Das der Betreff nicht verschlüsselt wird ist nachvollziehbar, da der SMTP Standard keine Ende zu Ende Verschlüsselung vorsieht. Wenn man selber PGP nutzt, ist das genau so.

Ich nutze ProtonMail aber nur, damit meine Daten auf den Servern sicher sind. Das die E-Mails die ich an externe verschicke unverschlüsselt sind, ist mir klar.

Dass die Nutzerdaten raus gegeben haben ist richtig, aber keine der verschlüsselten Daten, sondern "nur" Rechnungsdaten und IP, die ja unverschlüsselt vorliegen.

Würde mich aber wundern, wenn zB Tutanota bei vorliegen eines gerichtlichen Beschlusses diese Daten nicht auch rausgeben würde.