Datensicherheit beim E-Mail-Versand innerhalb einer Domain: Wie sichtbar sind Ihre internen Mails wirklich?

Die interne E-Mail-Kommunikation ist in vielen Unternehmen das Rückgrat des täglichen Arbeitens. Doch gerade Geschäftsführer stellen sich oft die Frage: „Wenn Mitarbeiterin A an Mitarbeiter B innerhalb derselben Firma schreibt – liest dann der Netzbetreiber mit?“

Diese Frage ist für die Bewertung nach DSGVO und Artikel 32 (Sicherheit der Verarbeitung) essenziell. Unsere Infografik zeigt Ihnen die technischen Wege Ihrer Daten und wann der Verkehr als „datenschutzrechtlich unkritisch“ gilt.

Das Prinzip „Authoritative Domain“

Die E-Mail verlässt logisch gesehen nicht das Haus des Providers

Mitarbeiter A
a@firma.de

Provider Infrastruktur

Internes Routing
ohne Internet-Umweg

Mitarbeiter B
b@firma.de

1. Der Weg der E-Mail und die Rolle des Providers

Für die Datensicherheit ist entscheidend, welche Infrastruktur Sie nutzen. Wir unterscheiden drei typische Szenarien für KMU:

Klassische Webhoster

(z.B. Ionos, Strato)

Interne Mails werden direkt im System zugestellt. Der Transport läuft über den eigenen Backbone des Anbieters, nicht über öffentliche Internetknoten.

Cloud Hyperscaler

(z.B. Microsoft 365, Google)

Nutzung globaler privater Netzwerke. Daten treten an der „Front Door“ ein und verlassen das gesicherte Cloud-Netzwerk für interne Zustellung nicht.

Freemail-Verbund

(z.B. GMX, Web.de)

Transport zwischen Rechenzentren ist verschlüsselt. Innerhalb einer Domain verlässt die Mail das Rechenzentrum in der Regel nicht.

2. Was sieht der Netzbetreiber (ISP) tatsächlich?

Die Sorge, dass Telekom, Vodafone oder andere Provider mitlesen, ist dank TLS-Verschlüsselung weitgehend unbegründet. Hier der direkte Vergleich:

Sichtbar für ISP

IP-Adressen: Wer kommuniziert mit wem (Ihr Gerät ↔ Server).
Ports: Art des Dienstes (z.B. Port 443, 993).
Servername (SNI): Z.B. outlook.office365.com.
Datenvolumen: Menge der übertragenen Daten.

NICHT Sichtbar (Verschlüsselt)

Betreffzeile: Der Inhalt des Subjects.
E-Mail-Text: Der eigentliche Nachrichtenkörper.
Anhänge: PDF, Word-Dateien, Bilder etc.
Konkrete Empfänger: Die genaue E-Mail-Adresse (hinter dem @).

Hinweis zum Speicherort: Auf dem Transportweg ist die Mail verschlüsselt. Im Postfach liegt sie meist im Klartext, damit Suche und Spam-Filter funktionieren. Dies ist rechtlich über den Auftragsverarbeitungsvertrag (AVV) abgesichert.

3. Datenschutzrechtliche Einordnung & Handlungsempfehlung

Für die Geschäftsführung bedeutet dies: Die Technik ist meist sicher, der rechtliche Rahmen muss stimmen. Prüfen Sie folgende Punkte für Ihre Compliance:

Auftragsverarbeitungsvertrag (AVV): Ist dieser mit dem Provider (z.B. Microsoft, Ionos) geschlossen und aktuell?
Transportverschlüsselung erzwingen: Sind unverschlüsselte Ports in der IT-Konfiguration deaktiviert?
Sensible Daten (Art. 9 DSGVO): Bei Gesundheitsdaten oder ähnlich kritischen Inhalten reicht Standard-Transportverschlüsselung oft nicht. Hier sollte Ende-zu-Ende-Verschlüsselung (PGP/S-MIME) geprüft werden.
KI-Funktionen: Prüfen Sie, ob KI-Spamfilter oder Sortierfunktionen datenschutzkonform eingestellt sind.

Häufig gestellte Fragen (FAQ)

Ist der interne E-Mail-Versand ohne PGP sicher?

Für Daten mit normalem Schutzbedarf: Ja. Bei Nutzung seriöser Provider erfolgt der Transport verschlüsselt (TLS) und bleibt innerhalb der geschützten Infrastruktur des Anbieters. Externe Netzbetreiber können nicht mitlesen. Für hochsensible Daten (z.B. Patientendaten) wird jedoch eine zusätzliche Ende-zu-Ende-Verschlüsselung empfohlen.

Liest mein Internetanbieter (ISP) meine E-Mails?

Nein. Der Internetanbieter (wie Telekom oder Vodafone) sieht nur, dass eine Verbindung zu einem Mailserver besteht. Dank Transportverschlüsselung sind Inhalte, Betreff und Anhänge für den ISP technisch nicht lesbar.

Was ist eine „Authoritative Domain“?

Wenn ein Mailserver für eine Domain (z.B. @firma.de) zuständig („authoritative“) ist, weiß er, dass E-Mails an Kollegen nicht ins offene Internet geroutet werden müssen. Er stellt sie direkt intern im Speichersystem zu. Das erhöht die Sicherheit signifikant.

Muss ich einen AVV mit meinem E-Mail-Provider abschließen?

Zwingend Ja. Da der Provider Zugriff auf personenbezogene Daten auf seinen Servern hat (Speicherung, Backups), agiert er als Auftragsverarbeiter gemäß DSGVO. Ohne AVV ist die Nutzung rechtlich unzulässig.

Dürfen KI-Tools meine E-Mails analysieren?

Viele Provider nutzen KI für Spam-Schutz und Sicherheit. Dies ist oft zulässig, wenn es im Rahmen des AVV und zur Sicherheit der Verarbeitung (Art. 32 DSGVO) geschieht. Vorsicht ist geboten bei KI-Tools, die Daten zur eigenen Weiterbildung nutzen – hier muss die Konfiguration geprüft werden.