E-Mail-Verschlüsselung Pflicht – Wann die DSGVO Verschlüsselung verlangt

Inhalt in Kürze

• Die DSGVO schreibt keine bestimmte Verschlüsselungsmethode vor, aber Art. 32 verlangt “geeignete technische Maßnahmen” zum Schutz personenbezogener Daten – und E-Mail-Verschlüsselung gehört dazu.
• Transportverschlüsselung (TLS) ist Pflicht. Die Datenschutzkonferenz (DSK) stuft TLS als obligatorische Mindestmaßnahme ein – für jede E-Mail mit personenbezogenen Daten.
• Bei sensiblen Daten reicht TLS nicht aus. Gesundheitsdaten, Finanzdaten oder Daten nach Art. 9 DSGVO erfordern Ende-zu-Ende-Verschlüsselung.
• Das OLG Schleswig hat 2024 klargestellt: Auch beim Rechnungsversand an Privatpersonen kann TLS allein unzureichend sein.

---

“Unsere E-Mails sind verschlüsselt.” Diesen Satz hören wir in Erstgesprächen regelmäßig. Auf Nachfrage stellt sich heraus: Der E-Mail-Provider nutzt TLS. Das war’s.

Das Problem: TLS allein erfüllt nicht in jedem Fall die Anforderungen der DSGVO. Je nach Art der übermittelten Daten kann eine reine Transportverschlüsselung zu wenig sein. Und seit dem Urteil des OLG Schleswig-Holstein (Dezember 2024) ist die Rechtslage deutlicher als je zuvor.

Dieser Artikel zeigt Ihnen, wann welche Verschlüsselung Pflicht ist, was die DSK empfiehlt und wie Sie Ihre E-Mail-Infrastruktur DSGVO-konform aufstellen.

Was fordert die DSGVO bei E-Mail-Verschlüsselung?

Art. 32 DSGVO verpflichtet Verantwortliche, “geeignete technische und organisatorische Maßnahmen” zu treffen. Verschlüsselung wird in Absatz 1 ausdrücklich als Beispiel genannt.

Die DSGVO nennt aber keine konkreten Verfahren. Stattdessen gilt ein risikobasierter Ansatz: Die Maßnahme muss dem Schutzbedarf der Daten angemessen sein. Je sensibler die Daten, desto stärker muss die Verschlüsselung sein.

Konkret bedeutet das:

1. Normales Risiko (z. B. Terminbestätigung mit Name und Datum): Transportverschlüsselung (TLS) ist ausreichend.
2. Hohes Risiko (z. B. Gesundheitsdaten, Lohnabrechnungen, Mandantenkorrespondenz): Ende-zu-Ende-Verschlüsselung ist erforderlich.

Die DSK-Orientierungshilfe zur E-Mail-Verschlüsselung macht diese Abstufung seit 2021 verbindlich. Verwenden Sie dabei nur Algorithmen, die das BSI in der Technischen Richtlinie TR-02102-2 empfiehlt – aktuell mindestens TLS 1.2, besser TLS 1.3.

TLS vs. Ende-zu-Ende vs. keine Verschlüsselung

Die Unterschiede sind vielen Unternehmen nicht klar. Diese Tabelle zeigt, was die drei Varianten leisten – und wo die Grenzen liegen.

Kriterium	Keine Verschlüsselung	Transportverschlüsselung (TLS)	Ende-zu-Ende (S/MIME, PGP)
Schutz auf dem Transportweg	Nein – E-Mail im Klartext lesbar	Ja – Übertragung zwischen Servern verschlüsselt	Ja – durchgehend verschlüsselt
Schutz auf dem Server	Nein	Nein – E-Mail liegt unverschlüsselt auf dem Server	Ja – nur Sender und Empfänger können lesen
DSGVO-konform bei normalem Risiko	Nein	Ja (DSK-Mindeststandard)	Ja
DSGVO-konform bei hohem Risiko	Nein	Nein – reicht nicht aus	Ja
Umsetzungsaufwand	Keiner	Gering – meist schon aktiviert	Mittel bis hoch – Zertifikate nötig
Empfänger braucht	Nichts	Nichts (automatisch)	Eigenes Zertifikat oder Schlüssel

Was sagt die DSK zur E-Mail-Verschlüsselung?

Die Datenschutzkonferenz (DSK) hat 2021 eine Orientierungshilfe veröffentlicht, die 2022 aktualisiert wurde. Die wichtigsten Punkte:

Für Verantwortliche (also Sie als Unternehmen):

• Transportverschlüsselung ist bei jeder E-Mail mit personenbezogenen Daten obligatorisch.
• Bei hohem Risiko für die Rechte und Freiheiten betroffener Personen müssen Sie zusätzlich Ende-zu-Ende-Verschlüsselung anbieten.
• Die Verschlüsselung muss dem Stand der Technik entsprechen – veraltete Verfahren (SSL 3.0, TLS 1.0/1.1) sind nicht ausreichend.

Für empfangende Stellen:

• Der empfangende Server muss die Verschlüsselung ebenfalls unterstützen. Ist das nicht der Fall, dürfen sensible Daten nicht per E-Mail versandt werden.

OLG Schleswig: TLS reicht beim Rechnungsversand nicht immer

Das OLG Schleswig-Holstein hat im Dezember 2024 entschieden: Unternehmen, die Rechnungen per E-Mail an Privatpersonen senden, können sich nicht pauschal auf TLS berufen. Das Gericht bewertete den Rechnungsversand mit Bankdaten als Vorgang mit erhöhtem Risiko.

Das Urteil hat Signalwirkung. Es zeigt: Gerichte legen die Anforderungen aus Art. 32 DSGVO strenger aus als viele Unternehmen erwarten. Prüfen Sie deshalb genau, welche Daten in Ihren E-Mails stecken – nicht nur im Text, sondern auch in Anhängen.

Checkliste: E-Mail-Verschlüsselung DSGVO-konform umsetzen

Diese Checkliste hilft Ihnen, den aktuellen Stand Ihrer E-Mail-Sicherheit zu bewerten und Lücken zu schließen.

Transportverschlüsselung (Pflicht für alle)

• TLS 1.2 oder höher auf dem Mailserver aktiviert
• Veraltete Protokolle deaktiviert (SSL 3.0, TLS 1.0, TLS 1.1)
• STARTTLS oder SMTPS für ausgehende E-Mails konfiguriert
• Zertifikat gültig und aktuell – kein selbstsigniertes Zertifikat im Produktivbetrieb
• SPF, DKIM und DMARC eingerichtet (schützt zusätzlich vor Spoofing)

Ende-zu-Ende-Verschlüsselung (bei hohem Risiko)

• S/MIME oder PGP für Abteilungen mit sensiblen Daten eingerichtet (HR, Buchhaltung, Rechtsabteilung)
• Zertifikatsmanagement etabliert – Ablaufdaten überwachen
• Alternative Übermittlungswege definiert, wenn Empfänger keine E2E-Verschlüsselung unterstützt (z. B. verschlüsseltes Kundenportal, passwortgeschützter Download-Link)

Organisation und Dokumentation

• E-Mail-Richtlinie erstellt – welche Daten dürfen per E-Mail, welche nicht
• Mitarbeitende geschult – Umgang mit verschlüsselten E-Mails
• Datenschutzkonzept dokumentiert – Verschlüsselungsmaßnahmen im Verarbeitungsverzeichnis aufgeführt

Welche Verschlüsselung braucht Ihr Unternehmen?

Die Antwort hängt von den Daten ab, die Sie per E-Mail versenden. Eine Risikoeinschätzung liefert die Grundlage.

TLS reicht aus bei:

• Terminbestätigungen ohne sensible Details
• Allgemeine Geschäftskorrespondenz
• Newsletter und Marketing-E-Mails

Ende-zu-Ende ist erforderlich bei:

• Gesundheitsdaten (Arztpraxen, Pflegedienste, Krankenkassen)
• Lohn- und Gehaltsabrechnungen
• Mandantenkorrespondenz (Anwälte, Steuerberater)
• Rechnungen mit Bankdaten an Privatpersonen (seit OLG Schleswig)
• Daten nach Art. 9 DSGVO (Religionszugehörigkeit, politische Meinung, Gewerkschaftszugehörigkeit)

Wenn Sie unsicher sind, welche Kategorie auf Ihr Unternehmen zutrifft: Starten Sie mit einem kostenlosen Datenschutz-Check. Er zeigt Ihnen in wenigen Minuten, wo Ihre größten Risiken liegen.

Pragmatische Lösungen für KMU

Nicht jedes Unternehmen kann sofort S/MIME oder PGP für alle Mitarbeitenden einführen. Diese Zwischenlösungen helfen:

1. Gateway-Verschlüsselung: Ein E-Mail-Gateway verschlüsselt automatisch ausgehende E-Mails – ohne dass einzelne Mitarbeitende Zertifikate verwalten müssen.
2. Verschlüsselte PDF-Anhänge: Sensible Dokumente als passwortgeschützte PDF versenden. Das Passwort übermitteln Sie über einen separaten Kanal (Telefon, SMS).
3. Kundenportal statt E-Mail: Statt Rechnungen oder Lohnabrechnungen per E-Mail zu senden, stellen Sie sie in einem geschützten Portal bereit.
4. Microsoft 365 DSGVO-konform nutzen: Für interne Kommunikation mit sensiblen Daten kann ein Messenger mit Verschlüsselung die sicherere Alternative sein.

E-Mail-Verschlüsselung für Hamburger Unternehmen

Das OLG Schleswig — zuständig auch für viele Hamburger Verfahren — hat mit seinem Urteil zur E-Mail-Verschlüsselung ein Signal gesetzt. Gerade Hamburger Kanzleien, Steuerberater und Finanzdienstleister versenden täglich Rechnungen und Mandantendaten per E-Mail. Hier reicht TLS allein oft nicht mehr. Unsere IT-Sicherheitsberatung in Hamburg prüft Ihre E-Mail-Infrastruktur und findet eine pragmatische Verschlüsselungslösung.

Häufige Fragen (FAQ)

Ist E-Mail-Verschlüsselung nach der DSGVO Pflicht?

Die DSGVO schreibt keine bestimmte Verschlüsselungsmethode vor, nennt Verschlüsselung aber explizit als Schutzmaßnahme in Art. 32. Ob TLS oder Ende-zu-Ende erforderlich ist, hängt von der Sensibilität der übertragenen Daten ab.

Reicht TLS-Verschlüsselung für E-Mails aus?

Für normale Geschäftskorrespondenz ist TLS (Transportverschlüsselung) in der Regel ausreichend. Bei besonders sensiblen Daten wie Gesundheitsdaten oder Bankverbindungen empfehlen Aufsichtsbehörden und Gerichte Ende-zu-Ende-Verschlüsselung.

Was ist der Unterschied zwischen TLS und Ende-zu-Ende-Verschlüsselung?

TLS verschlüsselt den Transportweg zwischen Mailservern – die E-Mail liegt aber unverschlüsselt auf den Servern. Ende-zu-Ende-Verschlüsselung schützt den Inhalt vom Absender bis zum Empfänger, sodass auch der E-Mail-Provider nicht mitlesen kann.

Was sagt die Datenschutzkonferenz (DSK) zur E-Mail-Verschlüsselung?

Die DSK fordert mindestens obligatorische Transportverschlüsselung (TLS 1.2 oder höher). Bei Daten mit hohem Schutzbedarf empfiehlt sie zusätzlich Ende-zu-Ende-Verschlüsselung als angemessene Maßnahme nach Art. 32 DSGVO.

Welche E-Mail-Verschlüsselung braucht ein kleines Unternehmen?

Als Mindeststandard sollte TLS 1.2 oder höher auf Ihrem Mailserver aktiv sein. Für den Versand sensibler Daten empfiehlt sich eine Gateway-Lösung oder ein verschlüsselter PDF-Versand als pragmatische Alternative zu S/MIME oder PGP.