DSGVO-konforme Mail Infrastruktur: was wirklich zählt
Server in der EU reichen nicht. Was eine DSGVO-konforme E-Mail Infrastruktur wirklich ausmacht, und warum die meisten SaaS Versender Lücken haben.
E-Mail Marketing ist seit der DSGVO ein Spannungsfeld. Viele Anbieter werben mit "Server in der EU". Das ist ein Anfang, aber bei weitem nicht genug. Was eine wirklich saubere Infrastruktur braucht, ist deutlich umfangreicher.
Was über "EU-Server" hinaus zählt
Die DSGVO unterscheidet zwischen Datenverarbeitung und Datenspeicherung. Selbst wenn die Daten in der EU liegen, kann ein Drittland Transfer entstehen, sobald der Anbieter ein US-Mutterunternehmen hat oder Subprozessoren mit Sitz außerhalb der EU einsetzt. Schrems II hat hier scharf gezeichnet.
Konkrete Punkte, die wir bei JD Mail technisch durchsetzen:
- Bare-Metal Server in einem österreichischen Rechenzentrum (kein Cloud Hyperscaler, kein US-Transfer)
- Keine Subprozessoren außerhalb der EU, auch nicht für CDN, Monitoring oder Logs
- Vollständige Verschlüsselung at rest (LUKS) und in transit (TLS 1.3)
- Auftragsverarbeitungsvertrag mit jedem Kunden, ohne SCC-Konstruktionen
Bounce und Click Tracking: ein oft übersehener Punkt
Tracking Pixel und Click Redirects sind technisch IP-Logging. Das ist in vielen DSAs nicht sauber dokumentiert. Wir loggen nur das, was für den Newsletter Versand wirklich nötig ist:
- Bounces: ja, anonymisiert nach 24 h
- Öffnungen: ja, mit IP-Hash statt Klar IP
- Klicks: ja, ohne Cross-Site Profiling
Ergebnis
Statt einer "DSGVO-Checkbox" haben wir eine Architektur, bei der wir bei jedem Abmahn Versuch ruhig schlafen können. Das ist das eigentliche Versprechen.