Entscheidungen zum Datenschutzrecht  ·  23. April 2026

E-Mail-Verschlüsselung: notwendige technische Maßnahme - TLS ausreichend?

 

Zwei Urteile, ein Thema, zwei Maßstäbe: Wann E-Mail-Verschlüsselung nach der DSGVO wirklich ausreicht


Reicht Transportverschlüsselung beim Versand personenbezogener Daten per E-Mail noch aus – oder verlangt Art. 32 DSGVO längst mehr?

 

Zwei deutsche Entscheidungen geben darauf unterschiedliche Antworten. Bei näherem Hinsehen zeigen sie aber keinen echten Widerspruch, sondern zwei verschiedene Blickwinkel: einmal Aufsichtsrecht, einmal zivilrechtliche Haftung. Für Verantwortliche ist genau diese Unterscheidung entscheidend.

 

Zwei Entscheidungen, zwei Blickrichtungen

Das Schleswig-Holsteinische Oberlandesgericht hatte mit Urteil vom 18.12.2024, 12 U 9/24, über einen Fall zu entscheiden, in dem eine per E-Mail versandte Rechnung manipuliert worden war und die Kundin deshalb auf ein fremdes Konto zahlte.

Das Gericht stellte in diesem Zusammenhang hohe Anforderungen an die Sicherheit des E-Mail-Versands und hielt eine bloße Transportverschlüsselung bei erheblichem finanziellem Risiko für nicht ausreichend. End-to-End-Verschlüsselung sei in einem solchen Fall „das Mittel der Wahl“.

Das Verwaltungsgericht Düsseldorf hatte mit Urteil vom 02.04.2026, 29 K 7351/23, einen anderen Sachverhalt zu beurteilen. Dort ging es um die Weiterleitung personenbezogener Daten per E-Mail an eine Haftpflichtversicherung nach einem Verkehrsunfall. Der Betroffene verlangte ein Einschreiten der Datenschutzaufsicht bis hin zur Vorgabe einer Ende-zu-Ende-Verschlüsselung. Das Gericht hielt dies im konkreten Fall nicht für erforderlich und sah Transportverschlüsselung bei dem angenommenen normalen Risiko als ausreichend an.

 

Kein echter Widerspruch

Wer beide Urteile nur auf die Frage reduziert, ob Transportverschlüsselung „reicht“ oder „nicht reicht“, greift zu kurz. Die Gerichte haben nicht dieselbe Rechtsfrage beantwortet.

Das OLG Schleswig-Holstein entschied in einem zivilrechtlichen Haftungsprozess.

Im Mittelpunkt stand die Frage, ob unzureichende Sicherheitsmaßnahmen beim Versand einer Rechnungs-E-Mail einen Schadensersatzanspruch nach Art. 82 DSGVO auslösen können.

Das VG Düsseldorf prüfte hingegen eine Beschwerdeentscheidung der Aufsichtsbehörde nach Art. 57 DSGVO, Art. 58 DSGVO und Art. 77 DSGVO. Es ging daher vor allem darum, ob die Behörde den Sachverhalt ausreichend untersucht und ihr Ermessen rechtmäßig ausgeübt hatte.

 

Schon dieser unterschiedliche Prüfungsrahmen erklärt, warum beide Entscheidungen zu verschieden klingenden Ergebnissen gelangen.

 

Das OLG Schleswig-Holstein: strenger Maßstab bei Rechnungs-E-Mails

Die Stärke der OLG-Entscheidung liegt darin, dass sie Art. 32 DSGVO nicht nur auf die Vertraulichkeit im engen Sinn beschränkt. Das Gericht schaut nicht allein darauf, ob besonders sensible Daten betroffen waren, sondern auf das reale Risiko für die betroffene Person.

Bei einer Rechnungs-E-Mail besteht dieses Risiko nicht nur darin, dass Dritte Inhalte mitlesen könnten. Hinzu kommt die Gefahr der Manipulation – und damit eines unmittelbaren Vermögensschadens. Genau daraus leitet das OLG einen erhöhten Schutzbedarf ab.

Dogmatisch ist das gut vertretbar. Art. 32 DSGVO verlangt ein dem Risiko angemessenes Schutzniveau. Dieses Risiko bemisst sich nicht nur nach der Sensibilität des Datums, sondern auch nach der Eintrittswahrscheinlichkeit und der Schwere möglicher Folgen für die Rechte und Freiheiten natürlicher Personen. Wenn eine manipulierte E-Mail zu einem fünfstelligen Vermögensschaden führen kann, liegt es nahe, auch das Sicherheitsniveau entsprechend höher anzusetzen.

  

Wo das OLG-Urteil kritisch zu sehen ist

So überzeugend der risikobasierte Ansatz ist, so diskussionswürdig bleibt die technische Schärfe der Begründung. Denn nicht jede Manipulation einer Rechnungs-E-Mail wäre durch End-to-End-Verschlüsselung verhindert worden.

 

Erfolgt der Angriff bereits im Postfach des Absenders, auf einem kompromittierten Endgerät oder vor dem eigentlichen Versand, hilft auch eine starke Verschlüsselung nicht zwingend weiter. Die Entscheidung überzeugt daher eher als haftungsrechtliches Warnsignal denn als technisch abschließende Antwort auf alle denkbaren Angriffsszenarien.

Außerdem darf das Urteil nicht vorschnell zu der Aussage verkürzt werden, End-to-End-Verschlüsselung sei nun generell für jede geschäftliche E-Mail verpflichtend. So weit trägt die Entscheidung nicht. Sie betrifft einen sehr spezifischen Kontext: Rechnungsanhang, private Kundin, erheblicher Vermögensschaden und manipulationsanfällige Kommunikation.

 

Das VG Düsseldorf: zurückhaltender und einzelfallbezogen

Das VG Düsseldorf gewichtet den konkreten Dateninhalt und das konkrete Risiko deutlich enger. Im dortigen Fall ging es im Kern um die Übermittlung des Namens des Betroffenen im Zusammenhang mit der Schadensabwicklung eines Verkehrsunfalls.

Das Gericht stellte darauf ab, dass diese Daten nicht sensibel seien, der Name des Klägers ohnehin öffentlich zugänglich sei und sich aus den übermittelten Informationen kein Bezug zur Privatanschrift herstellen lasse. Deshalb nahm es kein hohes Risiko an und hielt Transportverschlüsselung im konkreten Fall für ausreichend.

Diese Sichtweise ist im Ergebnis nachvollziehbar, wenn man den Einzelfall ernst nimmt. Art. 32 DSGVO verlangt gerade keine schematische, sondern eine risikobasierte Betrachtung. Nicht jede E-Mail mit personenbezogenen Daten braucht dasselbe Schutzniveau.

 

Schwächen der Düsseldorfer Entscheidung

Kritisch ist allerdings, dass das VG Düsseldorf die technische Seite der Sicherheitsmaßnahmen eher großzügig behandelt. Das Gericht meint, die Aufsichtsbehörde habe mangels gegenteiliger Anhaltspunkte davon ausgehen dürfen, dass die beteiligten E-Mail-Anbieter eine Transportverschlüsselung einsetzen.

Gerade mit Blick auf die Rechenschaftspflicht aus Art. 5 DSGVO und die Organisationspflichten aus Art. 24 DSGVO ist das nicht ganz unproblematisch. Verantwortliche müssen ihre technischen und organisatorischen Maßnahmen darlegen können. Ein bloßer Verweis auf das allgemein Übliche sollte dafür eigentlich nicht genügen.

Auch die Bewertung der besonderen Gefährdungslage des Klägers bleibt eher formal. Zwar weist das Gericht darauf hin, dass eine melderechtliche Auskunftssperre den Namen nicht geheim macht. Dennoch hätte man den Schutzkontext des Falles stärker würdigen können.

 

Was Verantwortliche aus beiden Urteilen mitnehmen sollten

Für Verantwortliche liegt die praktische Lehre nicht darin, eines der beiden Urteile für „richtig“ und das andere für „falsch“ zu erklären. Entscheidend ist vielmehr: Der Maßstab des Art. 32 DSGVO wird zunehmend funktionsbezogen gelesen.

Es kommt also nicht nur darauf an, welche Daten in einer E-Mail stehen, sondern auch darauf, wofür die Kommunikation genutzt wird, welche Missbrauchsszenarien realistisch sind und welche Schäden daraus entstehen können.

Wer Rechnungen, Kontodaten, Zahlungsanweisungen oder sonstige manipulationsanfällige Inhalte per E-Mail versendet, sollte sich daher nicht mehr darauf verlassen, dass Transportverschlüsselung im Streitfall immer als ausreichend angesehen wird. Spätestens das OLG Schleswig-Holstein zeigt, dass Gerichte bei hohem Schadenspotenzial strengere Anforderungen ansetzen können.

Umgekehrt zeigt das VG Düsseldorf, dass es weiterhin keine generelle Pflicht zur Ende-zu-Ende-Verschlüsselung für jede E-Mail mit personenbezogenen Daten gibt. Der Maßstab bleibt risikobasiert. Gerade deshalb steigt aber die Pflicht, die eigene Risikoanalyse sauber zu dokumentieren und die getroffenen Maßnahmen belastbar zu begründen.

 

Praktische Konsequenzen

Verantwortliche sollten ihre E-Mail-Kommunikation nicht nur unter dem Aspekt der Vertraulichkeit, sondern auch im Hinblick auf Integrität, Authentizität und Manipulationsanfälligkeit überprüfen.

Besonders relevant ist das bei Rechnungen, Bankverbindungen, Vertragsunterlagen, Gesundheitsdaten, arbeitsrechtlichen Dokumenten und sonstigen Nachrichten mit erhöhtem Schadenspotenzial.

Wo hohe finanzielle oder persönliche Risiken bestehen, sollten zusätzliche Sicherungen vorgesehen werden. Dazu gehören etwa gesicherte Portallösungen, Ende-zu-Ende-Verschlüsselung, getrennte Übermittlung sensibler Zahlungsinformationen, verifizierte Änderungsprozesse für Bankdaten sowie klare Plausibilitäts- und Rückrufprozesse bei Änderungen von Kontoverbindungen.

 

Fazit

Die beiden Entscheidungen zeigen keine unauflösbare Divergenz, sondern eine Verschiebung der Diskussion. Das VG Düsseldorf steht für den klassischen, zurückhaltenden und einzelfallbezogenen Aufsichtsmaßstab.

 

Das OLG Schleswig-Holstein markiert demgegenüber einen strengeren haftungsrechtlichen Zugriff auf Art. 32 DSGVO.

 

Für die Praxis ist daher nicht die Formel „Transportverschlüsselung reicht“ oder „Transportverschlüsselung reicht nicht“ entscheidend, sondern die viel wichtigere Frage:

 

Welches konkrete Risiko soll durch die Maßnahme beherrscht werden?

Genau dort wird sich künftig entscheiden, ob E-Mail-Sicherheit datenschutzrechtlich als ausreichend gilt – und ob aus einem Sicherheitsvorfall nur ein unangenehmer Einzelfall oder ein haftungsträchtiger DSGVO-Verstoß wird.

 


Art. 5 DSGVO; Art. 6 DSGVO; Art. 24 DSGVO; Art. 32 DSGVO; Art. 35 DSGVO; Art. 57 DSGVO; Art. 58 DSGVO; Art. 77 DSGVO; Art. 82 DSGVO

 

Tags: E-Mail-Verschlüsselung; Transportverschlüsselung; Ende-zu-Ende-Verschlüsselung; Art. 32 DSGVO; Art. 82 DSGVO; Rechnungsmanipulation; Aufsichtsbehörde; Beschwerd

Kommentar schreiben

Kommentare: 0
1 Gilt für Lieferungen in folgendes Land: Österreich. Lieferzeiten für andere Länder und Informationen zur Berechnung des Liefertermins siehe hier: Liefer- und Zahlungsbedingungen
2 inkl. MwSt.
Impressum | AGB | Widerrufsbelehrung und -formular | Datenschutz | Cookie-Richtlinie | Sitemap | Vertrag widerrufen
(C) by dataprotect schweiger.legal Rechtsanwälte OG | Dr. Thomas Schweiger, LL.M. (Duke)
Anmelden Abmelden | Bearbeiten