Einordnung datenschutzorientierter E-Mail-Dienste
E-Mail ist ein technisch betagtes Medium, das ursprünglich ohne Sicherheitsfokus konzipiert wurde. In der heutigen Kommunikation stellt es aufgrund der unverschlüsselten Übertragung und der anfallenden Metadaten ein sensibles Element dar.
Der Begriff „sichere E-Mail“ wird oft verkürzt dargestellt. Er umfasst verschiedene technische Ebenen, von der Transportverschlüsselung bis zur Ende-zu-Ende-Verschlüsselung der Inhalte, die jeweils unterschiedliche Schutzziele verfolgen.
Was sichere E-Mail leisten kann / was nicht
Ein sicherer Dienst kann:
- Inhalte von E-Mails mittels Ende-zu-Ende-Verschlüsselung (E2EE) für Dritte unlesbar machen.
- Den Zugriff des Providers auf die gespeicherten Daten durch Zero-Access-Architekturen technisch unterbinden.
- Datensparsame Konten ermöglichen, die ohne die Angabe von Telefonnummern oder Klarnamen auskommen.
Ein sicherer Dienst kann nicht:
- Metadaten (Absender, Empfänger, Zeitstempel) im Standard-Protokoll vollständig verbergen.
- Absolute Anonymität garantieren, da IP-Adressen technisch bedingt verarbeitet werden.
- Schutz bieten, wenn das genutzte Endgerät (Smartphone/PC) bereits kompromittiert ist.
Methodik & Bewertungskriterien
Die Einordnung der Anbieter basiert auf folgenden technischen und konzeptionellen Merkmalen:
- Ende-zu-Ende-Verschlüsselung: Umsetzung des Verschlüsselungskonzepts und Handhabung der privaten Schlüssel auf der Nutzerseite.
- Jurisdiktion: Rechtlicher Sitz des Unternehmens und die Relevanz lokaler Datenschutzgesetze.
- Open-Source-Verfügbarkeit: Quelloffenheit der Anwendungen zur unabhängigen Überprüfbarkeit der Sicherheitsversprechen.
- Geschäftsmodell: Nachhaltigkeit durch kostenpflichtige Tarife im Gegensatz zur Monetarisierung von Nutzerdaten.
- Alltagstauglichkeit: Nutzbarkeit der Verschlüsselung im Austausch mit Nutzern anderer Provider.
Überblick der Anbieter
Die folgenden Anbieter fokussieren sich auf die Verschlüsselung der Kommunikation und die Reduktion der Datenverarbeitung durch den Provider.
Proton Mail
Proton Mail ist ein Schweizer Anbieter, der Ende-zu-Ende-Verschlüsselung mit einer hohen Kompatibilität zum PGP-Standard kombiniert.
Geeignet für: Nutzer, die eine verschlüsselte Kommunikation benötigen, aber dennoch auf die Interaktion mit herkömmlichen E-Mail-Diensten angewiesen sind.
Technische Einordnung: Nutzt Zero-Access-Verschlüsselung für gespeicherte E-Mails. Die Schlüsselverwaltung erfolgt im Browser oder in der App, sodass der Anbieter keinen Zugriff auf die Klartext-Inhalte hat.
Transparenz & Einschränkungen: Alle Apps sind Open Source. Die Serverstandorte befinden sich ausschließlich in der Schweiz. Ergänzende Informationen findest du in unserer Proton-Einordnung.
→ Zur Website von Proton MailTuta (ehemals Tutanota)
Tuta ist ein deutscher Anbieter, der ein eigenständiges Verschlüsselungsprotokoll nutzt, um auch Teile der Metadaten zu schützen.
Geeignet für: Anwender, die einen konsequenten Schutz der Inhalte und Betreffzeilen innerhalb eines geschlossenen Systems suchen.
Technische Einordnung: Verwendet eine Zero-Access-Architektur, die neben dem Nachrichtenkörper auch Betreffzeilen und Kontaktinformationen verschlüsselt. Unterstützt kein klassisches PGP.
Transparenz & Einschränkungen: Quelloffene Clients und Serverstandorte in Deutschland. Die strikte Abkehr von Standards wie PGP/IMAP erhöht die Sicherheit, erfordert aber die Nutzung eigener Apps.
→ Zur Website von TutaTransparenz
Die auf dieser Seite genannten Anbieter werden über Affiliate-Partnerschaften finanziert. Bei einer Anmeldung über die Links erhält dieses Projekt eine Vergütung.
Die Auswahl und technische Einordnung erfolgt unabhängig von einer möglichen Vergütung auf Basis der dargelegten Kriterien.