Stripe Payments Europe Ltd.
Abwicklung von Kreditkarten- und SEPA-Zahlungen. Erhält ausschließlich Rechnungsdaten und Kontaktdaten — keine Mail-Daten.
Compliance · DSGVO
DSGVO-Konformität — strukturell, nicht behauptet.
Hosting in zertifizierten EU-Rechenzentren, kein US-Datenpfad, AVV downloadbar, transparente Subdienstleister-Liste. Mailantis ist als europäischer Anbieter so gebaut, wie ein DACH-Datenschutzbeauftragter es sich wünscht.
Art. 32 · Verarbeitungs-Übersicht
Welche Provider versenden in Ihrem Namen?
| # | Provider | Mails | Pass |
|---|---|---|---|
| 01 | Microsoft 365 (EU) | 59 688 | |
| 02 | Mailgun (EU) | 8 412 | |
| 03 | Unbekannt (RU) | 142 |
Kernthemen
DSGVO-relevante Aspekte bei Mailantis
| DSGVO-Aspekt | Mailantis-Umsetzung | Status |
|---|---|---|
| Auftragsverarbeitung (Art. 28) | Standard-AVV im Account-Bereich downloadbar, Enterprise-Anpassung möglich | verfügbar |
| Verarbeitungsverzeichnis (Art. 30) | Mailantis-internes VVT auf Anfrage einsehbar | verfügbar |
| EU-Speicherung (Art. 44 ff.) | Zertifizierte EU-Rechenzentren (Deutschland), ausschließlich EU. Keine Drittland-Übermittlung der Mail-Daten | erfüllt |
| Datenminimierung (Art. 5 lit. c) | Mail-Bodies werden nicht verarbeitet, Forensic-Reports pseudonymisiert | erfüllt |
| Speicherbegrenzung (Art. 5 lit. e) | Aggregate-Reports konfigurierbar (30/90/365 Tage), Forensic standardmäßig 30 Tage | erfüllt |
| Betroffenenrechte (Art. 15-22) | Self-Service-Export im Account, Löschung auf Anfrage innerhalb 30 Tagen | erfüllt |
| Sicherheit der Verarbeitung (Art. 32) | TLS, MFA, Verschlüsselung at-rest, Audit-Log, Pen-Test jährlich | erfüllt |
| Datenschutz-Folgenabschätzung | DSFA-Vorlage auf Anfrage für Auftraggeber-DSFA | verfügbar |
Cloud-Act und Schrems II: Mailantis nutzt keine US-Cloud-Anbieter im Datenpfad — keine AWS, kein Azure, kein GCP für Kundendaten. US-touched Subdienstleister-Verhältnisse bestehen nur zu Stripe (Zahlungsabwicklung; nur Account- und Rechnungsdaten, niemals Mail-Verkehrs-Daten) und Google Analytics (nur Reichweitenmessung der Marketing-Site, nur mit Einwilligung über den Cookie-Banner).
Subdienstleister
Wer Ihre Daten zu welchem Zweck verarbeitet
Sectigo Limited
Ausstellung von S/MIME-Zertifikaten. Erhält die im Antrag angegebenen Validierungsdaten (Name, E-Mail, ggf. Firmendaten).
Cloudflare Inc.
CDN/DDoS-Schutz für die statische Marketing-Site (mailantis.com). Verarbeitet keine Login- oder Mail-Daten — diese laufen direkt zu unseren EU-Rechenzentren.
Google Ireland Limited
Google Analytics 4 für die Marketing-Site (mailantis.com). Wird nur nach aktiver Einwilligung über den Cookie-Banner geladen. IP-Anonymisierung aktiv. Keine Verarbeitung von Login- oder Mail-Daten.
DSK-Position
Sensible Daten: Transport-TLS reicht nicht
Art. 32 DSGVO verlangt „dem Risiko angemessene" technische Maßnahmen. Was das beim E-Mail-Versand sensibler Daten konkret bedeutet, hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) klargestellt:
Bei der Übertragung sensibler personenbezogener Daten — etwa im Gesundheits-, Rechts- oder Finanzwesen — ist eine einfache Transportverschlüsselung unzureichend. Der Einsatz einer Ende-zu-Ende-Verschlüsselung (z. B. S/MIME) ist zwingende Pflicht.[1]
Der praktische Unterschied: MTA-STS und TLS schützen nur die „Leitung" zwischen zwei Mailservern. Sobald die Nachricht auf einem Server liegt — Microsoft 365, Google Workspace, dem eigenen Exchange — ist sie im Klartext lesbar. Wird dieser Server kompromittiert (Token-Diebstahl, Insider, Misconfig), liegen alle Inhalte offen.
S/MIME schließt diese Lücke: Die Nachricht wird auf dem Endgerät des Absenders verschlüsselt und kann technisch erst auf dem Endgerät des Empfängers entschlüsselt werden. Weder Provider noch Server-Admins können mitlesen — und der Empfänger kann kryptografisch beweisen, dass die E-Mail unverändert vom angegebenen Absender stammt.
Bei Verstößen gegen Art. 32 DSGVO drohen Bußgelder von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes.
Branchen-Trigger für E2E-Pflicht: Gesundheit (Patientendaten, Befunde), Recht (Mandanten-Korrespondenz), Steuer / Buchhaltung, Banking / Finanzdienstleistung (DORA-Konsistenz), Soziales, HR (sensible Mitarbeiterdaten). Mailantis stellt für diese Anwendungsfälle automatisierte S/MIME-Zertifikate via Sectigo-CA bereit.
FAQ
Häufige Datenschutz-Fragen
Wo werden meine Daten gespeichert?
Ausschließlich in der EU. Hosting in zertifizierten EU-Rechenzentren in Deutschland, inklusive Backups. Keine US-Subdienstleister im Datenpfad.
Welche personenbezogenen Daten verarbeitet Mailantis?
Account-Daten (Name, E-Mail, Firma), Logindaten, Audit-Logs. Im Forensic-Report-Modus Mail-Header (Sender, Empfänger, Subject) — pseudonymisiert speicherbar. Mail-Inhalte (Body) verarbeiten wir grundsätzlich nicht.
Gibt es einen AVV?
Ja. Ein Standard-AVV nach Art. 28 DSGVO steht im Account-Bereich zum Download bereit. Für Enterprise-Kunden mit Sonderbedarf passen wir den AVV individuell an.
Wer sind die Subdienstleister?
Stripe (EU/USA, Zahlung — nur Account-Daten, keine Mail-Daten), Sectigo (Zertifikate), Cloudflare (nur statisches Marketing-Frontend, EU-Tier), Google Ireland (Google Analytics für die Marketing-Site, nur mit Einwilligung). Hosting in zertifizierten EU-Rechenzentren in Deutschland. Vollständige Liste mit Zwecken und Rechtsgrundlagen im AVV-Anhang.
Wie sind Forensic-Reports DSGVO-konform?
Forensic-Reports enthalten potenziell personenbezogene Daten (E-Mail-Adressen). Mailantis pseudonymisiert standardmäßig, speichert nur 30 Tage und ermöglicht Opt-out komplett. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) zur Spoofing-Abwehr.
Quellen
[1] Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) — Orientierungshilfe zum E-Mail-Versand sensibler personenbezogener Daten; Mayer Brown — Haftung der Geschäftsführung bei Cyber-Angriffen. Bußgeldrahmen nach Art. 83 Abs. 5 DSGVO. Stand Mai 2026.
Datenschutz, der nicht nur draufsteht.
EU-only, pseudonymisiert, AVV downloadbar — auditierbar dokumentiert.