Leitlinien für Behörden und Strafverfolgung

Diese Leitlinien für Behörden und Strafverfolgung beschreiben, wie ChefSphere OÜ („ChefSphere“) auf rechtmäßige Auskunfts- und Inhaltsverfügungsersuchen staatlicher Stellen reagiert. Sie werden im Rahmen unserer Pflicht zur redlichen Zusammenarbeit mit Behörden gemäß Art. 9 und Art. 10 der Verordnung (EU) 2022/2065 (Gesetz über digitale Dienste — „DSA“) und vergleichbarer Regeln außerhalb der EU sowie unserer Pflicht zur rechtmäßigen Verarbeitung gemäß Art. 6 Abs. 1 lit. c DSGVO veröffentlicht. Sie begründen kein Rechtsanspruch von Behörden, Nutzern oder Dritten über das gesetzlich vorgesehene Maß hinaus und schränken keine Verteidigungs- oder Anfechtungsmöglichkeiten ein, die einem Nutzer oder ChefSphere zustehen.

1. Wer wir sind

• Rechtsträger: ChefSphere OÜ, estnischer Registercode 17470129 (Tartu County Court Registration Department, business register card No. 1).
• Zustellungsanschrift des Dienstes: c/o E-Residency Hub OÜ, Ahtri tn 12, 10151 Tallinn, Harju maakond, Estonia.
• Niederlassung in der EU: ja. Ein Datenschutzbeauftragter ist bestellt, und eine einheitliche DSA-Kontaktstelle ist veröffentlicht.

2. Kanäle

Rechtmäßige Ersuchen sind über einen der folgenden Kanäle einzureichen. Wir akzeptieren keine Ersuchen über inoffizielle Kanäle (Social-Media-Direktnachrichten, regulären Nutzersupport oder die öffentliche Missbrauchs-Adresse), außer in einer Situation mit unmittelbarer Lebensgefahr (siehe Abschnitt 5).

Kanal	Zweck
[email protected]	Alle Nicht-Notfälle. Bitte Betreff-Präfix [LEA] <Ihre-Referenz> verwenden und die unterzeichnete Anordnung als PDF anhängen. Verschlüsselung während der Übertragung ist Standard; auf Anfrage steht ein PGP-Schlüssel zur Verfügung.
Post — c/o E-Residency Hub OÜ, Ahtri tn 12, 10151 Tallinn, Harju maakond, Estonia	Jedes Ersuchen, das in Papierform zugestellt werden muss, oder wenn eine Behörde die Postzustellung bevorzugt. Umschlag mit „Law Enforcement Response Team“ kennzeichnen.
DSA-Behörden — [email protected]	Speziell für DSCs der EU-Mitgliedstaaten, die Europäische Kommission und den Ausschuss gemäß Art. 11 DSA.
Urheberrecht — [email protected]	Speziell für Vorladungen nach 17 U.S.C. 512(h) und für beim DMCA registrierte Mitteilungen.

Wir bestätigen den Eingang bei Nicht-Notfällen innerhalb von 2 Werktagen. Die durchschnittliche vollständige Bearbeitungs-SLA beträgt 10 Werktage bei eng gefasster Anordnung; bei komplexen Anordnungen klären wir den Umfang in Folgekorrespondenz.

3. Ordnungsgemäßes Verfahren — was die Anordnung enthalten muss

Wir handeln nur auf Grund von Anordnungen, die die folgende Mindestschwelle erfüllen. Ersuchen, die darunter liegen, werden zurückgestellt und der Absender wird gebeten, den Mangel zu beheben; wir verweigern die Zusammenarbeit nicht, handeln aber nicht auf der Grundlage mangelhafter Anordnungen.

3.1 Anordnungen mit Auskunftsersuchen (Vorladung, gerichtliche Anordnung, Durchsuchungsbeschluss, DSA-Art.-10-Anordnung)

Eine gültige Anordnung muss:

1. Die Behörde benennen (Gericht, Staatsanwaltschaft, Behörde, konkreter Richter oder Unterzeichner) und die Rechtsgrundlage (Gesetzesartikel, Aktenzeichen, Name der ausstellenden Behörde, bei grenzüberschreitenden Vorgängen vereidigt oder apostilliert, soweit erforderlich).
2. Den Nutzer oder das Konto bestimmt bezeichnen — E-Mail-Adresse, ChefSphere-Benutzername, Konto-ID, IP-Adresse mit Datum/Uhrzeit + Zeitzone, Telefonnummer oder eine Kombination. Wir können nicht auf vage Beschreibungen handeln („alle Nutzer, die X gepostet haben“). Bei DSA-Art.-10-Anordnungen gelten die Identifikationsregeln des Art. 10 Abs. 2 DSA.
3. Die angeforderten Datenkategorien mit Verhältnismäßigkeit angeben — was für die Ermittlung zwingend erforderlich ist, nicht alles, was das Konto jemals erzeugt hat. Anordnungen, die wie generische Datenauszüge formuliert sind, werden zur Präzisierung zurückgewiesen.
4. Die Begründung angeben (Art. 9 Abs. 2 lit. a iii DSA), den räumlichen Geltungsbereich (Art. 9 Abs. 2 lit. a v DSA) und ob der Nutzer zu benachrichtigen ist (Art. 9 Abs. 2 lit. b DSA). Bei Nicht-EU-Anordnungen vergleichbare Elemente nach nationalem Recht.
5. Dem richtigen Rechtsträger zugestellt sein. ChefSphere OÜ ist in Estland niedergelassen; die estnische Gesellschaft ist die zuständige Adressatin für EU-Anordnungen. Wir reagieren nicht auf Zustellungen an ChefSphere-Nutzer, an unsere Auftragsverarbeiter (Stripe, Cloudflare, Hosting-Anbieter) in Bezug auf Kontodaten oder an einzelne Mitarbeitende. Wenn Ihre inländischen Regeln eine Zustellung an einen lokalen Vertreter vorschreiben, beachten Sie: Wir unterhalten keinen Rechtsvertreter außerhalb der EU (ein Vertreter nach Art. 13 DSA ist nicht erforderlich, weil unsere Niederlassung in der EU liegt).

3.2 Anordnungen mit Verfügung über Inhalte (Entfernung, Einschränkung, De-Indexierung)

Eine gültige Anordnung muss zusätzlich zu den Elementen unter Abschnitt 3.1:

1. Den genauen Inhalt angeben (URL, Artikel-ID, Nutzerkennung, Zeitstempel, Screenshot).
2. Die Feststellung der Rechtswidrigkeit mit Rechtsgrundlage (nationales Gesetz oder EU-Recht) darlegen.
3. Den räumlichen Geltungsbereich (Art. 9 Abs. 2 lit. a v DSA) auf das beschränken, was die behauptete Rechtswidrigkeit erfordert. Eine globale Entfernung erfolgt nur, wenn die Anordnung dies ausdrücklich und mit Recht über einen Mitgliedstaat hinaus anordnet.

4. Daten, die wir liefern können und nicht liefern können

Wir können nur liefern, was wir tatsächlich vorhalten. Datenschutzrichtlinie Abschnitt 2 listet unsere Datenkategorien; der Zeitplan zur Datenaufbewahrung listet Aufbewahrungsfristen. Einige besondere Hinweise:

• Konto-Metadaten (E-Mail, Anzeigename, Altersgruppe, Kontoerstellungsdatum, Anmelde-IPs mit Zeitstempel, Gerätemodell und Betriebssystem) — verfügbar, vorbehaltlich der Aufbewahrung.
• Inhalte (Beiträge, Nachrichten, Rezepte, Inserate) — verfügbar, sofern der Nutzer sie nicht gelöscht hat und das betriebliche Löschfenster nicht abgelaufen ist.
• Direktnachrichten — verfügbar für die Aufbewahrungsfrist. Nachrichten werden serverseitig gespeichert, sind aber für ChefSphere-Personal ohne den für die Erfüllung einer rechtmäßigen Anordnung erforderlichen spezifischen Zugang und ohne protokollierten Prüfpfad nicht einsehbar.
• Zahlungsdaten — wir speichern keine vollständigen Kartennummern. Wir halten tokenisierte Referenzen, die letzten vier Ziffern und das Rechnungsland vor. Vollständige Kartendaten liegen bei Stripe (bzw. bei Apple / Google bei In-App-Käufen) und sind dort anzufordern.
• Passwörter — in keiner Form verfügbar. Passwörter werden als bcrypt-Hashes gespeichert. Wir können sie weder auslesen noch entschlüsseln.
• Ende-zu-Ende-verschlüsselte Daten — derzeit betreibt ChefSphere keine Ende-zu-Ende-verschlüsselten Oberflächen. Ändert sich dies, werden wir es hier offenlegen.
• Biometrische Daten — nicht gespeichert. Die Identitätsprüfung für Marktplatz-Verkäufer erfolgt über Stripe und liefert uns nur ein Bestanden-/Nicht-bestanden-Ergebnis.
• KI-Chat-Verlauf (AI Chef) — verfügbar, soweit der Nutzer ihn nicht gelöscht hat, für das in der KI-Offenlegung Abschnitt 4 beschriebene Aufbewahrungsfenster.
• Präziser Standort — standardmäßig nicht gespeichert. Standort wird nur für die Geo-Suche im Tools-Marktplatz und nur bei ausdrücklichem Opt-in des Nutzers erhoben und ruhend verschlüsselt.

4.1 Aufbewahrungsersuchen

Nach 18 U.S.C. 2703(f) (Stored Communications Act) und vergleichbaren Regeln anderorts kann eine Behörde verlangen, dass wir Aufzeichnungen aufbewahren, bis eine formelle Anordnung vorliegt. Wir kommen Aufbewahrungsersuchen nach, die Konto und Umfang klar bezeichnen. Ein Aufbewahrungsersuchen gilt zunächst 90 Tage und kann einmal um weitere 90 Tage verlängert werden; danach ist ein neues Aufbewahrungsersuchen oder eine formelle Herausgabe-Anordnung erforderlich.

5. Notfall-Offenlegung — unmittelbare Lebensgefahr

Wenn uns Informationen vorliegen, aus denen sich in redlichem Glauben ergibt, dass ein Notfall mit unmittelbarer Gefahr des Todes oder schwerer körperlicher Verletzung einer Person eine unverzügliche Offenlegung erfordert, können wir freiwillig Informationen insoweit offenbaren, wie dies zur Abwendung dieses Schadens zwingend erforderlich ist. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. d DSGVO (lebenswichtige Interessen) und 18 U.S.C. 2702(b)(8), soweit anwendbar.

Notfälle sind an [email protected] mit Betreff-Präfix [EMERGENCY — life-threat] zu richten; die Nachricht muss von einer erkennbaren E-Mail-Domain der Strafverfolgung stammen, Art und Dringlichkeit der Gefahr, das Zielkonto sowie Name der Ermittlerin/des Ermittlers, Behörde, Aktenzeichen und eine Rückrufnummer nennen. Wir prüfen das Ersuchen anhand von Art. 6 Abs. 1 lit. d DSGVO und geben nur die zur Bewältigung des Notfalls zwingend nötigen Informationen heraus.

Wir benachrichtigen darüber hinaus eigenständig zuständige Behörden gemäß Art. 18 DSA, wenn uns eine Straftat bekannt wird, die eine Bedrohung von Leben oder Sicherheit darstellt, ohne auf ein Ersuchen zu warten.

6. Benachrichtigung der Nutzer

Sofern nicht Gesetz, eine gültige Geheimhaltungsklausel in der Anordnung oder ein berechtigtes betriebliches Interesse an der Integrität einer Strafermittlung entgegenstehen, informieren wir den betroffenen Nutzer, dass ein Ersuchen zu seinem Konto eingegangen ist. Die Mitteilung erfolgt in der App oder per E-Mail, nennt die ersuchende Behörde und die Rechtsgrundlage und gibt dem Nutzer Gelegenheit, Rechtsbeistand einzuholen, bevor Daten herausgegeben werden. Begleitet die Anordnung eine ausdrückliche, rechtmäßig erlassene Schweigepflicht oder würde eine unmittelbare Gefahr entstehen, setzen wir die Nutzerbenachrichtigung aus und informieren den Nutzer sobald die Schweigepflicht entfällt.

7. Geheimhaltungspflichten

Liegt eine rechtmäßig erlassene Anordnung vor, die die Offenlegung des Bestehens oder des Inhalts der Anordnung selbst verbietet (z. B. eine US-Geheimhaltungsanordnung nach 18 U.S.C. 2705(b)), halten wir die Geheimhaltung für die vorgeschriebene Dauer ein und prüfen neu zum Ablaufdatum.

8. Kostenerstattung

Wir berechnen Regierungen keine Gebühren für die Herausgabe von Daten aufgrund rechtmäßiger Anordnungen. Ist der angeforderte Umfang ungewöhnlich groß und erfordert er erheblichen technischen Aufwand, können wir 18 U.S.C. 2706 oder vergleichbare Kostenerstattungsregeln in Anspruch nehmen, um angemessene Kosten zu decken.

9. Grenzüberschreitende Zusammenarbeit

Ersuchen von Behörden außerhalb der EU erreichen ChefSphere OÜ über eine von vier Wegen, in dieser Reihenfolge der Bevorzugung:

1. Rechtshilfeübereinkommen (MLAT) — der maßgebliche Weg zwischen einer Nicht-EU-Behörde und dem estnischen Justizministerium.
2. CLOUD-Act-Aufbewahrung — für US-Behörden, wenn vor MLAT eine Aufbewahrung erforderlich ist.
3. Anordnung nach Art. 10 DSA — von einer Mitgliedstaatsbehörde, wenn das Verhalten EU-Nutzer betrifft und die Anordnung die DSA-Kriterien erfüllt.
4. Direktes Ersuchen — wird freiwillig für unstrittige Ersuchen gewährt (z. B. Bestätigung des Konto-Bestehens bei Identitätsdiebstahl) und erst nachdem wir uns davon überzeugt haben, dass die Offenlegung nach estnischem und EU-Recht einschließlich der DSGVO-Transferregeln zulässig ist.

10. Transparenz

Wir veröffentlichen aggregierte Statistiken über die Zahl der erhaltenen behördlichen Ersuchen nach Land und Art in unserem jährlichen DSA-Transparenzbericht unter https://chefsphere.app/legal/transparency-report. Die Zahlen umfassen Anordnungen nach Art. 9, Art. 10, Mitteilungen nach Art. 16, Notfall-Offenlegungen, Aufbewahrungsersuchen und das Ergebnis (volle Erfüllung, teilweise Erfüllung, formeller Einspruch, Vertagung).

11. Grenzen, an denen wir Widerspruch einlegen

Wir wehren uns gegen Anordnungen, die nach unserer vernünftigen Beurteilung eine der folgenden Grenzen überschreiten:

• Übermaß — Anordnungen, die pauschal Daten ohne Bezug zur laufenden Ermittlung verlangen.
• Unverhältnismäßigkeit gemäß Art. 52 der EU-Grundrechtecharta.
• Ausspäh-Ersuchen ausländischer Geheimdienste nach FISA Abschnitt 702 oder Gleichwertigem — im Einklang mit dem Urteil Schrems II des EuGH und den EDPB-Empfehlungen 01/2020 zu ergänzenden Maßnahmen sowie mit der Data Privacy Framework-Prüfung nach dem Transfer.
• Anordnungen, die uns zwingen würden, die Sicherheit des Dienstes oder unserer Nutzer zu gefährden, einschließlich Anordnungen zur Schwächung der Kryptographie, zur Einrichtung von Überwachungsfunktionen oder zur Fälschung von Transparenzberichten.
• Anordnungen, die das Kapitel-V-Transferregime der EU-DSGVO (Angemessenheit oder SCCs und eine gültige Transfer-Folgenabschätzung) verletzen würden.

Wir legen Widerspruch über die Berufungsmöglichkeiten des Rechts der ausstellenden Behörde ein oder suchen gerichtliche Überprüfung und können den betroffenen Nutzer informieren, soweit zulässig.

12. Sicherheit des Antwortwegs

Der gesamte E-Mail-Verkehr zu rechtmäßigen Ersuchen wird von einem kleinen, geprüften Law Enforcement Response Team innerhalb der Rechtsfunktion von ChefSphere bearbeitet. Jedes Ersuchen erhält ein Ticket, jede Antwort wird protokolliert und 7 Jahre aufbewahrt, wie estnisches Verwaltungsrecht und unsere eigenen Compliance-Pflichten es erfordern. Das Team arbeitet nach dem Prinzip der geringsten Berechtigung; niemand außerhalb kann Daten als Reaktion auf ein externes Ersuchen herausgeben.

13. Was wir nicht tun

• Wir antworten nicht auf Behörden-Ersuchen an support@, abuse@ oder andere nicht-rechtliche Postfächer, außer im unter Abschnitt 5 beschriebenen Notfallweg.
• Wir nehmen Behörden-Ersuchen nicht allein telefonisch ohne nachfolgende schriftliche Anordnung an.
• Wir gewähren keinen „Hintertür“-Zugang, Push-Zugang zu unseren Systemen oder „Firehose“-Zugang zu Live-Daten. Solche Vorschläge lehnen wir grundsätzlich ab.
• Wir übergeben Nutzerinhalte nicht vorwegg an eine Behörde ohne gültige Anordnung oder den Notfallweg nach Abschnitt 5.

14. Kontaktübersicht

• Primäres Postfach Strafverfolgung: [email protected]
• DSA-Behörden / Kommission / Ausschuss: [email protected]
• DMCA-Vorladungen nach 512(h): [email protected]
• DSB / Datenschutz: [email protected]
• Postanschrift für Zustellungen: ChefSphere OÜ, c/o E-Residency Hub OÜ, Ahtri tn 12, 10151 Tallinn, Harju maakond, Estonia, z. H. Law Enforcement Response Team.

15. Änderungen

Wir aktualisieren diese Seite, wenn sich unser Verfahren, unsere Niederlassung oder geltendes Recht wesentlich ändern. Maßgeblich sind das Inkrafttretensdatum und die Version im Kopfbereich.