Posteo und Mailbox.org: Viele Behörden schaffen keine verschlüsselten Anfragen

Die auf Datenschutz spezialisierten Mailanbieter Mailbox.org und Posteo haben laut ihren Transparenzberichten für 2025 zahlreiche Behördenanfragen abgewiesen, die nicht formal korrekt gestellt wurden. Mailbox.org hatte demnach fast 25 Prozent der Anfragen abgewiesen, meist, weil diese unverschlüsselt übertragen wurden. „Auch bei Auskunftsanfragen durch Behörden halten wir uns an die strengen Vorgaben der Bundesnetzagentur, die besagen, dass die Anfragen verschlüsselt vorgenommen werden müssen“, erklärte Balint Gyemant, Chief Product Officer von mailbox.

Insgesamt erreichten Mailbox.org im Jahr 2025 74 Auskunftsanfragen, davon 63 per Mail und davon wiederum 27 unverschlüsselt. Weitere sechs waren aus sonstigen Gründen unrechtmäßig. „Erfreulich ist, dass uns 2025 erstmals keine Anfragen mehr per Fax erreichten. Dies war noch bis 2024 der Fall, obwohl Auskunftsanfragen per Fax eigentlich schon seit 2021 untersagt sind“, sagte Gyemant.

Der Großteil der Auskunftsanfragen an Mailbox.org kam von deutschen Behörden, nur drei stammten von anderen EU-Staaten und eine Anfrage kam von außerhalb der EU. 72 Anfragen wurden im Rahmen der Strafverfolgung gestellt, zwei durch Nachrichtendienste. Nur zwei bezogen sich auf eine Postfachbeschlagnahmung, bei allen anderen ging es um Bestandsdatenabfragen.

Immerhin scheint es bei manchen Behörden einen gewissen Lerneffekt zu geben: In 15 Fällen hätten Ermittlungsbehörden unverschlüsselt übertragene Anfragen nachträglich korrigiert, sodass mailbox.org insgesamt 56 Anfragen beantwortete. 18 Anfragen wurden aber nicht korrigiert und daher abgewiesen. Der Großteil der Anfragen sei 2025 wie im Vorjahr per E-Mail mit PGP verschlüsselt eingegangen. Im Vorjahr wies der Mailanbieter noch eine Quote der Abweisungen von 30 Prozent aus.

Posteo: 27 Beschwerden bei Datenschutzbeauftragten

Posteo zählt für das Jahr 2025 insgesamt 85 Ersuchen, bei denen man nach Prüfung durch die eigenen Anwälte 35 als nicht korrekt einstufte. Das entspricht einer Quote von rund 41 Prozent. Auch hier scheint die Verschlüsselung ihrer Anfragen ein Hindernis für viele Behörden darzustellen: Posteo gibt nämlich an, 2025 27 Beschwerden bei Landesdatenschutzbeauftragten oder Behörden wegen rechtswidrigem, unverschlüsseltem Übermitteln der Behördenersuchen eingereicht zu haben. Ebenfalls sind Beschwerden wegen rechtswidriger Ersuchen nach Verkehrsdaten wie IP-Adressen geplant.

Wie bei mailbox.org richtete sich auch bei Posteo die Mehrzahl der Anfragen, nämlich 72, auf Herausgabe von Bestandsdaten. In vier Fällen ging es um Postfachbeschlagnahmungen, bei zweien um TKÜ, also die Überwachung eines Postfachs für einen bestimmten Zeitraum. In sieben Fällen blieb unklar, was das Anliegen der Behörden war. Auch bei Posteo kamen mit 81 Ersuchen die deutliche Mehrheit von Strafverfolgungsbehörden, vier von Nachrichtendiensten. Mit 79 Anfragen stammte die Mehrzahl von deutschen Behörden.

Anders als Mailbox.org nennt Posteo auch die Zahl der Fälle, in denen Daten herausgegeben wurden: 2025 waren es nur zwei, und zwar jeweils die Herausgabe von Inhaltsdaten im Rahmen einer TKÜ, die nach richterlichem Beschluss erfolgte. Herausgabe von Bestands- und Bezahldaten gab es keine, da die abgefragten Accounts offenbar anonym eingerichtet worden sind, was bei Posteo gegen Bargeldzahlung per Post möglich ist.

Posteo veröffentlicht seit 2014 seine Transparenzberichte und beklagt seitdem auch die Missstände bei Anfragen durch die Behörden, etwa weil darin sensible Daten unverschlüsselt übertragen wurden, die Ersuchen an den Kundensupport gingen und Ähnliches. Einige Fälle finden sich auf der Seite des Transparenzberichts dokumentiert.

Behörden nutzen selber Tuta-Accounts

Anders ist die Lage beim ebenfalls auf Datenschutz ausgerichteten Hannoveraner Mail-Anbieter Tuta (ehemals Tutanota). Der aktualisiert seinen Transparenzbericht halbjährlich und hat laut Zahlen von Anfang Januar insgesamt 75 Prozent aller Behördenersuchen abgewiesen. Die meisten Anfragen gehen auch hier auf Bestandsdaten, im zweiten Halbjahr 2025 waren es 165 Anfragen, bei denen in 19 Fällen Bestandsdaten freigegeben wurden.

Allerdings erfasst Tuta die Gründe für die Ablehnung nicht systematisch, erklärte eine Sprecherin des Unternehmens. Überwiegend würden keine Daten ausgeliefert, weil der angefragte Account nicht oder nicht mehr existiere oder weil die Anfrage fehlerhaft beziehungsweise ungerechtfertigt sei. Das Problem mit unverschlüsselten Anfragen komme allerdings fast gar nicht vor, da die Behörden sich selbst einen Tuta-Account erstellen. Damit könnten sowohl die Anfrage als auch die Auslieferung von Daten Ende-zu-Ende-verschlüsselt per Tuta Mail stattfinden.

(axk)