Compliance & Datenschutz

DSGVO per Architektur. Nicht per Vertrag.

Cloud-basierte E-Mail-Security routet jede E-Mail durch fremde Infrastruktur. Für Anwälte, Steuerberater, Krankenhäuser, Behörden und alle unter strikter Aufsicht ist das ein Compliance-Albtraum. NetCell MailGuard läuft auf Ihrem Server — die Mail verlässt nie Ihre Infrastruktur.

Das Problem mit Cloud-Anbietern

Mimecast, Proofpoint, Hornetsecurity und alle anderen Cloud-Mail-Security-Anbieter funktionieren nach demselben Prinzip: der MX-Record zeigt auf deren Cluster, jede E-Mail wird dort gefiltert und dann an Ihren Mailserver weitergereicht. Aus DSGVO-Sicht entstehen damit drei Pflichten:

  1. Auftragsverarbeitungsvertrag (Art. 28 DSGVO): Sie müssen einen AVV mit dem Cloud-Anbieter abschließen. Den müssen Sie reviewen, im Verarbeitungsverzeichnis pflegen, regelmäßig auditieren.
  2. Drittland-Übermittlung (Kapitel V DSGVO): Bei US-Anbietern wie Mimecast oder Proofpoint greift Schrems II — Sie brauchen Standardvertragsklauseln plus eine Transfer-Impact-Assessment, müssen das Risiko von US-Behörden-Zugriff (CLOUD Act) bewerten und mitigieren.
  3. Aufsichtsbehörden-Risiko: Anwaltskammern (BORA § 43e), Steuerberater (StBerG), Ärzte (§ 203 StGB Berufsgeheimnis), Behörden (BDSG) — alle haben spezielle Geheimhaltungspflichten, die Cloud-Verarbeitung von Mandantendaten/Patientendaten/Steuerdaten zumindest fragwürdig machen.

Die MailGuard-Lösung

NetCell MailGuard läuft auf Ihren Servern oder VMs in Ihrem eigenen Rechenzentrum (oder bei Ihrem Hoster Ihres Vertrauens). Die E-Mail-Inhalte werden ausschließlich auf Ihrer Infrastruktur verarbeitet. Konkret bedeutet das:

Kein AVV nötig Sie sind selbst Verarbeiter — nichts geht an Dritte. Auftragsverarbeitungsvertrag nach Art. 28 entfällt komplett, weil es keinen Auftragsverarbeiter gibt.
Keine Drittland-Klauseln Alle Komponenten in EU/EWR (Sie wählen das Rechenzentrum). Keine Schrems-II-Bewertung, keine Transfer-Impact-Assessment, keine SCCs.
Lückenloses Audit-Log Jede Admin-Aktion, jede Quarantäne-Freigabe, jede Policy-Änderung mit Zeitstempel und Akteur — Pflicht-Nachweis für Art. 5 (1) f Integrität und Vertraulichkeit.
Hersteller in Deutschland NetCell IT, Leverkusen — deutscher Support, deutsche Verträge nach deutschem Recht, kein US-Cloud-Act-Zugriff auf das Hersteller-Unternehmen.
Open-Source-Stack Etablierte Open-Source-Komponenten als Unterbau, die Sie im Zweifel selbst auditieren können. Keine Black-Box-Engine, keine proprietäre Cloud-Logik.
Threat-Intel ohne Datenrückfluss Wir holen externe Phishing-Listen (OpenPhish, URLhaus) per HTTP-Pull. Nichts wird an Threat-Intel-Anbieter zurückgemeldet — Ihre E-Mail-Telemetrie bleibt bei Ihnen.

Für welche Branchen ist das relevant?

  • Anwaltskanzleien — Mandantengeheimnis nach § 43a BRAO, anwaltliche Verschwiegenheitspflicht. Cloud-Mail-Security in der Regel ein Vertrauens-Bruch.
  • Steuerberater — § 57 StBerG Verschwiegenheitspflicht. Die Bundessteuerberaterkammer empfiehlt explizit Eigen-Hosting für vertrauliche Mandantenkommunikation.
  • Ärzte und Krankenhäuser — § 203 StGB Berufsgeheimnis, Patientendaten als besondere Kategorie nach Art. 9 DSGVO. Cloud-Verarbeitung praktisch ausgeschlossen.
  • Behörden — BSI-Grundschutz, IT-Sicherheitsgesetz, KRITIS-Verordnung. Self-Hosting in EU-Rechenzentrum ist typischerweise Pflicht.
  • Banken und Versicherungen — BAIT, VAIT, MaRisk. Outsourcing kritischer Funktionen an Dritte ist ein meldepflichtiger Vorgang.
  • Hosting-Provider und Reseller — Sie verkaufen MailGuard whitelabel an Endkunden mit eigenen Compliance-Anforderungen, ohne deren Mails durch Ihre eigene Cloud schicken zu müssen.

Wie funktioniert das technisch?

Wenn Sie MailGuard installieren, liegt der gesamte Mail-Verarbeitungspfad auf Ihrer Maschine: SMTP-Annahme, Spam- und Virenbewertung, Anhangs-Detonation in der Sandbox — alles im Adressraum Ihres Servers. Die einzige externe Kommunikation:

  • DNS-Lookups (RBL/URIBL-Abfragen) — keine Inhalte, nur Hash-Lookups
  • HTTP-Pull der Threat-Intel-Feeds (OpenPhish, URLhaus, PhishTank) — wir holen, wir senden nichts zurück
  • Let's-Encrypt-ACME für TLS-Zertifikate (DNS- oder HTTP-Challenge, keine Mail-Inhalte)
  • Cluster-interne, verschlüsselte Replikation zwischen Ihren eigenen MailGuard-Knoten
  • APT-Updates für Software-Pakete (debian.org, security.debian.org, git.netcell-it.de)

Mail-Inhalte gehen niemals an Drittanbieter. Quarantäne, Logs und Audit-Trail bleiben auf Ihrem Server.

DSGVO-konform ohne juristische Akrobatik?

Reden Sie mit uns über Ihre Compliance-Anforderungen. Wir kennen die Branchen-Spezifika.

Beratung anfragen