Was die DSGVO für deine E-Mails bedeutet – und was nicht

Was die DSGVO verlangt

Im Kern besagt die DSGVO, dass personenbezogene Daten für einen bestimmten Zweck erhoben, ausschließlich dafür verwendet, angemessen geschützt und gelöscht werden müssen, sobald sie nicht mehr benötigt werden.

Für E-Mail heißt das konkret ein paar Dinge. Daten gehören an definierte, geschützte Orte. Der Zugriff muss kontrolliert und protokolliert sein. Wenn eine Person oder ein Unternehmen Löschung verlangt, muss diese Löschung echt sein – kein Soft-Flag in der Datenbank, während die eigentlichen Inhalte jahrelang weiterleben.

Der letzte Punkt wiegt schwerer, als er klingt. Echte Löschung heißt: Die Datenbank führt ein Delete aus, und Backups laufen nach einem festen Plan ab. Das ist nicht kompliziert, erfordert aber Vorsatz.

Wo "konform" knifflig wird

Die DSGVO regelt Datenschutz. Sie verbietet einem Anbieter nicht, deine Daten innerhalb seiner Systeme zu nutzen, solange das in den AGB offengelegt ist. Ein Anbieter kann vollständig DSGVO-konform sein und trotzdem E-Mail-Inhalte nutzen, um interne Modelle zu trainieren, Filter zu verbessern oder Produktentscheidungen zu treffen.

Die wenigsten lesen die AGB im Detail. Die meisten gehen davon aus, "konform" bedeute, dass ihre Korrespondenz vertraulich behandelt wird. Das ist nicht immer dasselbe.

DSGVO in der E-Mail-Kommunikation ist anders

Die meisten DSGVO-Diskussionen drehen sich um Einwilligung – hat die Person zugestimmt, diese E-Mail zu erhalten, hat sie der Datenverarbeitung zugestimmt. Aber normale Geschäftskorrespondenz funktioniert anders. Wenn ein Lieferant dir ein Angebot mailt, wenn ein Kunde ein Briefing schickt, wenn ein Kollege ein Dokument weiterleitet – niemand hat etwas unterschrieben. Niemand hat zugestimmt.

E-Mail-Inhalte sind personenbezogene Daten im Sinne der DSGVO. Namen, E-Mail-Adressen, Anhänge, Gespräche über Personen – das alles fällt unter die Definition der Verordnung. Der Name des Absenders steht im Header. Seine Worte stehen im Body. Menschen schicken Passwörter, Zugangsdaten, Verträge, Finanzdetails – ohne darüber nachzudenken, wo dieser Inhalt tatsächlich landet. Nach der DSGVO qualifiziert sich jede Information, die allein oder in Kombination zur Identifizierung einer Person dienen kann. Ein E-Mail-Verlauf erfüllt das mühelos.

Welche Rechtsgrundlage deckt also, dass der Empfänger diese Nachricht speichert und verarbeitet? Die DSGVO verlangt für jede Verarbeitung eine Rechtsgrundlage. Bei eingegangener Geschäftspost wird am häufigsten das "berechtigte Interesse" herangezogen – die Idee, dass zwischen den Parteien eine relevante und verhältnismäßige Beziehung besteht. Klartext: Du hast die E-Mail im Rahmen deiner Geschäftstätigkeit erhalten, sie zu speichern ist angemessen. Darauf stützen sich die meisten Organisationen, ob bewusst oder nicht.

Manche Unternehmen versuchen, das fehlende Einverständnis mit einem Footer-Disclaimer aufzufangen – eine Zeile, die besagt, die Nachricht sei nur für den genannten Empfänger bestimmt und unbefugte Nutzung untersagt. Solche Disclaimer schaffen keine Rechtspflicht. Sie werden vom Absender angehängt, nachdem die Nachricht seinen Einflussbereich längst verlassen hat, und landen auf Infrastruktur, mit der er keinerlei Vereinbarung hat. Sie signalisieren vielleicht eine Absicht, binden aber niemanden. Und neben der rechtlichen Frage gibt es eine praktische: Die stillschweigende Erwartung von Vertraulichkeit in der Korrespondenz ist real – unabhängig davon, was irgendwelche AGB erlauben. Wird diese Erwartung gebrochen – durch einen Anbieter, absichtlich oder nicht – ist der Vertrauensschaden meist dauerhaft.

Wie wir das bei Grace Mail sehen

Wir haben Grace Mail um ein Prinzip herum gebaut, das über regulatorische Mindestanforderungen hinausgeht. Deine Daten sollen für niemanden außerhalb deines Unternehmens lesbar, nutzbar oder zugänglich sein – auch nicht für uns.

Konkret heißt das: eine eigene Instanz pro Kunde – dein Server, deine Daten, keine geteilte Infrastruktur. Es heißt aggressive Verschlüsselung, die die Zeit minimiert, in der Inhalte außerhalb verschlüsselter Speicherung existieren. Es heißt echte Löschung auf Anfrage und Backups, die nach festem Plan ablaufen. Und es heißt: ein eigener Mail-Client in Entwicklung, der die Verschlüsselungsschlüssel direkt in die Hände der Nutzer legt, um die Sicherheit weiter zu erhöhen.

Nichts davon verlangt die DSGVO. Wir finden trotzdem, es sollte der Standard sein.

Sollte wider Erwarten doch etwas schiefgehen, bleibt der Schaden durch das Modell der dedizierten Instanz auf eine einzige Organisation begrenzt. Keine Millionen Postfächer. Eines.

Unsere Empfehlung

E-Mail wird selten überprüft, solange nichts dazu zwingt. Es funktioniert, also bleibt es. Aber die DSGVO-Durchsetzung wird ernster, KI-Training auf Kommunikationsdaten ist längst kein Randthema mehr, und Unternehmen, die Privatsphäre als Nebensache behandeln, fallen zunehmend auf – und werden zunehmend zur Rechenschaft gezogen. Es lohnt sich, deine Rechts- und IT-Abteilung zu fragen, wie deine E-Mails tatsächlich verarbeitet werden, wo sie liegen und was die AGB deines Anbieters ihm damit erlauben.