Threema wurde von Grund auf mit besonderem Augenmerk auf Datensparsamkeit und Sicherheit entwickelt. So ist z.B. für die Nutzung keine Angabe personenbezogener Daten erforderlich, und die gesamte Kommunikation (Einzel- und Gruppen-Nachrichten, Audio- und Video-Anrufe etc.) ist Ende-zu-Ende-verschlüsselt.
Das Entschlüsseln einer Nachricht ist nur mit dem privaten Schlüssel des vorgesehenen Empfängers möglich. Da nur der Empfänger selbst Zugriff auf dessen privaten Schlüssel hat, ist es niemandem – auch nicht der Threema GmbH als Dienstbetreiberin – möglich, übertragene Nachrichten zu entschlüsseln.
Auf den Servern der Threema GmbH werden so wenige Daten wie nur möglich und immer nur so lange wie zwingend nötig zwischengespeichert. Kontaktlisten und Gruppenchats werden z.B. direkt auf den Endgeräten der Nutzer verwaltet, nicht zentral auf einem Server.
Die Threema GmbH kann nicht dazu verpflichtet werden, Kommunikationsranddaten («Metadaten») auf Vorrat zu speichern, zumal die Mindestumsatzgrenze, welche das Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) bzw. die entsprechenden Verordnung VÜPF festlegt, nicht erreicht ist.
Auf behördliche Anordnung muss die Threema GmbH jedoch «die [ihr] vorliegenden Angaben liefern» (Art. 22 Abs. 3 BÜPF). Gem. Art. 27 BÜPF könnte sie in Einzelfällen verpflichtet werden, Daten zum Zweck der Aushändigung zu speichern. Durch Senden von «info» an *MY3DATA können Nutzer jederzeit abfragen, welche Bestandsdaten mit ihrer Threema-ID verbunden sind.
Anfragen von Behörden zur Auslieferung vorliegender Daten werden wie folgt gehandhabt:
Aufgrund von Art. 26 Abs. 2 VÜPF werden nur Anfragen bearbeitet, die über den Dienst ÜPF gemäss dem in der VÜPF vorgesehenen Verfahren gestellt wurden und nach juristischer Prüfung die formalen Voraussetzungen vollständig erfüllen.
Ausländische Behörden haben in der Schweiz ein ordentliches Rechtshilfeersuchen gemäss Bundesgesetz über internationale Rechtshilfe in Strafsachen zu stellen. Direkte Anfragen für Datenlieferung durch ausländische Behörden werden nicht bearbeitet.
Nur dann, wenn die rechtlichen Voraussetzungen vollständig erfüllt sind, werden zu einer gegebenen Threema-ID folgende Angaben geliefert:
Datum (ohne Uhrzeit) der Erstellung der Threema-ID
Datum (ohne Uhrzeit) des letzten Logins der Threema-ID
Die folgenden Angaben stehen nur dann zur Verfügung, wenn der Nutzer die entsprechende optionale Funktionalität nutzt.
Nur dann, wenn der betreffende Nutzer eine E-Mail-Adressse und/oder Handynummer mit der Threema-ID verknüpft hat: Hash der E-Mail-Adresse und/oder Hash der Handynummer des Nutzers
Nur dann, wenn der betreffende Nutzer einen Push-Dienst eines Drittanbieters verwendet (und die ID innerhalb der letzten drei Monate aktiv war): Push-Token
Nachstehende Aufstellung gibt Auskunft über den Umfang ausgelieferter Daten seit 2014.
| Jahr | Anfragen von Behörden* | Formal korrekte Anfragen | Nicht korrekte Anfragen | Lieferung vorliegender Daten (Anzahl Fälle) | Lieferung vorliegender Daten (Anzahl IDs) |
|---|---|---|---|---|---|
|
2024 |
306 |
305 |
1 |
288 |
852 |
|
2023 |
177 |
177 |
0 |
170 |
810 |
|
2022 |
103 |
102 |
1 |
97 |
473 |
|
2021 |
80 |
78 |
2 |
71 |
369 |
|
2020 |
105 |
104 |
1 |
98 |
558 |
|
2019 |
101 |
98 |
3 |
93 |
317 |
|
2018 |
28 |
25 |
3 |
25 |
69 |
|
2017 |
2 (Swiss) / 2 (Foreign) |
4 |
- |
3 |
12 |
|
2016 |
0 (Swiss) / 1 (Foreign) |
1 |
- |
1 |
1 |
|
2015 |
1 (Swiss) / 0 (Foreign) |
- |
1 |
- |
- |
|
2014 |
0 |
- |
- |
- |
- |
Stand: 31.12.2024
* Seit Inkrafttreten des neuen BÜPF vom 1. März 2018 kann Threema nicht mehr unterscheiden, ob es sich um Anfragen von Schweizer Behörden oder von ausländischen Behörden im Rechtshilfeverfahren handelt.
