Es gibt diesen einen Moment, der einem die Sache klar macht. Du willst dich irgendwo einloggen, hast das Passwort vergessen, klickst auf „Passwort zurücksetzen“ — und bekommst keine Mail. Kein Reset, kein Zugang, kein Account. Die Mail-Adresse ist nicht nur Kommunikationskanal; sie ist der Generalschlüssel. Wer den Schlüssel hat, hat alles: Bank, Behörden, Cloud, Social Media, Steuerunterlagen, Krankenkasse, der ganze Kram.

Und genau dieser Schlüssel liegt bei den meisten Menschen in Deutschland bei einem US-Unternehmen. Gmail. Outlook.com. Yahoo. iCloud. Bequem, gratis, überall integriert — und exakt deshalb so wirksam.

Das ist der Punkt, an dem digitale Souveränität für Privatleute, kleine Vereine und Kommunalpolitik konkret wird. Nicht abstrakt „die Daten“, sondern: Wer kann mich digital von einem Tag auf den anderen aussperren? Wer hat juristisch Zugriff auf den Inhalt? Welche Jurisdiktion entscheidet im Zweifel?

Dieser Beitrag ist der Auftakt einer kleinen Serie: #unplugbigtech praktisch. Keine Maximalforderungen. Keine Heldengeschichten. Sondern: Was kann ich heute Nachmittag in 90 Minuten tatsächlich tun, das messbar etwas ändert? Und dieser Teil 1 beginnt dort, wo der Hebel am größten und der Aufwand am kleinsten ist: bei der Mail.

Warum gerade Mail — und warum jetzt

Drei Gründe.

Erstens, das juristische Argument. Der US-amerikanische CLOUD Act (2018) verpflichtet US-Unternehmen, auf legitime Anordnungen US-amerikanischer Behörden — Subpoena, Warrant, Court Order — Daten ihrer Kund*innen herauszugeben, auch dann, wenn diese Daten physisch auf europäischen Servern liegen. Das gilt für Microsoft, Google, Apple, Amazon. Es ist keine Verschwörungstheorie; es steht im Gesetz.

Der EuGH hat 2020 mit „Schrems II“ das vorherige Datenschutzabkommen gekippt. Das 2023 nachgeschobene EU-US Data Privacy Framework (DPF) gilt zwar formal — das Gericht der EU wies die Klage des französischen Abgeordneten Philippe Latombe am 3. September 2025 ab — steht aber bereits wieder auf dem Prüfstand: Ende Oktober 2025 ging Latombe in Berufung vor den Europäischen Gerichtshof — in der Fachdebatte als möglicher, rechtlich aber eigenständiger „Schrems III“. Hinzu kommt politische Instabilität auf US-Seite: Anfang 2025 wurden die demokratischen Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) — also genau jenes Gremiums, das die Datenschutzzusagen gegenüber der EU überwachen sollte — entlassen; ein US-Bundesgericht erklärte das im Mai 2025 für rechtswidrig. Mehrere europäische Aufsichtsbehörden und Rechtswissenschaftler*innen halten die Adäquanzentscheidung deshalb für nicht tragfähig.

Wer als Mandatsträger*in in Fraktion oder Partei, als Anwalt, als ärztliche Praxis, als Pflegedienst, als Verein für Demokratiebildung Mail über Gmail betreibt, verlagert eine Verantwortung, die so nicht delegierbar ist.

Für berufliche Geheimnisträger*innen — Anwält*innen, Ärzt*innen, Psychotherapeut*innen, Steuerberater*innen, Notar*innen, Sozialarbeiter*innen — kommt noch eine Schicht dazu: § 203 StGB schützt anvertraute Geheimnisse strafrechtlich. Wer mandanten-, patienten- oder klientenbezogene Kommunikation über Gmail oder Outlook abwickelt, verlässt sich darauf, dass das EU-US Data Privacy Framework hält. Die meisten Landesdatenschutzbeauftragten lesen die Lage anders — und die Berufskammern zunehmend ebenfalls.

(Für die Verwaltungs-IT der Kommunen selbst gelten eigene Regeln — KRITIS-, DSGVO- und Auftragsverarbeitungsrahmen; dazu in einem späteren Teil.)

Zweitens, das politische Argument. Plattformabhängigkeit ist nicht symmetrisch. Wenn ein US-Konzern entscheidet, einen Account zu schließen — wegen einer als Verstoß gewerteten Formulierung, wegen einer Sanktion gegen ein ganzes Land, wegen einer Geschäftsentscheidung — gibt es kein deutsches Verwaltungsgericht, vor dem man dagegen schnell und wirksam klagen kann. Die Vorstellung, das passiere nur anderen, ist seit den US-Sanktionsentscheidungen der vergangenen Jahre vorbei. Es passiert — unter wechselnden Administrationen, mit unterschiedlicher Geschwindigkeit. Betroffen sind Wissenschaftler*innen, NGOs, ganze Branchen.

Drittens, das ökonomische Argument. Wer für ein E-Mail-Postfach 1 € im Monat zahlt, ist nicht das Produkt. Wer nichts zahlt, ist es. So einfach. Werbung, Werbeprofilierung, Trainingsdaten für KI-Modelle — das sind die Geschäftsmodelle der „kostenlosen“ Mailer. Datenschutzfreundliche Anbieter finanzieren sich durch ihre Kundschaft, nicht durch Auswertung ihrer Inhalte.

Was eine gute Mail-Alternative leisten muss

Bevor wir zu den Namen kommen, der Maßstab. Eine ernstzunehmende Alternative sollte:

• in der EU sitzen und ausschließlich europäischer Jurisdiktion unterliegen,
• eigene Infrastruktur betreiben oder zumindest europäisch hosten — nicht in US-Hyperscalern,
• Standardprotokolle unterstützen (IMAP, SMTP, CalDAV, CardDAV), damit man jeden gängigen Mail-Client nutzen und Daten jederzeit exportieren kann,
• Spamschutz beherrschen, ohne sich dafür Inhalte zu Trainingszwecken anzueignen,
• Verschlüsselung unterstützen (TLS in Transit als Selbstverständlichkeit, PGP für die Mutigen),
• ein klares Datenschutz- und Geschäftsmodell haben: Geld kommt von der Kundschaft.

Das schließt — Stand 2026 — eine ganze Reihe vermeintlich „guter“ Lösungen aus. Auch europäische Mailer, die in Wahrheit auf AWS oder Azure liegen, erfüllen das nicht.

Vier seriöse Anbieter im Vergleich

Stand der Information: Juni 2026. Konkrete Preise und Speichergrößen ändern sich; bitte vor Vertragsabschluss aktuell prüfen.

mailbox.org (Berlin). Im B2C- und KMU-Bereich der Allrounder. Eigene Server in Deutschland, eigene Infrastruktur, klares Datenschutz-Modell, gute Webmail-Oberfläche, IMAP/SMTP/CalDAV/CardDAV, eigene Domain möglich, viele Sicherheits-Features (PGP integriert, Zwei-Faktor, optionale „mailbox.org Office“ auf Basis von LibreOffice Online). Tarife ab wenigen Euro im Monat. Wer eine Familie, einen Verein oder einen kleinen Betrieb umstellen will: mailbox.org ist meine Standard-Empfehlung.

Posteo (Berlin). Konsequent minimal, konsequent datenschutzfreundlich. Genossenschaftsähnliche Haltung, anonymisierte Zahlung möglich, Ökostrom, kompakter Funktionsumfang. Kein eigener Domainbetrieb (man bekommt eine @posteo.de- oder @posteo.eu-Adresse) — das ist für viele ein No-Go, für andere genau richtig. 1 € im Monat. Wer es radikal sauber will, ist hier richtig.

Tutanota / Tuta (Hannover). Setzt auf Ende-zu-Ende-Verschlüsselung innerhalb des Systems; das ist technisch sehr ordentlich gemacht, hat aber eine Konsequenz: Tuta unterstützt designseitig kein IMAP/SMTP für Endnutzer*innen — Zugriff ausschließlich über die Tuta-eigenen Apps und das Web-Interface. Wer Whistleblowing-Niveau braucht — etwa für investigative Recherche, hochsensible Beratungssituationen — ist hier sehr gut aufgehoben. Wer mit Thunderbird, Apple Mail oder Outlook weiterarbeiten will, eher nicht.

Mailfence (Belgien). Belgischer Anbieter, eigene Infrastruktur, PGP integriert. Für Menschen, die ihren Mail-Anbieter bewusst nicht in Deutschland wählen wollen — etwa weil sie einer anderen Jurisdiktion mehr vertrauen oder Diversität in der eigenen digitalen Infrastruktur möchten — grundsätzlich eine vernünftige Wahl. Eine ehrliche Einschränkung: In der deutschsprachigen Datenschutz-Community wird Mailfence wegen seiner Logging-Praxis differenziert beurteilt — Verbindungsdaten werden nach Angaben des Anbieters ohne festen Löschzeitraum gespeichert. Wer auf minimale Metadaten-Spuren Wert legt, fährt mit mailbox.org oder Posteo strenger.

Wer das große Paket sucht (Mail, Cloud, Kalender, Office, Datenraum), sollte zusätzlich einen Blick auf Infomaniak (Schweiz) und das deutsche STRATO Communicator werfen.

Migrationspfad in drei Schritten

Das Häufigste, was Menschen am Umstieg hindert, ist nicht die Technik, sondern das mulmige Gefühl: „Ich habe 12 Jahre Mails da drin.“ Die gute Nachricht: 90 % der Migration sind langweilig und gut automatisierbar.

Schritt 1: Eine eigene Domain, jetzt. Nicht @neueradresse.gmail.com. Nicht lorenz@meinemail.com. Sondern eine Domain, die Dir gehört. Das kostet ca. 10–20 € im Jahr. Vorteil: Wenn Du in fünf Jahren erneut den Mail-Anbieter wechseln willst, nimmst Du die Adresse einfach mit. Die Adresse ist Eigentum. Die ist mehr wert als alles, was Du in den nächsten zehn Jahren über Mail kommunizieren wirst. Konkret: Eine eigene Domain registrierst Du bei einem Registrar — sinnvolle, in der EU ansässige Optionen sind etwa INWX, united-domains oder Hosteurope. Mail-Provider und Domain-Registrar müssen nicht derselbe Anbieter sein; die Trennung ist sogar gesund, weil sie Dich gegen den Ausfall einer der beiden Stellen schützt.

Schritt 2: Postfach beim neuen Anbieter anlegen, Domain dort einrichten. mailbox.org und Mailfence führen Schritt für Schritt durch die nötigen DNS-Einträge. Das sind technische Verkabelungs-Anweisungen für die Domain — welcher Server nimmt Mails entgegen (MX), welcher Server darf in meinem Namen senden (SPF/DKIM), wie soll mit Fälschungen umgegangen werden (DMARC). Du musst die Begriffe nicht verstehen; der Anbieter zeigt jeden Eintrag mit Klick-Anleitung. Wenn Dir das trotzdem fremd ist: einmal 30 Minuten mit jemandem zusammensetzen, der das schon mal gemacht hat. Danach läuft es jahrelang.

Schritt 3: Mails migrieren und Weiterleitungen einrichten. Per IMAP lassen sich die alten Postfächer in das neue ziehen — auch von Gmail aus. Anschließend richtest Du beim alten Konto eine Weiterleitung auf das neue ein. Sechs Monate Übergangszeit, dann beim alten Anbieter ein Auto-Reply mit der neuen Adresse, weitere sechs Monate später Konto schließen.

Eine Anmerkung zu Vereinen, Ortsverbänden, Fraktionen. Die meisten Menschen machen diesen Umzug allein. Das ist teurer und stressiger, als es sein muss. Wenn Ihr im Ortsverein, im Fraktionsbüro, im Betriebsrat oder in einer Gewerkschaftsgliederung organisiert seid: macht es gemeinsam. Ein Account-Inhaber bei mailbox.org oder Mailfence, mehrere Postfächer unter einer Vereinsdomain, ein*e Admin, eine Schulungsstunde für alle. Das ist günstiger pro Person, und es entsteht in der Gruppe ein gemeinsames Verständnis, was eigentlich passiert.

Was bleibt schwierig

Drei Punkte, an denen man ehrlich sein muss.

Gruppenkalender und Familienorganisation. Wer mit Lebenspartner*in und Kindern Termine, Einkaufslisten und Fotos in Google teilt, hat mehr Umstellung als „nur“ die Mail. Hier helfen Nextcloud-Installationen (mailbox.org und Infomaniak haben gute Pakete), Posteo bietet Kalender und Kontakte über CalDAV/CardDAV; für Fotos braucht es ggf. eine eigene Lösung (Nextcloud, Immich, eigene Cloud im Heimnetz).

Geschäftliche Termine mit Outlook-Kund*innen. Wer beruflich viel mit großen Konzernen koordiniert, wird gelegentlich auf Microsoft-only-Einladungen treffen. Lässt sich meist umschiffen, kostet aber Aufmerksamkeit.

Spam. Die gängigen US-Anbieter haben gigantische Datenmengen, mit denen sie Spam erkennen. Die kleineren europäischen Anbieter machen das auch — aber deutlich datensparsamer. In der Praxis: kein spürbarer Unterschied bei mailbox.org und Posteo; einzelne Spam-Wellen können kurzfristig durchrutschen.

Was sich konkret ändert — und warum es lohnt

Wer den Schritt macht, gewinnt nicht „mehr Privatsphäre“ im abstrakten Sinne. Sondern:

• Verfügbarkeit: Das Konto kann nicht über Nacht gesperrt werden, weil ein automatisierter Filter das Wort „Bombenstimmung“ missverstanden hat.
• Portabilität: Die Adresse ist auf der eigenen Domain. Sie bleibt, der Anbieter ist austauschbar.
• Jurisdiktion: Im Zweifel entscheidet ein deutsches oder belgisches Gericht, nicht ein amerikanisches.
• Modell: Du finanzierst die Infrastruktur, mit der Du kommunizierst.
• Vorbildwirkung: Wer mit einer @mailbox.org-Adresse Briefe an Kommunalverwaltungen und Pressestellen schickt, normalisiert die Existenz dieser Alternativen.

Das ist kein revolutionärer Akt. Es ist ein Schritt — nicht der Schritt. Wer die Mail wechselt und weiter über WhatsApp organisiert, über Instagram veröffentlicht, über Google Maps navigiert, hat strukturell wenig verändert. Der Sinn dieser Serie ist, eine Reihe solcher Schritte sichtbar zu machen, von denen jeder einzelne machbar ist.

Aufwand für diesen Schritt: pro Person etwa drei Stunden, danach jahrelang Ruhe. Wer Schicht arbeitet, Kinder hat oder pflegt, hat selten drei Stunden am Stück — eine Stunde an drei Abenden geht aber für viele. Wenn 1 % der politisch aktiven Menschen in Deutschland diesen Schritt in den nächsten zwölf Monaten gehen — Mandatsträger*innen, Vereinsvorstände, Lehrkräfte, ärztliche Praxen, Beratungsstellen — verschiebt sich etwas. Nicht spektakulär. Aber strukturell.

Warum das politisch ist — und kein Geschmacksthema

Wer den Eindruck hat, das alles sei Lifestyle-Datenschutz für Leute mit Zeit, hat den Kern verfehlt. Mail-Provider-Wahl ist ein Mikrobeitrag zur größten ungelösten Souveränitätsfrage Europas: Wer kontrolliert die digitale Infrastruktur, auf der Demokratie, Wirtschaft, Verwaltung und Zivilgesellschaft täglich laufen?

Die nüchterne Lage: Rund 70 Prozent des europäischen Cloud-Infrastrukturmarkts liegen bei drei US-Hyperscalern — Amazon, Microsoft, Google; europäische Anbieter kommen zusammen auf etwa 15 Prozent (Synergy Research, 2025). Sechs Unternehmen — die genannten plus Apple, Meta und seit kurzem OpenAI — kontrollieren faktisch die digitale Lebensader des westlichen Alltags. Diese Konzentration ist keine technische Frage, sie ist eine politische Lage: Sie bedeutet, dass extraterritoriales US-Recht auf europäische Bürger*innen, Firmen und Behörden zugreifen kann, ohne dass deutsche oder europäische Gerichte wirksam dazwischen treten.

Die Europäische Kommission hat das erkannt: Anfang Juni 2026 hat sie ihr „European Technological Sovereignty Package“ vorgelegt — darin der Entwurf eines Cloud and AI Development Act (CADA), flankiert von einer Chips-Act-Novelle und einer Open-Source-Strategie; die EuroStack-Initiative versucht, eine europäische digitale Infrastruktur vom Halbleiter bis zum Datendienst zu skizzieren. Zivilgesellschaftliche Akteure — die F5-Allianz aus Wikimedia, Gesellschaft für Freiheitsrechte, Open Knowledge Foundation und weiteren — fordern konsequente Anwendung von DSA und DMA, offene Protokolle, mehr Interoperabilität, öffentliche Mittel für gemeinwohlorientierte digitale Infrastruktur.

Das ist die strukturelle Ebene. Sie braucht parlamentarische Mehrheiten, Steuermittel und industriepolitische Geduld über Jahre. Und sie braucht eine Bevölkerung, die das will. Genau hier liegt die politische Bedeutung einer Mailadresse: Jede @mailbox.org-Adresse auf einem Briefkopf macht europäische Infrastruktur sichtbar; jede Migration weg von Gmail erhöht die Marktbasis, auf der europäische Anbieter überhaupt wachsen können; jede Kommunalfraktion, die kollektiv umzieht, macht aus Souveränität ein gelebtes Vorbild statt einer Sonntagsrede.

Es geht ausdrücklich nicht um Anti-Amerikanismus. Es geht darum, dass Rechtsstaat extraterritoriale Konzernmacht nicht aushalten muss. Wer in Deutschland Mandate vertritt, kommunalpolitisch arbeitet, Pflege organisiert oder zivilgesellschaftlich Demokratie verteidigt, hat einen leisen, konkreten Hebel: die eigene Mailadresse.

Weiterlesen — unabhängige Quellen

Wer tiefer einsteigen möchte oder die Provider-Empfehlungen unabhängig gegenprüfen will, dem sei der Kuketz-Blog ans Herz gelegt. Mike Kuketz testet seit Jahren Mailprovider, App-Tracking, DSGVO-Konformität — gründlich, nüchtern, ohne kommerzielles Interesse. Konkret nützlich für den Einstieg: die Empfehlungsecke (kuratierte Liste empfohlener Anbieter und Tools) und der Beitrag „Digitale Selbstbestimmung statt endloses Jammern“ — er fasst genau die Haltung zusammen, von der dieser Beitrag lebt.

Ergänzend für die Rechtslage: die Gesellschaft für Freiheitsrechte (Verfahren zu Datenschutz und digitalen Grundrechten), netzpolitik.org (laufende Berichterstattung) und für die technische Seite die BSI-Empfehlungen zur Mail-Sicherheit. Für die strukturelle Souveränitätsdebatte: die EuroStack-Analyse auf netzpolitik.org und der Überblick der Heinrich-Böll-Stiftung vom Mai 2026.

Wenn Du nur eine Quelle bookmarkst: Kuketz.

Im nächsten Teil

In #unplugbigtech praktisch — Teil 2 geht es um Messaging: warum WhatsApp das größte der vier Probleme ist und welche Alternativen wirklich funktionieren — inklusive der ehrlichen Frage, was die Familiengruppe macht, wenn nicht alle mitziehen.

Stand: Juni 2026. Wenn Du eigene Erfahrungen mit der Migration gemacht hast — gute wie schlechte — schreib gerne einen Kommentar. Konkrete Hinweise helfen anderen.