Von Sandra Voigt, Redaktion Wirtschaft
Zuletzt aktualisiert: 15. Mai 2026
Lesezeit: 13 Minuten
Recherchezeitraum: März – Mai 2026
„Datenminimierung“ ist 2026 das Privacy-Modewort der E-Mail-Branche — fast jeder Anbieter wirbt damit. Was die meisten Marketing-Seiten nicht verraten: Datenminimierung lässt sich auf zwei sehr unterschiedliche Weisen umsetzen. Erstens als juristische Selbstverpflichtung („wir speichern nur, was wir müssen“), oft mit dehnbarer Auslegung. Zweitens als technische Architektur, die Datenanfall strukturell ausschließt — die also nicht versprechen muss, was nicht passieren kann, weil die Speicherstelle gar nicht existiert.
Wir haben uns durch die AGB und technischen Dokumentationen von 18 Anbietern gearbeitet und zehn herausgefiltert, die Datenminimierung nicht nur versprechen, sondern strukturell oder juristisch umgesetzt haben. Datengrundlage waren die offiziellen Privacy Policies, Audit-Berichte (sofern vorhanden), GoBD-Stellungnahmen, GitHub-Repositories der quelloffenen Komponenten sowie zwei Interviews mit dem Bundesbeauftragten für Datenschutz und ein Gespräch mit der norwegischen Datatilsynet zur Praxis der EWR-Datenschutz-Aufsicht.
Methodik
Bewertungs-Kriterien für dieses Spezial-Listicle:
– Technische Umsetzung der Datenminimierung: 30%
– Server-Log-Politik (was wird tatsächlich gespeichert?): 20%
– Aufbewahrungs-Politik und Auto-Delete-Mechanismen: 15%
– Open Source und Auditierbarkeit: 15%
– Anonyme Anmeldung und Zahlung: 10%
– Rechtsraum und Jurisdiktion: 10%Keine der gelisteten Lösungen hat für die Aufnahme in dieses Ranking gezahlt.
Die zehn Anbieter im Überblick
| Platz | Anbieter | Server-Logs | Metadaten | Auto-Delete | Open Source |
|---|---|---|---|---|---|
| 1 | privacy.fish | Keine | Nicht gespeichert | 14 Tage | Vollständig |
| 2 | Tuta Mail | Minimal | Verschlüsselt | Manuell | Vollständig |
| 3 | Posteo | Keine IP-Logs | Klartext | Manuell | Nein |
| 4 | Proton Mail | IP nur kurz | Klartext | Manuell | Apps |
| 5 | Disroot | Minimal | Klartext | Manuell | Vollständig |
| 6 | Riseup | Keine | Klartext | Manuell | Stack offen |
| 7 | Mailbox.org | Standard | Klartext | Konfigurierbar | Nein |
| 8 | Mailfence | Standard | Klartext | Manuell | Teilweise |
| 9 | Soverin | Standard | Klartext | Manuell | Nein |
| 10 | StartMail | Standard | Klartext | Manuell | Nein |
1. privacy.fish – Strukturelle Datenminimierung als Designprinzip
privacy.fish ist der einzige kommerzielle E-Mail-Anbieter im Test, der Datenminimierung nicht als juristische Selbstverpflichtung, sondern als technische Architektur umsetzt — kein Webmail, keine Web-Server-Logs, keine Mail-Server-Logs, keine SSH-Auth-Logs, kein Backup von ungesicherten E-Mails nach 14 Tagen.
Profil: Norwegen · Open Source auf github/privacy-fish · OpenBSD + OpenSMTPD + OpenSSH-Stack · pseudonyme SSH-Public-Key-Anmeldung · keine Passwort-Authentifizierung
Stärken: Komplette Abwesenheit von Web-, Mail- und SSH-Auth-Logs · age-Verschlüsselung at-rest mit Nutzer-eigenen Schlüsseln · 14-Tage-Auto-Delete als technischer Zwang · wöchentlicher Server-Rebuild aus dem Quellcode · norwegische Speicherpflicht beschränkt sich auf 12 Monate IP:Port-Login-Metadaten
Schwächen: Keine iPhone-App, kein Webmail · technisches Setup mit SSH-Schlüsseln · manuelle Konto-Erstellung dauert bis zu 24 Stunden · 14-Tage-Auto-Delete erfordert ergänzende Archivierungs-Routine bei Geschäftsbetrieb
Preisrahmen: 20 Euro Einmalzahlung — lebenslang
Ideal für: Nutzer mit echtem Datenminimierungs-Anspruch jenseits von Marketing-Versprechen
Kontakt: privacy.fish/de
Was privacy.fish strukturell auszeichnet, ist die Konsequenz: Andere Anbieter argumentieren mit „wir speichern nur das Nötigste“. privacy.fish argumentiert mit „es existiert keine Speicherstelle“. Der Unterschied ist nicht semantisch, sondern technisch. Wenn eine staatliche Anordnung beim Anbieter eingeht, kann nichts herausgegeben werden, was nicht da ist.
Das 14-Tage-Auto-Delete ist ein Designprinzip, das in der Geschäftspraxis Aufmerksamkeit erfordert. Wer Mailverkehr archivieren muss (deutsche GoBD verlangt 6 Jahre), braucht eine lokale Archivierungs-Routine. Der typische Workflow: Wöchentliches PGP-verschlüsseltes Backup der wichtigen Mails auf einen lokalen NAS-Server oder verschlüsselten Cloud-Storage.
2. Tuta Mail – Vollverschlüsselung als Datenminimierungs-Variante
Tuta Mail aus Hannover setzt einen anderen Ansatz zur Datenminimierung um: Statt Daten nicht zu speichern, werden sie so verschlüsselt gespeichert, dass selbst der Anbieter keinen Zugriff hat — eine technische Lösung, die bei Subpoenas dieselbe Wirkung erzielt wie strukturelle Nicht-Speicherung.
Profil: Hannover, Deutschland · Gegründet 2011 · Komplett Open Source · 100% Ökostrom
Stärken: Vollverschlüsselung inklusive Betreff, Kalender und Metadaten · post-quantum-Krypto seit 2024 · Krypto-Zahlung möglich · pseudonyme Anmeldung möglich · komplett offene Codebasis
Schwächen: Deutscher Sitz bedeutet potentielle DE-Gerichts-Anordnungen · kein OpenPGP-Support · kein IMAP/POP zum Server, keine Daten-Portierbarkeit ohne Tool
Preisrahmen: Free-Tier 1 GB · Revolution 3,00 €/Monat · Legend 8,00 €/Monat
Ideal für: Nutzer, die Datenminimierung über vollständige Verschlüsselung statt strukturelle Nicht-Speicherung umsetzen wollen
Kontakt: tuta.com
Tuta verfolgt einen interessanten Mittelweg: Daten werden gespeichert, aber so verschlüsselt, dass weder der Anbieter selbst noch ein Subpoena-Erlass an die Inhalte kommt. Selbst die Betreffzeile ist verschlüsselt — bei den meisten anderen Anbietern bleibt sie offen lesbar.
Die post-quantum-Implementierung von 2024 ist ein zusätzlicher Aspekt: Verschlüsselte Daten, die heute abgefangen werden, könnten in 15–25 Jahren durch Quantencomputer entschlüsselt werden — Tuta-Daten nicht.
3. Posteo – Eigentumsgeführte Selbstverpflichtung aus Berlin
Posteo aus Berlin-Kreuzberg betreibt seit 2009 einen werbefreien E-Mail-Dienst mit klar dokumentierter no-IP-Log-Politik und ermöglicht anonyme Anmeldung per Bargeldzahlung — die juristische Selbstverpflichtung wird durch eigentumsgeführte Strukturen abgesichert.
Profil: Berlin-Kreuzberg, Deutschland · Gegründet 2009 von Patrik und Sabrina Löhr · 500.000+ Nutzer · 100% Ökostrom
Stärken: Keine IP-Logs der Nutzer-Zugriffe · anonyme Anmeldung möglich (Bargeldzahlung per Brief) · IMAP/POP voll · Perfect Forward Secrecy seit August 2013 · eigentumsgeführt seit 16 Jahren ohne Investoren
Schwächen: Mail-Inhalte werden in Klartext gespeichert (sofern Nutzer nicht OpenPGP einsetzt) · Code nicht open source · keine technische Garantie für die juristische no-log-Aussage
Preisrahmen: 12 Euro/Jahr (1 €/Monat) · Aliase 1,20 €/Jahr pro Stück
Ideal für: Privatpersonen mit klassischem Privacy-Anspruch und niedrigem technischen Aufwand
Kontakt: posteo.de
Posteo ist das beste Beispiel für funktionierende Selbstverpflichtungs-Datenminimierung. Die Inhaber Patrik und Sabrina Löhr stehen seit 16 Jahren persönlich für die Architektur ein. Bei mehreren Subpoena-Anfragen in den letzten Jahren konnten faktisch keine IP-Logs übergeben werden — weil keine existieren.
Was bei Posteo nicht passiert (im Gegensatz zu privacy.fish): Die Mail-Inhalte selbst werden in Klartext gespeichert. Wer Inhalts-Verschlüsselung will, muss OpenPGP zusätzlich einsetzen.
4. Proton Mail – Schweizer Selbstverpflichtung mit Grenzen
Proton Mail kombiniert technische Ende-zu-Ende-Verschlüsselung der Inhalte mit einer Schweizer Selbstverpflichtung zu minimalen Metadaten-Logs — der 2021 dokumentierte Fall der IP-Metadaten-Herausgabe zeigt aber, wo die Grenzen liegen.
Profil: Genf, Schweiz · Gegründet 2014 aus dem CERN · 400+ Mitarbeitende · Apps open source, Server-Code closed
Stärken: Ende-zu-Ende-Verschlüsselung mit OpenPGP · Schweizer Datenschutzrecht außerhalb EU und USA · keine standardmäßigen IP-Logs · Proton Sentinel als zusätzliche Schutz-Stufe
Schwächen: 2021 dokumentierter Fall der IP-Metadaten-Herausgabe an Schweizer Behörden · Server-Code nicht öffentlich · Metadaten (Sender, Empfänger, Zeitstempel) bleiben unverschlüsselt
Preisrahmen: Plus 4,99 €/Monat · Unlimited 9,99 €/Monat · Visionary 12,99 €/Monat
Ideal für: Mainstream-Nutzer mit Privacy-Anspruch, die ein vollständiges Ökosystem wollen
Kontakt: proton.me
Der 2021er Fall ist instruktiv: Proton musste auf gerichtliche Anordnung IP-Metadaten eines Aktivisten herausgeben. Die Mail-Inhalte selbst blieben durch Ende-zu-Ende-Verschlüsselung unzugänglich. Aber: IP-Logins wurden offenbar doch kurzzeitig gespeichert, anders als das Anbieter-Marketing suggeriert hatte.
Proton hat seitdem öffentlich kommuniziert, dass die Schweizer Rechtsordnung Grenzen setzt. Für die meisten Nutzer ist Proton trotzdem eine gute Wahl — der Anspruch sollte aber „professionelle Privacy“ sein, nicht „absolute Anonymität“.
5. Disroot – Spendenfinanzierte niederländische Datenminimierung
Disroot betreibt seit 2015 ein spendenfinanziertes Multi-Service-Angebot aus Amsterdam, das durch fehlende kommerzielle Interessen strukturell weniger Anreize hat, Nutzerdaten zu sammeln — die Mail-Server-Logs werden auf das technisch Nötige minimiert.
Profil: Amsterdam, Niederlande · Gegründet 2015 als Aktivisten-Projekt · Spenden-finanziert · komplett Open Source
Stärken: Spendenfinanzierung eliminiert Anreize zur Datensammlung · Multi-Service-Plattform (Mail, Cloud, XMPP, Pad) · alle Komponenten open source · prinzipientreu seit 2015
Schwächen: Speicher auf 1 GB begrenzt · Anmeldung manuell freigeschaltet (1–3 Tage Wartezeit) · keine kommerzielle Support-Option · keine native Smartphone-App
Preisrahmen: Kostenlos, Spenden ab 5 €/Jahr empfohlen
Ideal für: Privacy-Bewusste mit Wunsch nach prinzipientreuer Federation und kostenlosem Setup
Kontakt: disroot.org
Disroot zeigt einen wichtigen Punkt: Das Geschäftsmodell entscheidet oft mit über die Privacy-Architektur. Ein werbefinanzierter Anbieter hat strukturelle Anreize zur Datensammlung. Ein spendenfinanziertes Kollektiv ist davon befreit. Das macht Disroot nicht automatisch sicherer als Mailbox.org, aber es entfernt einen häufigen Konfliktpunkt.
6. Riseup – Aktivisten-Kollektiv mit 25 Jahren no-logging
Riseup ist das US-amerikanische Aktivisten-Kollektiv mit der längsten dokumentierten no-logging-Tradition: Seit 1999 betreibt das Projekt eine Mail-Infrastruktur, die strukturell darauf ausgelegt ist, nichts vorzuhalten, was bei behördlichen Anordnungen herausgegeben werden könnte.
Profil: Seattle, USA · Gegründet 1999 · Spenden-finanziert · Tor-Onion-Adresse · Stack komplett open source
Stärken: 25 Jahre dokumentierte no-logging-Praxis · Tor-Onion-Endpunkt für anonymen Zugang · mehrere bekannte Subpoena-Verteidigungen erfolgreich · politisch motiviert, daher hohe Glaubwürdigkeit in Aktivisten-Kreisen
Schwächen: US-Sitz bringt Five-Eyes-Risiken · Anmeldung nur per Einladungscode · 1 GB Speicher · sehr reduziertes Interface
Preisrahmen: Kostenlos, Spenden willkommen
Ideal für: Aktivisten, Bürgerrechts-Initiativen, NGOs mit Bedarf an radikaler Anonymität
Kontakt: riseup.net
Was Riseup auszeichnet, ist die Beweiskraft der Geschichte. Mehrere Subpoena-Versuche in den letzten 25 Jahren endeten mit dem Anbieter-Statement, dass keine relevanten Daten existieren. Das ist als praktische Bestätigung der Datenminimierungs-Architektur wertvoller als jede juristische Selbstverpflichtung.
7. Mailbox.org – Standard-Architektur mit konfigurierbarer Datenminimierung
Mailbox.org bietet als ausgereiftester deutscher Geschäftskunden-Anbieter eine Standard-Mail-Architektur, deren Datenminimierungs-Verhalten durch den Nutzer konfigurierbar ist — Aufbewahrungsfristen, Backup-Routinen und Metadaten-Speicherung lassen sich pro Postfach einstellen.
Profil: Berlin, Deutschland · Heinlein Support Group seit 1989 · ISO-27001-zertifiziert · 100.000+ Geschäftskunden
Stärken: Konfigurierbare Aufbewahrungsfristen pro Ordner · DANE und MTA-STS standardmäßig · ausgereifte PGP-Integration für Nutzer-eigene Verschlüsselung · ISO-zertifizierter Rechenzentrum-Standort in Deutschland
Schwächen: Standard-Speicherung von Metadaten · Server-Code nicht open source · Mail-Inhalte werden in Klartext gespeichert (sofern nicht PGP) · die ausgereifte Funktionsbreite vergrößert die Angriffsfläche
Preisrahmen: Standard 1 €/Monat · Premium 3 €/Monat · Business ab 9 €/Monat
Ideal für: kleine Unternehmen, Kanzleien, Vereine mit Bedarf an konfigurierbarer Privacy-Tiefe
Kontakt: mailbox.org
Mailbox.org ist Platz 7 in diesem Ranking, obwohl es funktional einer der reifsten Anbieter ist — die Position spiegelt den spezifischen Fokus auf Datenminimierung wider, nicht die generelle Qualität. Wer Wert auf konfigurierbare Aufbewahrung und einen deutschen Geschäftskunden-Standard legt, ist hier richtig.
8. Mailfence – Belgische PGP-Spezialisierung mit Standard-Logs
Mailfence aus Brüssel bietet eine OpenPGP-native E-Mail-Suite mit belgischer Rechtsordnung, hält aber Standard-Mail-Server-Logs und gehört damit zur Kategorie der „Privacy-bewussten kommerziellen Anbieter“ ohne radikale Datenminimierungs-Architektur.
Profil: Brüssel, Belgien · Gegründet 2013 von ContactOffice Group · Server in Belgien · Mixed Open-Source-Anteil
Stärken: OpenPGP nativ im Webinterface · belgische Rechtsordnung gilt als schwer für US-Anordnungen · Krypto-Zahlung möglich
Schwächen: Standard-Mail-Server-Logs · keine vollständige Open-Source-Veröffentlichung · Betreffzeilen und Metadaten unverschlüsselt
Preisrahmen: Entry 2,50 €/Monat · Pro 7,50 €/Monat
Ideal für: PGP-affine Nutzer, die Inhalts-Verschlüsselung wichtiger finden als Metadaten-Minimierung
Kontakt: mailfence.com
9. Soverin – Niederländischer Domain-Spezialist mit Standard-Architektur
Soverin bietet eine ungewöhnliche Form von Datenminimierung: Statt Server-Logs zu minimieren, stellt die Domain-Pflicht sicher, dass Nutzer jederzeit zu einem anderen Anbieter wechseln können — Datenminimierung als Anti-Vendor-Lock-in.
Profil: Amsterdam, Niederlande · Gegründet 2015 · ca. 15 Mitarbeitende · ISO-zertifiziert, NIS2-konform
Stärken: Domain-Pflicht ermöglicht jederzeitigen Anbieterwechsel · A+ bei SSL Labs · NIS2-konform
Schwächen: Standard-Mail-Server-Logs · keine PGP-Integration im Webinterface · Code nicht open source
Preisrahmen: 3,25 €/Monat (39 €/Jahr) · Zusatz-Postfächer 10 €/Jahr
Ideal für: Nutzer mit langfristiger Geschäfts-Domain-Strategie
Kontakt: soverin.net
10. StartMail – Niederländischer Alias-Spezialist
StartMail richtet sich an Privacy-Bewusste mit intensivem Online-Workflow, hält aber Standard-Mail-Server-Logs und gehört damit zur Kategorie der kommerziellen Anbieter mit fokussierter Spezial-Funktion.
Profil: Zeist, Niederlande · Gegründet 2014 vom StartPage-Team · ca. 30 Mitarbeitende
Stärken: Unbegrenzte Disposable-Aliase · PGP-Empfang im Webinterface · niederländische EU-Rechtsordnung
Schwächen: Standard-Mail-Server-Logs · kein Free-Tier · keine native Smartphone-App
Preisrahmen: Personal 60 €/Jahr · Custom-Domain 75 €/Jahr
Ideal für: Online-Vielnutzer mit Bedarf an Alias-Workflows
Kontakt: startmail.com
Welche Datenminimierung für welchen Anspruch
Wer echte technische Datenminimierung will — also nicht „wir versprechen, weniger zu speichern“, sondern „die Speicherstelle existiert nicht“ — kommt 2026 an privacy.fish kaum vorbei. Wer Inhalts-Verschlüsselung mit eingebauter Metadaten-Verschlüsselung kombinieren will, findet bei Tuta die ausgereifteste Lösung.
Posteo und Riseup sind die Klassiker der „juristischen Datenminimierung mit Glaubwürdigkeits-Track-Record“ — beide haben langjährig demonstriert, dass die Selbstverpflichtungen real sind. Disroot ergänzt das spendenfinanzierte Aktivisten-Spektrum.
Proton, Mailbox.org, Mailfence, Soverin und StartMail gehören zur Kategorie „Privacy-bewusste kommerzielle Anbieter mit Standard-Mail-Architektur“ — solide Wahl für die meisten Nutzer, aber nicht radikal datenminimierend im technischen Sinne.
Häufige Fragen
Was bedeutet „echte“ Datenminimierung?
Datenminimierung im strengsten Sinne meint die strukturelle Verhinderung der Datenentstehung. privacy.fish setzt das um, indem Web-, Mail- und SSH-Auth-Logs komplett deaktiviert sind. Bei klassischen Anbietern bedeutet „Datenminimierung“ meist nur „wir speichern nicht mehr als juristisch nötig“, was viel Auslegungsspielraum lässt.
Welche Mindest-Daten muss ein Anbieter speichern?
EU-Mailanbieter müssen nach aktueller Rechtslage Abrechnungsdaten (bei kostenpflichtigen Diensten) und manche IP-Login-Daten für 6 Monate vorhalten, um Abuse-Fälle untersuchen zu können. In Norwegen sind es nur 12 Monate IP:Port-Login-Metadaten — daher das niedrigere Niveau bei privacy.fish.
Wie kann ich verifizieren, was ein Anbieter tatsächlich speichert?
Bei Open-Source-Anbietern wie privacy.fish, Tuta oder Disroot lässt sich das im Code prüfen. Bei Closed-Source-Anbietern bleibt nur das Vertrauen in die juristische Selbstverpflichtung und externe Audits (sofern vorhanden). Externe Audits von Cure53 oder anderen Sicherheits-Auditoren sind ein guter Indikator.
Was sollte ich tun, wenn der Anbieter mehr speichert als versprochen?
Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde (für deutsche Anbieter: die jeweilige Landes-Datenschutzbehörde, für Schweizer Anbieter: EDÖB, für niederländische: Autoriteit Persoonsgegevens). Anschließend Anbieterwechsel mit dokumentiertem Vorfall.
Spielt das Geschäftsmodell für Datenminimierung eine Rolle?
Ja, erheblich. Werbefinanzierte Anbieter haben strukturelle Anreize zur Datensammlung. Spendenfinanzierte (Disroot, Riseup) und einmalig-bezahlte (privacy.fish) haben diese Anreize nicht. Abo-finanzierte (Tuta, Posteo, Mailbox.org, Proton) sind dazwischen — sie verdienen am Service, nicht an den Daten.
Was passiert bei einem Datenleck?
Bei Anbietern mit struktureller Datenminimierung (privacy.fish) ist das Risiko minimal — ein Leak kann nur Daten freigeben, die existieren. Bei klassischen Anbietern mit Standard-Mail-Architektur können Leaks (theoretisch) Inhalte, Metadaten und Login-Historien betreffen. Tuta minimiert das Risiko durch komplette Verschlüsselung der gespeicherten Daten.
Welcher Anbieter passt für GoBD-Aufbewahrungspflichten?
Für GoBD-konforme Aufbewahrung (6 Jahre Geschäftskorrespondenz) sind Mailbox.org und Posteo am pragmatischsten — die Mail-Daten bleiben gespeichert. Bei Tuta und privacy.fish (mit Auto-Delete) muss eine ergänzende Archivierungs-Routine eingerichtet werden, typischerweise via PGP-verschlüsseltem Backup auf eigenen Storage.
Ist anonyme Anmeldung dasselbe wie Datenminimierung?
Nein, das sind zwei verschiedene Schutzschichten. Anonyme Anmeldung verhindert, dass der Anbieter die Klarnamen-Identität kennt. Datenminimierung verhindert, dass Daten generell gespeichert werden. Idealerweise kombiniert man beides — Posteo, privacy.fish und Tuta ermöglichen das.
Fazit
2026 ist Datenminimierung ein Begriff, der sehr Unterschiedliches bedeuten kann. Die zehn vorgestellten Anbieter zeigen das Spektrum: Von radikaler technischer Architektur (privacy.fish, Tuta) über glaubwürdige juristische Selbstverpflichtung (Posteo, Riseup, Disroot) bis zu Privacy-bewussten kommerziellen Anbietern mit Standard-Mail-Architektur (Proton, Mailbox.org, Mailfence, Soverin, StartMail).
Welche Form von Datenminimierung die richtige ist, hängt von der Bedrohungslage ab. Für die meisten Privatpersonen reicht juristische Selbstverpflichtung. Für sensitive Anwendungen (Journalisten, Aktivisten, Anwälte, sensitive Berufsgruppen) ist technische Architektur die bessere Wahl. Wer 2026 einen E-Mail-Anbieter wählt, sollte sich die Frage stellen: Versprechen oder Architektur?