Traceless.me: Vorratsdatenspeicherung vertreibt VPN-Provider

Traceless.me ist ein VPN-Anbieter, den drei Sicherheitsenthusiasten aus Berlin und München im Anschluss an die Snowden-Enthüllungen gründeten. Der Dienst soll die Privatsphäre seiner inzwischen rund 5.000 aktiven Nutzer schützen. Doch könnte das Unternehmen durch die Vorratsdatenspeicherung gezwungen werden, die Daten seiner Kunden gegen seinen Willen zu speichern. Golem.de sprach mit einem der drei Firmengründer, Johannes Ludwig, über Konsequenzen des neuen Gesetzes.

Golem.de: Herr Ludwig, die Bundesnetzagentur will in wenigen Tagen ihren Anforderungskatalog zur Vorratsdatenspeicherung veröffentlichen. Was bedeutet das für einen kleinen Anbieter wie Traceless.me?

Johannes Ludwig: Vorratsdatenspeicherung ist ein Angriff auf die Privatsphäre aller und zwingt uns zum Umziehen - oder unsere Grundsätze zu verraten. Uns kostet die Umsetzung nicht nur viel Geld. Das größere Problem ist: Sie steht im kompletten Widerspruch zu unserer Dienstleistung. Es ist nicht akzeptabel für uns, in irgendeiner Art und Weise die Daten der Nutzer zu sammeln.

Golem.de: Wie wollen Sie das verhindern?

Ludwig: Wir sind bereits dabei, uns nach einem anderen Standort umzusehen. Wir würden gerne innerhalb der EU bleiben. Aber es ist schwierig, weil die EU selbst eine Regelung zur Vorratsdatenspeicherung erwägt. Andere europäische Länder wie Island oder die Schweiz haben inzwischen selbst wieder eine Vorratsdatenspeicherung umgesetzt.

Golem.de: Welche Standorte kämen infrage?

Ludwig: Es gibt einige Kandidaten. Ich befinde mich gerade in Serbien und spreche hier mit Anwälten und den lokalen zuständigen Behörden, um herauszufinden, wie und ob wir unseren Service hier betreiben können. Bosnien wäre ein weiterer Kandidat, der nicht zu weit entfernt ist.

Golem.de: Welche Daten speichern Sie denn bisher?

Ludwig: Unser System ist technisch so umgesetzt, dass IP-Adressen nicht gespeichert werden. Nur während der eigentlichen Verbindung liegen die IP-Adressen temporär im RAM vor - das müssen sie, ohne können wir keine VPN-Verbindung erstellen. Langfristig finden sich im System nur Daten, die zwingend zum Betrieb benötigt werden, wie beispielsweise die E-Mail-Adresse des Nutzers und seine Accountlaufzeit. Rückschlüsse auf Aktivität und Onlineverhalten eines bestimmten Nutzers lässt unser Setup nicht zu.

Prinzipiell kann unser kostenloses Paket ohne irgendwelche Angaben zur Person genutzt werden. Unser kostenpflichtiges Angebot kann auch mit Bitcoin bezahlt werden, was komplett ohne die Angabe von Bestandsdaten geht. Man könnte das System aber so verändern, dass die IP-Adressen gespeichert werden.

Golem.de: Das heißt, Sie müssten künftig eigens für die Vorratsdatenspeicherung die Daten erheben?

Ludwig: Davon gehen wir aus. Sobald man die Möglichkeit hat, die Daten zu erheben, ist man nach unserer Einschätzung dazu verpflichtet, das auch zu tun.