E-Mail ist nach wie vor das zentrale Kommunikationsmedium im Geschäftsalltag – und gleichzeitig einer der sensibelsten Datenströme im Unternehmen. Über den Posteingang laufen Verträge, Personaldaten, Angebote und vertrauliche Korrespondenz. Wer seinen E-Mail-Betrieb nicht DSGVO-konform aufstellt, riskiert nicht nur Bußgelder, sondern auch das Vertrauen seiner Kunden. Dieser Beitrag erklärt praxisnah, worauf es ankommt, wenn Sie einen E-Mail-Server datenschutzkonform betreiben möchten. Er bietet Orientierung, ersetzt aber keine Rechtsberatung.
Warum E-Mail ein DSGVO-Thema ist
Sobald in E-Mails personenbezogene Daten verarbeitet werden – und das ist praktisch immer der Fall – greift die DSGVO. Relevant sind dabei mehrere Ebenen: wo die Daten liegen, wie sie übertragen und gespeichert werden, wer Zugriff hat und ob ein Auftragsverarbeitungsvertrag mit dem Anbieter besteht. Der bequeme Griff zu einem internationalen Cloud-Postfach kann hier schnell zu offenen Fragen führen, etwa beim Datentransfer in Drittstaaten.
Die wichtigsten Anforderungen im Überblick
| Anforderung | Worum es geht | Praxis |
|---|---|---|
| Standort der Daten | Wo Mails physisch gespeichert werden | Rechenzentrum in DE/EU bevorzugen |
| Transportverschlüsselung | Schutz auf dem Übertragungsweg | TLS erzwingen (STARTTLS/SMTPS) |
| Zugriffskontrolle | Wer auf Postfächer zugreifen darf | Rollen, starke Passwörter, 2FA |
| Auftragsverarbeitung | Vertragliche Grundlage mit Dienstleister | AV-Vertrag nach Art. 28 DSGVO |
| Protokollierung | Nachvollziehbarkeit von Zugriffen | Logging mit Löschkonzept |
| Löschkonzept | Daten nicht unbegrenzt aufbewahren | Aufbewahrungsfristen definieren |
Standort und Datenhoheit
Der einfachste Hebel für mehr Rechtssicherheit ist der Serverstandort. Liegen Ihre E-Mail-Daten in einem Rechenzentrum in Deutschland oder der EU, entfällt die komplizierte Bewertung von Drittstaaten-Transfers weitgehend. Ein in Europa betriebener, idealerweise quelloffener Mailserver wie Stalwart gibt Ihnen hier volle Kontrolle – Sie wissen jederzeit, wo Ihre Daten liegen und wer darauf zugreift.
Verschlüsselung – Transport und Inhalt
Zwei Ebenen sind zu unterscheiden:
- Transportverschlüsselung (TLS): Schützt Mails auf dem Weg zwischen den Servern. Sie sollte erzwungen, nicht nur optional angeboten werden.
- Inhaltsverschlüsselung (z. B. S/MIME oder PGP): Schützt den Inhalt durchgehend – sinnvoll für besonders sensible Korrespondenz.
Für den Regelbetrieb ist erzwungenes TLS die Basis. Bei vertraulichen Inhalten sollten Sie zusätzlich über Ende-zu-Ende-Verschlüsselung nachdenken.
Zugriffskontrolle und Authentifizierung
Datenschutz beginnt bei den Zugängen. Starke Passwörter, Zwei-Faktor-Authentifizierung und ein durchdachtes Rollenkonzept verhindern, dass Postfächer zum Einfallstor werden. Wer ausgeschieden ist, darf keinen Zugriff mehr haben – das klingt selbstverständlich, wird aber im Alltag oft vergessen.
Auftragsverarbeitung und Verträge
Betreiben Sie den Server nicht selbst, sondern lassen ihn hosten, brauchen Sie einen Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO. Darin wird geregelt, wie der Dienstleister mit Ihren Daten umgeht. Ein seriöser Anbieter stellt diesen Vertrag selbstverständlich und transparent bereit.
Selbst betreiben oder hosten lassen?
Beide Wege können DSGVO-konform sein – die Frage ist, wer den Aufwand trägt:
- Eigenbetrieb: Maximale Kontrolle, aber Sie verantworten Updates, Spam-Schutz, Backups und Verfügbarkeit selbst.
- Managed Hosting bei einem EU-Anbieter: Kontrolle über den Standort, aber Betrieb und Wartung liegen beim Dienstleister – mit klarem AV-Vertrag.
Für die meisten KMU ist der zweite Weg der pragmatische: die Datenhoheit eines europäischen, offenen Stacks, ohne die Last des täglichen Betriebs. Genau das bieten wir mit unserem DSGVO-konformen E-Mail-Hosting auf Basis eines herstellerunabhängigen Open-Source-Stacks und mit persönlichem Ansprechpartner.
Technische Schutzmaßnahmen gegen Missbrauch
DSGVO-Konformität endet nicht beim Datenschutz im engeren Sinne – ein kompromittierter Mailserver gefährdet auch die Verfügbarkeit und Integrität der Daten. Drei technische Standards gehören deshalb zu jedem seriösen E-Mail-Betrieb:
- SPF, DKIM und DMARC: Diese drei Verfahren stellen sicher, dass E-Mails wirklich von Ihrer Domain stammen. Sie schützen vor Fälschung Ihrer Absenderadresse und verhindern, dass Ihre Domain für Spam oder Phishing missbraucht wird.
- Spam- und Schadcode-Filter: Eingehende Nachrichten sollten serverseitig auf Schadsoftware und Phishing geprüft werden, bevor sie das Postfach erreichen.
- Regelmäßige Backups mit Löschkonzept: Backups schützen vor Datenverlust, müssen aber selbst datenschutzkonform sein – also verschlüsselt und mit definierten Aufbewahrungsfristen versehen.
Diese Maßnahmen sind kein Luxus, sondern gehören zur Sorgfaltspflicht. Sie schützen nicht nur Ihre eigenen Daten, sondern auch die Ihrer Kommunikationspartner – und damit Ihren Ruf.
Häufige Fehler
- TLS nur optional: Wenn Verschlüsselung nicht erzwungen wird, läuft sie ins Leere.
- Kein Löschkonzept: Mails dürfen nicht unbegrenzt aufbewahrt werden.
- Fehlender AV-Vertrag: Ohne vertragliche Grundlage fehlt die rechtliche Basis.
- Vergessene Zugänge: Alte Konten und Weiterleitungen werden zum Risiko.
Fazit
Einen E-Mail-Server DSGVO-konform zu betreiben ist kein Hexenwerk – es erfordert aber bewusste Entscheidungen bei Standort, Verschlüsselung, Zugriffskontrolle und Verträgen. Der wirksamste Hebel ist ein europäischer, offener Stack, der Ihnen die Datenhoheit zurückgibt. Verschaffen Sie sich einen Überblick über unser DSGVO-konformes E-Mail-Hosting oder denken Sie das Thema gleich größer: Ein vollständig souveräner Open-Source-Workspace bringt E-Mail, Dateien und Zusammenarbeit datenschutzkonform unter ein Dach. Wie sich ein solcher Workspace gegenüber gängigen Cloud-Suiten schlägt, lesen Sie im Vergleich Nextcloud vs. Microsoft 365.
Dieser Beitrag dient der allgemeinen Orientierung und stellt keine Rechtsberatung dar.