Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen
Externe Links sind mit dem Symbol Externer Link Symbol gekennzeichnet. Datenschutzinfo

E-Mail Sicherheit: Nachrichten vor Gefahren schützen (Urteil)

Deutsche Version (Original)
English Español Italiano Français Nederlands Dansk Svenska Polski Українська
Veröffentlicht am 18. März 2025 von Dr. DSGVO · Zuletzt aktualisiert am 17. Januar 2026 · Lesezeit: 8 Minuten
4
Dr. DSGVO Newsletter erkannt: Erweiterte Funktionen verfügbar
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
Standardansicht: Dr. DSGVO Newsletter nicht erkannt. Erweiterte Funktionen nur für Abonnenten:
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
📄 Artikel als PDF
📄 Artikel als PDF (nur für Newsletter-Abonnenten)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Kategorien: Datenschutz

Die Digitalisierung schreitet voran, und mit ihr die Bedeutung sicherer Kommunikation. Ein aktuelles Gerichtsurteil macht deutlich, wie wichtig angemessene Sicherheitsvorkehrungen beim Versand von E-Mails sind – insbesondere wenn es um finanzielle Transaktionen geht. Was bedeutet das für Unternehmen? Und welche Verschlüsselungsmethoden sind wirklich sicher?

Gerichtsurteil: Unzureichende Sicherheit kann teuer werden

Ein Unternehmen wurde kürzlich vor Gericht verklagt, weil eine versendete Rechnung durch einen Hackerangriff manipuliert wurde. Der Kunde weigerte sich, die gefälschte Rechnung zu bezahlen, und das Gericht gab ihm Recht! Der Grund: Das Unternehmen hatte beim Versand der Rechnung unzureichende Sicherheitsmaßnahmen ergriffen.

Das Urteil des Schleswig-Holsteinischen OLG vom 18.12.2024 (Az. 12 U 9/24)  stellt klar: Unternehmen haften nach der Datenschutz-Grundverordnung (DSGVO), wenn sie sensible Daten nicht ausreichend schützen. Die bloße Verwendung von Transportverschlüsselung reicht dabei nicht aus, insbesondere wenn es um hohe finanzielle Risiken geht. Die Revision zum Urteil wurde zugelassen.

Ein anderes Gericht hat Gegenteiliges entschieden, zumindest für Behörden: Das OVG Münster
hat am 20.02.2025 beschlossen (Az. 16 B 288/23), dass Behörden nicht verpflichtet sind, E-Mails mit Ende-zu-Ende-Verschlüsselung zu versenden.

Die Gerichtsentscheidungen haben folgende Auswirkungen auf den sicheren E-Mail-Verkehr:

Inhalt des Diagramms: Dr. DSGVO. Generierung des Diagramms mit Hilfe von KI.

Die Bedeutung von Verschlüsselung für sichere E-Mails

Die Grundlage für sichere E-Mails bildet die Verschlüsselung. Diese Technologie dient dazu, sensible Informationen während der Übertragung zu schützen und sie vor unbefugtem Zugriff zu bewahren.

Stellen Sie sich vor, Ihre E-Mail ist wie ein Brief, der durch verschiedene Hände wechselt, bevor er seinen Empfänger erreicht. Ohne Verschlüsselung wäre der Inhalt des Briefs für jeden zugänglich, der ihn in den Händen hält. Die Verschlüsselung hingegen sorgt dafür, dass der Inhalt Ihres E-Mails nur vom Absender und dem Empfänger gelesen werden kann.

E-Mails können im Internet mitgelesen werden, daher schützt Ende-zu-Ende-Verschlüsselung sensible Daten. Hybride Verschlüsselungsmethoden kombinieren Verfahren für sichere Kommunikation. Digitale Signaturen garantieren die Integrität von E-Mails.

Es gibt zwei Hauptarten von Verschlüsselung: Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung. E-Mails werden heutzutage üblicherweise beim Transport verschlüsselt. Aber sie werden nicht Ende-zu-Ende verschlüsselt.

Transportverschlüsselung schützt Ihre E-Mails während des Transports zwischen Ihrem E-Mail-Programm und dem Server Ihres Anbieters. Viele E-Mail-Anbieter unterstützen diese Art der Verschlüsselung, um Ihre Daten bereits auf diesem Weg zu sichern.

Ende-zu-Ende-Verschlüsselung hingegen bietet einen noch höheren Schutz. Diese Technologie verschlüsselt Ihre E-Mails so, dass nur der Absender und der Empfänger sie entschlüsseln können. Selbst Ihr E-Mail-Anbieter kann den Inhalt Ihrer Nachrichten nicht einsehen.

Bezogen auf das Urteil bedeutet dies:

  • Transportverschlüsselung: Schützt die Daten während der Übertragung von A nach B. Stellen Sie es sich wie einen verschlossenen Umschlag vor, der auf dem Weg zur Post geschützt ist. Nur reicht das dem Gericht nicht, weil der Transportdienstleister offiziell nicht so vertrauenswürdig ist wie die Deutsche Post.
  • End-to-End-Verschlüsselung: Verschlüsselt die Daten so, dass nur der Absender und der Empfänger sie lesen können. Der Absender verschlüsselt die Daten, und nur der Empfänger kann sie mit einem Schlüssel entschlüsseln. Der E-Mail-Anbieter hat keinen Zugriff auf den Inhalt.
    Das Gericht betonte, dass bei der Übermittlung von Rechnungen mit potenziell hohen finanziellen Risiken End-to-End-Verschlüsselung der geeignete Schutz ist. Transportverschlüsselung ist zwar besser als gar keine Verschlüsselung, bietet aber keinen umfassenden Schutz vor gezielten Angriffen.

Für eine Ende-zu-Ende-Verschlüsselung müssen Absender und Empfänger individuell eine Vereinbarung treffen. Typischerweise geschieht dies durch den Austausch von Schlüsseln oder elektronischen Zertifikaten.

Mit Ende-zu-Ende-Verschlüsselung ist die Kommunikation zwischen Ihnen und dem Empfänger absolut sicher. Es gibt verschiedene Plugins für E-Mail-Clients, mit denen Sie diese Verschlüsselungsart aktivieren können. Die Nutzung von Ende-zu-Ende-Verschlüsselung ist besonders wichtig, wenn Sie sensible Informationen wie Passwörter, Finanzdaten oder persönliche Angelegenheiten per E-Mail austauschen.

Digitale Signaturen: Sicherheit durch Authentifizierung

Neben der Verschlüsselung bietet die digitale Signatur einen weiteren wichtigen Schutzmechanismus für Ihre E-Mails.

Eine digitale Signatur ist wie eine elektronische Unterschrift, die Sie an Ihre E-Mails anhängen können. Diese Signatur bestätigt, dass die Nachricht tatsächlich von Ihnen stammt und unverändert geblieben ist. Der Empfänger kann diese Signatur überprüfen, um sicherzustellen, dass die E-Mail authentisch ist und nicht manipuliert wurde.

Digitale Signaturen sind besonders nützlich für wichtige Geschäftskommunikationen oder wenn Sie sicherstellen möchten, dass Ihre Nachrichten nicht verändert wurden.

Die richtige Wahl: Verschlüsselung vs. digitale Signatur

Sowohl Verschlüsselung als auch digitale Signaturen tragen zur Sicherheit Ihrer E-Mails bei, erfüllen aber unterschiedliche Funktionen.

Die Verschlüsselung schützt den Inhalt Ihrer E-Mails vor unbefugtem Zugriff, während die digitale Signatur die Authentizität der Nachricht bestätigt. In vielen Fällen ist es sinnvoll, beide Technologien zu kombinieren, um einen umfassenden Schutz für Ihre Kommunikation zu gewährleisten.

Beweislast liegt beim Unternehmen

Wichtig ist auch: Unternehmen tragen die Beweislast dafür, dass sie alle erforderlichen Sicherheitsmaßnahmen ergriffen haben. Werden Daten durch unzureichende Sicherheitsvorkehrungen kompromittiert, muss das Unternehmen nachweisen, dass es seine Sorgfaltspflichten erfüllt hat.

Was bedeutet das für Unternehmen?

Im Gegensatz zu Behörden haben Unternehmen faktisch nun mehr Hausaufgaben zu erledigen:

  • Risikobewertung: Berücksichtigen Sie bei der Wahl der Verschlüsselungsmethode das konkrete Risiko und den potenziellen Schaden.
  • End-to-End-Verschlüsselung: Nutzen Sie End-to-End-Verschlüsselung für sensible Daten, insbesondere Rechnungen und Zahlungsaufforderungen.
  • Dokumentation: Dokumentieren Sie alle Sicherheitsmaßnahmen, um im Falle eines Vorfalls nachweisen zu können, dass Sie Ihre Sorgfaltspflichten erfüllt haben.
  • Schulung: Schulen Sie Ihre Mitarbeiter im Umgang mit sensiblen Daten und sicheren Kommunikationsmethoden.

Das folgende Diagramm veranschaulicht die Konsequenzen der vorliegenden Urteile beim Versand von E-Mails:

Konsequenzen für Unternehmen und Behörden: Das bedeutet "sicherer Mailversand".

Auch dieses Diagramm wurde mit KI-Unterstützung (lokale KI) erstellt.

Fazit

Es ist oft schwierig, die genauen Hintergründe eines Hackerangriffs nachzuweisen und den Zusammenhang zwischen der Pflichtverletzung des Absenders und dem entstandenen Schaden zu belegen.

Transportverschlüsselung bietet keinen ausreichenden Schutz bei hohem finanziellem Risiko, End-to-End-Verschlüsselung ist empfehlenswert. End-to-End ist kompliziert und muss individuell vereinbart werden. Die Kompatibilität von Verschlüsselungsdiensten variiert zudem je nach E-Mail-Programm oder Mail-Provider (z.B. Gmail, Outlook, Yahoo).

Unternehmen müssen das konkrete Risiko und den potenziellen Schaden bei der Wahl der Verschlüsselungsmethode berücksichtigen. Die Verschlüsselung verhindert, dass der Inhalt einer E-Mail ohne den entsprechenden Schlüssel eingesehen werden kann. Dies ist insbesondere bei sensiblen personenbezogenen Daten wichtig.

Was sind sensible personenbezogene Daten?

  • Daten, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen einer Person hervorgehen
  • Gewerkschaftszugehörigkeit
  • genetische Daten, biometrische Daten, die ausschließlich zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden
  • Gesundheitsdaten
  • Daten zum Sexualleben oder zur sexuellen Orientierung einer Person

Quelle: EU-Kommission

Die Beweislast für die Einhaltung der Datenschutzbestimmungen liegt beim Verantwortlichen.

Viele Cyberversicherungen schließen Schäden durch Hackerangriffe nicht automatisch mit ein oder bieten nur eingeschränkten Versicherungsschutz an.

Empfehlungen

Nach Möglichkeit eine Ende-Zu-Ende-Verschlüsselung nutzen, die sich immer dann besonders anbietet, wenn regelmäßig zwischen bei Stellen kommuniziert wird.

Nur zur Not sollte die betroffene Person als Dateninhaberin gefragt werden, ob sie mit dem durch Transport verschlüsselten Versand ihrer Daten einverstanden ist. Aber damit werden unter Umständen schlafende Hunde geweckt.

Anstelle einer unverschlüsselten E-Mail kann der Postversand als sichere Übermittlungsmethode gewählt werden. Alternativ bieten sich Verfahren wie S/MIME oder PGP an. Auch gut erscheinen Passwort-geschützte Anhänge. Das Passwort sollte dann allerdings über einen anderen Übertragungsweg übermittelt werden, etwa per SMS. Es sollte mindestens regelmäßig geändert werden, sofern eine häufigere (abgesicherte) Kommunikation stattfindet.

Unternehmen und Privatpersonen sollten bei der Überweisung von Zahlungen stets vorsichtig sein und keine Zahlungen an unbekannte oder verdächtige Konten leisten.

Datenschutzbeauftragte sollten ihre Mandanten entsprechend informieren, um ihre eigene Haftung zu begrenzen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die IT Logic GmbH, berät Kunden und bietet Webseiten-Checks sowie optimierte & sichere KI-Lösungen an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/sicherheitsvorkehrungen-beim-versand-von-e-mails
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Anonym

    Hallo Herr Meffert,
    danke für die gute Zusammenfassung.
    Zu Passwort-geschützten Dateianhängen: kann ein Passwort-geschütztes PDF als sicher angesehen werden, wenn es sogar online tools gibt, die Passwörter aus PDF-Dateien entfernen?

    Antworten
    • Dr. DSGVO

      Die Frage ist berechtigt. Es muss natürlich sichergestellt sein, dass der Passwortschutz effektiv ist. Man kann über ein Passwort-geschütztes Archiv nachdenken, oder einen Passwort-geschützten Online-Bereich, in dem Anhänge abgelegt werden (so machen es einige Steuerberater).

      Antworten
  2. Jens-Uwe Viehrig | IfDDS GmbH

    Hallo Herr Dr. Meffert,
    vielen Dank für die Gegenüberstellung.
    Ich habe bei dem Ganzen noch nicht verstanden, wie mit Übermittlung von Daten per E-Mail von Unternehmen an Behörden umzugehen ist.
    Wenn beispielsweise ein Steuerberatungsunternehmen an das Finanzamt Dokumente nachreichen muss, müsste es (da privatrechtliches Unternehmen) auf eine Ende-zu-Ende-Verschlüsselung zurückgreifen. Genau das bietet aber das Finanzamt nicht an (und wird sich dabei auf das OVG Münster beziehen). Wäre es hierbei dem Steuerberatungsunternehmen zuzuschreiben, die Datenübermittlung (bis zur Übergabe ist ja der Steuerberater für die Daten verantwortlich) nicht sicher genug gestaltet zu haben und somit den "Stand der Technik" nicht berücksichtigt zu haben?
    Ich weiß, dass der Teufel im Detail steckt und das OVG Münster sagt, dass die Behörde E-Mails nicht Ende-zu-Ende-verschlüsselt "versenden" muss. Das bedeutet juristisch vermutlich keine Aussage dazu, wie es E-Mails "empfangen (können)" muss.
    Streng genommen behindert dieser Argumentation nach jedes Finanzamt, welches keinen Empfang von Ende-zu-Ende-verschlüsselten E-Mails ermöglicht, jeden Steuerberater an der Einhaltung seiner rechtlichen Pflichten, oder?
    Vielen Dank im Voraus für Ihre Antwort.
    Mit freundlichen Grüßen,
    J.-U. Viehrig

    Antworten
    • Dr. DSGVO

      Im StB-Wesen kenne ich mich nicht aus. Aber ich vermute sehr, dass es Standardmittel der Kommunikation zwischen StB und FA gibt. Beispielsweise DATEV bzw. Datenaustausch-Schnittstellen.
      Es gibt ja außerdem ELSTER.

      Im Endeffekt wird der StB es entweder wissen, wie mit dem FA zu kommunizieren ist, oder das FA im Zweifel fragen. Wenn das FA keine Mails wünscht oder kein E2E anbietet, dann muss es eine andere Möglichkeit anbieten.

      Antworten

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

DeepSeek: Die KI-Revolution aus China auch als sichere Variante