E-Mail-Verschlüsselung nach DSGVO: TLS oder Ende-zu-Ende?
Beitrag von Oliver Daum, Fachanwalt für IT-Recht
Zwei Gerichte, zwei Urteile und ein scheinbarer Widerspruch bei der E-Mail-Verschlüsselung: Während das OLG Schleswig im Dezember 2024 für eine Werklohnrechnung über 15.000 € eine Ende-zu-Ende-Verschlüsselung verlangte, hielt das VG Düsseldorf im April 2026 die bloße Transportverschlüsselung für ausreichend. Wer nur die Schlagzeilen liest, vermutet juristisches Chaos. In Wahrheit zeigen die Urteile aber einen sauberen risikobasierten Maßstab nach Art. 32 DSGVO. In diesem Blogbeitrag ordne ich beide Entscheidungen zur E-Mail-Verschlüsselung ein und sage, was das für die Praxis von Unternehmen bedeutet.
E-Mail-Verschlüsselung: Risikobasierter Maßstab nach Art. 32 DSGVO
Auf den ersten Blick sieht es nach Sprengstoff für Datenschutzbeauftragte aus: Das Oberlandesgericht Schleswig (Urteil v. 18. Dezember 2024, Az: 12 U 9/24) und das Verwaltungsgericht Düsseldorf (Urteil v. 2. April 2026, Az: 29 K 7351/23) kommen bei der E-Mail-Verschlüsselung zu unterschiedlichen Ergebnissen. Beide Gerichte berufen sich dabei auf denselben Grundgedanken aus Art. 32 DSGVO: Das technische Schutzniveau muss zum konkreten Risiko passen.
Unternehmen müssen aber wissen, ob ihre E-Mail-Routinen DSGVO-konform sind oder ob Bußgelder, Schadensersatzforderungen nach Art. 82 DSGVO und Reputationsschäden drohen. Die Antwort auf diese Frage ist – wie häufig im Datenschutzrecht – differenziert. Sie hängt nicht vom Kommunikationskanal allein ab, sondern vom Inhalt der Nachricht, dem Schutzbedarf der betroffenen Person und dem möglichen Schadensumfang im Falle eines unbefugten Zugriffs.
Wann ist Ende-zu-Ende-Verschlüsselung Pflicht?
Im Schleswiger Fall hatte ein Bauunternehmen eine Rechnung in Höhe von 15.385,78 € als PDF per E-Mail versendet, gesichert nur durch TLS-Transportverschlüsselung. Unbekannte fingen die Mail ab und manipulierten die Bankverbindung. Der Kunde überwies an die Betrüger. Das OLG Schleswig wertete die Transportverschlüsselung als Verstoß gegen die DSGVO.
Tragender Gedanke der Richter: Bei einem hohen finanziellen Risiko durch mögliche Manipulation reichen die Sicherheitsstandards einer reinen Transportverschlüsselung nicht aus. Die geeignete Maßnahme gem. Art. 32 DSGVO ist die Ende-zu-Ende-Verschlüsselung. Mit dem Urteil sendet das OLG ein klares Signal zur E-Mail-Verschlüsselung im B2B-Bereich – und an alle Branchen, die Rechnungen oder vertrauliche Vertragsunterlagen elektronisch versenden. Bei Geschäfts- und Betriebsgeheimnissen sieht dies auch das OLG Karlsruhe (Urteil v. 27.07.2023, Az: 19 U 83/22) so. Wichtig: Das OLG Schleswig hat aber keineswegs erklärt, dass E2E-Verschlüsselung immer erforderlich ist!
Wann reicht TLS-Transportverschlüsselung aus?
Ganz anders der Fall vor dem VG Düsseldorf: Ein Busunternehmen hatte nach einem Verkehrsunfall lediglich den Namen des Geschädigten per E-Mail an seine Haftpflichtversicherung übermittelt. Der Geschädigte verfügte zwar über eine Auskunftssperre nach § 51 BMG, doch das Gericht sah in der Übermittlung kein erhöhtes Risiko: Der Name sei ohnehin frei zugänglich, ein Bezug zur Privatanschrift nicht herstellbar. Die Transportverschlüsselung genüge hier den Anforderungen aus Art. 32 DSGVO.
Die Einzelrichterin bewertete also Schwere und Eintrittswahrscheinlichkeit eines Schadens und kam zum Ergebnis: normales Risiko, geringer Schadenumfang. Wichtig hier: Das VG hat nicht gesagt, dass TLS immer ausreiche. Es hat vielmehr für den konkreten Sachverhalt eine Verhältnismäßigkeitsprüfung durchgeführt – und das mit Augenmaß.
Kein Widerspruch – aber Folgen für die Praxis
Wer die beiden Urteile nebeneinanderlegt, erkennt schnell: Es handelt sich nicht um konkurrierende Rechtsauffassungen, sondern um zwei korrekte Anwendungen desselben risikobasierten Maßstabs auf unterschiedliche Sachverhalte. Hohes finanzielles Risiko und sensible Inhalte ziehen strenge Maßstäbe nach sich. Geringfügige Datenoffenlegungen mit normalem Risiko nicht. So die Rechtslage. Die die Unternehmenpraxis aber vor erhebliche Probleme stellt.
Denn wer im B2B E-Mails mit Geschäfts- und Betriebsgeheimnissen sowie Rechnungen mit relevanten Beträgen versendet, muss Ende-zu-Ende verschlüsseln. Eine E2E-Verschlüsselung ist jedoch nur schwer umsetzbar. Voraussetzung ist, dass Sender und Empfänger sich auf ein Protokoll – etwa über S/MIME oder OpenPGP – verständigen und beide ihre öffentlichen Schlüssel bereitstellen. Genau hier liegt der praktische Knackpunkt.
Bewertung: Was hinter dem OLG-Urteil steht
Aus meiner Beratungspraxis kann ich bestätigen, dass die E2E-Verschlüsselung im B2B-Bereich nur wenig verbreitet ist. Der Grund liegt darin, dass sie eine Koordinationshürde schafft, die in heterogenen Geschäftsbeziehungen – etwa zwischen Mittelstand, Großkonzern und Verbraucher – kaum überwindbar ist. Unternehmen befürchten daher, dass das OLG Schleswig zum Anlass genommen wird, um die Haftung wegen der E-Mail-Verschlüsselung auszuweiten, obwohl sich E2E nicht in der Praxis widerspiegelt.
Vermutlich hatte das OLG eine grundsätzlichere Bedeutung seines Urteils für den B2B-Verkehr im Blick, wo der finanzielle Schaden schnell weit über 15.000 € hinausgehen kann. „Normales Risiko“ – wie im Düsseldorfer Fall – liegt damit ersichtlich nicht vor.
Hinzu kommt eine Praxisdimension: Die IT-Bedrohungslage und damit auch die Anforderungen an die E-Mail-Verschlüsselung ändern sich rasant. Was heute als angemessen gilt, kann in fünf Jahren überholt sein. Wenn E2E-Verschlüsselung o. ä. durch bessere Tools der breiten Anwendung zugänglich gemacht sein wird, wird sich der Maßstab des „Standes der Technik“ in Art. 32 DSGVO mitverschieben. Aktuell ist E2E im B2C-Bereich häufig noch nicht praktikabel; das ist allerdings ein dynamischer, kein statischer Befund.
E-Mail-Verschlüsselung in der Praxis: Faustregel für Unternehmen
Für die Unternehmenspraxis bleibt es bei einfach gelagerten Inhalten mit geringem Risiko – etwa einer reinen Namensnennung in einem alltäglichen Schadensvorgang – dabei, dass die TLS-Transportverschlüsselung ausreichend ist. Insgesamt ergibt sich daraus folgende Faustregel zur E-Mail-Verschlüsselung: Hohes Risiko, sensible Daten, B2B-Geheimnisse → E2E. Alltägliches mit geringem Risiko → TLS reicht.
Für die anwaltliche Gerichtspraxis liefern beide Urteile saubere Argumentationsbausteine. Wer als Kläger einen Verstoß gegen Art. 32 DSGVO geltend machen und Schadensersatz nach Art. 82 DSGVO einfordern will, wird sich auf das OLG Schleswig stützen – insbesondere, wenn ein hoher Vermögensschaden droht oder besondere Geheimhaltungsinteressen bestehen. Wer als Beklagter einen vermeintlichen Verstoß abwehren möchte, verweist auf das VG Düsseldorf und die geringe Risikorelevanz der konkreten Datenverarbeitung.
Sie kommen aus Kiel oder Schleswig-Holstein und benötigen Unterstützung bei der DSGVO-konformen Ausgestaltung Ihrer E-Mail-Kommunikation? Oder Sie kommen aus dem übrigen Bundesgebiet und haben Fragen zur Einordnung von Art. 32 DSGVO? Dann nehmen Sie gerne Kontakt zu mir auf.
Kontakt
Dr. Oliver Daum
Fachanwalt für IT-Recht
Datenschutzbeauftragter (IHK)
IT-Sicherheitsbeauftragter (IHK)
