DSGVO-konformes Team-Postfach: Worauf KMU bei EU-Hosting achten sollten

Ein Postfach enthält mit das Sensibelste, was ein Unternehmen hat: Kundenanfragen, Verträge, Rechnungen, personenbezogene Daten. Wer ein geteiltes Team-Postfach einführt, sollte den Datenschutz deshalb nicht als Nachgedanken behandeln. Diese Checkliste hilft bei der Auswahl — und beim Gespräch mit dem eigenen Datenschutzbeauftragten.

Warum der Serverstandort zählt

Werden personenbezogene Daten in ein Drittland (z. B. in eine US-Cloud) übermittelt, braucht es dafür eine tragfähige Rechtsgrundlage — und die Lage dazu ist seit Jahren in Bewegung. Schon die Frage, ob ein US-Anbieter „Zugriff" auf Daten haben könnte, löst Dokumentations- und Prüfpflichten aus. Ein Anbieter, der vollständig in der EU hostet, vermeidet dieses Risiko von vornherein und vereinfacht die eigene Compliance erheblich: weniger Transfer-Folgenabschätzung, weniger Unsicherheit, weniger Aufwand.

Die Checkliste

1. EU-Hosting

Wo stehen die Server? Idealerweise ausschließlich in der EU, ohne Drittlandübermittlung im Regelbetrieb.

2. Verschlüsselung at-rest

Werden Zugangsdaten und Tokens verschlüsselt gespeichert (z. B. AES-256-GCM)? Zugangsdaten dürfen nie im Klartext liegen — und auch nicht in Logdateien auftauchen.

3. Auftragsverarbeitung (Art. 28 DSGVO)

Gibt es einen AV-Vertrag? Wer sind die Unterauftragsverarbeiter (Hosting, Zahlungsdienstleister)? Ein seriöser Anbieter legt diese Liste offen und schließt mit euch einen AV-Vertrag ab — das ist kein Nice-to-have, sondern Pflicht.

4. Kein Mitlesen, kein Logging von Inhalten

Mail-Inhalte sollten ausschließlich zur Diensterbringung verarbeitet und nicht protokolliert oder für Werbung ausgewertet werden. Fragt konkret nach, was in Logs landet.

5. Datenminimierung & Löschung

Lassen sich Postfächer, Inhalte und Konten sauber trennen und vollständig löschen?

6. Betroffenenrechte

Sind Auskunft, Export und Löschung praktisch umsetzbar — und nicht nur theoretisch versprochen?

7. Self-Hosting-Option

Für strenge Compliance ein starkes Argument: Wer den Dienst selbst hosten kann, behält die volle Datenhoheit und muss niemandem vertrauen, sondern kann prüfen.

Sonderfall KI: Datenschutz nicht aushebeln

KI-Funktionen sind praktisch, aber datenschutzrelevant — schließlich verlässt dabei Text das System. Achtet auf zwei Punkte: Erstens sollte nur der tatsächlich nötige Kontext an die KI gehen, nicht das ganze Postfach. Zweitens ist ein Modell mit eigenem Schlüssel (Bring-your-own-Key) transparenter: Ihr wählt den Anbieter, kennt dessen Bedingungen und behaltet die Kostenkontrolle. So bleibt die KI eine Funktion, die ihr steuert — und kein unkalkulierbarer Datenabfluss.

Open Source als Vertrauensanker

„Vertraut uns" ist im Datenschutz ein schwaches Versprechen. Ist der Kern einer Lösung quelloffen, lässt sich nachprüfen, was tatsächlich mit Daten passiert — von der Verschlüsselung bis zum Umgang mit Mailinhalten. Das ersetzt keine vertragliche Zusicherung, aber es macht sie überprüfbar. Open Core verbindet beides: offener, auditierbarer Kern plus klare vertragliche Grundlage für den gehosteten Betrieb.

Kurz-Checkliste für das Auswahlgespräch

• Stehen alle Server in der EU? Gibt es Drittlandübermittlungen?
• Werden Zugangsdaten verschlüsselt at-rest gespeichert?
• Liegt ein AV-Vertrag inklusive Unterauftragsverarbeiter-Liste vor?
• Werden Mailinhalte geloggt oder ausgewertet?
• Wie funktionieren Export und Löschung in der Praxis?
• Gibt es eine Self-Hosting-Option und einsehbaren Quellcode?

Fazit

DSGVO-Konformität entsteht nicht aus einem einzelnen Häkchen, sondern aus dem Zusammenspiel von Hosting, Verschlüsselung, klaren Verträgen und sparsamer Verarbeitung. Ein in der EU gehostetes, quelloffenes Team-Postfach macht diesen Nachweis deutlich einfacher als eine intransparente Cloud-Lösung — und nimmt euch im Alltag viel Dokumentationsarbeit ab.

Hinweis: Dieser Beitrag ist eine allgemeine Orientierung und ersetzt keine Rechtsberatung.