Ihre Datenbank läuft in Frankfurt. Ihr Cloud-Vertrag hat eine Auftragsverarbeitungsvereinbarung, Ihr Datenschutzbeauftragter hat die Subunternehmerliste geprüft, und auf der Sicherheitsseite Ihrer Website steht zu Recht: „Ihre Daten bleiben in der EU."
Dann setzt ein Nutzer sein Passwort zurück. Und eine Kopie seiner E-Mail-Adresse, seines Namens und des Nachrichteninhalts wandert zu einem E-Mail-Anbieter, dessen Infrastruktur sich in Ihrem Unternehmen noch nie jemand angesehen hat, sehr wahrscheinlich zu einer amerikanischen Plattform, die vor Jahren aus Bequemlichkeit gewählt wurde.
Transaktionale E-Mails sind einer der am häufigsten übersehenen Bausteine in der Souveränitätsstrategie europäischer SaaS-Unternehmen. Und das ist längst kein reines Compliance-Thema mehr: Es ist der Punkt in Ihrer Subunternehmerliste, an dem der Datenschutzbeauftragte Ihres nächsten Großkunden hängen bleibt, und damit eine Frage, die über Abschlüsse entscheidet. Dieser Beitrag erklärt, warum, und was sich konkret ändert, wenn der E-Mail-Anbieter selbst europäisch ist.
Jede transaktionale E-Mail enthält personenbezogene Daten
Eine transaktionale E-Mail ohne personenbezogene Daten gibt es nicht. Jede Nachricht trägt mindestens eine Empfängeradresse, meist einen Namen, und oft deutlich mehr: Bestelldetails, Kontoinformationen, Sicherheits-Tokens, Rechnungsinhalte. Die Zustellprotokolle halten fest, wer wann welche E-Mail erhalten hat. Öffnungs- und Klick-Tracking verknüpft dieses Verhalten mit Geräten und IP-Adressen.
Das ist genau die Kategorie von Daten, die die DSGVO schützen soll. Ihr E-Mail-Anbieter ist damit kein Nebendarsteller, sondern ein Auftragsverarbeiter mit laufendem Zugriff auf die Daten Ihrer gesamten Nutzerbasis, und gehört in Ihre Risikobewertung genauso wie die Datenbank.
Serverstandort EU heißt nicht Rechtsraum EU
Hier liegt das Missverständnis, an dem die meisten Souveränitätsprüfungen scheitern. Datenresidenz ist Geografie: wo die Daten physisch liegen. Ein Häkchen in der Konsole, EU-Region gewählt, erledigt. Datensouveränität ist Jurisdiktion: wessen Gesetze Zugriff auf die Daten erzwingen können, egal, wo sie liegen.
Ein US-Unternehmen, das Daten in einem Frankfurter Rechenzentrum speichert, bleibt im Zugriff des amerikanischen Rechts. Der CLOUD Act erlaubt es US-Behörden, von amerikanischen Unternehmen die Herausgabe von Daten zu verlangen, die diese kontrollieren, auch wenn die Daten auf europäischem Boden liegen. Die EU-Region auf der Statusseite Ihres Anbieters schützt davor nicht.
Dazu kommt: Die rechtliche Grundlage für Datentransfers in die USA ist historisch instabil. Das aktuelle EU-US Data Privacy Framework ist bereits der dritte Anlauf für eine solche Vereinbarung. Die ersten beiden, Safe Harbor und Privacy Shield, wurden vom Europäischen Gerichtshof gekippt. Wer seine Compliance-Architektur langfristig plant, sollte den Fortbestand des dritten Anlaufs nicht als gesichert behandeln.
Die entscheidende Frage an einen E-Mail-Anbieter lautet also nicht „Wo stehen die Server?", sondern: „Wer kann auf die Daten zugreifen, und nach welchem Recht?"
Eine E-Mail berührt mehr Systeme, als man denkt
Selbst wenn ein Anbieter mit EU-Infrastruktur wirbt, lohnt der Blick in die Fußnoten. Eine einzige Nachricht wird angenommen, in eine Warteschlange gestellt, zwischengespeichert, zugestellt, bei Fehlern erneut versucht und protokolliert. Dazu kommen Tracking-Daten, Bounce-Einträge, Metadaten und Backups. Jede dieser Kopien liegt irgendwo, und „irgendwo" hat eine Jurisdiktion.
Ein Anbieter kann seine Versandknoten in der EU betreiben, während die Logging-Pipeline, die Analytik oder die Backups unter dem Recht eines anderen Staates laufen. Von außen sehen zwei Anbieter identisch aus. Der Unterschied zeigt sich erst, wenn man fragt, wo jede einzelne Kopie tatsächlich liegt, Nachricht, Protokoll, Metadaten, Backup.
Ihre Kunden stellen diese Fragen bereits
Falls sich das akademisch anhört: Es ist Vertriebsrealität. Europäische Einkaufs- und Datenschutzteams prüfen Subunternehmerlisten heute ernsthaft, und „unser E-Mail-Anbieter sitzt in Kalifornien" ist eine Antwort, die Deals verlangsamt oder verhindert, besonders bei Kunden aus dem öffentlichen Sektor, dem Gesundheitswesen und dem Finanzbereich, und besonders im deutschsprachigen Raum, wo Datenschutz seit jeher strenger gelebt wird als fast überall sonst in Europa.
Als SaaS-Unternehmen vererben Sie die Jurisdiktion Ihrer Subunternehmer an Ihre eigenen Kunden weiter. Jeder US-Anbieter in Ihrer Liste ist ein Punkt, den der Datenschutzbeauftragte Ihres Kunden hinterfragen wird, und ein Abschnitt mehr, den Sie in jedem Fragebogen erklären müssen. Ein europäischer Anbieter dreht das um: Aus der Schwachstelle in der Prüfung wird ein Verkaufsargument. „Unsere gesamte E-Mail-Infrastruktur läuft unter europäischem Recht" ist ein Satz, den Ihr Vertrieb gerne sagt.
Was ein europäischer Anbieter konkret ändert
Der praktische Maßstab: europäische Jurisdiktion als Standard, nicht als Konfigurationsoption, die man einstellt und auf deren Bestand man hofft.
Bei AhaSend ist das strukturell gelöst. Das Unternehmen ist in den Niederlanden eingetragen (AhaSend B.V., KvK 99533111), damit untersteht die Gesellschaft selbst europäischem Recht, nicht nur ihre Server, der Hebel, über den der CLOUD Act bei US-Anbietern greift, fehlt hier schlicht. Transaktionale E-Mails laufen standardmäßig über europäische, geo-redundante Infrastruktur: Nachrichten, Zustellprotokolle und Metadaten bleiben vollständig in Europa.
Die Geo-Redundanz ist dabei kein Detail. Souveränität und Ausfallsicherheit stehen normalerweise im Konflikt: Daten in einer Jurisdiktion halten und einen Single Point of Failure akzeptieren, oder über Regionen verteilen und die jurisdiktionelle Kontrolle verlieren. Geo-redundante europäische Infrastruktur löst beides gleichzeitig: Die Daten bleiben unter europäischem Recht und überstehen den Ausfall eines Rechenzentrums.
Dazu kommt konfigurierbare Datenaufbewahrung, pro Nachricht einstellbar: Metadaten und Zustellprotokolle zwischen 1 und 30 Tagen, Nachrichteninhalte zwischen 0 und 30 Tagen, wobei 0 bedeutet, dass der Inhalt im Moment des Versands gelöscht wird. Je weniger gespeichert ist, desto weniger kann überhaupt jemand herausverlangen. Wie die DSGVO-Pflichten im E-Mail-Versand im Detail aussehen, haben wir im Entwickler-Leitfaden für DSGVO-konforme transaktionale E-Mails beschrieben (Englisch); auf der Sicherheitsseite arbeitet AhaSend derzeit an zwei Zertifizierungen: der ISO-27001-Zertifizierung und der Aufnahme in die Certified Senders Alliance (CSA), dem im deutschsprachigen Raum etablierten Qualitätssiegel für seriösen E-Mail-Versand. Beide sind in Arbeit.
„Aber die Zustellbarkeit…", das Argument von gestern
Der Einwand, der jetzt im Team kommt: Die großen US-Anbieter hätten die beste Zustellbarkeit, ein Wechsel aus Souveränitätsgründen koste Inbox-Platzierung. Das war einmal eine berechtigte Sorge. Sie ist es nicht mehr.
Zustellbarkeit entsteht aus Absenderreputation, sauberer Authentifizierung und Infrastrukturqualität, nicht aus dem Kontinent, auf dem die Server stehen. Ein europäischer Anbieter mit gepflegten IP-Bereichen, korrekter Authentifizierung und diszipliniertem Versand erreicht den Posteingang genauso zuverlässig wie jeder US-Platzhirsch.
Auch das Kostenargument trägt nicht: Ein europäischer, souveränitätsorientierter Anbieter ist kein Premiumprodukt mit Aufpreis. AhaSend ist nicht teurer als die US-Anbieter, und oft günstiger. Souveränität kostet Sie hier weder Inbox-Platzierung noch Budget.
Die Checkliste für Ihre Anbieterprüfung
Bevor Sie Ihren E-Mail-Versand als souveränitätsfest abhaken, sollten diese Fragen mit Ja beantwortet sein:
- Speicherorte, bleiben Nachrichten, Protokolle und Metadaten unter EU-Jurisdiktion, nicht nur in einer EU-Region einer US-kontrollierten Plattform?
- Europäische Vertragspartei, ist das Unternehmen selbst in Europa eingetragen, ohne US-Konzernmutter?
- Geo-redundante Infrastruktur, kostet die Souveränität keine Ausfallsicherheit?
- Konfigurierbare Aufbewahrung, können Sie Daten nur so lange speichern, wie Sie sie tatsächlich brauchen?
- Auftragsverarbeitungsvereinbarung, mit offengelegten, ihrerseits jurisdiktionell sauberen Subunternehmern?
- Anerkanntes Sicherheits-Framework, an dem Sie den Anbieter messen können, nicht nur eine Marketingseite?
Wenn alles mit Ja beantwortet ist, hört Ihr E-Mail-Versand auf, die leise Ausnahme in einer ansonsten europäischen Architektur zu sein.