Transparenzbericht & Warrant Canary für den sicheren E-Mail-Dienst Tuta (früher Tutanota)
Der Tuta-Transparenzbericht wird alle sechs Monate aktualisiert. Einzelne Postfächer geben wir nur frei, wenn wir einen gültigen deutschen Gerichtsbeschluss erhalten. Die in Tuta-Postfächern verschlüsselt gespeicherten Daten können von uns nicht entschlüsselt werden.
Zwischen dem 1. Januar 2024 und dem 30. Juni 2024 hat Tuta
- in 100 Fällen Anfragen nach Bestandsdaten erhalten.
- in 5 Fällen Bestandsdaten freigegeben.
- in 12 Fällen Anfragen nach Echtzeit-Verkehrsdaten erhalten.
- in 7 Fällen Echtzeit-Verkehrsdaten auf Grund eines deutschen Gerichtsbeschlusses freigegeben.
- in 32 Fällen Anfragen nach gespeicherten Inhaltsdaten erhalten.
- in 29 Fällen aufgrund eines deutschen Gerichtsbeschlusses gespeicherte verschlüsselte Inhaltsdaten freigegeben.
- in 13 Fällen Anfragen nach Echtzeit-Inhaltsdaten erhalten.
- in 8 Fällen Echtzeit-Inhaltsdaten auf Grund eines deutschen Gerichtsbeschlusses freigegeben.
Frühere Transparenzberichte
Zwischen dem 1. Juli 2023 und dem 31. Dezember 2023 hat Tuta (früher Tutanota)
- in 120 Fällen Anfragen nach Bestandsdaten erhalten.
- in 6 Fällen Bestandsdaten freigegeben.
- in 20 Fällen Anfragen nach Echtzeit-Verkehrsdaten erhalten.
- in 12 Fällen Echtzeit-Verkehrsdaten auf Grund eines deutschen Gerichtsbeschlusses freigegeben.
- in 19 Fällen Anfragen nach gespeicherten Inhaltsdaten erhalten.
- in 16 Fällen aufgrund eines deutschen Gerichtsbeschlusses gespeicherte verschlüsselte Inhaltsdaten freigegeben.
- in 19 Fällen Anfragen nach Echtzeit-Inhaltsdaten erhalten.
- in 10 Fällen Echtzeit-Inhaltsdaten auf Grund eines deutschen Gerichtsbeschlusses freigegeben.
Zwischen dem 1. Januar 2023 und dem 30. Juni 2023 hat Tutanota
- in 116 Fällen Anfragen nach Bestandsdaten erhalten.
- Bestandsdaten in 5 Fällen freigegeben.
- in 15 Fällen Anfragen nach Echtzeit-Verkehrsdaten erhalten.
- in 6 Fällen Echtzeit-Verkehrsdaten auf Grund eines deutschen Gerichtsbeschlusses freigegeben.
- in 20 Fällen Anfragen nach gespeicherten Inhaltsdaten erhalten.
- Freigabe von gespeicherten verschlüsselten Inhaltsdaten aufgrund eines deutschen Gerichtsbeschlusses in 16 Fällen.
- in 9 Fällen Anfragen nach Echtzeit-Inhaltsdaten erhalten.
- in 4 Fällen die Freigabe von Echtzeit-Inhaltsdaten aufgrund eines deutschen Gerichtsbeschlusses.
Zwischen dem 1. Juli 2022 und dem 31. Dezember 2022 hat Tutanota
- in 89 Fällen Anfragen nach Bestandsdaten erhalten.
- Bestandsdaten in 7 Fällen freigegeben.
- in 33 Fällen Anfragen nach Echtzeit-Verkehrsdaten erhalten.
- in 26 Fällen Echtzeit-Verkehrsdaten auf Grund eines deutschen Gerichtsbeschlusses freigegeben.
- in 22 Fällen Anfragen nach gespeicherten Inhaltsdaten erhalten.
- in 15 Fällen aufgrund eines deutschen Gerichtsbeschlusses gespeicherte verschlüsselte Inhaltsdaten freigegeben.
- in 16 Fällen Anfragen nach Echtzeit-Inhaltsdaten erhalten.
- in 13 Fällen Echtzeit-Inhaltsdaten aufgrund eines deutschen Gerichtsbeschlusses freigegeben.
Zwischen dem 1. Januar 2022 und dem 30. Juni 2022 hat Tutanota
- in 98 Fällen Anfragen nach Bestandsdaten erhalten.
- Bestandsdaten in 3 Fällen freigegeben.
- in 26 Fällen Anfragen nach Echtzeit-Verkehrsdaten erhalten.
- in 19 Fällen Echtzeit-Verkehrsdaten auf Grund eines deutschen Gerichtsbeschlusses freigegeben.
- in 24 Fällen Anfragen nach gespeicherten Inhaltsdaten erhalten.
- in 11 Fällen aufgrund eines deutschen Gerichtsbeschlusses gespeicherte verschlüsselte Inhaltsdaten freigegeben.
- in 21 Fällen Anfragen nach Echtzeit-Inhaltsdaten erhalten.
- in 15 Fällen Echtzeit-Inhaltsdaten aufgrund eines deutschen Gerichtsbeschlusses freigegeben.
Zwischen dem 1. Juli 2021 und dem 31. Dezember 2021 hat Tutanota
- in 121 Fällen Anfragen nach Bestandsdaten erhalten.
- Bestandsdaten in 1 Fall freigegeben.
- in 27 Fällen Anfragen nach Echtzeit-Verkehrsdaten erhalten.
- in 15 Fällen Echtzeit-Verkehrsdaten auf Grund eines deutschen Gerichtsbeschlusses herausgegeben.
- in 37 Fällen Anfragen nach gespeicherten Inhaltsdaten erhalten.
- Freigabe von gespeicherten verschlüsselten Inhaltsdaten aufgrund eines deutschen Gerichtsbeschlusses in 24 Fällen.
- in 30 Fällen Anfragen nach Echtzeit-Inhaltsdaten erhalten.
- in 16 Fällen Echtzeit-Inhaltsdaten aufgrund eines deutschen Gerichtsbeschlusses freigegeben.
Zwischen dem 1. Januar 2021 und dem 30. Juni 2021 hat Tutanota
- in 109 Fällen Anfragen nach Bestandsdaten erhalten.
- Bestandsdaten in 6 Fällen freigegeben.
- in 23 Fällen Anfragen nach Echtzeit-Verkehrsdaten erhalten.
- in 13 Fällen Echtzeit-Verkehrsdaten auf Grund eines deutschen Gerichtsbeschlusses freigegeben.
- in 32 Fällen Anfragen nach gespeicherten Inhaltsdaten erhalten.
- Freigabe gespeicherter verschlüsselter Inhaltsdaten aufgrund eines deutschen Gerichtsbeschlusses in 21 Fällen.
- in 16 Fällen Anfragen nach Echtzeit-Inhaltsdaten erhalten.
- in 12 Fällen Echtzeit-Inhaltsdaten aufgrund eines deutschen Gerichtsbeschlusses freigegeben.
Zwischen dem 1. Juli 2020 und dem 31. Dezember 2020 hat Tutanota
- in 92 Fällen Anfragen nach Bestandsdaten erhalten.
- Bestandsdaten in 2 Fällen freigegeben.
- in 20 Fällen Anfragen zu Echtzeit-Verkehrsdaten erhalten.
- in 0 Fällen Echtzeit-Verkehrsdaten auf Grund eines deutschen Gerichtsbeschlusses freigegeben.
- in 37 Fällen Anfragen nach gespeicherten Inhaltsdaten erhalten.
- in 34 Fällen aufgrund eines deutschen Gerichtsbeschlusses gespeicherte verschlüsselte Inhaltsdaten freigegeben.
- in 18 Fällen Anfragen nach Echtzeit-Inhaltsdaten erhalten.
- in 0 Fällen Echtzeit-Inhaltsdaten auf Grund eines deutschen Gerichtsbeschlusses freigegeben.
Zwischen dem 1. Januar 2020 und dem 30. Juni 2020 hat Tutanota
- in 93 Fällen Anfragen zu Bestandsdaten erhalten.
- Bestandsdaten in 2 Fällen freigegeben.
- in 5 Fällen Anfragen nach Echtzeit-Verkehrsdaten erhalten.
- in 0 Fällen Echtzeit-Verkehrsdaten auf Grund eines deutschen Gerichtsbeschlusses freigegeben.
- in 24 Fällen Anfragen nach gespeicherten Inhaltsdaten erhalten.
- in 22 Fällen aufgrund eines deutschen Gerichtsbeschlusses gespeicherte verschlüsselte Inhaltsdaten freigegeben.
- in 5 Fällen Anfragen nach Echtzeit-Inhaltsdaten erhalten.
- in 0 Fällen Echtzeit-Inhaltsdaten auf Grund eines deutschen Gerichtsbeschlusses freigegeben.
Zwischen dem 1. Juli 2019 und dem 31. Dezember 2019 hat Tutanota
- in 74 Fällen Anfragen zu Bestandsdaten erhalten.
- Bestandsdaten in 5 Fällen freigegeben.
- in 27 Fällen Anfragen zu Echtzeit-Verkehrsdaten erhalten.
- in 12 Fällen Echtzeit-Verkehrsdaten auf Grund eines deutschen Gerichtsbeschlusses freigegeben.
- in 12 Fällen Widerspruch gegen Anfragen nach Echtzeit-Verkehrsdaten eingelegt*.
- in 35 Fällen Ersuchen um gespeicherte Inhaltsdaten erhalten.
- in 33 Fällen aufgrund eines deutschen Gerichtsbeschlusses gespeicherte verschlüsselte Inhaltsdaten freigegeben.
- in 33 Fällen Widerspruch gegen Anfragen nach gespeicherten verschlüsselten Inhaltsdaten eingelegt*
- in 12 Fällen Anfragen nach Inhaltsdaten in Echtzeit erhalten.
- in 9 Fällen Echtzeit-Inhaltsdaten auf Grund eines deutschen Gerichtsbeschlusses freigegeben.
- in 9 Fällen Einspruch gegen die Anforderung von Echtzeit-Inhaltsdaten eingelegt*.
* Der Gerichtshof der Europäischen Union (EuGH) hatte am 13.06.2019 entschieden, dass internetbasierte E-Mail-Dienste nicht als Telekommunikationsdienste anzusehen sind. Daher haben wir Einspruch gegen alle Anträge eingelegt, die auf der Annahme beruhen, dass wir ein Telekommunikationsdienst sind.
Zwischen dem 1. Januar 2019 und dem 30. Juni 2019 hat Tutanota
- in 59 Fällen Anfragen nach Bestandsdaten erhalten.
- Bestandsdaten in 3 Fällen freigegeben.
- in 15 Fällen Anfragen nach Verkehrsdaten erhalten.
- in 9 Fällen Verkehrsdaten aufgrund eines gültigen deutschen Gerichtsbeschlusses freigegeben.
- in 20 Fällen Anfragen zu gespeicherten Inhaltsdaten erhalten.
- in 18 Fällen aufgrund eines gültigen deutschen Gerichtsbeschlusses gespeicherte verschlüsselte Inhaltsdaten freigegeben.
- in 4 Fällen Anfragen nach Echtzeit-Inhaltsdaten erhalten.
- in 4 Fällen Echtzeit-Inhaltsdaten aufgrund eines gültigen deutschen Gerichtsbeschlusses freigegeben.
Zwischen dem 1. Juli 2018 und dem 31. Dezember 2018 hat Tutanota
- in 93 Fällen Anfragen nach Bestandsdaten erhalten.
- Bestandsdaten in 2 Fällen freigegeben.
- in 15 Fällen Anfragen zu Verkehrsdaten erhalten.
- in 6 Fällen Verkehrsdaten aufgrund eines gültigen deutschen Gerichtsbeschlusses freigegeben.
- in 19 Fällen Anfragen nach Inhaltsdaten erhalten.
- in 16 Fällen verschlüsselte Inhaltsdaten auf Grund eines gültigen deutschen Gerichtsbeschlusses herausgegeben.
Zwischen dem 1. Januar 2018 und dem 30. Juni 2018 hat Tutanota
- in 64 Fällen Anfragen nach Bestandsdaten erhalten.
- Bestandsdaten in 2 Fällen freigegeben.
- in 21 Fällen Anfragen zu Verkehrsdaten erhalten.
- in 15 Fällen Verkehrsdaten aufgrund eines gültigen deutschen Gerichtsbeschlusses freigegeben.
- in 15 Fällen Anfragen nach Inhaltsdaten erhalten.
- in 12 Fällen verschlüsselte Inhaltsdaten auf Grund eines gültigen deutschen Gerichtsbeschlusses freigegeben.
Zwischen dem 1. Juli 2017 und dem 31. Dezember 2017 hat Tutanota
- in 44 Fällen Anfragen nach Bestandsdaten erhalten.
- Bestandsdaten in 7 Fällen freigegeben.
- in 15 Fällen Anfragen zu Verkehrsdaten erhalten.
- in 8 Fällen Verkehrsdaten aufgrund eines gültigen deutschen Gerichtsbeschlusses freigegeben.
- in 5 Fällen Anfragen nach Inhaltsdaten erhalten.
- in 5 Fällen verschlüsselte Inhaltsdaten auf Grund eines gültigen deutschen Gerichtsbeschlusses herausgegeben.
Zwischen dem 1. Januar 2017 und dem 30. Juni 2017 hat Tutanota
- in 23 Fällen Anfragen nach Bestandsdaten erhalten.
- Bestandsdaten in 2 Fällen freigegeben.
- in 5 Fällen Anfragen zu Verkehrsdaten erhalten.
- in 2 Fällen Verkehrsdaten aufgrund eines gültigen deutschen Gerichtsbeschlusses freigegeben.
- in 4 Fällen Anfragen nach Inhaltsdaten erhalten.
- in 4 Fällen verschlüsselte Inhaltsdaten auf Grund eines gültigen deutschen Gerichtsbeschlusses freigegeben.
Zwischen dem 1. Juli 2016 und dem 31. Dezember 2016 hat Tutanota
- in 25 Fällen Anfragen nach Nutzerdaten erhalten.
- in 2 Fällen verschlüsselte Nutzerdaten aufgrund eines gültigen deutschen Gerichtsbeschlusses herausgegeben.
Zwischen dem 1. Januar 2016 und dem 30. Juni 2016 hat Tutanota
- in 30 Fällen Anfragen nach Nutzerdaten erhalten.
- in 1 Fall verschlüsselte Nutzerdaten auf Grund eines gültigen deutschen Gerichtsbeschlusses herausgegeben.
Seit dem Start von Tutanota im März 2014 bis zum 1. Januar 2016 hat Tutanota
- in 15 Fällen Anfragen nach Nutzerdaten erhalten.
- in 3 Fällen verschlüsselte Nutzerdaten aufgrund eines gültigen deutschen Gerichtsbeschlusses herausgegeben.
Haftbefehl Canary
Tuta (ehemals Tutanota) hat nie National Security Letters oder FISA-Gerichtsbeschlüsse erhalten, und wir waren nie Gegenstand eines Knebelbefehls eines FISA-Gerichts. Wir haben nie Hintertüren in unsere Hardware oder Software eingebaut und haben auch keine Aufforderung erhalten, dies zu tun.
Wir veröffentlichen unseren Web-Client, unsere Desktop-Clients und unsere iOS- und Android-Apps als Open Source, so dass jeder überprüfen kann, ob Tuta (ehemals Tutanota) das tut, was wir versprechen: Ihre verschlüsselten E-Mails maximal zu schützen.
PS: Der Transparenzbericht wird alle sechs Monate aktualisiert. Der Warrant Canary ist immer auf dem neuesten Stand. Wenn es eine der oben genannten Anfragen gäbe, würden wir den Kanarienvogel sofort abschalten. Eine solche Anfrage ist jedoch nach deutschem Recht nicht möglich.
Leitfaden zu den Arten der angeforderten Daten:
1. Bestandsdaten
Personenbezogene Daten wie Name, Adresse und Zahlungsdaten sind Bestandsdaten. Tuta kann jedoch nicht gezwungen werden, Bestandsdaten zu erheben. Deshalb können wir bei der Registrierung keine identifizierbaren Daten abfragen, so dass Sie unseren sicheren Mailservice anonym mit einem kostenlosen Account nutzen können. Das deutsche Recht fordert die Betreiber von Datenverarbeitungsanlagen (§ 3a Bundesdatenschutzgesetz) sogar ausdrücklich auf, die Speicherung personenbezogener Daten nach Möglichkeit zu vermeiden. § 3a Bundesdatenschutzgesetz - Datenvermeidung und Datenminimierung: “Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sowie die Auswahl und Ausgestaltung von Datenverarbeitungsanlagen müssen sich an dem Ziel orientieren, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist.”
Wann können Bestandsdaten angefordert werden?
Liegen die Daten bei einem deutschen Postdienstleister vor, muss dieser die Daten auf Anfrage deutschen Behörden zugänglich machen. Mehrere Behörden dürfen Bestandsdaten anfordern. Berechtigte Gründe für solche Anfragen sind die Verfolgung von Straftaten oder die Verteidigung der öffentlichen Sicherheit oder Ordnung.
2. Verkehrsdaten
Verkehrsdaten bestehen aus:
- E-Mail-Adressen von Absender und Empfänger
- IP-Adresse des Tutanota-Clients
- Zustellungszeitpunkt
Wie die Inhaltsdaten unterliegen auch die Verkehrsdaten dem Fernmeldegeheimnis. Nur deutsche Richter dürfen Verkehrsdaten abfragen. Dies ist nur bei schweren Straftaten wie Mord, Kinderpornographie, Raub, Bombendrohung und Erpressung möglich (siehe § 100a StPO). Standardmäßig zeichnen wir keine IP-Adressen unserer Nutzer auf. Daher können IP-Adressen nur für ein einzelnes Benutzerkonto aufgezeichnet werden, nachdem wir einen gültigen deutschen Gerichtsbeschluss für eine Echtzeitüberwachung (TKÜ) erhalten haben, aber nicht für die Vergangenheit. In Deutschland gibt es kein Gesetz zur Vorratsdatenspeicherung für E-Mail-Anbieter.
3. Inhaltliche Daten
Dieser Begriff bezieht sich auf Ihre E-Mails: Betreff, Text und Anhänge. Alle E-Mails in Tuta werden Ende-zu-Ende-verschlüsselt gespeichert und nur Sie besitzen die Entschlüsselungsschlüssel. Wie die Verkehrsdaten können auch die Inhaltsdaten nur von einem deutschen Richter angefordert werden (§ 94, Abs. 2 StPO, § 98, Abs.. 1 Satz. 1 bzw. Abs. 2, Satz. 1 StPO) bei schweren Straftaten (Beispiele siehe oben). Ein deutscher Richter kann entweder eine Beschlagnahme eines Postfachs oder eine Echtzeitüberwachung des Postfachs (TKÜ) oder beides anordnen. Eine strafrechtliche Beschlagnahmeanordnung (§ 94 Abs. 2 StPO, § 98 Abs. 1, S. 1 bzw. Abs. 2, S. 1 StPO) bezieht sich auf den verschlüsselten Mailboxinhalt. Ein Auftrag zur Echtzeitüberwachung eines Postfachs bezieht sich auf alle von dem betreffenden Postfach empfangenen und versendeten E-Mails ab dem Zeitpunkt des Auftrags bis zu einem bestimmten Zeitpunkt (in der Regel drei Monate). Im Falle der Echtzeitüberwachung (TKÜ) müssen wir die Inhalte der E-Mails zur Verfügung stellen. E-Mails, die mit Tuta Ende-zu-Ende-verschlüsselt versendet werden, können nur verschlüsselt zugestellt werden. E-Mails, die unverschlüsselt versendet werden, werden im Klartext zugestellt, wenn sie nach Erhalt eines gültigen deutschen Gerichtsbeschlusses für eine Echtzeitüberwachung (TKÜ) bei uns eingehen. Vorher eingehende E-Mails im Klartext wurden bereits auf dem Server verschlüsselt und können von uns nicht entschlüsselt werden.