DSGVO und E-Mail-Hosting: Ihre rechtlichen Pflichten erklärt | InfoSwitch - Migration vers Infomaniak

Zurück zum Blog Recht

DSGVO und E-Mail-Hosting: Ihre rechtlichen Pflichten erklärt

Das InfoSwitch-Team 14 décembre 2025 10 Min. gelesen

Die DSGVO erlegt der Verarbeitung personenbezogener Daten, einschließlich E-Mails, strenge Regeln auf. Setzen Sie sich rechtlichen Risiken aus, wenn Sie Gmail oder Microsoft 365 für Ihre geschäftliche Kommunikation nutzen? Ein klarer Überblick.

DSGVO-konformes E-Mail-Hosting

Haftungsausschluss

Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Bei Fragen zu Ihrer konkreten Situation wenden Sie sich an einen auf Datenschutz spezialisierten Anwalt.

E-Mails enthalten personenbezogene Daten

Eine berufliche E-Mail enthält typischerweise:

  • Vor- und Nachname (Absender, Empfänger)
  • E-Mail-Adressen
  • Inhalte, die persönliche Informationen offenbaren können
  • Anhänge (Rechnungen, Verträge, Ausweisdokumente …)
  • Metadaten (IP-Adresse, Zeitstempel, verwendetes Gerät)

All dies stellt im Sinne der DSGVO personenbezogene Daten dar.

Ihre Pflichten als Verantwortlicher

1. Rechtsgrundlage der Verarbeitung

Sie müssen über eine Rechtsgrundlage für die Verarbeitung dieser Daten verfügen (Art. 6 DSGVO):

  • Erfüllung eines Vertrags
  • Berechtigtes Interesse
  • Rechtliche Verpflichtung
  • Einwilligung (bei beruflichen E-Mails selten)

2. Betroffene informieren

Personen, deren Daten Sie verarbeiten, müssen informiert werden (Art. 13 und 14 DSGVO):

  • Wer ist der Verantwortliche
  • Zwecke der Verarbeitung
  • Aufbewahrungsdauer
  • Empfänger der Daten
  • Ggf. Übermittlungen außerhalb der EU

3. Datensicherheit

Sie müssen geeignete technische und organisatorische Maßnahmen treffen (Art. 32 DSGVO):

  • Datenverschlüsselung
  • Vertraulichkeit, Integrität, Verfügbarkeit
  • Möglichkeit zur Datenwiederherstellung
  • Regelmäßige Tests und Bewertungen

Das Problem der Übermittlungen außerhalb der EU

Allgemeiner Grundsatz

Die DSGVO verbietet grundsätzlich die Übermittlung personenbezogener Daten in Länder, die kein „angemessenes" Schutzniveau bieten (Art. 44–49).

Die Vereinigten Staaten: Ein Sonderfall

Eine wechselhafte Geschichte:

  • 2015 – Ungültigerklärung von Safe Harbor (Schrems-I-Urteil)
  • 2020 – Ungültigerklärung des Privacy Shield (Schrems-II-Urteil)
  • 2023 – Neuer EU-US-Rahmen (Data Privacy Framework)

Das neue Rahmenwerk wird kritisiert und könnte erneut für ungültig erklärt werden. Die Rechtslage bleibt daher unsicher.

Der Cloud Act: Das eigentliche Problem

Der US-amerikanische Cloud Act (2018) erlaubt US-Behörden den Zugriff auf Daten amerikanischer Unternehmen – selbst wenn diese Daten in Europa gespeichert sind.

Dies steht in direktem Widerspruch zur DSGVO, die die Übermittlung personenbezogener Daten an eine ausländische Behörde ohne europäische Rechtsgrundlage untersagt.

Reales Risiko

Wenn Sie Gmail oder Microsoft 365 verwenden, können Ihre E-Mails mit europäischen Kunden und Partnern theoretisch von US-Behörden eingesehen werden – in Verletzung der DSGVO.

Auftragsverarbeitung verwalten (Art. 28)

Ihr E-Mail-Hosting-Anbieter ist im Sinne der DSGVO ein Auftragsverarbeiter. Sie müssen:

  • Einen Auftragsverarbeitungsvertrag (AVV) abschließen
  • Die Sicherheitsgarantien des Verarbeiters prüfen
  • Sicherstellen, dass keine nicht genehmigten Unterauftragnehmer eingesetzt werden
  • Ihre Praktiken prüfen können

Was der AVV enthalten muss

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Arten der betroffenen Daten
  • Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Umgesetzte Sicherheitsmaßnahmen

Sanktionen bei Verstößen

Die DSGVO sieht abschreckende Sanktionen vor:

  • Verwarnungen und förmliche Hinweise der Datenschutzbehörde
  • Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes
  • Aussetzung von Datenübermittlungen
  • Klagen von betroffenen Personen

Beispiele für Sanktionen

  • Google: 150 Millionen Euro (CNIL, 2022) wegen Cookies
  • Meta: 1,2 Milliarden Euro (DPC Irland, 2023) wegen Übermittlungen in die USA

Die Lösung: Hosting in Europa (oder noch besser: in der Schweiz)

Warum die Schweiz?

Die Schweiz profitiert von einem Angemessenheitsbeschluss der Europäischen Kommission. Übermittlungen in die Schweiz sind daher ohne zusätzliche Garantien zulässig.

Darüber hinaus bietet die Schweiz:

  • Eines der strengsten Datenschutzgesetze der Welt (DSG)
  • Keine Unterwerfung unter den Cloud Act
  • Eine weltweit anerkannte Tradition der Vertraulichkeit
  • Rechtliche und politische Stabilität

Warum Infomaniak?

  • 100 % der Daten in der Schweiz – Keine Übermittlungen ins Ausland
  • Unabhängiges Schweizer Unternehmen – Keine amerikanische Muttergesellschaft
  • DSGVO-konformer AVV – Auftragsverarbeitungsvertrag verfügbar
  • ISO-Zertifizierungen – 27001 (Sicherheit), 14001 (Umwelt)

Wie Sie Ihre E-Mails DSGVO-konform machen

Schritt 1: Datenflüsse identifizieren

Erfassen Sie, wohin Ihre E-Mails gehen und welche Daten sie enthalten:

  • E-Mail-Server (Standort)
  • Backups (Wo werden sie gespeichert?)
  • Verbundene Drittanwendungen
  • Verwendete E-Mail-Clients

Schritt 2: Risiken bewerten

Fragen Sie sich für jeden Datenfluss:

  • Findet eine Übermittlung außerhalb der EU/des EWR/der Schweiz statt?
  • Unterliegt der Auftragsverarbeiter dem Cloud Act?
  • Sind die Daten verschlüsselt?

Schritt 3: Bei Bedarf migrieren

Wenn Ihre E-Mails bei einem amerikanischen Anbieter (Google, Microsoft) gehostet werden, sollten Sie ernsthaft eine Migration zu einem europäischen oder Schweizer Anbieter in Betracht ziehen.

Schritt 4: Alles dokumentieren

Halten Sie Ihre Entscheidungen und Analysen schriftlich fest. Im Falle einer Prüfung müssen Sie Ihre Entscheidungen begründen können.

Rechtliche FAQ

Mein Unternehmen ist klein – gilt das auch für mich?

Ja. Die DSGVO gilt für jede Organisation, die personenbezogene Daten verarbeitet, unabhängig von ihrer Größe. Die Pflichten sind dieselben.

Alle meine Kunden sind lokal – kann ich Gmail verwenden?

Technisch gesehen werden ihre Daten in die USA übermittelt, sobald sie auf Googles Servern liegen. Der Standort Ihrer Kunden spielt keine Rolle.

Microsoft speichert meine Daten in Europa – reicht das?

Nein. Als amerikanisches Unternehmen unterliegt Microsoft weiterhin dem Cloud Act, auch für in Europa gespeicherte Daten.

Fazit

Die DSGVO erfordert eine ernsthafte Auseinandersetzung mit dem Hosting Ihrer beruflichen E-Mails. Amerikanische Lösungen schaffen trotz ihrer Bequemlichkeit eine rechtliche Grauzone, die viele Unternehmen lieber vermeiden.

Sich für einen Schweizer Anbieter wie Infomaniak zu entscheiden, bedeutet die Gewissheit einer eindeutigen DSGVO-Konformität. Ihre Daten bleiben durch datenschutzfreundliche Gesetze geschützt – außerhalb der Reichweite fremder Jurisdiktionen.

DSGVO-konformes Hosting wählen

Sind Sie bereit, zu Infomaniak zu migrieren?

Kontaktieren Sie uns für ein kostenloses 15-minütiges Audit. Wir analysieren Ihre Situation und erstellen Ihnen ein individuelles Angebot.

Fordern Sie ein kostenloses Audit an
Teilen Sie diesen Artikel:

Lesen Sie auch