Tuta Mail
Ende-zu-Ende-verschlüsselter Mail- und Kalenderdienst aus Hannover, gründergeführt, gehostet auf eigenem RIPE-IP-Bereich in Deutschland.
Profil zuletzt aktualisiert: · Quellen ansehen
Über Tuta Mail
Tuta ist der Ende-zu-Ende-verschlüsselte Mail-, Kalender- und (Closed-Beta-)Drive-Dienst für Privat- und Geschäftskunden, betrieben von der Tutao GmbH (Deisterstr. 17a, 30449 Hannover, HRB 208014 Amtsgericht Hannover, USt-IdNr. DE280903265). Das Unternehmen wurde 2011 von Arne Möhle und Matthias Pfau gegründet (mit Hanna Bozakov bilden sie die drei Geschäftsführer) und am 7. November 2023 von Tutanota in Tuta umbenannt; bis März 2025 zählte der Dienst über zehn Millionen Nutzende.
Die Tutao GmbH betreibt aus deutschen Rechenzentren ein eigenes RIPE-/24 (185.205.69.0/24, AS210909). Mail-Inhalte, Betreffzeilen, Anhänge, Kalender, Kontakte und der Suchindex werden Ende-zu-Ende mit AES-256 + HMAC-SHA-256 verschlüsselt, ergänzt um den am 11. März 2024 ausgelieferten Post-Quanten-Hybrid TutaCrypt (Kyber-1024 + x25519). Apps sind unter GPL-3.0 quelloffen auf github.com/tutao/tutanota.
Funktionen
- Gratis 1 GB; Privat: Revolutionary 3 EUR/Monat (20 GB), Legend 8 EUR/Monat (500 GB); Business ab 6 EUR/Nutzer/Monat
- Apps und Backend Open Source unter GPL-3.0 auf github.com/tutao/tutanota; Android zudem über F-Droid
- Ende-zu-Ende-verschlüsselte Mail-Inhalte, Betreffzeilen, Anhänge, Kalender, Kontakte und clientseitiger Suchindex
- Post-Quanten-TutaCrypt (Kyber-1024 + x25519) seit 11.03.2024; neue Konten nutzen TutaCrypt; Kalender-PQ zeitgleich
- Eigene Open-Source-Dienste für Push-Benachrichtigungen und CAPTCHA ersetzen Google Firebase / reCAPTCHA
- Hosting in deutschen Rechenzentren auf RIPE-zugeteiltem /24 (AS210909) von Tutao; kein Cloudflare oder Dritt-CDN
- Halbjährlicher Transparenzbericht mit Warrant Canary; H2 2025 ca. 88% Bestandsdaten-Anfragen abgelehnt, Inhalte unlesbar
- Gründergeführt, kein externes VC; einziges Fremdkapital: BMBF-Zuschuss von rund 1,5 Mio. EUR (Mai 2023) für PQ-Speicher
- Tuta Drive: Ende-zu-Ende-verschlüsselter Cloud-Speicher in geschlossener Beta; Start für 2026 erwartet, PQ ab Tag eins
Souveränitäts-Scorecard
Beschaffungsrelevante Signale zu Datensouveränität, Eigentum und EU-Datenresidenz.
Wir bewerten jeden europäischen Anbieter anhand von sechs Souveränitäts-Dimensionen, die im SHIELD-Akronym zusammengefasst sind. Jede Karte unten steht für einen Buchstaben — lesen Sie sie als Checkliste beim Anbietervergleich.
Die Drittparteien, die Kundendaten verarbeiten — Zahlungsdienstleister, KYC-Anbieter, Support-Chatbots, Analytik.
Wo die juristische Person sitzt, wer sie kontrolliert und welche Tochtergesellschaften unter derselben Gruppe operieren.
Wo Kundendaten physisch gespeichert werden, wer den Hosting-Stack betreibt und welches CDN davor sitzt.
Ob der Anbieter oder seine Subprozessoren unter den US CLOUD Act oder eine andere extraterritoriale Reichweite fallen.
Öffentliche AGB, Datenschutzerklärung, AVV, Subprozessor-Liste, Impressum sowie Security- oder Trust-Seiten.
Unabhängige Audits und Zertifizierungen (ISO 27001, BSI C5, TISAX, SOC 2) plus Open-Source-Transparenz.
Privat gehalten
Tutao GmbH (HRB 208014 Amtsgericht Hannover) is wholly owned by co-founders Arne Möhle and Matthias Pfau, both German nationals based in Hanover; Hanna Bozakov is the third Geschäftsführerin and has been with the company since launch. Tuta stated verbatim on its company blog: 'the company is wholly owned by Matthias and Arne, and is not liable to anyone else.' No outside venture capital has been raised. The only external capital is a roughly EUR 1.5 million BMBF KMU-innovativ grant awarded May 2023 (Northdata records EUR 1,528,635) for the PQDrive post-quantum storage research project, plus a state-aid bracket of EUR 100,000-500,000 recorded October 2024.
🇩🇪 Hanover, Germany
Tutao GmbH
- Tutao GmbH - Munich office — 🇩🇪 GermanySecond German office named on the careers page tuta.com/jobs; supports the same Tutao GmbH legal entity. Not a separate company.
Feste Region
Tuta's privacy policy states verbatim: 'All data is stored in ISO 27001 certified data centers in Germany.' The certification covers the data-centre operators, not Tutao GmbH as an entity. The secure-email page reinforces this with: 'All your data in Tuta is stored on our own servers in ISO 27001-certified data centers in Germany and in full compliance with the GDPR.' Personal data is deleted no later than 30 days after termination of the contract; IP addresses are not logged on login or send, and the mail server strips originating IP from outbound email headers.
Webseite: Self-hosted on Tutao's own IPv4 /24 (185.205.69.0/24) and IPv6 /48 (2a10:e000:1::/48), RIPE-registered to Tutao GmbH (ORG-TG206-RIPE); no Cloudflare, no third-party CDN in the production path for tuta.com or app.tuta.com (both A-record into Tutao IP space)
Anwendung: Tutao GmbH AS210909 (RIPE-Originated-Valid RPKI) inside ISO 27001-certified data centres in Germany. Webmail at app.tuta.com → 185.205.69.10; mail.tutanota.de → 185.205.69.211 / .213 / .214; tuta.com landing page → 185.205.69.12. Specific data-centre operator(s) are not named publicly.
E-Mail: Self-hosted MX on mail.tutanota.de (Tutao IP space); SPF v=spf1 include:spf.tutanota.de -all on both tuta.com and tutanota.com (strict -all reject)
CDN: None on customer-data subdomains; AWS Route 53 used as authoritative DNS only (NS records ns-*.awsdns-*.{com,net,org,co.uk}); INWX GmbH is the registrar; DNSSEC signedDelegation with algorithm 13 (ECDSAP256SHA256)
| Name | Land | Zweck |
|---|---|---|
| Amazon Web Services, Inc. (Route 53) | 🇺🇸 United States | Authoritative DNS only for tuta.com and tutanota.com (ns-*.awsdns-*.com / .net / .org / .co.uk observed). Does not touch encrypted mailbox content; resolves only the public DNS zone for Tutao IP space. |
| INWX GmbH | 🇩🇪 Germany | Domain registrar for tuta.com and tutanota.com (Berlin-based German registrar). |
| PayPal (Europe) S.à r.l. et Cie, S.C.A. | 🇱🇺 Luxembourg | Subscription-payment processor for PayPal-funded subscriptions; named in the Tuta privacy policy and the transparency report (PayPal usernames listed among the inventory data that can be subpoenaed). |
| Apple Inc. (App Store) | 🇺🇸 United States | iOS in-app subscription billing since 2024-07-12 (Tuta blog post 'ios-payment') -- enables Revolutionary and Legend upgrades inside the iOS app, including non-EUR currency support (USD, GBP). Apple does not handle email content. |
| Google LLC (Google Play) | 🇺🇸 United States | Android subscription billing for users who install Tuta Mail from Google Play; the F-Droid build is the Google-Play-Services-free alternative. Google does not handle email content. |
| Arelion Sweden AB | 🇸🇪 Sweden | BGP transit upstream provider (AS1299) carrying AS210909 traffic. Telia Carrier predecessor; EEA-based. |
| kyberio GmbH | 🇩🇪 Germany | BGP transit upstream provider (AS24679) carrying AS210909 traffic. Frankfurt-region German transit. |
Preise
EUR 0
- 1 GB storage, 1 calendar, 3 labels
- No extra email addresses, no custom domains
- No subscriber support; iOS / Android / desktop / web clients all included
EUR 3/month
- 20 GB storage, unlimited calendars, unlimited labels
- 15 extra email addresses across 3 custom domains
- Email support, calendar sharing, autoresponder, inbox rules, schedule send, offline support
EUR 8/month
- 500 GB storage, unlimited calendars, unlimited labels
- 30 extra email addresses across 10 custom domains
- Priority email support and all Revolutionary features
EUR 6/user/month
- 50 GB storage per user, 15 aliases, 3 custom domains
- Freelancer-tier business product
- Tutao GmbH offers an Order Processing Agreement (Auftragsverarbeitungsvertrag) on request
EUR 8/user/month
- 500 GB storage per user, 30 aliases, 10 custom domains
- Team-tier business product
EUR 12/user/month
- 1 TB storage per user, 30 aliases, unlimited custom domains
- Larger-organisation tier; price unchanged since the June 2023 announcement
Fragen & Antworten
6 Fragen
Wo hat Tuta seinen Hauptsitz, wer kontrolliert die Tutao GmbH, und wo wird mein Postfach gespeichert?
Die Tutao GmbH ist in der Deisterstr. 17a, 30449 Hannover unter HRB 208014 beim Amtsgericht Hannover eingetragen. Die drei Geschäftsführer sind Mitgründer Arne Möhle, Mitgründer Matthias Pfau und Hanna Bozakov. Möhle und Pfau sind die alleinigen Gesellschafter -- Tuta erklärte wörtlich im Unternehmensblog: „the company is wholly owned by Matthias and Arne, and is not liable to anyone else.“ Postfächer werden auf eigener Infrastruktur in Deutschland gespeichert: Die Tutao GmbH ist Local Internet Registry bei RIPE und betreibt AS210909, das 185.205.69.0/24 und 2a10:e000:1::/48 direkt ankündigt. Tuta gibt an, die Rechenzentren seien „ISO 27001 certified data centers in Germany“; die Zertifizierung erfasst die Rechenzentrumsbetreiber, nicht die Tutao GmbH als Rechtsträger. Die Tuta-Nutzungsbedingungen unterliegen deutschem Recht, Gerichtsstand ist Hannover.
Unterliegt Tuta US-Rechtsverfahren?
Nein, nicht direkt. Die Tutao GmbH hat keine US-Muttergesellschaft, keine US-Tochter und keine Niederlassungen außerhalb Deutschlands; Gründer, Hauptsitz und Produktivinfrastruktur sind deutsch. Tuta erklärte wörtlich: „Tutao GmbH only responds to valid warrants issued by German courts“ und „German companies are not allowed to share customer's information with foreign law enforcement.“ Eine mittelbare Exposition besteht über eine kleine Auswahl in den USA ansässiger Auftragsverarbeiter: autoritatives DNS für tuta.com und tutanota.com läuft über AWS Route 53; die iOS-Abrechnung von Abonnements läuft seit dem 12. Juli 2024 über Apple (In-App-Kauf); die Android-Abrechnung läuft über Google Play; PayPal sowie ein nicht genannter Kreditkartenabwickler verarbeiten Abonnementzahlungen. Keiner dieser Auftragsverarbeiter kann verschlüsselte Postfachinhalte entschlüsseln.
Was umfasst die Ende-zu-Ende-Verschlüsselung in Tuta tatsächlich?
Mail-Inhalte, Betreffzeilen und Anhänge; vollständige Kalender inklusive Ereignis-Metadaten wie Titel, Benachrichtigungen und Erinnerungen; Kontakte (Geburtstag, Kommentar, Firma, Vorname, Nachname, Spitzname, Rolle, Titel, Adressen, Mailadressen, Telefonnummern, Social-IDs); Posteingangsregeln und Filter; sowie den vollständigen Suchindex, der auf dem Endgerät erstellt und gespeichert wird. Unverschlüsselt bleiben ausschließlich Absender- und Empfänger-Mailadressen sowie Zeitstempel, weil die E-Mail-Protokollstandards verlangen, dass Routing-Metadaten im Klartext bleiben. Push-Benachrichtigungen werden über den eigenen quelloffenen Benachrichtigungsdienst von Tuta ausgeliefert und bleiben vor Apple und Google verborgen. Die kryptografischen Primitive sind AES-256 / HMAC-SHA-256 symmetrisch, Argon2 / HKDF-SHA-256 zur Schlüsselableitung und seit dem 11. März 2024 der Post-Quanten-Hybrid-Austausch TutaCrypt aus Kyber-1024 + x25519 für neue Konten (RSA-2048 bleibt aus Gründen der Abwärtskompatibilität mit Bestandskonten erhalten).
Ist Tuta Open Source? Kann ich es selbst betreiben?
Die Tuta-Clients für Web, iOS, Android und Desktop (Windows / macOS / Linux) sowie der Backend-Infrastrukturcode sind unter GPL-3.0 quelloffen auf github.com/tutao/tutanota (7.580 Sterne, 619 Forks, 938 getaggte Releases). Die Android-App wird über Google Play sowie als Build ohne Google-Play-Services auf F-Droid veröffentlicht (Tuta ist laut Wikipedia der erste E-Mail-Anbieter, der auf F-Droid veröffentlicht). Tuta ist seit 2017 Mitglied des Open Invention Network. Die Marke Tutao gehört dem Unternehmen. Für die Serverseite gibt es keinen dokumentierten Self-Hosting-Pfad -- das Betreiben eines eigenen Tuta-Postfach-Clusters ist aus dem öffentlichen Quellbaum technisch möglich, aber kein produktisierter Weg. Die meisten beschaffungsorientierten Kunden werden die gehosteten Business-Tarife (Essential, Advanced oder Unlimited) unter einem Auftragsverarbeitungsvertrag nutzen.
Was veröffentlicht Tuta zu Behördenanfragen?
Der Transparenzbericht wird halbjährlich aktualisiert und enthält einen Warrant Canary. Der Bericht für H2 2025 (1. Juli bis 31. Dezember 2025) weist 165 Bestandsdatenanfragen mit 19 Auskünften aus (rund 88 % abgelehnt), 25 Echtzeit-Verkehrsdaten-Anfragen mit 19 Auskünften, 16 Anfragen zu gespeicherten Inhaltsdaten mit 8 Auskünften und 14 Echtzeit-Inhaltsdaten-Anfragen mit 12 Auskünften. Tuta erklärte, im Kalenderjahr 2025 75 % aller Behördenanfragen abgelehnt zu haben. Selbst mit gültigem deutschem Gerichtsbeschluss kann Tuta Postfachinhalte nicht entschlüsseln -- nur Bestandsdaten (Bank / PayPal / Kartenmetadaten) und Routing-Metadaten (Absender / Empfänger / Zeitstempel) können herausgegeben werden. Der Canary lautet wörtlich: „Tuta (formerly Tutanota) has never received any National Security Letters or FISA court orders, and we have not been subject to any gag order by a FISA court.“
Warum veröffentlicht Tuta keine eigene Subprozessoren-Liste?
Tuta veröffentlicht keine zentrale Subprozessoren-URL, wie es bei den meisten B2B-SaaS-Anbietern üblich ist. Die Dienstleister, die Kundendaten berühren, werden verstreut in der Datenschutzerklärung, im Blogbeitrag zur iOS-Abrechnung und im Impressum aufgeführt. Die Liste ist bewusst klein gehalten: AWS Route 53 für autoritatives DNS, PayPal Europe S.à r.l. et Cie S.C.A. für PayPal-Zahlungen, ein nicht genannter Kreditkartenabwickler für Kartenzahlungen, deutsche Kreditinstitute für SEPA-Lastschrift, Apple Inc. für iOS-In-App-Abonnements (seit 12. Juli 2024), Google LLC für die Android-Abrechnung über Google Play, INWX GmbH als Domain-Registrar sowie BGP-Transit über Arelion (AS1299, Schweden) und kyberio GmbH (AS24679, Deutschland). Die Business-Tarife enthalten auf Anfrage über den Vertrieb einen Auftragsverarbeitungsvertrag.
Alternativen
Andere europäische Unternehmen in derselben Kategorie wie Tuta Mail.
Kurzinfos
Quellen & Verifikation
Jeder Fakt auf dieser Seite ist durch eine primäre oder unabhängige Quelle belegt. Zuletzt verifiziert: 15. Mai 2026.
Fehler entdeckt? Melden
Profilinhalte
- primär · privacy-policytuta.com/privacy-policy
- primär · impressumtuta.com/imprint
- primär · dns-recordsbgp.he.net/AS210909AS210909 + 185.205.69.0/24 RIPE-registered to Tutao GmbH; tagline 'own RIPE-registered IP space'
- primär · blogtuta.com/blog/tutanota-not-a-honeypotFounder-ownership verbatim statement; tagline 'founder-owned'
- primär · impressumtuta.com/imprint
- primär · blogtuta.com/blog/tutanota-is-now-tutaRebrand announcement 2023-11-07
- primär · blogtuta.com/blog/10-million-users
- primär · othertuta.com/encryptionEncryption technical document, AES-256 / HMAC / Argon2 / TutaCrypt details
- primär · blogtuta.com/blog/post-quantum-cryptographyTutaCrypt launch 2024-03-11
- primär · dns-recordsbgp.he.net/AS210909AS210909 Tutao own /24 + /48
- primär · pricing-pagetuta.com/pricing
- primär · blogtuta.com/blog/announcement-new-prices2023-06-06 new pricing announcement
- primär · othertuta.com/businessBusiness-plan pricing
- primär · impressumtuta.com/imprintHRB 208014, VAT DE280903265, managing directors
- Register · otherwww.northdata.com/Tutao+GmbH,+Hannover/HRB+208014Share capital, registration date, BMBF grant amount EUR 1,528,635, state-aid bracket Oct 2024
- primär · blogtuta.com/blog/tutanota-not-a-honeypotFounder ownership statement verbatim
- primär · dns-recordsbgp.he.net/AS210909AS210909 RIPE record
- primär · othertuta.com/encryptionEncryption coverage details verbatim
- primär · blogtuta.com/blog/post-quantum-cryptographyTutaCrypt launch 2024-03-11
- primär · blogtuta.com/blog/celebrating-one-year-pq-launch50% migration mark 2025-03-11; calendar PQ; Wuppertal academic partner
- primär · blogtuta.com/blog/what-is-a-tech-stackCustom push notification service replacing Google FCM; own CAPTCHA
- primär · othertuta.com/open-sourceGPL-3.0 mention; OIN membership
- primär · blogtuta.com/blog/transparency-reportH2 2025 statistics, warrant canary, German court requirement
- primär · othergithub.com/tutao/tutanota7,580 stars, 619 forks, 938 releases, primary TypeScript
- primär · about-pagetuta.com/about100% renewable energy claim
- primär · othertuta.com/driveDrive closed-beta status
- primär · impressumtuta.com/imprint
- primär · blogtuta.com/blog/tutanota-not-a-honeypotFounder ownership statement verbatim
- primär · blogtuta.com/blog/data-privacy-germanyGerman jurisdiction statement verbatim
- primär · blogtuta.com/blog/transparency-reportH2 2025 statistics + warrant canary verbatim
- primär · blogtuta.com/blog/post-quantum-cryptographyTutaCrypt construction details
- primär · othertuta.com/encryptionEnd-to-end encryption coverage
- primär · privacy-policytuta.com/privacy-policySubprocessor enumeration; data residency claim verbatim
- primär · blogtuta.com/blog/ios-paymentApple in-app purchase since 2024-07-12
- primär · othergithub.com/tutao/tutanotaGPL-3.0 license; 7,580 stars at fetch time
- primär · termstuta.com/termsGerman law and Hanover place of jurisdiction
- primär · othertuta.com/businessOrder Processing Agreement mention
Souveränität (SHIELD)
- primär · privacy-policytuta.com/privacy-policyPayPal, card processors, credit institutions for SEPA
- primär · blogtuta.com/blog/ios-paymentApple in-app subscription 2024-07-12
- primär · dns-recordswww.ripe.netAWS Route 53 NS records on tuta.com and tutanota.com via dig NS / whois; INWX as registrar
- primär · dns-recordsbgp.he.net/AS210909BGP upstreams AS1299 Arelion (Sweden) and AS24679 kyberio (Germany)
- primär · impressumtuta.com/imprint
- Register · otherwww.northdata.com/Tutao+GmbH,+Hannover/HRB+208014
- primär · blogtuta.com/blog/tutanota-not-a-honeypotVerbatim ownership statement
- primär · impressumtuta.com/imprintManaging directors
- Register · otherwww.northdata.com/Tutao+GmbH,+Hannover/HRB+208014BMBF grant amount EUR 1,528,635, state-aid Oct 2024
- primär · blogtuta.com/blog/announcement-2023BMBF KMU-innovativ PQDrive grant May 2023
- primär · about-pagetuta.com/jobsHanover HQ and Munich office
- primär · privacy-policytuta.com/privacy-policyVerbatim Germany / ISO 27001 data centre claim
- primär · othertuta.com/secure-emailOwn-servers claim verbatim
- primär · blogtuta.com/blog/most-secure-email-serviceNo IP logging on login or send; IP stripping on outbound
- primär · dns-recordsbgp.he.net/AS210909AS210909 and prefix announcements; BGP upstream providers
- primär · dns-recordsbgp.he.net/net/185.205.69.0/24Hurricane Electric BGP toolkit deep link to 185.205.69.0/24: netname DE-TUTA-20201009, org Tutao GmbH (ORG-TG206-RIPE)
- primär · privacy-policytuta.com/privacy-policyData-centre operator certification claim
- primär · dns-recordsdnsviz.net/d/tutanota.de/dnssecDNSSEC chain (algorithm 13 ECDSAP256SHA256) and SPF -all reject on tutanota.de + tuta.com via dnsviz; A-record values mail.tutanota.de 185.205.69.211 / .213 / .214 and app.tuta.com 185.205.69.10 confirmed via dig
- primär · blogtuta.com/blog/tutanota-not-a-honeypotNo US subsidiary, German court orders only verbatim
- primär · blogtuta.com/blog/data-privacy-germanyGerman companies cannot share customer information with foreign law enforcement verbatim
- primär · privacy-policytuta.com/privacy-policySubprocessor enumeration includes AWS DNS, Apple, Google Play, PayPal, card processors
- primär · termstuta.com/terms
- primär · privacy-policytuta.com/privacy-policy
- primär · impressumtuta.com/imprint
- primär · security-pagetuta.com/security
- primär · blogtuta.com/blog/transparency-reportWarrant canary, transparency report cadence
- primär · othertuta.com/businessOrder Processing Agreement available on request -- no public DPA URL
- primär · privacy-policytuta.com/privacy-policyISO 27001 attribution is to the data-centre operators, not to Tutao GmbH as an entity; no Tutao corporate certifications publicly recorded
- primär · othergithub.com/tutao/tutanotaGPL-3.0 license, primary repo
- primär · otherraw.githubusercontent.com/tutao/tutanota/master/LICENSE.txtGPL-3.0 license verbatim
- primär · othertuta.com/open-sourceOpen Invention Network membership since 2017