DSGVO für E-Mail in DACH — Art. 32, Rechenschaftspflicht und Enforcement

Vertiefung zur DSGVO-Anwendung auf E-Mail-Sicherheit im DACH-Raum (DE + AT + CH) gemäß Q8-Entscheidung dieses Ratgebers. Behandelt Art. 32 mit den vier Schutzzielen aus Abs. 1 lit. a-d zeichengenau, Art. 5 Abs. 2 als wichtigsten Anker (Rechenschaftspflicht — Sie müssen nicht nur umsetzen, sondern nachweisen können), Art. 33 mit der 72-Stunden-Meldefrist und Art. 34 zur Betroffenen-Benachrichtigung. Plus DSGVO-Enforcement-Cases (H&M Hamburg 35,3 Mio. EUR 2020, BayLDA 2014-Massenprüfung mit 2.236 bayerischen Unternehmen, OVG Münster 2024 mit TLS 1.2 vs. Ende-zu-Ende für Art. 9), DSK-Orientierungshilfe vom 16. Juni 2021, Schweizer revDSG mit Art. 8 Datensicherheit, österreichisches DSG plus Dokumentationsvorlagen für VVT, DSFA und TOM-Liste.

Email Security prüfen Plattform entdecken
Deep-Dive · DSGVO + revDSG + DSG · DACH
Von Wolf-Agents Security Team · Aktualisiert: 25. Mai 2026
Sektion 1 · Art. 32 DSGVO

DSGVO Art. 32 — Sicherheit der Verarbeitung mit E-Mail-Maßnahmen-Mapping

Art. 32 ist die zentrale technische Anker-Norm der DSGVO für E-Mail-Sicherheit. Der Originaltext aus dsgvo-gesetz.de lautet:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: ...die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.“

Die vier Schutzziele aus Art. 32 Abs. 1 lit. a-d mit E-Mail-Maßnahmen-Mapping

Buchstabe Originaltext (zeichengenau) E-Mail-Praxis
lit. a "die Pseudonymisierung und Verschlüsselung personenbezogener Daten" TLS 1.2+ Pflicht, MTA-STS Enforce, DANE/TLSA, Alias-Strategien als Pseudonymisierung (siehe Kapitel 11), S/MIME / PGP für besondere Kategorien
lit. b "die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen" SPF + DKIM + DMARC (Integrität), MX-Redundanz (Verfügbarkeit), Backup-Konzepte (Belastbarkeit), TLS (Vertraulichkeit). Siehe Kap. 02 SPF, Kap. 03 DKIM, Kap. 04 DMARC.
lit. c "die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen" MX-Redundanz, geographisch verteilte Backup-Mailserver, dokumentierte Incident-Response-Pläne mit Wiederherstellungs-Playbooks
lit. d "ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen" Quartalsweise Wolf-Agents-Scans + DMARC-Report-Auswertung + jährliche Penetration-Tests + dokumentierter Wartungsplan

Praxisregel — "Stand der Technik" ist dynamisch: Art. 32 verweist auf den "Stand der Technik" — ein dynamischer Rechtsbegriff. Was 2018 als angemessen galt (TLS 1.0/1.1, kein DMARC), gilt 2026 nicht mehr. BSI TR-03108 und TR-03182 sind die maßgeblichen deutschen Referenzen für den aktuellen Stand der Technik bei E-Mail-Sicherheit. Eine Wolf-Agents-Note A oder besser dokumentiert die Erfüllung dieser Standards zum Scan-Zeitpunkt — und dieser Zeitpunkt ist nachweisbar dokumentiert (zentrale DSGVO-Art-5(2)-Mechanik).

Sektion 2 · Art. 5 Abs. 2 — der wichtigste Anker

Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht als zentraler Compliance-Beweis

Der zeichengenau Originaltext von Art. 5 Abs. 2 ist die wichtigste DSGVO-Vorschrift für E-Mail-Compliance — wichtiger als Art. 32, weil ohne Nachweis-Fähigkeit auch eine korrekte Umsetzung im Audit nicht verteidigbar ist:

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“

Rechenschaftspflicht — die fünf operationalen Nachweise für E-Mail-Sicherheit

Nachweis Inhalt Aktualisierungs-Rhythmus
1. Wolf-Agents-Scan-Historie Quartalsweise Scans mit 165 Prüfpunkten + zeitgestempelter Score Quartalsweise (Wartungsplan)
2. DNS-Record-Inventar Alle E-Mail-relevanten DNS-Records (SPF, DKIM, DMARC, MTA-STS, DANE, MX) mit Werten und letzter Änderung Bei jeder Änderung + jährlich Vollständigkeits-Audit
3. Change-Log Jede Änderung an DNS-Records mit Datum, Verantwortlichem, Grund und Vorher-Nachher-Scan Bei jeder Änderung (lückenlos)
4. Wartungsplan-Protokoll Quartalsweise Protokolle der DMARC-Report-Auswertung + DKIM-Rotation + SPF-Audit + Zertifikats-Erneuerung Quartalsweise (lückenlos)
5. Incident-Response-Test-Protokoll Jährliche Trockenübung mit Szenarien (BEC, DMARC-Spike, DNS-Hijacking, Zertifikats-Notfall) Mindestens jährlich

Praxisregel — die Beweislast liegt bei Ihnen: Art. 5 Abs. 2 dreht die Beweislast um. Die Aufsichtsbehörde muss nicht beweisen, dass Sie Daten unzureichend schützen — Sie müssen beweisen, dass Sie sie ausreichend geschützt haben. Eine korrekt konfigurierte Domain ohne dokumentierte Geschichte ist im Audit problematisch. Die fünf Nachweise oben sind nicht "Nice-to-have", sondern operationalisierter Pflicht-Inhalt der DSGVO-Compliance. Eine Wolf-Agents-Scan-Historie über vier Quartale zeigt nachvollziehbare Verbesserung — genau das, was Auditoren als Due Diligence anerkennen.

Sektion 3 · Art. 33 + 34

Art. 33 (72-Stunden-Meldung) + Art. 34 (Benachrichtigung Betroffener) — die operative Reaktion

Art. 33 Abs. 1 lautet zeichengenau: „...meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde...“ (Quelle: dsgvo-gesetz.de/art-33-dsgvo). Bei E-Mail-Vorfällen ist das die operative Reaktionspflicht: Sie haben 72 Stunden, nachdem Sie von einem Vorfall wissen, um ihn der zuständigen Aufsichtsbehörde zu melden. Die Meldepflicht entfällt, wenn voraussichtlich KEIN Risiko für die Rechte und Freiheiten natürlicher Personen besteht — die Beweislast liegt aber bei Ihnen.

E-Mail-Incident-Typen mit Meldepflicht-Bewertung

Incident-Typ Meldepflicht Art. 33? Benachrichtigung Art. 34? Begründung
BEC mit Datenabfluss (Angreifer hat Postfach gelesen) JA — 72h-Frist läuft WAHRSCHEINLICH JA Personenbezogene Daten waren für Unbefugten zugänglich
Phishing-Welle über Ihre Domain (Spoofing) FALLABHÄNGIG FALLABHÄNGIG Bei Erfolg (Kundendaten erbeutet): JA. Bei reinem Spoofing-Versuch: prüfen, ob Daten betroffen
DNS-Hijacking mit MX-Manipulation JA — sofort prüfen FALLABHÄNGIG E-Mails möglicherweise vom Angreifer empfangen und gelesen
Kompromittiertes Postfach (Login durch Unbefugten) JA — Eingriff in personenbezogene Daten FALLABHÄNGIG (Inhalt prüfen) Zugriffsverletzung Art. 4 Nr. 12 DSGVO
Misskonfigurierter SPF mit Zustellungsverlust NEIN NEIN Verfügbarkeitsproblem ohne Vertraulichkeitsverletzung
Versehentliche Bcc-/An-Verwechslung mit personenbezogenen Daten JA, wenn personenbezogene Daten unbefugt offengelegt JA bei hohem Risiko Klassischer Datenschutzvorfall

Praxisregel — die 72h-Uhr läuft ab Kenntnis: Bei verspäteter Meldung ist eine Begründung erforderlich (Art. 33 Abs. 1 Satz 2). Wenn nicht alle Informationen binnen 72h vorliegen, müssen Sie eine vorläufige Meldung absetzen und nachreichen — das ist besser als gar nichts. Vorbereiten Sie ein 24/7-erreichbares Incident-Response-Team, eine vorausgefüllte Meldevorlage und einen Offline-Kommunikationskanal (E-Mail kann im Vorfall kompromittiert sein). Cross-Verweis: Das Incident-Response-Playbook mit vier Szenarien finden Sie in der MDX-Quelle 12-compliance.mdx §§ E-Mail-Incident-Response-Playbook.

Sektion 4 · Enforcement

DSGVO-Enforcement — H&M Hamburg, BayLDA 2014-Massenprüfung, OVG Münster 2024

Die DSGVO wird durchgesetzt — mit zunehmender Konsequenz. Aufsichtsbehörden bewerten zunehmend, ob zumutbare technische Maßnahmen umgesetzt wurden. Drei Fälle illustrieren die Enforcement-Realität:

Drei Eckdaten der DSGVO-Enforcement seit 2018

Fall Detail Lesson für E-Mail-Sicherheit
H&M Deutschland (Hamburg 2020) 35,3 Mio. EUR Bußgeld vom Hamburgischen Beauftragten für Datenschutz wegen systematischer Mitarbeiterüberwachung in einem Servicecenter Mitarbeiter-Kommunikation per E-Mail ist personenbezogene Datenverarbeitung. Logging muss zweckgebunden, minimal und transparent sein
Meta Platforms Ireland (DPC Mai 2023) 1,2 Mrd. EUR höchste Einzelstrafe seit DSGVO-Geltung — unzulässige Transatlantik-Datentransfers EU-US-Datentransfer ist trotz Data Privacy Framework heikel. Microsoft Ireland Operations als CTPP-Listung bringt diese Frage auch für E-Mail-Plattformen in den Vordergrund
Uber Niederlande (DPA 2024) 290 Mio. EUR — ebenfalls Transatlantik-Datentransfer-Verstoß Trend zur Transatlantik-Sanktionierung beschleunigt sich
BayLDA Massenprüfung (September 2014) 2.236 bayerische Unternehmen automatisiert auf STARTTLS und Perfect Forward Secrecy geprüft — 772 fehlerhaft, Beanstandungen und Nachprüfungen KRITISCH — schon seit über einem Jahrzehnt aktive technische Massenprüfung. Aufsichtsbehörden prüfen E-Mail-Sicherheit proaktiv, nicht erst auf Beschwerde. Aktuelle Schwerpunkte 2024/2025: Cookie-Banner, Ransomware-Prävention, E-Mail-Account-Sicherheit
OVG Münster 2024 TLS 1.2 reicht für Daten mit normalem Risiko aus. Für besondere Kategorien personenbezogener Daten (Art. 9 DSGVO — Gesundheitsdaten, politische Überzeugungen etc.) ist Ende-zu-Ende-Verschlüsselung erforderlich Maßgebliche obergerichtliche Klarstellung. TLS-Transport-Verschlüsselung ist die Baseline; E2E (S/MIME, PGP) für sensible Daten
DSGVO-Gesamtstrafen kumulativ 5,88 Mrd. EUR seit 2018 (Quelle enforcementtracker.com, CMS Law) Die Vermutung, "DSGVO wird nicht durchgesetzt", ist nachweisbar falsch. Die kumulative Strafhöhe zeigt zunehmenden Enforcement-Druck

Argumentations-Pattern der Aufsichtsbehörden: Wenn eine Datenschutzverletzung durch fehlende E-Mail-Authentifizierung (kein SPF, kein DKIM, kein DMARC, kein TLS) ermöglicht wird, ist das ein klarer Art. 32-Verstoß. Die Argumentation lautet: SPF/DKIM/DMARC sind kostenlos (DNS-Records); die Implementierung dauert Minuten bis Stunden; die Wirksamkeit ist nachgewiesen und unbestritten; das BSI fordert sie explizit in TR-03108 und TR-03182. Eine bewusste Nicht-Implementierung dieser Standards ist daher fahrlässig im Sinne von Art. 83 Abs. 2 lit. b — relevanter Faktor bei der Bemessung von Geldbußen bis 10 Mio. EUR oder 2 % des Jahresumsatzes (bei Verstößen gegen Art. 5 sogar 20 Mio. EUR oder 4 %).

Sektion 4b · DSGVO-Bussgeld-Trend 2018-2026 · Information-Gain

DSGVO-Bussgeld-Trend 2018-2026 — Top-10-Cases mit Email-Spezial-Linse

Die DSGVO ist nicht nur ein papiernes Regelwerk — sie ist eine durchgesetzte Norm mit beschleunigender Enforcement-Realitaet. Die folgenden Top-10-Cases zeigen das Ausmass: 5,88 Mrd. EUR kumulativ seit 2018 (Quelle enforcementtracker.com), mit deutlicher Eskalation 2024/2025 in der DACH-Region. Email-spezifische Cases sind unter den Top-Strafen noch unterrepraesentiert, das liegt aber an der Investigations-Heuristik der Aufsichtsbehoerden (Email-Schwachstellen werden meist als Teil-Befund grosser Vorfaelle gewertet, nicht als eigenstaendige Strafe). Der BayLDA-Massenpruefung-Praezedenzfall von 2014 mit 2.236 geprueften Unternehmen ist die warnende Ausnahme.

Top-10-DSGVO-Bussgelder 2018-2026 (chronologisch, WebFetch 25.5.2026)

Datum Unternehmen Hoehe (EUR) Aufsichtsbehoerde + Grund
10/2020 H&M Hennes & Mauritz Online Shop 35,3 Mio. Hamburgischer Beauftragter — systematische Mitarbeiteruberwachung im Servicecenter Nuernberg
07/2021 Amazon Europe Core 746 Mio. CNIL Luxemburg — DSGVO-Verstoesse im Targeting-Geschaeft
05/2023 Meta Platforms Ireland 1,2 Mrd. DPC Ireland — unzulaessige Transatlantik-Datentransfers nach Schrems-II-Urteil
09/2023 TikTok Technology Ltd 345 Mio. DPC Ireland — Verarbeitung von Kinderdaten ohne ausreichende Schutzmassnahmen
05/2024 TikTok Information Technologies 530 Mio. DPC Ireland — illegale Datentransfers nach China + Kinderdaten
08/2024 Uber Technologies Niederlande 290 Mio. AP Niederlande — Transatlantik-Datentransfers Fahrerdaten
06/2025 Vodafone Deutschland 45 Mio. BfDI / LfDI — groesste deutsche DSGVO-Strafe 2025 (operative Vertriebsdatenverarbeitung)
09/2014 (historisch) BayLDA-Massenpruefung 2.236 bayer. Unternehmen multiple Beanstandungen BayLDA — 2.236 Domains automatisiert auf STARTTLS + Perfect Forward Secrecy geprueft, 772 fehlerhaft. Aufsicht prueft proaktiv, nicht erst auf Beschwerde.
2018-2026 kumulativ (DE) BfDI + alle 16 Landesbehoerden 249 Bussgelder 2025 ~47 Mio. EUR Gesamtvolumen DE-Aufsichtsbehoerden 2025 (Quelle dsgvo-portal.de WebFetch 25.5.2026)
2018-2026 kumulativ (EU) alle EU-Aufsichtsbehoerden ~5,88 Mrd. enforcementtracker.com (CMS Hasche Sigle) — Gesamtstrafen-Summe seit Inkrafttreten DSGVO 25.5.2018

Trend-Lesehilfe — die drei Beschleunigungs-Phasen: Phase 1 (2018-2020): Aufbau-Phase mit ersten Praezedenz-Bussen H&M Hamburg 35,3 Mio. EUR und TIM Italien 27,8 Mio. EUR. Phase 2 (2021-2023): Multinational-Phase mit Amazon 746 Mio. EUR und Meta Platforms Ireland 1,2 Mrd. EUR — Transatlantik-Datentransfer wird zum dominanten Praezedenz-Cluster. Phase 3 (2024-2026): Beschleunigte Sanktionierung mit TikTok 530 Mio. EUR, Uber NL 290 Mio. EUR und Vodafone DE 45 Mio. EUR — DACH-Aufsichtsbehoerden ziehen nach. Der DACH-spezifische Trend zeigt sich darin, dass die hoechste deutsche Strafe 2025 (Vodafone 45 Mio. EUR) inzwischen den faktor 3 ueber der ersten H&M-Hamburg-Strafe von 2020 liegt.

Email-spezifische Praezedenz-Cluster (KMU-Lesart): Direkte Email-spezifische Bussgelder > 10 Mio. EUR sind noch selten, weil Aufsichtsbehoerden Email-Schwachstellen (fehlende DMARC, fehlende TLS, kompromittierte Postfaecher) meist als verstaerkende Faktoren im Rahmen groesserer Vorfaelle bewerten — d. h. die Bussgeld-Bemessung nach Art. 83 Abs. 2 lit. b DSGVO wird durch unzureichende technische Massnahmen geprägt. Der BayLDA-Massenpruefung 2014 mit 2.236 geprueften bayerischen Unternehmen ist der direkte Praezedenz-Fall: 772 fehlerhafte Konfigurationen wurden technisch automatisiert erfasst, daraufhin Beanstandungen und Nachpruefungen — keine direkten Bussgelder, aber dokumentierte Investigations-Eskalations-Bereitschaft. Vergleichbare Massnahmen sind auch 2024/2025 in NRW, Baden-Wuerttemberg und Bayern gemeldet. Praxis-Konsequenz: die SPF-DKIM-DMARC-Hygiene wird zur ersten Verteidigungslinie auch ohne unmittelbares Bussgeld-Risiko.

ROI-Vergleich Compliance-Implementierung vs Bussgeld-Risiko: Die direkte Email-Security-Implementierung (SPF + DKIM + DMARC + MTA-STS + DANE + DNSSEC + BIMI) kostet KMU realistisch zwischen 5.000 und 15.000 EUR pro Jahr; ein einziger Vorfall der Vodafone-Klasse (45 Mio. EUR) entspricht 3.000 Jahren Compliance-Implementierung. Selbst eine vergleichsweise kleine deutsche Aufsichtsbehoerden-Strafe (Median der 249 deutschen Bussgelder 2025: rund 190.000 EUR pro Fall) entspricht 12-38 Jahren Implementierungs-Kosten. Der ROI ist eindeutig — eine fundierte Investitions-Argumentation fuer jede Geschaeftsfuehrungs-Vorlage. Quellen: enforcementtracker.com + dsgvo-portal.de (beide WebFetch 25.5.2026).

Sektion 5 · DSK-Orientierungshilfe

DSK-Orientierungshilfe 16.6.2021 — das maßgebliche deutsche Dokument zu E-Mail-Verschlüsselung

Die "Orientierungshilfe der Datenschutzkonferenz — Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail" vom 16. Juni 2021 ist das definitive deutsche Dokument zu E-Mail-Sicherheit aus Datenschutzsicht. Herausgegeben von der Datenschutzkonferenz (alle 18 deutschen Aufsichtsbehörden — Bund + 16 Länder + ein gemeinsames Gremium), wird sie von Aufsichtsbehörden als Maßstab herangezogen.

DSK-Orientierungshilfe 16.6.2021 — die vier Kernforderungen für E-Mail-Sicherheit

Anforderung DSK-Forderung Operative Umsetzung
1. DKIM-Verifikation eingehender E-Mails Empfangende Mailserver MÜSSEN DKIM-Signaturen verifizieren OpenDKIM oder integrierte M365/Google-DKIM-Verifikation aktivieren. Header Authentication-Results prüfen
2. DMARC-basierte Ablehnung nicht-authentifizierter Nachrichten Nicht-authentifizierte Mails dürfen nicht zugestellt werden Empfänger-seitig: DMARC-Policy p=reject oder p=quarantine respektieren. Sender-seitig: eigene DMARC p=reject setzen
3. TLS 1.2+ als Mindeststandard für den Transport Verschlüsselter Transport ist Pflicht — TLS 1.0/1.1 sind nicht mehr akzeptabel BSI TR-03108 Standard erfüllen. Kein Fallback auf unverschlüsselte Verbindungen. MTA-STS Enforce empfohlen
4. Ende-zu-Ende-Verschlüsselung für besondere Kategorien (Art. 9 DSGVO) Gesundheitsdaten, politische/religiöse Überzeugungen, biometrische/genetische Daten, Sexualleben, Gewerkschaftszugehörigkeit: TLS reicht NICHT S/MIME oder PGP für betroffene Kommunikation. Im Gesundheitswesen: KIM (Telematik-Infrastruktur) als Pflicht-System für Patientendaten

Praxisregel — die DSK ist nicht bindend, aber maßgeblich: Formell ist die DSK keine Rechtsetzungs-Behörde — ihre Orientierungshilfen sind unverbindliche Auslegungshinweise. Faktisch werden sie aber von allen 18 deutschen Aufsichtsbehörden in Audits und Beanstandungen herangezogen. Wer die vier Kernforderungen erfüllt, hat eine starke Verteidigungsposition im Audit. Wer sie nicht erfüllt, muss begründen können, warum eine abweichende Maßnahme ein "dem Risiko angemessenes Schutzniveau" nach Art. 32 darstellt — eine schwierige Argumentation, wenn die DSK-Empfehlung kostenlos und seit über drei Jahren bekannt ist.

Sektion 5b · DSK 2021 vs OVG Muenster 2024 · Information-Gain

DSK-Orientierungshilfe 16.6.2021 vs OVG-Muenster 2024 — der KMU-Entscheidungsbaum fuer Email-Verschluesselung

Zwischen DSK-Orientierungshilfe (16.6.2021, alle 18 deutschen Aufsichtsbehoerden) und OVG-Muenster-Beschluss 2024 existiert ein scheinbarer Konflikt: Die DSK fordert E2E-Verschluesselung fuer DSGVO-Art-9-Daten, das OVG Muenster relativiert mit „TLS 1.2 reicht fuer normales Risiko“. KMU verlieren sich in dieser Auseinandersetzung — der folgende Entscheidungsbaum loest sie pragmatisch auf. Der Trick liegt im Risiko-Begriff: besondere Kategorien (Art. 9 DSGVO) sind nicht gleich „normales Risiko“ — fuer sie gilt weiterhin die DSK-Forderung. Fuer Standard-Verarbeitungen (Vertragsverwaltung, Marketing-Anbahnungen, Mitarbeiter-Korrespondenz) gilt die OVG-Muenster-Klarstellung: TLS 1.2+ ist ausreichend.

Entscheidungsbaum — welche Email-Verschluesselungs-Stufe brauche ich?

Frage Antwort Ja Antwort Nein
1. Verarbeite ich besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO? (Gesundheitsdaten, biometrische/genetische Daten, religioese/politische Ueberzeugungen, Sexualleben, Gewerkschaftszugehoerigkeit) E2E-Verschluesselung PFLICHT nach DSK-Orientierungshilfe 16.6.2021 — S/MIME oder PGP fuer betroffene Mails; im Gesundheitswesen KIM (Telematik-Infrastruktur) als Pflicht-System weiter mit Frage 2
2. Verarbeite ich Kreditkarten-Daten (PAN, CVV), Authentifizierungsdaten oder Daten mit gleich hohem Schutzbedarf? E2E-Verschluesselung empfohlen — PCI DSS 4.0.1 Req 3.5 verschluesselte Uebertragung sensibler Authentifizierungsdaten plus Req 4.2.1 starke Verschluesselung im Transit weiter mit Frage 3
3. Verarbeite ich Daten mit hohem Risiko fuer die Rechte und Freiheiten betroffener Personen? (Trigger fuer DSFA nach Art. 35 DSGVO — z. B. umfangreiche Profilbildung, Massenverarbeitung, Cross-Border-Transfers ohne Angemessenheitsbeschluss) E2E-Verschluesselung empfohlen als „angemessene Massnahme“ nach Art. 32 — TLS 1.3 als Minimum mit zusaetzlicher Mail-Body-Verschluesselung (S/MIME oder PGP) weiter mit Frage 4
4. Standard-Verarbeitung (Vertragsverwaltung, Marketing-Anbahnungen, Mitarbeiter-Korrespondenz)? TLS 1.2+ ist ausreichend nach OVG-Muenster-Beschluss 2024 — entscheidend ist die technische Implementierung mit Enforcement (MTA-STS mode=enforce, kein Fallback auf unverschluesselte Verbindungen, DANE/TLSA fuer Empfaenger mit DNSSEC-Domain)

Drei konkrete KMU-Szenarien als Anwendung:

  1. Arztpraxis (Hausarzt mit 1.500 Patientenkartei): Verarbeitet routinemaessig Art. 9-Daten (Gesundheitsdaten). Frage 1 = Ja → E2E pflicht. Konkrete Umsetzung: KIM ueber Telematik-Infrastruktur als Pflicht-System fuer Patienten-Kommunikation mit Apotheken, Laboren, Krankenhaeusern, gematik-PKI ueber das ehealth-Konnektor-System. Standard-Email (Verwaltungs-Korrespondenz mit Steuerberater, Versorger) kann auf TLS 1.2+ bleiben.
  2. Marketing-Agentur (10 Mitarbeiter, B2B-Kunden): Verarbeitet keine Art. 9-Daten, keine Karten-Daten, keine DSFA-pflichtigen Profile. Frage 1+2+3 = Nein, Frage 4 = Ja → TLS 1.2+ mit MTA-STS Enforce ist ausreichend nach OVG-Muenster. SPF + DKIM + DMARC p=reject + MTA-STS + DANE genuegen DSGVO Art. 32. Keine E2E-Pflicht.
  3. Steuerberater (5 Mitarbeiter, mittelstaendische Mandanten): Verarbeitet Steuer-Daten (kein Art. 9, aber hohes Schutzniveau wegen Steuergeheimnis nach §30 AO). Frage 3 = Ja (hohes Risiko durch Steuergeheimnis) → Hybrid-Loesung: Standard-Korrespondenz mit TLS 1.2+, sensible Belege als verschluesselter Anhang (PGP oder S/MIME-Container, abgestimmt mit Mandant). Plus DATEV-Mandanten-Portal als Alternative.

Verteidigungs-Position im Audit: Bei Audit-Frage zur Email-Verschluesselungs-Strategie sollten Sie diese vier Fragen schriftlich dokumentiert beantworten koennen (z. B. als Anlage zum VVT-Eintrag jeder relevanten Verarbeitung). Die DSK-Orientierungshilfe 16.6.2021 plus OVG-Muenster-Beschluss 2024 sind die zwei zentralen Belege fuer Ihre Argumentation. Quellen: datenschutzkonferenz-online.de + nrwe.de (OVG-Muenster-Urteil 2024 via Sekundaerquellen Fachpresse + Anwaltskanzleien). Cross-Verweis: Kapitel 7 SMTP-TLS fuer Implementierungs-Detail und Kapitel 6 MTA-STS fuer Enforce-Modus.

Sektion 5b · DACH-Matrix · Cross-Reference

DACH-Compliance-Matrix DE + AT + CH — der operationale Konvergenz-Hebel

Die folgende Matrix vergleicht 9 Compliance-Dimensionen Seite an Seite fuer DACH-Konzerne mit Toechtern in DE, AT und CH. Sie ist hier als Cross-Reference zur primaeren Stelle in Deep-Dive 2 NIS2 + NISG 2026 Sektion 8b wiederverwendet — eine zentrale technische Implementierung erfuellt NIS2UmsuCG (DE) + NISG 2026 (AT) + ISG/revDSG (CH) + indirekt EU-Lieferkette (NIS2 lit. d).

Sektion 6 · Schweiz

Schweiz: revDSG (offiziell „DSG, Stand 1.9.2023“) — Art. 7 + Art. 8 + Art. 24

Die Schweiz hat ihr Datenschutzrecht zum 1. September 2023 grundlegend modernisiert. Die offizielle Kurzbezeichnung im Bundesblatt lautet schlicht "DSG (Stand am 1. September 2023)". Die Begriffe "revDSG" (revidiertes DSG, juristisch verbreitet) und "nDSG" (neues DSG, medial verbreitet) sind beide gebräuchlich und korrekt. Dieser Ratgeber folgt der R4-Wellen-Cross-Konsistenz und verwendet "revDSG".

revDSG für E-Mail-Sicherheit — drei zentrale Artikel

Artikel Inhalt E-Mail-Praxis
Art. 7 — Privacy by Design und Default Datenschutzgerechte Voreinstellungen und technische Maßnahmen SPF/DKIM/DMARC als Standard-Konfiguration neuer Domains; TLS 1.2+ als Default; Alias-Strategien für Marketing-Anbahnungen
Art. 8 — Datensicherheit Angemessene technische und organisatorische Maßnahmen für ein dem Risiko entsprechendes Sicherheitsniveau Analog DSGVO Art. 32 — TLS, MTA-STS, DANE, SPF, DKIM, DMARC. BSI TR-03108/TR-03182 sind faktischer Stand der Technik auch in CH
Art. 24 — Meldepflicht bei Verletzungen Meldung an EDÖB "so rasch wie möglich" bei hohem Risiko Keine starre 72h-Frist wie DSGVO, sondern Verhältnismäßigkeit. Trotzdem zügig handeln

CH-Besonderheit — Bußen wirken auf natürliche Personen: Im Unterschied zur DSGVO, die primär Unternehmen sanktioniert, richten sich die revDSG-Bußen bis CHF 250.000 explizit gegen natürliche Personen — Geschäftsführer, Datenschutzbeauftragte oder andere Verantwortliche. Das persönliche Haftungsrisiko ist damit potenziell höher als in der EU. Plus: Es gibt keine Bagatell-Schwelle — auch "kleine" Versäumnisse können geahndet werden. Quelle: fedlex.admin.ch/eli/cc/2022/491/de + Aufsicht durch den Eidgenössischen Datenschutzbeauftragten edoeb.admin.ch.

Doppel-Compliance für Schweizer Unternehmen mit EU-Kunden: Wenn Sie als Schweizer Unternehmen Geschäftsbeziehungen mit EU-Kunden pflegen, müssen Sie sowohl revDSG als auch DSGVO erfüllen. Die gute Nachricht: E-Mail-Sicherheitsmaßnahmen (SPF, DKIM, DMARC, MTA-STS) erfüllen die Anforderungen beider Regelwerke gleichzeitig. Eine einmalige Implementierung deckt beide ab — das ist der regulatorische Konvergenz-Hebel auch in CH.

Sektion 7 · Österreich

Österreich: DSG (BGBl. I Nr. 165/1999 idgF) — die nationale Begleit-Regulierung zur DSGVO

Österreich gehört als EU-Mitglied direkt unter die DSGVO. Das nationale Datenschutzgesetz (DSG) regelt nur Aspekte, die die DSGVO den Mitgliedstaaten überlässt — insbesondere Strafbestimmungen, die Datenschutzbehörde und die Datenschutzbeauftragten in öffentlichen Stellen. Anders als in der Schweiz gibt es kein eigenständiges Schutzniveau — die DSGVO gilt direkt.

Österreichische Datenschutz-Spezifika für E-Mail

Aspekt Österreichische Regelung Praxis
Anwendungsverhältnis DSG vs. DSGVO DSGVO gilt direkt; DSG ergänzt nur, wo DSGVO Öffnungsklauseln vorsieht Für E-Mail-Sicherheit ist DSGVO Art. 32 + 5(2) + 33 + 34 die Primär-Grundlage
Aufsichtsbehörde Österreichische Datenschutzbehörde (DSB), Wien — dsb.gv.at Zuständig für DSGVO-Meldungen und Beschwerden
DSB-Entscheidung 2018 zu E-Mail-Verschlüsselung Aktenzeichen DSB-D213.692/0001-DSB/2018: Einwilligung in unverschlüsselten E-Mail-Versand ist UNWIRKSAM Unternehmen können sich nicht auf "Einwilligung" berufen, um auf Verschlüsselung zu verzichten. Der Verantwortliche muss selbst die notwendigen Sicherheitsmaßnahmen bestimmen. Hinweis: Die Entscheidung ist in den öffentlichen RIS-Datenbanken nicht direkt abrufbar — das Aktenzeichen stammt aus der Fachpresse-Berichterstattung.
Bußgelder EU-Rahmen 10/20 Mio. EUR oder 2 %/4 % weltweiter Jahresumsatz Identisch zur deutschen Praxis — keine Bagatell-Schwelle
Zusätzliches Cybersicherheits-Regime ab 1.10.2026 NISG 2026 (BGBl. I Nr. 94/2025) — Bundesamt für Cybersicherheit als Aufsicht 4.000 österreichische Organisationen betroffen — Cross-Verweis Deep-Dive 2 NIS2 + NISG 2026

Doppel-Regulierung in Österreich ab Oktober 2026: Ab 1.10.2026 müssen österreichische Unternehmen sowohl die DSGVO als auch das NISG 2026 beachten. Die guten Nachrichten: Die E-Mail-Sicherheits-Maßnahmen sind weitgehend deckungsgleich. SPF + DKIM + DMARC + TLS 1.2+ + MTA-STS + DANE erfüllen sowohl DSGVO Art. 32 als auch die NIS2-Anforderungen Art. 21 Abs. 2 (übernommen in NISG 2026). Quelle Aufsichtsbehörde: dsb.gv.at (Datenschutz) + neugegründetes Bundesamt für Cybersicherheit (NISG 2026, Sitz Wien, dem Innenministerium nachgeordnet).

Sektion 7b · DACH-Doppel-Compliance · Information-Gain

DACH-Doppel-Compliance-Praxis-Handbuch — wie Sie revDSG + AT-DSG + EU-DSGVO gleichzeitig erfuellen

Konzerne mit Toechtern in mehreren DACH-Rechtsraeumen muessen oft drei Datenschutz-Regelwerke gleichzeitig beachten: das Schweizer revDSG (offiziell „DSG, Stand 1.9.2023“), das oesterreichische DSG (BGBl. I Nr. 165/1999 idgF) plus die EU-DSGVO. Plus indirekt das CH-ISG und ab 1.10.2026 das AT-NISG 2026. Die gute Nachricht: Die E-Mail-Sicherheitsmassnahmen erfuellen alle drei Datenschutz-Regelwerke gleichzeitig — das ist der DACH-Doppel-Compliance-Hebel. Die folgende Synchronisations-Matrix zeigt das technische Massnahmenfundament plus die rechtsraum-spezifischen Anker-Pflichten.

DACH-Synchronisations-Matrix — gemeinsame Technik-Massnahmen plus spezifische Anker

Email-Massnahme EU-DSGVO Art. 32 CH revDSG Art. 7+8+24 AT-DSG §1+§7 + NISG 2026
SPF/DKIM/DMARC mit Enforcement Art. 32(1) lit. b Integritaet Art. 8 angemessene technische Massnahme §7 Datensicherheit + NIS2 Art. 21 Abs. 2 lit. j Authentifizierung
TLS 1.2+ mit MTA-STS Enforce Art. 32(1) lit. a Verschluesselung Art. 8 + Art. 7 Privacy by Default §7 + NIS2 Art. 21 Abs. 2 lit. h Kryptografie
DANE/TLSA + DNSSEC Art. 32(1) lit. a + lit. b Art. 8 (state-of-the-art-Argumentation) §7 + NIS2 Art. 21 Abs. 2 lit. e Wartung
72h-Meldepflicht Mechanik Art. 33 ggue. Aufsichtsbehoerde Art. 24 „so rasch wie moeglich“ ggue. EDOEB (keine starre Frist) — plus 24h-BACS-Pflicht seit 1.4.2025 fuer Cyberangriffe Art. 33 DSGVO 72h + NIS2-NISG-2026 24h/72h/1M Cyber-Vorfall ab 1.10.2026
Bussgeld-Adressat Unternehmen bis 10/20 Mio. EUR bzw. 2/4 % Welt-Umsatz Natuerliche Personen (GF, DSB, Verantwortliche) bis CHF 250.000 — keine Bagatell-Schwelle; plus CH-ISG-Bussen CHF 100.000 (operatives Sicherheitsversagen) Unternehmen bis 10/20 Mio. EUR analog DSGVO + ab 1.10.2026 NIS2-Rahmen 10 Mio. EUR / 2 % Essential bzw. 7 Mio. EUR / 1,4 % Important
Aufsichtsbehoerde + Portal BfDI + 16 LfDI (DE), DSB Wien (AT), nationale Aufsichten der 27 EU-Mitgliedstaaten EDOEB Bern (edoeb.admin.ch) Datenschutz + BACS Bern (ncsc.admin.ch) Cybersicherheit DSB Wien (dsb.gv.at) Datenschutz + Bundesamt fuer Cybersicherheit Wien (NISG-Aufsicht ab 1.10.2026, dem Innenministerium nachgeordnet)

Drei DACH-Doppel-Compliance-Szenarien aus der Praxis:

  1. Schweizer Tochter mit DE-Kunden: Eine CH-AG mit Sitz in Zug verkauft an deutsche Geschaeftskunden. Muss erfuellen: revDSG (CH-Sitz) + DSGVO (Kunden in EU/DE) + indirekt NIS2 ueber Art. 21 Abs. 2 lit. d Lieferkette (deutsche Kunden sind NIS2-Essential). Praktische Empfehlung: zentrale Mail-Implementierung mit SPF + DKIM + DMARC p=reject + MTA-STS Enforce + DANE plus dokumentierte 72h-Meldepflicht-Routine (haerter als CH-Verhaeltnismaessigkeits-Standard, ABER notwendig wegen DSGVO-Anwendbarkeit auf EU-Kunden). Plus SimpleLogin-Proton-Pattern fuer souveraen-Email-Dienstleister (Proton AG Genf seit 8.4.2022) — kein US-CLOUD-Act, kein Schrems-II-Risiko. Cross-Verweis Kapitel 11 Alias-Strategie.
  2. Oesterreichischer Konzern mit DE-Niederlassung + CH-Partner: Eine AT-GmbH (zentrale in Wien, Niederlassung Muenchen, Partnervertrag mit CH-Logistiker) muss erfuellen: AT-DSG + DSGVO + revDSG (indirekt ueber CH-Partner-Datenverarbeitung). Plus ab 6.12.2025 NIS2UmsuCG fuer deutsche Niederlassung + ab 1.10.2026 NISG 2026 fuer AT-Zentrale. Praktische Empfehlung: konsolidierter Compliance-Plan mit drei Phasen — Phase 1 (sofort) DSGVO + NIS2UmsuCG-Vorbereitung, Phase 2 (bis 6.3.2026) DE-NIS2-Registrierung Essential, Phase 3 (bis 31.12.2026) AT-NISG-Registrierung. Cross-Verweis Deep-Dive 2 NIS2 + NISG 2026.
  3. Deutscher Mittelstaendler mit AT-Partnern + CH-Tochter: Eine DE-GmbH (Sitz in Stuttgart, Vertriebspartner in Wien, IT-Tochter in Zuerich) muss erfuellen: DSGVO + AT-DSG (Partner-Datenverarbeitung) + revDSG (CH-Tochter-Sitz). Plus NIS2UmsuCG seit 6.12.2025 (29.500 betroffene DE-Unternehmen — bei mehr als 50 Mitarbeitern oder 10 Mio. EUR Umsatz). Praktische Empfehlung: zentrale Geschaeftsfuehrungs-Verantwortung gemaess §38 BSIG-neu mit dokumentierter Konzern-Policy plus Cross-Tenant-Audit-Belegmappe (siehe Sektion 8 TOM-Vorlage). Schweizer Tochter muss zusaetzlich Art. 271 StGB Anti-CLOUD-Act-Konfiguration dokumentieren bei US-Cloud-Anbietern (auch fuer Mail-Dienste).

CH-spezifische Mehr-Hebel-Anker (Cross-Welle aus R4-Welle 3 Alias-Strategie): Schweizer Unternehmen koennen durch souveraen-Email-Anbieter-Wahl (Proton AG Genf/Plan-les-Ouates, SimpleLogin-Proton seit 8.4.2022 Plan-les-Ouates, Infomaniak Network SA Genf, Hostpoint AG Rapperswil-Jona) einen indirekten Schutz vor Anwendbarkeit des US-CLOUD-Act und vor Schrems-II-Risiken erreichen — gleichzeitig Doppel-Compliance-Hebel fuer revDSG-Art-8 plus DSGVO-Art-32-Anker. Art. 271 StGB („verbotene Handlungen fuer einen fremden Staat“) wird als zusaetzlicher Anker gegen unbefugte US-Behoerden-Zugriffe ins Feld gefuehrt. Quellen: fedlex.admin.ch (revDSG) + fedlex.admin.ch (ISG) + BACS + dsb.gv.at (AT-DSB).

Empirik-69-Hinweis fuer DACH-Konzerne: Falls Sie als CH-Unternehmen Lieferanten von EU-Kunden sind, sind Sie indirekt von NIS2-Pflichten via Art. 21 Abs. 2 lit. d (Lieferkette — NICHT lit. e!) betroffen — auch ohne formale CH-NIS2-Umsetzung. Praktische Konsequenz: EU-Kunden duerfen Ihre Email-Sicherheit als Lieferanten-Bewertungskriterium verlangen. Eine Wolf-Agents-Note A mit dokumentierter Scan-Historie ist die einfachste Form, dieser Anforderung zu genuegen — direkter Cross-Welle-Beleg fuer Kunden-Vorlagen.

Sektion 8 · Dokumentationsvorlagen

TOM-Liste, VVT-Eintrag und DSFA-Template für E-Mail-Sicherheit

Drei Dokumente sind für die DSGVO-Compliance im E-Mail-Bereich Pflicht — die Technische und Organisatorische Maßnahmen-Liste (TOM nach Art. 32), der VVT-Eintrag (Verzeichnis der Verarbeitungstätigkeiten nach Art. 30) und die Datenschutz-Folgenabschätzung (DSFA nach Art. 35) für E-Mail-Anwendungen mit hohem Risiko. Die folgenden Vorlagen sind direkt in eigene Dokumentations-Systeme übernehmbar.

TOM-Vorlage: E-Mail-Sicherheit (direkt übernehmbar in Ihre Art. 32-Dokumentation)

Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO — Bereich: E-Mail-Sicherheit und -Authentifizierung

  1. E-Mail-Absender-Authentifizierung (SPF) — Schutzziel Integrität gemäß Art. 32 Abs. 1 lit. b. Für alle Unternehmens-Domains ist ein SPF-Record mit Hard-Fail-Policy (-all) konfiguriert. Dieser DNS-TXT-Record definiert abschließend, welche Server E-Mails im Namen der Domain versenden dürfen. Nicht-autorisierte Server werden abgelehnt. Quartalsweise Überprüfung.
  2. Kryptografische E-Mail-Signierung (DKIM) — Schutzziel Integrität gemäß Art. 32 Abs. 1 lit. b. Alle ausgehenden E-Mails werden mittels DKIM signiert. Mindeststärke RSA 2048-bit. Quartalsweise Schlüsselrotation.
  3. E-Mail-Authentifizierungs-Policy (DMARC) — Schutzziel Integrität und Verfügbarkeit gemäß Art. 32 Abs. 1 lit. b, c. DMARC-Policy p=reject für alle Domains. Aggregate Reports (rua) werden wöchentlich ausgewertet. Stufenweise Migration von p=none über p=quarantine zu p=reject dokumentiert.
  4. Verschlüsselter E-Mail-Transport (TLS/MTA-STS) — Schutzziel Vertraulichkeit gemäß Art. 32 Abs. 1 lit. a. TLS 1.2 oder höher Pflicht. MTA-STS im Enforce-Modus für eingehende Verbindungen. DANE/TLSA-Records als zusätzliche Zertifikatsverankerung.
  5. Pseudonymisierung durch Alias-Strategien — Schutzziel Pseudonymisierung gemäß Art. 32 Abs. 1 lit. a. Pro Drittdienst eigene Alias-Adresse — sofortige Leak-Erkennung. Dokumentiert im internen Alias-Register.
  6. Ende-zu-Ende-Verschlüsselung für Art. 9-Daten — Schutzziel Vertraulichkeit. S/MIME oder PGP für besondere Kategorien personenbezogener Daten. Im Gesundheitswesen: KIM (Telematik-Infrastruktur) als Pflicht.
  7. Regelmäßige Überprüfung und Dokumentation — gemäß Art. 32 Abs. 1 lit. d. Wöchentlich DMARC-Reports, monatlich TLS-Zertifikate und Wolf-Agents-Scan, quartalsweise SPF-/DKIM-Rotation und Review-Log, jährlich Vollständigkeits-Audit.

VVT-Vorlage (Verzeichnis der Verarbeitungstätigkeiten): Ein VVT-Eintrag pro E-Mail-bezogener Geschäftsanwendung. Typische Einträge: "Kundenkommunikation per E-Mail" (Zweck: Vertragserfüllung, Art. 6 Abs. 1 lit. b), "Newsletter-Versand" (Zweck: Marketing, Art. 6 Abs. 1 lit. a Einwilligung), "Bewerbungsprozess" (Zweck: vorvertragliche Maßnahmen, Art. 6 Abs. 1 lit. b), "Mitarbeiter-Kommunikation" (Zweck: Beschäftigungsverhältnis, Art. 88 + §26 BDSG). Pro Eintrag: betroffene Personengruppen, Datenkategorien, Empfänger, geplante Löschfristen, technische Maßnahmen (Verweis auf TOM-Liste).

DSFA-Trigger (Datenschutz-Folgenabschätzung): Pflicht bei voraussichtlich hohem Risiko (Art. 35) — typische E-Mail-Szenarien: Marketing-Automation mit umfangreicher Profilbildung, Cross-Border-Datenflüsse in Drittländer ohne Angemessenheits-Beschluss, Verarbeitung großer Mengen besonderer Kategorien (Gesundheitsdaten, biometrische Daten). DSFA-Inhalte: systematische Beschreibung der Verarbeitung, Bewertung der Notwendigkeit und Verhältnismäßigkeit, Risikobewertung für die Rechte und Freiheiten betroffener Personen, geplante Abhilfemaßnahmen.

Quellen

Quellen — 18 verifizierte DSGVO-, DACH- und Aufsichts-Belege (Stand 25. Mai 2026)

1 DSGVO Art. 32 — Sicherheit der Verarbeitung (dsgvo-gesetz.de) 2 DSGVO Art. 5 Abs. 2 Rechenschaftspflicht (dsgvo-gesetz.de) 3 DSGVO Art. 33 — Meldepflicht 72h (dsgvo-gesetz.de) 4 DSGVO Art. 34 — Benachrichtigung Betroffener (dsgvo-gesetz.de) 5 DSGVO Art. 9 — Besondere Kategorien (dsgvo-gesetz.de) 6 DSGVO Art. 83 — Geldbußen (dsgvo-gesetz.de) 7 DSGVO Volltext EU 2016/679 (EUR-Lex) 8 GDPR English Originaltext (EUR-Lex) 9 DSK-Orientierungshilfe 16.6.2021 — E-Mail-Übermittlung 10 BayLDA — Bayerisches Landesamt für Datenschutzaufsicht 11 enforcementtracker.com DSGVO-Bußgeldspiegel (CMS Law) 12 Hamburgischer Beauftragter für Datenschutz — H&M Verfahren 2020 13 Schweizer DSG / revDSG (fedlex) 14 EDÖB Eidgenössischer Datenschutzbeauftragter 15 Österreichisches DSG (RIS) 16 Österreichische Datenschutzbehörde DSB 17 BfDI Bundesbeauftragter für den Datenschutz und die Informationsfreiheit 18 BSI TR-03108 Sicherer E-Mail-Transport

Häufig gestellte Fragen

Was sagt Art. 32 DSGVO konkret zur E-Mail-Sicherheit?

Art. 32 verlangt "geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten". Abs. 1 lit. a-d konkretisiert: (a) Pseudonymisierung und Verschlüsselung — das umfasst TLS, MTA-STS, DANE als Transport-Verschlüsselung und Alias-Strategien als Pseudonymisierung; (b) Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit auf Dauer sicherstellen — SPF, DKIM und DMARC sichern Integrität, MX-Redundanz die Verfügbarkeit; (c) Rasche Wiederherstellbarkeit nach Zwischenfall — dokumentierte Incident-Response-Pläne und Backup-Konzepte; (d) Regelmäßige Überprüfung der Wirksamkeit — quartalsweise Wolf-Agents-Scans und DMARC-Report-Auswertungen. Eine Note A oder besser im Wolf-Agents-Scan signalisiert eine angemessene Schutzhöhe.

Warum ist Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) so wichtig?

Art. 5 Abs. 2 lautet zeichengenau: "Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (Rechenschaftspflicht)". Das ist der entscheidende Anker — Sie müssen nicht nur korrekte SPF-/DKIM-/DMARC-Records haben, sondern auch beweisen, seit wann sie korrekt sind, wer sie zuletzt geändert hat und nach welchem Prozess Sie sie überprüfen. Wolf-Agents-Scan-Historie + DNS-Record-Inventar + Change-Log + Wartungsplan sind die operationalen Nachweise. Im Audit reicht eine Momentaufnahme nicht — der Auditor will eine nachvollziehbare Zeitreihe sehen.

Was passiert bei einem E-Mail-bedingten Datenschutzvorfall — 72-Stunden-Frist?

Art. 33 Abs. 1 DSGVO verpflichtet zur Meldung an die Aufsichtsbehörde "unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde". Bei E-Mail-Vorfällen sind das typischerweise BEC mit Datenabfluss, Phishing-Wellen über Ihre Domain mit Reputationsschaden, DNS-Hijacking mit umgeleiteten Mails oder kompromittierte Postfächer. Die 72h-Uhr läuft ab Kenntnis — nicht ab Eintritt. Bei hohem Risiko für die Rechte und Freiheiten natürlicher Personen ist nach Art. 34 zusätzlich eine direkte Benachrichtigung der Betroffenen erforderlich. Vorbereitete Kommunikationsvorlagen und ein 24/7-erreichbarer Meldekanal sind Pflicht-Bestandteil des Incident-Response-Plans.

Welche DSGVO-Bußgelder gab es im E-Mail-Sicherheits-Kontext?

Kumulativ sind seit 2018 rund 5,88 Mrd. EUR DSGVO-Bußgelder verhängt worden (Quelle enforcementtracker.com, CMS Law). Die höchste Einzelstrafe traf Meta Platforms Ireland mit 1,2 Mrd. EUR (DPC Irland Mai 2023). H&M Deutschland erhielt 2020 vom Hamburgischen Beauftragten für Datenschutz 35,3 Mio. EUR wegen systematischer Mitarbeiterüberwachung. Bereits im September 2014 prüfte das BayLDA 2.236 bayerische Unternehmen automatisiert auf STARTTLS und Perfect Forward Secrecy — 772 wiesen Mängel auf. Diese Massenprüfung zeigt: Aufsichtsbehörden führen seit über einem Jahrzehnt proaktive technische Prüfungen durch, nicht nur auf Beschwerden hin. Aktuelle Schwerpunkte 2024/2025 sind Ransomware-Prävention, E-Mail-Account-Sicherheit und Cookie-Banner-Compliance.

Reicht TLS 1.2 für E-Mail-Datenschutz aus, oder muss Ende-zu-Ende verschlüsselt werden?

Das Oberverwaltungsgericht Münster hat 2024 entschieden: TLS 1.2 reicht für personenbezogene Daten mit normalem Risiko aus. Für besondere Kategorien nach Art. 9 DSGVO (Gesundheitsdaten, politische Überzeugungen, religiöse oder weltanschauliche Überzeugungen, biometrische Daten, genetische Daten, Sexualleben, Gewerkschaftszugehörigkeit) ist hingegen Ende-zu-Ende-Verschlüsselung erforderlich — etwa via S/MIME oder PGP. Die DSK-Orientierungshilfe vom 16. Juni 2021 verlangt zusätzlich DKIM-Verifikation eingehender E-Mails, DMARC-basierte Ablehnung nicht-authentifizierter Nachrichten und TLS 1.2+ als Mindeststandard für den Transport — eine konsistente Linie zwischen Rechtsprechung und Aufsichtsbehörden-Konsens.

Was gilt für Schweizer Unternehmen — nDSG, revDSG oder einfach DSG?

Offiziell heißt das Gesetz schlicht "DSG (Stand am 1. September 2023)". Die Kurzbezeichnungen "nDSG" (neues DSG, medial verbreitet) und "revDSG" (revidiertes DSG, juristisch verbreitet) sind beide gebräuchlich und korrekt. Dieser Email-Security-Ratgeber verwendet "revDSG" Cross-Welle-konsistent. Art. 7 verlangt Privacy by Design und Default, Art. 8 Datensicherheit und Art. 24 die Meldepflicht an den EDÖB "so rasch wie möglich" bei hohem Risiko. Bußen reichen bis CHF 250.000 und wirken auf natürliche Personen — das persönliche Haftungsrisiko ist damit potenziell höher als bei der DSGVO, die Unternehmen sanktioniert.

Welche Dokumentationsvorlagen brauche ich für die DSGVO-Compliance im E-Mail-Bereich?

Mindestens vier Dokumente: (1) Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 mit E-Mail-spezifischen Einträgen für jede Geschäftsanwendung, die E-Mail nutzt — Beispiele: Newsletter, Kundenkommunikation, interne Kommunikation, Bewerbungsprozesse; (2) Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 für E-Mail-Anwendungen mit hohem Risiko — etwa Marketing-Automation mit Tracking; (3) Technische und organisatorische Maßnahmen (TOM-Liste) gemäß Art. 32 mit konkreten Maßnahmen wie SPF/DKIM/DMARC, TLS 1.2+, MTA-STS, Quartals-Scans und DKIM-Rotation; (4) Auftragsverarbeitungsverträge (AVV) nach Art. 28 mit E-Mail-Providern (Microsoft 365, Google Workspace, deutsche Hoster). Die TOM-Liste in diesem Kapitel ist als Vorlage direkt anwendbar.

Wie steht Ihre Domain bei DSGVO für E-Mail in DACH?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten