Transparenzbericht

Wie eclipso Mail Europe mit Behördenanfragen umgeht - und was wir Ihnen versprechen können.

Warrant Canary

eclipso Mail Europe hat bislang keine behördlichen oder gerichtlichen Anordnungen erhalten, Sicherheitslücken oder Hintertüren in seine Systeme einzubauen. Sollten wir jemals eine solche Anordnung erhalten, werden wir uns mit allen rechtlichen Mitteln dagegen zur Wehr setzen.

Hinweis zur rechtlichen Situation:
Nach deutschem Recht sind wir bei Auskunftsersuchen und TKÜ-Maßnahmen gesetzlich zur Geheimhaltung über den Inhalt konkreter Anordnungen verpflichtet. Über den Eingang oder Nichteingang spezifischer Behördenanfragen können wir deshalb keine Aussagen treffen.

Was wir jedoch stets erklären können: Wir haben keine Backdoors eingebaut - und werden es auch nicht tun!

Rechtsraum & Jurisdiktion

Warum US-amerikanische Überwachungsgesetze nicht auf eclipso Mail Europe anwendbar sind.

eclipso Mail Europe ist ein deutsches Unternehmen. Alle Server befinden sich ausschließlich in Deutschland. Unser Dienst unterliegt daher ausschließlich deutschem und europäischem Recht - insbesondere der DSGVO, dem TKG, dem TTDDG und der StPO.

US-amerikanische Überwachungsgesetze sind auf uns nicht anwendbar. US-Behörden haben keine Rechtsgrundlage, uns zur Herausgabe von Nutzerdaten zu verpflichten - weder nach dem FISA, noch nach dem CLOUD Act, noch über einen National Security Letter (NSL).

Anwendbares Recht
  • Telekommunikationsgesetz (TKG)
  • Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDDG)
  • Datenschutz-Grundverordnung (DSGVO)
  • Strafprozessordnung (StPO)
  • Fernmeldegeheimnis (Art. 10 GG)
Nicht anwendbar
  • US Foreign Intelligence Surveillance Act (FISA)
  • US CLOUD Act
  • National Security Letters (NSL)
  • FISA Court Orders (Section 702)
  • Sonstige US-amerikanische oder Nicht-EU-Jurisdiktionen

Warum veröffentlicht eclipso einen Transparenzbericht?

Wir sind der Meinung, dass Transparenz ein wichtiges Gut ist und dass unsere Kunden ein Recht darauf haben zu erfahren, wie wir mit Behördenanfragen umgehen. Dieser Bericht ist selbstverständlich anonymisiert - aus Datenschutzgründen sowie aus rechtlichen Gründen dürfen und wollen wir keine Details zu Einzelfällen nennen.

Wird jede Anfrage geprüft?

Ja - jedes einzelne Auskunftsersuchen wird von unserer Rechtsabteilung eingehend geprüft und im Zweifelsfall unserem Rechtsanwalt zur Klärung übergeben. Bei der Prüfung werden deutsches Datenschutzrecht, das Fernmeldegeheimnis sowie die StPO berücksichtigt. Anfragen, die die gesetzlichen Voraussetzungen nicht erfüllen, werden abgewiesen.

Anfragen von ausländischen Polizeidiensten und Behörden lehnen wir ab und verweisen auf den Rechtsweg über zuständige deutsche Behörden.

Welche Daten können Behörden anfordern?

Die folgende Übersicht erklärt, welche Datenkategorien im Rahmen eines Auskunftsersuchens oder einer TKÜ-Maßnahme relevant sein können und auf welcher Rechtsgrundlage.

Bestandsdaten sind personenbezogene Daten wie Name, Adresse oder Zahlungsinformationen. eclipso Mail Europe erhebt bei der Registrierung aus Prinzip keine identifizierenden Daten - Sie können unsere Dienste anonym mit einem kostenlosen Account nutzen. Dieses Prinzip der Datensparsamkeit und Datenminimierung ist uns nicht nur gesetzlich durch Art. 5 Abs. 1 lit. c und Art. 25 DSGVO vorgegeben, sondern entspricht unserem Grundverständnis vom Umgang mit Nutzerdaten.

Bestandsdaten können auf Basis von § 174 TKG und § 22 TTDDG von mehreren Behörden angefordert werden, sofern die gesetzlichen Voraussetzungen vorliegen. Da wir keine Bestandsdaten erheben, haben wir im Regelfall auch keine, die wir herausgeben könnten.

Verkehrsdaten können folgende Informationen umfassen:

  • E-Mail-Adresse(n) des Nutzerkontos
  • IP-Adresse des letzten Zugriffs
  • Datum und Uhrzeit des letzten Zugriffs

Verkehrsdaten unterliegen - ebenso wie Inhaltsdaten - dem Fernmeldegeheimnis. Eine Auskunft darf ausschließlich auf Basis eines richterlichen Beschlusses an die anfragende Strafverfolgungsbehörde erteilt werden (§ 100g StPO). Dies ist nur bei schweren Straftaten möglich (z. B. Mord, Kinderpornographie, Raub, Bombendrohung, Erpressung).

Standardmäßig speichern wir die IP-Adresse bei der Registrierung sowie die IP-Adresse des letzten Kontozugriffs. In Deutschland gibt es derzeit kein Gesetz zur Vorratsdatenspeicherung für E-Mail-Anbieter.

Als Inhaltsdaten gelten alle gespeicherten Inhalte eines Nutzerkontos: E-Mails, Clouddaten, Adressbucheinträge und ähnliches. E-Mails, die mit S/MIME oder OpenPGP Ende-zu-Ende-verschlüsselt gespeichert sind, kann nur der Nutzer selbst lesen - nur er besitzt den zugehörigen privaten Schlüssel. Auch wir haben keinen Zugriff darauf.

Ein deutsches Gericht kann auf Antrag der Staatsanwaltschaft entweder eine Beschlagnahme des Kontos (§ 94 Abs. 2, § 98 Abs. 1 StPO) oder eine Echtzeitüberwachung (TKÜ) (§ 100a StPO) oder beides anordnen:

  • Beschlagnahme: Bezieht sich auf bereits gespeicherte Kontoinhalte zum Zeitpunkt der Anordnung.
  • TKÜ: Erfasst alle ab Zeitpunkt der Anordnung eingehenden und ausgehenden Inhalte, üblicherweise für bis zu drei Monate.

Ende-zu-Ende-verschlüsselte E-Mails (S/MIME, PGP) können nur verschlüsselt ausgeliefert werden - auch im TKÜ-Fall. Unverschlüsselte E-Mails, die nach Wirksamwerden einer TKÜ-Anordnung eingehen, werden im Klartext übermittelt. Zuvor eingegangene und auf dem Server gespeicherte E-Mails können von uns nicht mehr entschlüsselt werden.

Historische Statistiken

Die folgenden Zahlen stammen aus dem Zeitraum 2014-2017. Wir veröffentlichen sie als Archiv im Sinne der Transparenz. Eine aktuelle jährliche Statistik streben wir an.

  • Anschlussüberwachungen (TKÜ): 0
  • Anfragen zu Bestandsdaten gesamt: 42 1,2
  • Anfragen zu Verkehrsdaten: 1 1,2
  • 1 Ungültige Anfragen: 16 (z. B. Bestandsdaten-Abfrage mit IP-Adresse und Zeitstempel)
  • 2 Postfach nicht existent: 7

  • Anschlussüberwachungen (TKÜ): 2
  • Anfragen zu Bestandsdaten gesamt: 38 1,2
  • Anfragen zu Bestandsdaten formal korrekt: 38
  • Anfragen zu Verkehrsdaten: 4 3
  • Anfragen zu Verkehrsdaten formal korrekt: 3
  • 1 Ungültige Anfragen: 0
  • 2 Postfach nicht existent: 4
  • 3 Ungültige Anfragen: 1

  • Anschlussüberwachungen (TKÜ): 2
  • Anfragen zu Bestandsdaten gesamt: 63 1,2
  • Anfragen zu Bestandsdaten formal korrekt: 56
  • Anfragen zu Verkehrsdaten: 4 3
  • Anfragen zu Verkehrsdaten formal korrekt: 3
  • 1 Ungültige Anfragen: 6
  • 2 Postfach nicht existent: 1
  • 3 Ungültige Anfragen: 1

  • Anschlussüberwachungen: 0
  • Anfragen zu Bestandsdaten gesamt: 36 1,2
  • Anfragen zu Bestandsdaten formal korrekt: 29
  • Anfragen zu Bestandsdaten formal nicht korrekt: 7
  • Anfragen zu Verkehrsdaten abgelehnt: 1
  • Anfragen zu Verkehrsdaten formal korrekt: 0
  • 1 Ungültige Anfragen: 6
  • 2 Postfach nicht existent: 1

Fragen zu diesem Bericht?

Wenn Sie Fragen zu unserem Umgang mit Behördenanfragen haben, stehen wir Ihnen gerne zur Verfügung.

Kontakt aufnehmen Datenschutzerklärung