Stefan ist Geschäftsführer eines mittelständischen Wohlfahrtsverbandsträgers mit 80 Mitarbeitenden. In der letzten Aufsichtsratssitzung wurde er auf eine DSGVO-Audit-Fragestellung hingewiesen: Wo genau liegen die E-Mail-Postfächer der Organisation? Die Antwort war unbequem. Die Kanzlei nutzt Microsoft 365, die Beratungsstellen arbeiten mit Gmail-Adressen, und die Jugendhilfe hat einen Vertrag mit einem Webhoster, dessen Server irgendwo in den USA stehen. Stefan weiß: Die DSGVO verlangt, dass personenbezogene Daten in der EU verarbeitet werden – aber bei den großen Anbietern weiß niemand so genau, wo die Daten tatsächlich landen und wer darauf zugreift. Er ahnt, dass sein Träger bei der nächsten Datenschutzprüfung erhebliche Probleme bekommen wird.
Warum E-Mail-Selbsthosting für Träger keine Spielerei, sondern Pflicht wird
E-Mail ist das Rückgrat der Kommunikation in jedem Träger der Sozialen Arbeit. Vereinbarungen mit Klientinnen und Klienten, Absprachen mit dem Jugendamt, interne Fallbesprechungen – alles läuft über E-Mail. Doch die meisten Träger haben die Kontrolle über diesen zentralen Kommunikationskanal längst abgegeben. Sie nutzen Google Workspace, Microsoft 365 oder beliebige Webhoster, ohne genau zu wissen, wo die Daten gespeichert werden, wer darauf zugreifen kann und ob die DSGVO-Vorgaben tatsächlich eingehalten werden.
Die Entwicklungen machen das Thema drängender denn je. Der Europäische Gerichtshof hat mit dem Schrems-II-Urteil deutlich gemacht, dass Datenübermittlungen in die USA problematisch sind. Die US-Regierung hält sich mit dem FISA-Gesetz das Recht vor, auf Daten von Nicht-US-Bürgern zuzugreifen – auch auf E-Mails deutscher Sozialarbeiterinnen und Sozialarbeiter. Cybersecurity-Bedrohungen nehmen zu, und die großen Anbieter sind keine neutralen Infrastrukturpartner: Ihr Geschäftsmodell basiert auf Datenanalyse und Profilbildung.
Gleichzeitig wird Selbsthosting immer einfacher. Tools wie Mailcow ermöglichen es, einen vollständigen E-Mail-Server mit Webmail, Kalender, Kontakten und Spam-Filter auf eigener Hardware zu betreiben – ohne tiefgreifende Linux-Kenntnisse. Und im Fediverse wachsen dezentrale Alternativen, die zeigen, dass digitale Souveränität kein Traum ist, sondern eine praktische Möglichkeit.
Drei Schritte für E-Mail-Souveränität in deinem Träger
Du kannst die globale Datenpolitik nicht ändern. Aber du kannst die Infrastruktur deiner Organisation in die eigene Hand nehmen.
1. Mache eine Bestandsaufnahme deiner E-Mail-Infrastruktur
Bevor du etwas verändern kannst, musst du wissen, wo du stehst. Welche E-Mail-Anbieter nutzt dein Träger aktuell? Wo stehen die Server? Gibt es Auftragsverarbeitungsverträge nach Artikel 28 DSGVO? Wer hat administrativen Zugriff auf die Postfächer? Häufig entdeckst du dabei Lücken, von denen du nichts ahntest: Eine Abteilung, die spontan zu einem neuen Anbieter gewechselt ist, eine private Gmail-Adresse, die für dienstliche Kommunikation genutzt wird, oder ein abgelaufener Vertrag mit einem US-Hoster.
Diese Bestandsaufnahme ist keine Schikane, sondern die Grundlage für verantwortungsvolles Handeln. Als Geschäftsführer eines Trägers trägst du die Verantwortung dafür, dass die Daten deiner Klientinnen und Klienten rechtlich einwandfrei verarbeitet werden. E-Mail ist dabei der größte Hebel – weil hier die sensibelsten Informationen im Alltag ungefiltert durchlaufen.
2. Prüfe Selbsthosting als Alternative
Die meisten Träger glauben, dass Selbsthosting zu komplex, zu teuer und zu unsicher sei. Doch das ist ein Irrtum, der auf dem Stand der 2000er Jahre basiert. Moderne Lösungen wie Mailcow bieten eine vollständige E-Mail-Infrastruktur mit Webmail-Interface, Kalender, Adressbuch, Spam- und Virenfilter – alles über ein einfaches Webinterface verwaltbar. Die Installation auf einem eigenen Server oder einem europäischen Cloud-Provider ist in wenigen Stunden erledigt.
Der entscheidende Vorteil: Du behältst die volle Kontrolle über die Daten. Keine unbekannten Dritten, die Metadaten analysieren. Keine US-Server, auf die Geheimdienste zugreifen können. Keine Profilbildung für Werbezwecke. Die Daten bleiben auf deinem Server, in deinem Verantwortungsbereich, unter deiner Kontrolle.
Natürlich bringt Selbsthosting Verantwortung mit sich: Du musst Updates einspielen, Backups sicherstellen und die Sicherheit des Servers gewährleisten. Aber diese Verantwortung ist überschaubar – und sie ist jedenfalls geringer als die Verantwortung, sensible Klientendaten einem US-Konzern anzuvertrauen, dessen Compliance du nicht überprüfen kannst.
3. Entwickle eine Migrationsstrategie und bilde dein Team
E-Mail-Migration ist kein Wochenendprojekt. Sie erfordert eine sorgfältige Planung: Welche Postfächer werden zuerst migriert? Wie werden alte E-Mails übertragen? Wie wird sichergestellt, dass während der Migration keine Nachrichten verloren gehen? Und vor allem: Wie bringst du 80 Mitarbeitende dazu, eine neue E-Mail-Umgebung zu nutzen, ohne dass sie insgeheim weiter ihre alten Adressen verwenden?
Die Antwort lautet: Schrittweise Migration mit klarem Kommunikationsplan. Beginne mit einer Pilotgruppe – etwa der Verwaltung oder einer einzelnen Beratungsstelle. Sammle Erfahrungen, optimiere die Prozesse, und rolle die Lösung dann schrittweise aus. Wichtig ist die Einbindung der Mitarbeitenden von Anfang an: Erkläre nicht nur das Wie, sondern auch das Warum. Wenn das Team versteht, dass die Migration dem Schutz der Klientendaten dient, ist die Akzeptanz deutlich höher.
Warum E-Mail-Souveränität ein Wertethema der Sozialen Arbeit ist
In der Sozialen Arbeit sprechen wir von Autonomie, Selbstbestimmung und dem Schutz vulnerabler Gruppen. Diese Werte gelten nicht nur für die Arbeit mit Klientinnen und Klienten – sie müssen auch für die Organisation selbst gelten. Ein Träger, der die Kontrolle über seine zentralen Kommunikationskanäle an US-Konzerne abgibt, handelt nicht souverän. Er macht sich abhängig von Unternehmen, deren Interessen nicht mit den Werten der Sozialen Arbeit übereinstimmen.
Die DSGVO ist nicht nur eine rechtliche Pflicht – sie ist der Versuch, die Würde des Einzelnen im digitalen Raum zu schützen. Wenn ein Träger die E-Mail-Kommunikation seiner Mitarbeitenden über Server leitet, auf die er keinen Einfluss hat, dann verletzt er diesen Schutz im Kleinen – auch wenn es im Alltag nicht auffällt. Die Klientin, die vertrauliche Informationen per E-Mail an ihre Sozialarbeiterin schickt, hat ein Recht darauf, dass diese Daten nicht durch Hände gehen, die sie nicht kontrollieren kann.
Selbsthosting ist kein technischer Selbstzweck. Es ist die Konsequenz aus dem, was wir in der Sozialen Arbeit ohnehin fordern: Selbstbestimmung, Transparenz und Verantwortung. Die Werkzeuge dafür existieren. Die Frage ist nicht, ob wir sie nutzen können – sondern ob wir es wollen.
Wenn dein Träger den Weg zur digitalen Souveränität gehen möchte – mit einem strukturierten Einstieg, gemeinsamer Infrastruktur und Begleitung bei der Umsetzung –, dann ist das Digitale Dorf von ZenDiT der richtige Ort dafür.
Quellen:
