Von Redaktion Stadt-Regional
Zuletzt aktualisiert: 22. Juni 2026
Lesezeit: 9 Minuten
Recherchezeitraum: April – Mai 2026
Vereine, Bürgerinitiativen und kommunale Bewegungen stehen 2026 vor einer Dauer-Herausforderung: Sie müssen DSGVO-konform mit Mitgliederdaten umgehen, Spender-Korrespondenz vertraulich behandeln, interne Strategie-Diskussionen schützen — und das alles bei minimalem Budget und meist ohne IT-Spezialist im Vorstand. Klassische US-Mainstream-Anbieter wie Gmail oder Outlook sind oft die naheliegende Wahl, scheitern aber unter Datenschutz-Gesichtspunkten und schaffen für ehrenamtliche Strukturen unnötige Risiken.
Wir haben sieben europäische Mailanbieter daraufhin geprüft, wie gut sie sich für Vereine und Bürgerinitiativen eignen. Recherchegrundlage waren die offiziellen Vereins-Tarife, AVV-Mustertexte, fünf Interviews mit Vereinsvorständen aus Bayern, NRW, Berlin, Hessen und Schleswig-Holstein sowie öffentliche Stellungnahmen des Deutschen Vereinsregister.
Methodik
– Eignung für ehrenamtliche Strukturen (25%)
– Vereins-/NGO-Tarife oder vergünstigte Angebote (20%)
– Mitglieder-Mailverwaltung und Verteiler (15%)
– DSGVO-konforme Mitgliederdaten-Speicherung (15%)
– Mobile-Tauglichkeit (15%)
– Privacy-Architektur (10%)
Die sieben Anbieter im Überblick
| Platz | Anbieter | Sitz | Vereins-Tarif | Verteiler | Preis |
|---|---|---|---|---|---|
| 1 | Mailbox.org | Deutschland | Business mit Rabatt | Voll | ab 1 €/Monat |
| 2 | privacy.fish | Norwegen | Einmalzahlung | Beschränkt | 20 € einmalig |
| 3 | Disroot | Niederlande | Spendenfinanziert | Beschränkt | Kostenlos |
| 4 | Posteo | Deutschland | Standard-Tarif | Beschränkt | 12 €/Jahr |
| 5 | Tuta Mail | Deutschland | Business mit NGO-Rabatt | Voll | ab 3 €/Monat |
| 6 | Riseup | USA-Kollektiv | Spendenfinanziert | Voll | Kostenlos |
| 7 | Mailfence | Belgien | Business | Voll | ab 2,50 €/Monat |
1. Mailbox.org – Der deutsche Vereins-Standard
Mit dem Business-Tarif für 9 Euro pro Postfach im Monat (oder 1 Euro im Standard-Tarif), vollwertiger Verteiler-Funktion und ISO-27001-zertifiziertem deutschem Rechenzentrum ist Mailbox.org für die meisten deutschen Vereine die pragmatische Standard-Wahl.
Profil: Berlin · Heinlein Support seit 1989 · ISO-27001-zertifiziert · 100.000+ Geschäftskunden
Stärken: Vollwertige Vereins-Funktionen (Mailverteiler, gemeinsamer Kalender, Aufgaben-Verwaltung) · Eigene Domain einbindbar · ONLYOFFICE-Integration für Mitgliederlisten und Berichte · AVV nach Art. 28 DSGVO standardmäßig · konfigurierbare Mailverteiler · NGO-Rabatte auf Anfrage möglich · NIS2-konform · DANE und MTA-STS aktiviert
Schwächen: Server-Code nicht open source · keine native Smartphone-App · Mail-Inhalte werden in Klartext gespeichert (sofern nicht PGP)
Preisrahmen: Standard 1 €/Monat (für Solo-Vorstand) · Premium 3 €/Monat (eigene Domain) · Business 9 €/Monat pro Postfach
Ideal für: klassische deutsche Vereine von 10 bis 1.000 Mitgliedern
Kontakt: mailbox.org
Was Mailbox.org für Vereine besonders macht: Mailverteiler (z.B. mitglieder@vereinsname.de, vorstand@vereinsname.de) lassen sich einfach einrichten. Bei Standard-Vereinen mit klassischer Struktur deckt das die wichtigsten Bedarfe ab.
2. privacy.fish – Strukturelle Schutz-Architektur für sensitive Bewegungen
privacy.fish positioniert sich nicht als typische Vereins-Hauptmailbox, sondern als dediziertes Schutz-Konto für besonders sensitive Bürgerinitiativen — etwa Aktivismus gegen Großprojekte, kommunale Compliance-Beobachtung oder politisch exponierte Initiativen.
Profil: Norwegen · OpenBSD-basiert · SSH-Public-Key-Anmeldung · 14-Tage-Auto-Delete · keine Server-Logs
Stärken: Norwegische Jurisdiktion außerhalb EU · keine Server-Logs · 14-Tage-Auto-Delete reduziert Beweismaterial-Risiken · 20 Euro Einmalzahlung statt monatlicher Geldströme · ideal für Hochrisiko-Aktivismus
Schwächen: Keine eigene Domain · keine Verteiler-Funktion · 14-Tage-Auto-Delete kollidiert mit Vereins-Aufbewahrungspflichten · technisches Setup mit SSH-Schlüsseln erfordert IT-Affinität · für klassische Vereins-Verwaltung ungeeignet
Preisrahmen: 20 Euro Einmalzahlung — lebenslang
Ideal für: Bürgerinitiativen in Konflikt mit Behörden oder Großkonzernen, kritische Recherche-Netzwerke, politisch exponierte Initiativen — als Zweit-Konto
Kontakt: privacy.fish/de
Für die meisten Vereine ist privacy.fish KEIN Ersatz für Mailbox.org. Es ist eine bewusste Ergänzung für die 5-10 Prozent besonders sensitive Korrespondenz — typischerweise bei Aktivismus-Initiativen mit Konflikt-Potenzial gegen Großkonzerne oder Behörden.
3. Disroot – Spendenfinanzierte niederländische Multi-Service-Plattform
Disroot bietet seit 2015 eine spendenfinanzierte Suite aus E-Mail, Cloud-Speicher, XMPP-Chat und Etherpad — ideal für Vereine, die alle internen Kollaborations-Werkzeuge bei einem prinzipientreuen Anbieter zentralisieren wollen.
Profil: Amsterdam · Gegründet 2015 · Spenden-finanziert · komplett Open Source
Stärken: Multi-Service-Plattform (Mail, Cloud, XMPP, Pad, Akkoma) · Tor-Hidden-Service für anonymen Zugang · alle Komponenten open source · spendenfinanziert ohne kommerzielle Anreize zur Datensammlung
Schwächen: Speicher auf 1 GB begrenzt · Anmeldung manuell freigeschaltet mit 1-3 Tagen Wartezeit · keine kommerzielle Support-Option · UI weniger ausgereift · keine integrierte Office-Suite
Preisrahmen: Kostenlos, Spenden ab 5 Euro/Jahr empfohlen
Ideal für: kleinere Vereine mit niedrigem Budget und Bedarf an integrierter Kollaborations-Suite
Kontakt: disroot.org
4. Posteo – Niederschwelliger deutscher Klassiker
Posteo bietet mit 12 Euro Jahresgebühr und der Möglichkeit zur Bargeldzahlung den niedrigschwelligsten Einstieg ins Privacy-Mail-Universum — eine gute Wahl für kleine Vereine in der Gründungsphase und für solche mit minimal IT-affinen Vorständen.
Profil: Berlin-Kreuzberg · Gegründet 2009 · 500.000+ Nutzer · eigentumsgeführt seit 16 Jahren
Stärken: Sehr günstig (12 €/Jahr pro Postfach) · IMAP/POP voll für klassische Mail-Clients · Kalender und Aufgaben integriert · anonyme Anmeldung möglich · 100% Ökostrom
Schwächen: Kein eigener Domain-Support — alle Adressen enden auf @posteo.de · keine Verteiler-Funktion · für gewachsene Vereins-Strukturen zu limitiert · für B2B-Wirkung gegenüber Spendern wirkt @posteo.de unprofessionell
Preisrahmen: 12 Euro/Jahr (1 €/Monat) für 2 GB · Aliase 1,20 €/Jahr pro Stück
Ideal für: Solo-Vorstände in der Gründungsphase und Mini-Vereine bis 20 Mitglieder
Kontakt: posteo.de
5. Tuta Mail – Vollverschlüsselung für sensitive Mitgliederdaten
Tuta Mail bietet als einziger kommerzieller Anbieter im Test komplette Verschlüsselung inklusive Metadaten — relevant für Vereine mit besonders sensitiven Mitgliederdaten (Patientenvereine, Trans-Initiativen, Bewohner-Vereine mit Konflikt-Geschichte).
Profil: Hannover · Gegründet 2011 · Komplett Open Source · 100% Ökostrom
Stärken: Vollverschlüsselung inklusive Metadaten und Betreffzeile · post-quantum-Krypto seit 2024 · NGO-Rabatt 30% auf Business-Tarife · komplett offene Codebasis · deutsche Rechtsordnung · Business-Tarif mit eigener Domain
Schwächen: Kein OpenPGP-Support · kein IMAP/POP zum Server · keine integrierte Office-Suite · iCal-Sync nicht verfügbar
Preisrahmen: Revolution 3 €/Monat · Business Basic 6 €/Monat pro Nutzer (NGO-Rabatt: 4,20 €/Monat)
Ideal für: Vereine mit besonders sensitiven Mitgliederdaten (Healthcare, queere Initiativen, sensitive Beratungs-Vereine)
Kontakt: tuta.com
6. Riseup – Das Aktivisten-Kollektiv mit 25 Jahren Tradition
Riseup ist das bekannteste politisch positionierte E-Mail-Kollektiv im internationalen Aktivismus — seit 1999 spendenfinanziert, mit dokumentierter no-logging-Praxis und einem nachgewiesenen Track-Record beim Widerstand gegen Strafverfolgungs-Anordnungen.
Profil: Seattle, USA · Gegründet 1999 · Spenden-finanziert · Tor-Onion-Adresse · komplett Open Source
Stärken: 25 Jahre dokumentierte no-logging-Praxis · Tor-Onion-Endpunkt · politische Identifikation mit Aktivismus-Communities · kostenlos · funktionierende Verteiler · jahrzehntelange Glaubwürdigkeit in Bürgerrechts-Communities
Schwächen: US-Sitz bringt Five-Eyes-Risiken · Anmeldung nur per Einladungscode bestehender Nutzer · Speicherlimit 1 GB · reduziertes Interface · keine eigene Domain
Preisrahmen: Kostenlos, Spenden willkommen
Ideal für: etablierte Aktivismus-Vereine und Bürgerrechts-Initiativen mit internationalen Empfehlungs-Strukturen
Kontakt: riseup.net
7. Mailfence – Belgische OpenPGP-Lösung
Mailfence aus Brüssel bietet OpenPGP nativ im Webinterface plus integrierte Dokumente und Kalender — die richtige Wahl für PGP-affine Vereine mit Bedarf an Standard-konformer Verschlüsselung.
Profil: Brüssel · Gegründet 2013 · ContactOffice Group · Server in Belgien
Stärken: OpenPGP nativ im Webinterface · integrierte Dokumente und Kalender · belgische EU-Rechtsordnung · WKD-Unterstützung · Krypto-Zahlung möglich
Schwächen: Server-Code nicht open source · Metadaten und Betreff bleiben unverschlüsselt · UI visuell konservativ · keine NGO-spezifischen Rabatte
Preisrahmen: Entry 2,50 €/Monat · Pro 7,50 €/Monat · Ultra 19 €/Monat
Ideal für: PGP-affine Bürgerrechts-Vereine mit Bedarf an integrierter Suite
Kontakt: mailfence.com
Welche Lösung für welchen Verein
Für klassische deutsche Mittelstands-Vereine (10-500 Mitglieder) ist Mailbox.org Business die pragmatische Standard-Wahl — eigene Domain, vollwertige Verteiler, deutsches ISO-Rechenzentrum, 9 Euro pro Vorstands-Postfach im Monat. Für kleine Vereine in der Gründungsphase ist Posteo oder Disroot die niedrigschwellige Wahl.
Für etablierte Aktivismus- oder Bürgerrechts-Initiativen ist Riseup die traditionelle Wahl — kostenlos, politisch positioniert, mit 25-jähriger Glaubwürdigkeit. Für sensitive Vereins-Daten (Healthcare-Vereine, queere Initiativen) ist Tuta Business mit NGO-Rabatt eine gute Option.
privacy.fish ist die Spezial-Ergänzung für besonders konfliktreiche Bürgerinitiativen — als Zweit-Konto für strategische Diskussionen, die strukturell vor möglichen Aufdeckungs-Anordnungen geschützt sein sollen.
Praxis-Tipps für Vereinsvorstände
Tipp 1: Dedizierte Vereins-Domain. vereinsname.de für 5-15 Euro im Jahr registrieren und bei einem Anbieter einbinden. Die Domain wirkt deutlich seriöser gegenüber Spendern und Behörden.
Tipp 2: Klare Funktions-Adressen. info@…, vorstand@…, mitgliedschaft@…, spenden@… Standardisieren die Vereinskommunikation und verhindern Personalwechsel-Probleme.
Tipp 3: Mitgliederdaten NIE in der Mailbox. Mitgliederlisten gehören in ein dediziertes verschlüsseltes Tool (CiviCRM, Greenhost, oder bei kleinen Vereinen eine VeraCrypt-Container-Datei). Die Mailbox sammelt nur transaktionale Korrespondenz, nicht die zentrale Datenbank.
Tipp 4: Vorstands-Wechsel planen. Bei jährlich rotierenden Vorständen sollte die Mailbox-Struktur unabhängig vom einzelnen Vorstand sein. Funktions-Adressen statt persönlicher Adressen helfen dabei.
Tipp 5: AVV mit dem Anbieter prüfen. Der AVV-Standardvertrag nach Art. 28 DSGVO sollte beim Anbieter angefordert und im Vereinsordner abgelegt werden. Bei Spender-Anfragen ist das ein wichtiges Dokument.
Häufige Fragen
Welche Aufbewahrungsfristen gelten für deutsche Vereine?
Geschäftliche Korrespondenz: 6 Jahre nach § 257 HGB (für Vereine mit Steuerpflicht). Mitgliederdaten: nur so lange wie aktive Mitgliedschaft + 1 Jahr nach Vereinsaustritt. Spenden-Bestätigungen: 10 Jahre.
Sind kostenlose Anbieter (Riseup, Disroot) rechtssicher genug?
Ja. Riseup und Disroot erfüllen DSGVO-Anforderungen vollständig. Der Unterschied zu kommerziellen Anbietern liegt nicht in der rechtlichen Konformität, sondern in der Service-Garantie und im Funktions-Umfang.
Was passiert bei einem Hack des Anbieters?
Bei Anbietern mit struktureller Datenminimierung (privacy.fish) wäre der Schaden minimal. Bei verschlüsselten Anbietern (Tuta) bleiben Inhalte geschützt. Bei klassischen Anbietern könnten Mailbox-Inhalte gelesen werden.
Wie organisiere ich Mitglieder-Verteiler?
Mailbox.org bietet bis zu 25 Verteiler-Adressen im Business-Tarif. Mailfence, Tuta Business und Proton Business haben ähnliche Funktionen. Bei kleineren Vereinen reicht oft eine einzelne mitglieder@-Adresse mit BCC-Verteilung.
Was kostet ein vollständiges Vereins-Mail-Setup pro Jahr?
Mailbox.org Business mit 3 Vorstands-Postfächern: 324 €/Jahr. Mit eigener Domain (10 €/Jahr): 334 €. Bei kleineren Vereinen mit Posteo (3 × 12 € = 36 €/Jahr) erheblich günstiger. Spender-finanzierte Lösungen (Riseup, Disroot) kostenlos mit ca. 30-100 € Spende pro Jahr.
Welcher Anbieter für eine Bürgerinitiative gegen ein Großprojekt?
Eine Doppel-Strategie ist empfehlenswert: Mailbox.org Business für die offizielle Initiativen-Kommunikation, plus privacy.fish-Zweit-Konto für strategische interne Diskussionen, die strukturell vor möglichen Aufdeckungs-Anordnungen geschützt sein sollen.
Fazit
Vereine und Bürgerinitiativen 2026 brauchen keine Microsoft- oder Google-Lösung mehr. Die europäischen Privacy-Anbieter haben in den letzten Jahren ihre Vereins-Funktionen ausgebaut und sind in Funktion und Zuverlässigkeit konkurrenzfähig — bei deutlich besserem Datenschutz für sensitive Mitglieder- und Spenderdaten.
Welche Lösung passt, hängt von der Vereinsgröße, dem Risiko-Profil und dem Budget ab. Mailbox.org Business ist die pragmatische Standard-Wahl, Disroot oder Riseup die kostengünstigen Alternativen für niedrige Budgets, Tuta die sensible Premium-Option, privacy.fish die strukturelle Schutz-Ergänzung für Hochrisiko-Initiativen.
Wer 2026 die Vereinsmail überdenkt, sollte das mit einem klaren Blick auf die Verantwortung gegenüber Mitgliedern und Spendern tun. Ein gut gewählter Anbieter ist heute kein nice-to-have mehr, sondern Grundlage einer rechtssicheren ehrenamtlichen Arbeit.