Worum es geht

Der Berliner Anbieter mailbox (Heinlein Gruppe) hat für 2025 einen Transparenzbericht zu behördlichen Auskunftsanfragen veröffentlicht. Gemeldet werden Anzahl, Herkunft und Art der Anfragen – sowie, wie viele davon beantwortet oder abgewiesen wurden. Solche Transparenzberichte sind im europäischen Markt noch immer selten genug, um als Vertrauenssignal zu gelten.

Die wichtigsten Zahlen aus dem Bericht

• 74 behördliche Auskunftsanfragen insgesamt (rückläufig gegenüber den Vorjahren).
• 56 Anfragen wurden nach Prüfung beantwortet (häufig nach Korrektur durch die Behörden).
• 18 Anfragen wurden abgewiesen (nicht korrigiert, verschiedene Mängel).
• Häufigster Ablehnungsgrund: unverschlüsselte Übertragung der Anfrage.
• Herkunft: überwiegend deutsche Behörden; wenige Anfragen aus anderen EU-Staaten bzw. außerhalb der EU.
• Kontext: 72 Anfragen Strafverfolgung, 2 durch Nachrichtendienste.
• Art der Abfragen: überwiegend Bestandsdaten (z. B. Name/Anschrift/Vertragsdaten).
• 2 Postfachbeschlagnahmungen; 0 Verkehrsdatenabfragen; 0 TK-Überwachung.
• Bemerkenswert: 2025 erstmals keine Anfragen per Fax (laut Anbieter seit 2021 untersagt, bis 2024 dennoch vorgekommen).

Warum das für KMU relevant ist

1) „Sicher“ ist nicht nur Technik – sondern Prozess

Für mittelständische Unternehmen ist entscheidend, ob ein Anbieter standardisierte, rechtlich geprüfte Prozesse für Behördenersuchen hat. Das betrifft nicht nur die IT, sondern auch Compliance: Wer gibt wann welche Daten heraus – und wer prüft das? Der Anbieter beschreibt eine Prüfung durch Datenschutzbeauftragte und Rechtsanwalt sowie die Möglichkeit der Behörden, fehlerhafte Anfragen zu korrigieren.

2) Verschlüsselung als Mindeststandard – und als Kulturfrage

Wenn ein erheblicher Teil der Behördenanfragen zunächst unverschlüsselt eingeht, ist das ein Signal: Sicherheitskultur ist in der Praxis nicht überall selbstverständlich. Für KMU ist das eine Lehre mit Doppelwirkung: Verschlüsselung ist keine „Option“, sondern ein Basisstandard – intern wie extern (Partner, Dienstleister, Behördenkommunikation).

3) Transparenzberichte sind ein Vertrauensindikator

Transparenzberichte sind nicht per se ein Gütesiegel – aber sie sind eine prüfbare Informationsquelle.
Für KMU, die ihren IT-Stack zunehmend nach Kriterien wie Datenhoheit, DSGVO-Risiko, Lieferkettenresilienz und geopolitischer Robustheit bewerten,
kann ein Transparenzbericht ein Baustein in der Anbieterbewertung sein: Wer dokumentiert, wer prüft, wer widerspricht?

4) Die eigentliche Nachricht steckt auch in dem, was nicht vorkommt

Im Bericht fällt auf, dass 2025 keine Verkehrsdatenabfragen und keine Anfragen zur Telekommunikationsüberwachung genannt werden. Gleichzeitig gab es nur zwei Postfachbeschlagnahmungen. Für Unternehmen ist das relevant, weil es die Praxis der Eingriffe (zumindest in diesem Kontext) einordnen hilft: Häufig sind es Bestandsdaten – nicht „Vollzugriff auf Inhalte“.

Praktische Checkliste für KMU

1. Vertrag & Auftragsverarbeitung: Ist klar geregelt, wie Behördenanfragen behandelt werden und wer informiert wird (sofern rechtlich zulässig)?
2. Transparenz: Gibt es Transparenzberichte – und sind Kriterien/Begriffe konsistent (Bestandsdaten, Inhalte, Verkehrs-/Metadaten)?
3. Security-by-Default: Unterstützt der Anbieter Ende-zu-Ende- bzw. Transportverschlüsselung und sichere Meldewege?
4. Standort & Recht: Wo liegen Rechenzentren, welche Rechtsräume wirken, welche Subunternehmer sind beteiligt?
5. Incident- & Legal-Playbook: Gibt es im Unternehmen definierte Abläufe für Behördenkontakte, Herausgabeanordnungen und Kommunikation?