Migration von Amazon SES zu Managed Deliverability — ohne die Kostendisziplin aufzugeben, die Sie ursprünglich zu AWS geführt hat
Amazon SES ist mit 0,10 $ pro 1.000 ausgehenden Mails die günstigste transaktionale E-Mail-Infrastruktur im öffentlichen Internet. Wir tun nicht so, als wäre das anders. Was SES nicht liefert, ist die gemanagte Deliverability-Praxis, die 2025-2026 vom Wunschmerkmal zur Grundvoraussetzung geworden ist — Gmails Postmaster Tools v2 hat im Oktober 2025 den binären Compliance-Status Pass/Fail eingeführt, Microsoft verschickt seit dem 5. Mai 2025 die permanente Ablehnung 550 5.7.15, und seit November 2025 hat Gmail die temporären Stundungen (421) durch endgültige Rejects (550) ersetzt. SES steht außerdem nicht auf der initialen Service-Liste des AWS European Sovereign Cloud, der am 15. Januar 2026 in Brandenburg in Betrieb ging — was jeden SES-Versender zurück in die CLOUD-Act-Diskussion bringt, die Schrems II vor fünf Jahren aufgemacht hat. Diese Seite erklärt aus Operator-Sicht, wann SES tatsächlich die richtige Antwort ist, wann nicht, und wie eine 60-Tage-Migration zu einer EU-souveränen Managed-Alternative konkret abläuft.
Der günstige Listenpreis verteilt sich auf fünf Abrechnungspositionen — und die Souveränitätsfrage, die AWS dem SES-Kunden noch nicht verkauft
Beginnen wir mit den nachprüfbaren Fakten. SES-Basisversand kostet im Mai 2026 in allen AWS-Regionen 0,10 $ pro 1.000 ausgehende Nachrichten. Kein monatlicher Mindestumsatz, keine Feature-Schranke für diesen Tarif, kein Aufschlag, wenn Sie Traffic nach Tokio statt Frankfurt ziehen. AWS hat im August 2025 die Tenants-Funktion aktiviert (Standard 10.000/Tag, auf Anfrage bis 300.000) und damit eine der sichtbaren operativen Lücken gegenüber dem benannten IP-Pool-Modell von SendGrid und Mailgun geschlossen. Neue Konten erhalten in den ersten 12 Monaten 3.000 kostenlose Message Charges pro Monat — das alte EC2-gebundene Free Tier mit 62.000/Monat lief am 15. Juli 2025 aus und wurde durch das Modell mit 200 $ AWS-Free-Tier-Guthaben über sechs Monate ersetzt. Bei einer Million Mails pro Monat auf Shared IPs ohne Add-ons landet die Rechnung bei etwa 107 $: 100 $ Versandgebühren plus rund 7 $ Datentransfer für 60-KB-Nachrichten. Das ist schwer zu unterbieten.
Genauso nachprüfbar ist, dass die Ökonomie der dedizierten IPs komplexer wird als die Schlagzeile suggeriert. Standard-Dedicated-IPs kosten 24,95 $ pro IP und Monat, unabhängig vom Volumen — vertretbar bei drei oder vier IPs zur Stream-Segmentierung, schmerzhaft bei fünfundzwanzig. Managed Dedicated IPs kosten 15 $ pro Konto und Monat plus gestaffelte Volumengebühr: 0,08 $ pro 1.000 Mails im Bereich 0-10 Mio., 0,04 $ für 10-50 Mio., 0,02 $ für 50-100 Mio. Diese Staffel kreuzt das fixe 24,95-$-Modell etwa bei 10 Mio. monatlich — darüber wird Managed günstiger. Bring-Your-Own-IP existiert mit 24,95 $ pro IP bei einem Minimum von 256 IPs, was 6.387,20 $ pro Monat ergibt, bevor eine einzige Nachricht versendet wird — ein realer Pfad nur für Telkos und bestehende IP-Halter. Virtual Deliverability Manager (VDM) addiert 0,07 $ pro 1.000 Mails auf den Basistarif und hebt die effektiven Versandkosten von 0,10 $ auf 0,17 $ pro 1.000 (ein Aufschlag von 70%); das erweiterte VDM Deliverability Dashboard kostet 1.250 $ pro Monat. Datentransfer wird mit 0,12 $/GB berechnet. Mail Manager Ingress Endpoints, Archive Add-ons, Trend-Micro-Scanning und SNS-Benachrichtigungen für Event-Tracking tragen jeweils eigene Gebühren pro Nachricht oder pro Endpoint.
Die Realität mit fünf Abrechnungskomponenten bedeutet, dass die operative SES-Rechnung bei 1 Mio. Mails monatlich mit Dedicated IPs und VDM eher bei 185 $ als bei 100 $ liegt — immer noch ausgezeichneter Wert, aber nicht der Listenpreis. Bei 100.000 Mails pro Monat liegt der Gesamtbetrag mit VDM bei rund 17,70 $ gegenüber 10,70 $ ohne. AWS verdient Anerkennung für die transparente Preisseite; trotzdem sehen wir regelmäßig SES-Rechnungen, deren Höhe das Team überrascht — weil nicht modelliert wurde, dass eine Mail an 100 Empfänger als 100 abrechenbare Nachrichten zählt, oder dass Anhänge bei 0,12 $/GB die eigentlichen Versandkosten bei dokumentenlastigen Workloads übersteigen können. Nichts davon ist versteckt — es ist dokumentiert — aber der kumulative Effekt überrascht Teams, die nur die 0,10-$/1K-Linie modelliert haben.
Dann ist da die Souveränitätsfrage, die sich 2026 substanziell verschoben hat. AWS hat den European Sovereign Cloud (ESC) am 15. Januar 2026 in Brandenburg in Betrieb genommen — eine separate Partition (aws-eusc, Region eusc-de-east-1), vier dedizierte deutsche GmbHs mit Sitz in Potsdam, ein operatives Personal ausschließlich aus EU-Bürgern, Geschäftsführer Stéphane Israël und Stefan Hoechbauer, Investitionsrahmen 7,8 Mrd. € bis 2040. Die initiale Service-Liste umfasst rund 70-90 Dienste in den Kategorien Compute (EC2, Lambda, EKS, ECS), Storage (S3, EBS), Datenbank (Aurora, DynamoDB, RDS), Networking (VPC), Security (KMS, ACM, Private CA) und einen Großteil des KI-Portfolios (Bedrock, SageMaker, Amazon Q). Amazon SES steht nicht auf dieser Liste. Wer seine Souveränitätsstory für E-Mail-Infrastruktur an ein zukünftiges souveränes AWS-Angebot geknüpft hatte, sieht den Start ohne SES. Eine zukünftige Roadmap-Aktualisierung könnte das ändern, doch im Mai 2026 läuft jede SES-Mail weiterhin durch die regulären AWS-Regionen — was die Diskussion um den CLOUD Act, die Schrems II 2020 aufgemacht hat und die Microsofts französische Tochter im Juni 2025 unter Eid vor dem französischen Senat bestätigt hat, in vollem Umfang aufrecht erhält.
Für den DACH-Markt verdichtet sich dieser Punkt zur Procurement-Filterfrage. Das deutsche BSI-C5-Register-Verfahren hatte die Eintragungsfrist auf den 6. März 2026 gesetzt; nicht eingetragene Organisationen sind seitdem im Verzug, mit Strafen bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes. §22 BDSG-neu, die DSK-Beschlüsse zu Drittlandtransfers, und die Schweizer Eidgenössische Datenschutzbeauftragte (EDÖB) unter dem revidierten DSG haben durchgehend signalisiert, dass Standardvertragsklauseln mit US-Anbietern nur unter strengen ergänzenden Garantien tragfähig sind — Garantien, die in der Praxis schwer zu auditieren sind. Mehrere unabhängige Analysen aus 2025-2026 argumentieren, dass selbst der ESC strukturell dem CLOUD Act unterliegt, weil die kontrollierende Eigentümerschaft amerikanisch bleibt. Genau das hat Microsofts französische Niederlassung im Juni 2025 unter Eid eingeräumt. Für Unternehmen wie N26, doctolib, Personio, Inxmail, CleverReach, Celonis oder die öffentliche Hand in Deutschland, Österreich und der Schweiz wird dieses Argument zum harten Filter im Beschaffungsprozess.
Die Teams, die in 2025-2026 SES verlassen, gehören grob in drei Gruppen. Die eine Gruppe sind Teams, die SES wegen der Kostenstory gewählt haben, aber nie die Deliverability-Praxis darum herum aufgebaut haben — und mit der verschärften Microsoft- und Gmail-Durchsetzung Inbox-Platzierung verloren haben. Die zweite sind EU- und DACH-Teams, deren Procurement- oder Datenschutz-Funktion das Souveränitätsrisiko nach der französischen Senatsanhörung und der Welle von Schrems-II-Analysen 2025 markiert hat. Die dritte — kleiner, aber wachsend — sind Teams, die nüchtern gerechnet haben, was eine interne Deliverability-Funktion kostet (Senior-Ingenieur bei 90-130 T€ inkl. Nebenkosten plus Werkzeuge) versus dem Bezug als Service. Für alle drei lautet die Frage nicht "Ist SES falsch?", sondern "Ist SES falsch für unsere spezifische Programmform?" Diese Frage arbeiten wir offen durch.
Amazon SES gegen Authorize Hosting auf den Dimensionen, die Rechnung und Deliverability-Decke wirklich bestimmen
| Dimension | Amazon SES | Authorize Hosting |
|---|---|---|
| Listenpreis | 0,10 $/1K Mails — niedrigster Markttarif | Gestaffelt in EUR ab 399 €/Monat |
| Gesamtkosten bei 1 Mio./Monat | ~107 $ Shared / ~185 $ mit Dedicated IPs + VDM | 859 € (Email API Pro, 20 Dedicated IPs inklusive) |
| Ökonomie Dedicated IPs | 24,95 $/IP Standard, oder 15 $ + 0,02-0,08 $/1K Managed; BYOIP-Minimum 256 IPs (6.387 $/Monat Sockel) | 5-30 Dedicated IPs nach Plantarif inklusive — kein Per-IP-Aufpreis |
| Deliverability-Operation | Self-Service: Warmup, Monitoring, Complaint-Rate, Listenhygiene — alles Ihr Aufwand; VDM (+0,07 $/1K) liefert Analytik, kein Personal | Benannter Operator am Stockholm-Desk — Warmup-Kurve, Complaint-Triage, Postmaster-Tools-Review |
| Blocklist-Remediation | Forum und AWS Support — Basic gratis, Developer 29 $/Monat, Business 100+ $/Monat für technische Antworten | Operator bearbeitet Spamhaus, SpamCop, Cloudmark, Microsoft-Delist-Requests direkt |
| DSGVO/CLOUD Act | SCC unter Schrems-II-Druck; AVV Art. 28 mit US-Tochter; nicht im ESC enthalten (Stand Mai 2026) | EU-inkorporiert (Schweden), Routing Stockholm + Frankfurt, keine US-Muttergesellschaft, AVV nach BDSG-neu |
| Kampagnen-/Marketing-UI | Keine — Paarung mit Customer.io, Mailchimp, Klaviyo oder Eigenentwicklung | Schlanker Kampagnen-Builder; saubere Paarung mit Customer.io / Brevo für reichhaltigere UI |
| Suppression-Management | Listen auf Konto- und Configuration-Set-Ebene; keine integrierte UI für Bounce-pro-Bounce-Triage | Suppression pro Stream + Dashboard-UI + API-Hooks ins CRM |
| Abrechnung pro Empfänger | Ja — 1 Mail an 100 Empfänger = 100 Gebühren | Abrechnung pro Nachricht im Monatstarif (keine Vervielfachung bei Sammelversand) |
| Preisplanbarkeit | Pay-as-you-go über 5 Komponenten — Rechnungen können springen | Fester Monatstarif; Überverbrauch wird vor Abrechnung besprochen, nie automatisch |
| Free Tier (2026) | 3.000 Mails/Monat über 12 Monate (neue Konten ab 15. Juli 2025 erhalten stattdessen 200 $ AWS-Guthaben) | Keine Free Tier — stattdessen Pilotgespräch |
Die Tabelle spiegelt SES-Preise gemäß AWS-Preisliste im Mai 2026 wider. Wo SES die Spalte gewinnt, gewinnt es sie klar — wir sagen das offen. Die Dimensionen, auf denen Receiver in 2025-2026 Versender am härtesten bestrafen (gemanagte Deliverability, Blocklist-Remediation, Verfügbarkeit eines benannten Operators), sind die, auf denen wir die Migration verdienen wollen.
Wie eine typische SES-Migration abläuft — Woche für Woche, mit SES als aktivem Parallelbetrieb
SES-Migrationen sehen anders aus als SendGrid- oder Mailgun-Migrationen, weil das Integrationsmuster anders ist. Die meisten SES-Kunden versenden via AWS-SDK aus einer EC2-Instanz oder Lambda-Funktion, mit IAM-Rollen statt SMTP-Credentials. Diese Kopplung zwischen Anwendungscode und AWS-spezifischer Authentifizierung muss während der Migration entkoppelt werden — darum geht es in Woche 1. Die einzige architektonische Zusage, die wir geben: SES bleibt während der gesamten Umstellung live. Ihr bestehender AWS-Vertrag läuft weiter, Traffic fließt weiter dorthin, und wir verschieben Volumen inkrementell statt eines harten Cutovers.
DNS-Einträge, Integrationscode, doppelte Credentials
Wir provisionieren Ihre Dedicated IPs in Stockholm und Frankfurt und erzeugen frische DKIM-Schlüssel pro Versanddomain. Sie tragen die neuen DKIM-Selektoren parallel zu den bestehenden SES-Selektoren ein (mehrere DKIM-Selektoren können dauerhaft koexistieren — die meisten Domains laufen mit 2-4 parallel). SPF wird um unseren include: neben dem vorhandenen amazonses.com-Include erweitert. DMARC bleibt bei der aktuellen Policy; wir ändern DMARC während der Migration nicht. Auf der Integrationsseite bekommt die Anwendung neue SMTP- oder REST-API-Credentials parallel zu den AWS-SDK-Calls — die meisten Teams nutzen Environment Variables zum Umschalten, was auch die Parallelbetriebsphase braucht.
14-Tage-Warmup mit Engaged-First-Segmentierung, während SES den Rest trägt
Das Warmup selbst ist bewusst konservativ. Tag 1 sendet 50 Nachrichten pro neuer Dedicated IP, Tag 3 erreicht 100, Tag 5 erreicht 200, mit Verdoppelung alle 2-3 Tage über die 14-Tage-Kurve bis zum stabilen Tagesvolumen. Der Warmup-Traffic ist Ihr engagiertestes Segment — Abonnenten, die in den letzten 30 Tagen geöffnet haben, transaktionale Bestätigungen an aktive Accounts, Passwort-Resets — niemals Promotion an inaktive Listen. Receiver, insbesondere Gmail über den binären Compliance-Status von Postmaster Tools v2 (in Kraft seit Oktober 2025), werten diesen Engaged-First-Ramp als das legitime Signal, das es ist. SES wickelt während dieses Zeitraums 80-90% Ihres Volumens ab, sodass Ihre Gesamtreputation nie davon abhängt, ob die neuen IPs am ersten Tag perfekt anlaufen.
10-30% Verschiebung, Echtzeit-Deliverability-Vergleich über beide Anbieter
Ein messbarer Anteil Ihres transaktionalen Traffics fließt durch uns — typisch 10-20% über ein Feature Flag in der Anwendung oder eine Environment-Variable auf dem SMTP-Transport. CloudWatch-Metriken auf der SES-Seite und unsere Dashboards laufen nebeneinander; Bounce-Raten, Complaint-Raten und Seed-Listen-Platzierung werden für dieselben Kampagnenwellen verglichen. Zuerst suchen wir nach Divergenz bei Microsoft Outlook — der Reject 550 5.7.15, den Microsoft am 5. Mai 2025 aktiv gemacht hat, bestraft Shared-Pool-Versender überproportional, und der Wechsel auf Dedicated IPs zeigt sich typisch als 5-15 Punkte Inbox-Verbesserung bei Microsoft innerhalb 7-10 Tagen. Sehen die Daten sauber aus, drehen wir bis Ende Woche 3 auf 30-50%.
100% auf Authorize Hosting; SES heruntergefahren auf Hot Standby
Bis Ende Woche 4 sind die neuen IPs bei stabilem Volumen und matchen oder übertreffen die SES-Baselines bei der Inbox-Platzierung. Wir verschieben 100% des Traffics und behalten SES als Hot Standby für weitere 2-4 Wochen. Die SES-Rechnung fällt auf die Minimalaktivität (oft null, weil SES keinen Mindestumsatz hat), aber das Konto bleibt aktiv. Das Feature Flag erlaubt jederzeit die Rückroutierung. Die meisten Teams schließen ihre SES-Configuration-Sets 6-8 Wochen nach dem Cutover formal, sobald mindestens ein kompletter Marketing-Zyklus und ein Spitzenvolumen-Ereignis störungsfrei auf der neuen Infrastruktur gelaufen sind.
Abbau der SES-spezifischen Integrationsklebe ohne benachbarte AWS-Dienste zu brechen
Die letzte Phase räumt den SES-spezifischen Code auf. SNS-Topics, die Bounce- und Complaint-Events an Ihre Anwendung gepusht haben, werden stillgelegt oder auf unseren Webhook-Endpoint umgelenkt; Configuration Sets werden archiviert statt gelöscht (für Audit-Zwecke); IAM-Rollen mit SES-Berechtigungen werden enger gefasst oder entfernt. Das machen wir sorgfältig, weil die meisten Teams, die SES laufen, parallel andere AWS-Dienste aus denselben IAM-Policies bedienen — wir haben zu viele "wir haben die SES-Policy entfernt und den S3-Zugriff gekillt"-Geschichten gesehen. Sauber gemacht ist diese Phase für die Anwendung unsichtbar; schlampig gemacht erscheint sie sechs Wochen später als verwirrender Lambda-Fehler. Wir arbeiten das mit Ihrem DevOps-Team durch, nicht im Alleingang.
Die SES-API-Oberfläche abgebildet auf das, was wir liefern — und wo die Produkte bewusst unterschiedlich sind
- REST-API + SMTP-RelayBeide Endpoints; SES-
SendEmail- undSendRawEmail-Calls mappen auf unsere REST-API; SMTP mit STARTTLS, TLS 1.3 und OAuth-2.0-Auth für Teams, die das AWS-SDK durch Standard-SMTP-Bibliotheken ersetzen - Bounce- und Complaint-WebhooksDas SNS-getriebene Event-Modell von SES wird auf direkte HTTPS-Webhooks für Bounces, Complaints, Deliveries, Opens, Clicks und Rendering-Fehler abgebildet — gleiche Payload-Struktur wie das SES-JSON
- DKIM, SPF, DMARC, BIMIVollständiger Authentifizierungs-Stack inkl. BIMI mit VMC- oder CMC-Zertifikat; DKIM-Schlüssel pro Domain; SPF-Makros unterstützt
- Configuration SetsDie Configuration-Set-Semantik von SES wird auf unsere Versandprofile abgebildet — Pool-Zuordnung pro Stream, Event-Destination-Overrides, dedicated Reputation-Tracking pro Stream
- Suppression-ListenKonto-Level- und Domain-Level-Suppression mit API-Zugriff; SES-Suppression-Exports werden in Woche 1 direkt importiert
- RFC 8058 One-Click-UnsubscribeHeader-Injektion auf der Relay-Schicht für jede Nicht-Transaktionsmail; erfüllt das Gmail/Yahoo/Microsoft-Mandat 2024-2026 ohne Anwendungsänderung
- IP-Pools pro StreamÄquivalent zur SES-Dedicated-IP-Pool-Funktion; transaktionale und Marketing-Streams bekommen eigene Pools ohne geteilte Reputation
- Tiefe AWS-Service-IntegrationSES integriert nativ mit IAM, CloudWatch, SNS, Lambda, S3 und dem restlichen AWS-Katalog. Wir integrieren über Webhooks, REST-APIs und SMTP — keine native IAM-Rollenübernahme. Wenn Ihre Versandlogik stark Lambda-basiert mit IAM-gescopten Berechtigungen ist, muss dieses Muster auf credential-basierte Authentifizierung portiert werden.
- PreismodellGestaffelter Monatstarif in EUR statt empfängerbasierter Abrechnung. Das SES-Muster „1 Mail an 100 Empfänger = 100 Gebühren" gilt auf unserer Seite nicht — Sammel- und Einzelversand zählen jeweils als Nachricht.
- Pay-as-you-go-ElastizitätSES hat keinen Mindestumsatz und skaliert auf null. Wir haben einen Monatstarif; wenn Ihr Volumen in einigen Monaten echt null ist, ist die SES-Elastizität ein Feature, das wir nicht matchen können. Die meisten Teams, die uns prüfen, haben stabiles Volumen, sodass das in der Praxis selten zählt, doch der Unterschied ist real bei genuin schwankenden Workloads.
- Self-Service-BetriebsmodellSES geht davon aus, dass Sie Warmup, Monitoring, Listenhygiene und Complaint-Management selbst übernehmen. Wir gehen vom Gegenteil aus — dass Sie das an einen benannten Operator abgeben wollen. Wenn Sie einen Senior-Deliverability-Engineer in-house haben und dieses Modell bevorzugen, ist SES bei den reinen Kosten ehrlich gesagt die bessere Wahl.
- Mail Manager / InboundMail Manager von SES (Ingress Endpoints, Archiv, Virenscan) ist für einen Versanddienst ungewöhnlich tief. Unser Inbound-Parsing ist begrenzter; für Teams mit vollem Mail-Manager-Bedarf paaren wir typisch mit einem dedizierten Inbound-Dienst oder Postfix-direkt.
- Account-OnboardingEngagement mit benanntem Operator statt Self-Service-Signup. Wir führen ein 30-60-minütiges Gespräch über die Form Ihres E-Mail-Programms, den Receiver-Mix Ihrer Empfängerbasis, die geografische Verteilung und Deliverability-Vorfälle in Ihrer Historie — dann sizing wir das Angebot und den Zeitplan. Keine Sandbox, kein Production-Request-Formular, kein „öffnen Sie einen Support-Case, um aus dem Test-Pool zu kommen".
Wie SES-Migrationen typisch auf die neue Infrastruktur dimensionieren — mit ehrlichem Kostenvergleich
SMTP Relay Starter · 399 €/Monat
5 Dedicated IPs inklusive (vs. SES 24,95 $ × 5 = 124,75 $ allein für die IPs), bis 200.000 Nachrichten/Monat, gemanagtes Warmup, benannter Operator, EU-Routing. Der Kostenabstand zur SES-Basis ist real: SES bei 200K Shared rund 20 $, dediziert 145 $, mit VDM 159 $. Unsere 399 € liegen bei diesem Volumen etwa beim 2,5-fachen — Sie kaufen die gemanagte Praxis, nicht die Bytes.
SMTP Relay ansehenEmail API Pro · 859 €/Monat
20 Dedicated IPs inklusive, bis 2 Mio. Nachrichten/Monat, Postmaster-Tools-Integration mit wöchentlichem Operator-Review, Complaint-Triage, dedizierter Deliverability-Engineer. SES bei 1 Mio. mit 5 Dedicated IPs und VDM landet bei 230-300 $; unsere 859 € sind etwa das 3-fache. Diese Differenz ist der gemanagte Deliverability-Service — und der Vergleich kippt zu unseren Gunsten, sobald SES-Versender einen Deliverability-Lead brauchen, um fallende Platzierung zu erklären, der inklusive Werkzeuge 90-130 T€/Jahr kostet.
Email API ansehenPowerMTA Enterprise · ab 2.799 €/Monat
PowerMTA-basierte Architektur für Teams über 10 Mio./Monat, 30+ Dedicated IPs, kundenspezifische Pool-Segmentierung, ausschließlich EU-Routing Stockholm + Frankfurt. Ehrliche Anmerkung: bei 10M+ auf SES mit Managed IPs liegt die AWS-Rechnung im Bereich 400-800 $. Unser Sockel von 2.799 € ist ein deutlicher Aufpreis. Wir verdienen ihn mit gemanagter Deliverability und EU-Jurisdiktion, nicht mit Kosten; AWS-zentrierte Teams mit Senior-Deliverability-Personal wählen bei diesem Volumen manchmal SES, und wir sagen das offen.
Gespräch eröffnenWas Teams vor dem Start der SES-Migration fragen
Ist SES tatsächlich günstiger als Sie, und um wieviel?
+
Ja, SES ist auf Byte-Basis in jeder Volumenstufe günstiger. Bei 100.000 Mails monatlich kostet SES-Basis 10 $ gegenüber unseren 399 €; bei 1 Mio. rund 107 $ gegenüber 859 €; bei 10 Mio. mit Managed IPs und VDM 400-800 $ gegenüber unserem Sockel von 2.799 €. Wir liegen in keinem Tarifsegment unter dem sehr hohen Volumen näher als 2-3-fach an SES, und das wird sich nicht ändern — Pay-as-you-go-Infrastruktur auf Hyperscaler-Skala gewinnt dieses Argument.
Was das Bild verändert, ist das, was gebündelt ist. SES bündelt kein gemanagtes Warmup, keine Complaint-Triage, keine Blocklist-Remediation, kein Operator-Review der Postmaster-Tools-Compliance-Status, kein wöchentliches Deliverability-Reporting. Um das auf SES-Seite auf vergleichbarem Niveau zu haben, bauen Sie es entweder intern (Senior-Deliverability-Engineer bei 90-130 T€ plus Werkzeuge) oder Sie pairen SES mit einer Deliverability-Beratung (typische Retainer 2.000-5.000 €/Monat). Sobald das in die SES-Linie einfließt, schrumpft der Abstand merklich, und in Volumina unter 10 Mio. kippt er meistens. Wir rechnen mit Interessenten offen — es gibt reale E-Mail-Programmformen, bei denen SES auf Gesamtkostenbasis gewinnt, und das sagen wir am Telefon.
Wie wirkt sich der AWS European Sovereign Cloud auf diese Rechnung aus?
+
Der ESC ging am 15. Januar 2026 in Brandenburg in GA mit rund 70-90 Diensten. SES war nicht dabei. AWS kann SES irgendwann in den ESC-Roadmap aufnehmen — ein Datum wurde nicht angekündigt — doch im Mai 2026 läuft jede SES-Mail weiterhin durch die regulären AWS-Regionen. Das bedeutet, der CLOUD Act greift auf Ihre Kundendaten zu, unabhängig davon, ob Ihr Konto in eu-west-1 (Irland) oder eu-central-1 (Frankfurt) liegt. Für die meisten Teams ist das kein Show-Stopper. Für regulierte Industrien (Finanzdienstleister, Gesundheitswesen, öffentliche Hand) oder Teams, deren Datenschutzbeauftragte die Frage nach Schrems II markiert hat, wird es zunehmend einer.
Das zugrundeliegende Problem ist strukturell, nicht technisch. Mehrere unabhängige Analysen aus 2025-2026 argumentieren, dass selbst der ESC strukturell dem CLOUD Act unterliegt, weil die kontrollierende Eigentümerschaft US-amerikanisch bleibt — Microsofts französische Tochter hat genau das im Juni 2025 unter Eid vor dem französischen Senat eingeräumt. Für Teams, deren Souveränitätsstory ein Procurement-Level-Audit überstehen muss — die BSI-C5-Registrierungsfrist war der 6. März 2026, Strafen bis 10 Mio. € oder 2% des weltweiten Jahresumsatzes —, sind wir eine saubere Antwort: EU-inkorporiert in Schweden, keine US-Muttergesellschaft, AVV nach §22 BDSG-neu und DSGVO Art. 28, Datenresidenz in Stockholm und Frankfurt.
Verlieren wir die Versender-Reputation, die wir auf SES aufgebaut haben?
+
Domain-Reputation wandert mit. IP-Reputation nicht. Ihre Versender-Reputation bei Gmail, Yahoo und Microsoft hängt an der Kombination aus versendender IP und From:-Domain — wenn Traffic durch unsere IPs fließt, aber dieselbe From:-Domain trägt, sehen Receiver: „diese Domain hat historisches Engagement, doch die IP ist neu". Das ist genau das Warmup-Signal, das Postmaster Tools v2 erwartet, und unsere 14-Tage-Warmup-Kurve ist darauf kalibriert.
Nicht übertragbar ist IP-Reputation, die Sie auf SES-Dedicated-IPs aufgebaut haben. Falls Sie auf SES-Dedicated-IPs liefen und die IPs via BYOIP in unsere Infrastruktur mitnehmen wollen, ist das technisch möglich, aber selten die richtige Antwort (das BYOIP-Minimum von 256 IPs macht die Rechnung schwierig, und Dedicated-IP-Reputation wandert nicht sauber zwischen Providern). Die meisten Teams akzeptieren das 14-Tage-Warmup und kommen mit besserer Platzierung heraus als auf SES-Dedicated, hauptsächlich weil die neuen IPs gegen Engaged-First-Traffic statt gegen gemischten Pool-Verlauf warmgemacht werden.
Was passiert mit unserem SNS-/Lambda-/CloudWatch-Event-Handling?
+
SES-Kunden nutzen typisch SNS-Topics, um Bounce-, Complaint- und Delivery-Events an Lambda-Funktionen, SQS-Queues oder Downstream-Anwendungen zu fanout. Unser Webhook-Modell ersetzt SNS durch direkte HTTPS-POSTs an den Endpoint Ihrer Wahl, mit Retry und Exponential Backoff serverseitig. Das Payload-Format ist nahe an, aber nicht identisch mit der SES-SNS-Nachrichtenstruktur — wir liefern das Schema-Mapping in Woche 1, sodass Ihre Lambda-Funktionen parallel zur Parallelbetriebsphase aktualisiert werden.
Für Teams, die den SNS-basierten Event-Fluss auch nach der Migration behalten wollen (manche haben Downstream-Konsumenten, die eng an dieses Muster gekoppelt sind), führt der Umweg über einen API-Gateway-Endpoint, der intern auf SNS fanoutet. Das funktioniert, fügt aber Latenz und eine zusätzliche Kostenposition hinzu. Die meisten Teams nutzen die Migration, um direkt auf Webhook zu vereinfachen.
Wie steht es mit DSGVO Art. 28, §22 BDSG-neu und Schrems II konkret?
+
SES erfordert einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit Amazon Web Services EMEA SARL als Auftragsverarbeiter und einer Daten-Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA) für die ergänzenden Garantien zu den Standardvertragsklauseln — der direkte Pfad nach Schrems II. Das Problem ist nicht der Vertrag selbst (AWS stellt einen vor); das Problem ist die TIA. §22 BDSG-neu und die Beschlüsse der Datenschutzkonferenz (DSK) verlangen den Nachweis, dass US-Überwachungsgesetze (FISA Section 702, CLOUD Act) die durch SCC gewährten Schutzrechte nicht aushebeln. Genau diese Garantie kann ein US-Konzern strukturell nicht geben — wie Microsofts französische Tochter im Juni 2025 unter Eid bestätigt hat.
Auf unserer Seite entfällt diese Übung: kein Drittlandtransfer, keine SCC-Folgenabschätzung, kein Schrems-II-Restrisiko. Der AVV mit uns wird zwischen zwei EU-Rechtssubjekten geschlossen (Sie und Authorize Hosting AB, Stockholm). Das vereinfacht die Datenschutzdokumentation für BfDI, Landesdatenschutzbeauftragte, EDÖB (Schweiz) und österreichische DSB erheblich — und ist der harte Filter, durch den große DACH-Käufer aus Healthcare, FinServ und öffentlicher Hand in 2025-2026 zunehmend gehen.
Wir haben andere AWS-Workloads im selben Konto. Bricht die SES-Migration etwas?
+
Nein, wenn die SES-spezifische Klebe sorgfältig zurückgebaut wird. Die meisten Teams, die SES laufen, betreiben parallel S3, Lambda, RDS oder andere AWS-Dienste aus IAM-Policies, die möglicherweise SES-gescopte Berechtigungen enthalten. Wir haben Migrationen gesehen, bei denen ein Junior-Engineer „die SES-IAM-Policy aufgeräumt" hat, indem zu viel gelöscht wurde — und einen unverwandten Dienst für zwei Tage gebrochen hat. Unsere Phase 5-8 ist genau darauf ausgelegt, dieses Muster zu vermeiden.
Die Migration selbst berührt nur die anwendungsseitige E-Mail-Integration, die DNS-Einträge und die SES-Configuration-Sets in AWS. Nichts in Ihrer S3-, EC2-, RDS-, Lambda- oder VPC-Schicht ändert sich. Das AWS-Konto bleibt offen, der SES-Dienst bleibt aktiviert (es kostet nichts, ihn bei null Traffic aktiviert zu lassen), und die Migration ist vollständig reversibel bis zum Zeitpunkt, an dem Configuration Sets gelöscht und API-Keys widerrufen werden.
Eröffnen Sie das Migrationsgespräch
Erzählen Sie uns von Ihrem aktuellen SES-Setup: Monatsvolumen, Anzahl Dedicated IPs, Mail-Manager-Nutzung, AWS-Region(en), VDM-Status, und was konkret die Evaluation einer Alternative ausgelöst hat — Receiver-Durchsetzung, Souveränität nach dem ESC-Start, Deliverability-Vorfälle oder eine Kombination. Wir kommen zurück mit einem dimensionierten Angebot, einem Migrationszeitplan und der technischen Q&A für Ihr DevOps-Team.