer übereinstimmen.

    Aber das wäre ja alles mit Arbeit verbunden, die will man sich natürlich nicht machen. Da kommt es viel toller sich über mangelnde Befugnisse und VDS zu beschweren. Deutsche Polizisten brauchen da mindestens Technik wie die NSA bevor die zufrieden sind.

    @Stefan Koch: Der feine Unterschied bei den “Musikbetrieben” ist allerdings das diese keinen wirklichen Schaden nachweisen können, auch das Serienbriefartige Abfragen solcher Daten stellt da eine ganz andere Dimension dar als Einzelfall und Anlassbezogene Ermittlungen und IP Anfragen.

    Ist eben nicht alles ein Vergleich was hinkt..

  • Viator

    @Rüdiger: Datenschutz? Quatsch. Der Grund ist: Die Polizei hat dort nicht ermittelt. Punkt.

  • max

    Leider antwortet UV ja selbst nie hier, aber anscheinend hat ja MS die Daten ja doch am Ende raus gegeben oder wie darf man es sonst verstehen?

    “Sogar seine korrekte Postadresse hatte der Verdächtige hinterlegt. Das ergibt sich aus anderen Unterlagen, die später aufgetaucht sind.”