datenschutz bei e mail verkehr

Datenschutz bei E-Mail-Verkehr

/ Allgemein, Datenschutz

Warum Datenschutz bei E-Mails geschäftskritisch ist

E-Mails sind das Rückgrat der modernen Geschäftskommunikation. Täglich werden Millionen geschäftlicher E-Mails versendet – mit Verträgen, Kundeninformationen, Bewerberdaten oder vertraulichen Unternehmensinformationen. Doch genau diese alltägliche Selbstverständlichkeit birgt erhebliche datenschutzrechtliche Risiken.

Viele Unternehmen unterschätzen die rechtlichen Anforderungen an den E-Mail-Verkehr. Dabei können Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) zu empfindlichen Bußgeldern führen. Die Datenschutzbehörden haben in den vergangenen Jahren verstärkt E-Mail-Systeme und deren Sicherheitsstandards in den Fokus gerückt.

Die Herausforderung besteht darin, dass E-Mail-Kommunikation verschiedene datenschutzrechtliche Bereiche berührt: die Verarbeitung personenbezogener Daten, die Informationssicherheit, die Aufbewahrungspflichten und die Rechte betroffener Personen. Hinzu kommen arbeitsrechtliche Aspekte bei der privaten Nutzung geschäftlicher E-Mail-Accounts oder dem Zugriff auf E-Mails ausgeschiedener Mitarbeiter.

Kontakt aufnehmen
Inhaltsübersicht
  1. Warum Datenschutz bei E-Mails geschäftskritisch ist
  2. Das Wichtigste im Überblick
  3. Rechtliche Grundlagen: DSGVO und E-Mail-Kommunikation
  4. E-Mail-Verschlüsselung: Transportverschlüsselung vs. Ende-zu-Ende-Verschlüsselung
  5. E-Mail-Archivierung: Aufbewahrungspflichten und Löschkonzepte
  6. Private Nutzung geschäftlicher E-Mail-Accounts
  7. Zugriff auf E-Mail-Konten ausgeschiedener Mitarbeiter
  8. Umgang mit Datenpannen im E-Mail-Verkehr
  9. Checkliste: Datenschutzkonforme E-Mail-Kommunikation
  10. Handlungsempfehlung
  11. Häufig gestellte Fragen 

Das Wichtigste im Überblick

  • E-Mail-Kommunikation unterliegt der DSGVO: Jede geschäftliche E-Mail, die personenbezogene Daten enthält, muss datenschutzkonform verarbeitet werden – von der Verschlüsselung über die Aufbewahrung bis zur Löschung.
  • Arbeitgeber tragen die Verantwortung: Unternehmen müssen technische und organisatorische Maßnahmen implementieren, um E-Mails vor unbefugtem Zugriff zu schützen und rechtliche Vorgaben wie Verschlüsselung und Zugriffsprotokolle einzuhalten.
  • Mitarbeiter-E-Mails erfordern klare Regelungen: Die Nutzung privater E-Mail-Accounts für geschäftliche Zwecke, der Zugriff auf E-Mail-Konten ausgeschiedener Mitarbeiter und die private Nutzung geschäftlicher E-Mails müssen durch Betriebsvereinbarungen oder Dienstanweisungen geregelt sein.

Rechtliche Grundlagen: DSGVO und E-Mail-Kommunikation

Art. 5 DSGVO: Grundsätze der Datenverarbeitung

Rechtmäßigkeit und Transparenz: Jede Verarbeitung personenbezogener Daten durch E-Mail-Kommunikation benötigt eine Rechtsgrundlage. In den meisten Fällen ist diese Art. DSGVO. Empfänger müssen über die Datenverarbeitung informiert werden, etwa durch Datenschutzhinweise in der E-Mail-Signatur oder auf der Website.

Zweckbindung: E-Mails dürfen nur für den ursprünglichen Zweck verwendet werden. Eine Kundenkommunikation per E-Mail rechtfertigt nicht automatisch die Aufnahme in einen Newsletterverteiler.

Datenminimierung: Es sollten nur die notwendigen personenbezogenen Daten per E-Mail kommuniziert werden.

Speicherbegrenzung: E-Mails müssen gelöscht werden, sobald der Verarbeitungszweck entfallen ist. Automatische Löschfristen in E-Mail-Systemen helfen, diesen Grundsatz umzusetzen.

Art. 32 DSGVO: Sicherheit der Verarbeitung

Art. 32 DSGVO verpflichtet Unternehmen, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Für E-Mail-Systeme bedeutet dies:

Verschlüsselung: Die Transportverschlüsselung sollte Standard sein. Bei sensiblen Daten ist eine Ende-zu-Ende-Verschlüsselung erforderlich.

Zugriffskontrolle: Nur berechtigte Personen dürfen auf E-Mail-Postfächer zugreifen. Dies erfordert sichere Authentifizierungsverfahren, idealerweise Mehr-Faktor-Authentifizierung.

Protokollierung: Zugriffe auf E-Mail-Systeme sollten protokolliert werden, um unbefugte Zugriffe nachvollziehen zu können.

Vertraulichkeit: E-Mails müssen vor unbefugtem Zugriff geschützt werden, sowohl während der Übertragung als auch bei der Speicherung.

E-Mail-Verschlüsselung: Transportverschlüsselung vs. Ende-zu-Ende-Verschlüsselung

Transportverschlüsselung 

Die Transportverschlüsselung mittels Transport Layer Security schützt E-Mails während der Übertragung zwischen Mail-Servern. Dies ist heute Standard und sollte von jedem Unternehmen implementiert sein.

TLS verschlüsselt die Verbindung zwischen Absender und Empfänger, nicht jedoch die E-Mail selbst. Das bedeutet: Die E-Mail liegt auf den beteiligten Mail-Servern unverschlüsselt vor. Server-Administratoren oder Angreifer mit Zugriff auf die Server können die Inhalte lesen.

Für normale Geschäftskorrespondenz ohne besonders sensible Inhalte ist TLS ausreichend. Bei vertraulichen Informationen – etwa Gesundheitsdaten, Bankdaten oder anwaltliche Korrespondenz – reicht TLS jedoch nicht aus.

Ende-zu-Ende-Verschlüsselung 

Bei der Ende-zu-Ende-Verschlüsselung wird die E-Mail bereits beim Absender verschlüsselt und kann erst vom Empfänger wieder entschlüsselt werden. Zwischengeschaltete Server können den Inhalt nicht lesen.

Praxistipp: Als datenschutzkonformer Kompromiss bieten sich sichere Datenaustauschplattformen an. Anstatt sensible Dokumente per E-Mail zu versenden, stellen Sie diese auf einer verschlüsselten Plattform bereit und versenden nur einen Download-Link per E-Mail.

E-Mail-Archivierung: Aufbewahrungspflichten und Löschkonzepte

Gesetzliche Aufbewahrungsfristen

E-Mails unterliegen unterschiedlichen Aufbewahrungspflichten, abhängig von ihrem Inhalt:

Steuerrechtliche Aufbewahrungspflichten gelten für alle Unterlagen, die für die Besteuerung relevant sind. Auch hier beträgt die Frist in der Regel zehn Jahre.

Besondere Aufbewahrungsfristen gelten für spezielle Branchen oder Dokumenttypen, etwa im Gesundheitswesen oder bei Personalakten.

Nicht jede E-Mail muss aufbewahrt werden. Private E-Mails, rein interne Abstimmungen ohne geschäftliche Relevanz oder Newsletter unterliegen keinen Aufbewahrungspflichten.

Löschkonzept entwickeln

Der Grundsatz der Speicherbegrenzung aus Art. 5 DSGVO erfordert, dass personenbezogene Daten gelöscht werden, sobald sie für den ursprünglichen Zweck nicht mehr erforderlich sind.

Ein datenschutzkonformes Löschkonzept für E-Mails sollte folgende Elemente enthalten:

Kategorisierung: Unterscheiden Sie zwischen E-Mails mit und ohne Aufbewahrungspflicht. Nutzen Sie Ordnerstrukturen oder Tags, um aufbewahrungspflichtige E-Mails zu kennzeichnen.

Automatische Löschfristen: Implementieren Sie automatische Löschfristen für verschiedene E-Mail-Kategorien. Nicht aufbewahrungspflichtige E-Mails sollten nach einer angemessenen Frist automatisch gelöscht werden.

Mitarbeiterschulung: Sensibilisieren Sie Ihre Mitarbeiter dafür, welche E-Mails archiviert werden müssen und welche gelöscht werden können.

Technische Umsetzung: Nutzen Sie Archivierungssysteme, die eine rechtssichere Aufbewahrung und gleichzeitig die Einhaltung von Löschfristen gewährleisten.

Dokumentation: Halten Sie Ihre Löschfristen und -prozesse schriftlich fest. Dies erleichtert die Nachweispflicht gegenüber Datenschutzbehörden.

Bei einer Kontaktaufnahme unterstütze ich Sie gerne bei der Entwicklung eines maßgeschneiderten Löschkonzepts für Ihr Unternehmen.

Private Nutzung geschäftlicher E-Mail-Accounts

Rechtliche Ausgangslage

Die Frage, ob Mitarbeiter ihre geschäftlichen E-Mail-Accounts privat nutzen dürfen, hat weitreichende datenschutzrechtliche Konsequenzen. Viele Arbeitgeber erlauben dies stillschweigend oder regeln es nicht explizit.

Erlaubt der Arbeitgeber die private Nutzung, beschränkt er sich in der Verwaltung seiner Unternehmensdaten. Denn eine solche Erlaubnis bedeutet:

  • Der Arbeitgeber darf private E-Mails grundsätzlich nicht zur Kenntnis nehmen
  • Die Kontrolle des E-Mail-Verkehrs ist stark eingeschränkt
  • Selbst bei Verdacht auf Pflichtverletzungen ist der Zugriff auf private E-Mails problematisch
  • Technische Maßnahmen zur Überwachung (etwa DLP-Systeme) müssen private E-Mails ausnehmen

Praxisgerechte Regelungen

Die meisten Unternehmen verbieten die private Nutzung geschäftlicher E-Mail-Accounts vollständig. Dies ist aus datenschutzrechtlicher Sicht die einfachste Lösung. Ein solches Verbot sollte schriftlich in einer Betriebsvereinbarung, Dienstanweisung oder im Arbeitsvertrag fixiert werden.

Alternativ können Unternehmen die private Nutzung in eng begrenztem Umfang erlauben. In diesem Fall sind folgende Regelungen empfehlenswert:

Kennzeichnungspflicht: Private E-Mails müssen im Betreff als solche gekennzeichnet werden. Dies ermöglicht eine technische Filterung.

Einwilligung für Notfallzugriff: Für den Fall einer längeren Abwesenheit oder beim Ausscheiden sollten Mitarbeiter vorab einwilligen, dass auf ihr E-Mail-Postfach zugegriffen werden darf.

Separate private Postfächer: Technisch kann die Trennung durch separate private Postfächer innerhalb des geschäftlichen Systems erfolgen, auf die der Arbeitgeber grundsätzlich keinen Zugriff hat.

Zugriff auf E-Mail-Konten ausgeschiedener Mitarbeiter

Problemstellung

Wenn Mitarbeiter das Unternehmen verlassen, stellt sich regelmäßig die Frage, wie mit ihrem E-Mail-Postfach umgegangen werden soll. Häufig sind wichtige Kundenkorrespondenzen oder Projektinformationen im Postfach enthalten, die für die Fortführung der Geschäftstätigkeit benötigt werden.

Ein uneingeschränkter Zugriff auf das E-Mail-Konto ausgeschiedener Mitarbeiter ist datenschutzrechtlich jedoch problematisch. Das Postfach kann private E-Mails enthalten, selbst wenn die private Nutzung verboten ist. Auch geschäftliche E-Mails können persönliche Informationen des Mitarbeiters oder Dritter enthalten.

Rechtssichere Vorgehensweise

Vor dem Ausscheiden: Die beste Lösung ist eine rechtzeitige Vorbereitung. Bitten Sie ausscheidende Mitarbeiter, wichtige Geschäftskorrespondenz zu übergeben und private E-Mails zu löschen. Dokumentieren Sie diese Übergabe schriftlich.

Regelungen im Arbeitsvertrag: Nehmen Sie bereits im Arbeitsvertrag oder in einer Betriebsvereinbarung eine Regelung auf, die den Zugriff auf das E-Mail-Konto für geschäftliche Zwecke nach dem Ausscheiden erlaubt. Verbinden Sie dies mit einem Verbot der privaten Nutzung.

Abwesenheitsnotiz und Weiterleitung: Richten Sie eine Abwesenheitsnotiz ein, die den Absender über das Ausscheiden informiert und alternative Ansprechpartner nennt. Richten Sie eine Weiterleitung nur für E-Mails ein, die eindeutig geschäftlicher Natur sind.

Zeitlich begrenzte Aufbewahrung: Das E-Mail-Konto sollte nicht unbegrenzt aufbewahrt werden. Nach einer Übergangsfrist von 3-6 Monaten sollte es gelöscht werden.

Umgang mit Datenpannen im E-Mail-Verkehr

Typische E-Mail-Datenpannen

E-Mail-Pannen gehören zu den häufigsten Datenschutzverstößen:

  • Versand an falsche Empfänger
  • Offenlegung von E-Mail-Adressen durch fehlerhafte Verwendung des CC-Feldes 
  • Verlust oder Diebstahl von Geräten mit Zugriff auf E-Mail-Postfächer
  • Phishing-Angriffe, durch die Angreifer Zugang zu E-Mail-Konten erlangen
  • Ransomware-Angriffe auf E-Mail-Server

Meldepflicht nach Art. 33 DSGVO

Kommt es zu einer Datenpanne, muss geprüft werden, ob eine Meldepflicht besteht. Nach Art. 33 DSGVO müssen Datenpannen binnen 72 Stunden an die zuständige Datenschutzbehörde gemeldet werden, wenn sie voraussichtlich ein Risiko für die Rechte und Freiheiten betroffener Personen darstellen.

Ein Risiko liegt etwa vor, wenn:

  • Sensible Daten betroffen sind (Gesundheitsdaten, Bankdaten)
  • Eine größere Anzahl von Personen betroffen ist
  • Die Daten in die Hände Unbefugter gelangt sein könnten
  • Identitätsdiebstahl oder Betrug drohen

Sofortmaßnahmen bei E-Mail-Pannen

Sollte eine Datenpanne im E-Mail-Verkehr eintreten, sind folgende Schritte empfehlenswert:

  1. Schaden begrenzen: Versuchen Sie, die fehlerhafte E-Mail zurückzurufen oder weitere Schäden zu verhindern
  2. Dokumentation: Halten Sie den Vorfall detailliert fest (was, wann, wie, wer betroffen)
  3. Risikobewertung: Bewerten Sie das Risiko für die betroffenen Personen
  4. Meldung: Melden Sie den Vorfall gegebenenfalls an die Datenschutzbehörde
  5. Information: Informieren Sie betroffene Personen, wenn ein hohes Risiko besteht
  6. Maßnahmen: Ergreifen Sie Maßnahmen, um künftige Vorfälle zu verhindern

Checkliste: Datenschutzkonforme E-Mail-Kommunikation

Technische Maßnahmen

  • Transportverschlüsselung (TLS) aktiviert
  • Für sensible Daten Ende-zu-Ende-Verschlüsselung implementiert
  • Sichere Authentifizierung (idealerweise Mehr-Faktor-Authentifizierung)
  • Aktuelle Anti-Spam- und Anti-Phishing-Lösungen
  • Regelmäßige Sicherheitsupdates für E-Mail-Server und -Clients
  • Protokollierung von Zugriffen auf E-Mail-Systeme

Organisatorische Maßnahmen

  • Regelungen zur privaten Nutzung geschäftlicher E-Mails
  • Löschkonzept mit automatischen Löschfristen
  • Archivierungsrichtlinie unter Beachtung von Aufbewahrungsfristen
  • Regelungen für Zugriff auf E-Mails ausgeschiedener Mitarbeiter
  • Betriebsvereinbarung oder Dienstanweisung zum E-Mail-Verkehr
  • Notfallplan für Datenpannen

Mitarbeiterschulung

  • Schulung zur sicheren E-Mail-Nutzung
  • Sensibilisierung für Phishing-Angriffe
  • Anleitung zur Verwendung von CC/BCC
  • Information über Umgang mit sensiblen Daten
  • Schulung zu Aufbewarungs- und Löschpflichten

Newsletter und E-Mail-Marketing

  • Double-Opt-In-Verfahren implementiert
  • Dokumentation aller Einwilligungen
  • Abmeldemöglichkeit in jeder E-Mail
  • Auftragsverarbeitungsvertrag mit Newsletter-Dienstleister
  • Information über Tracking in Datenschutzerklärung

Dokumentation

  • Verzeichnis von Verarbeitungstätigkeiten enthält E-Mail-Verarbeitung
  • Datenschutz-Folgenabschätzung bei sensiblen E-Mail-Inhalten
  • Dokumentation technischer und organisatorischer Maßnahmen
  • Datenschutzhinweise in E-Mail-Signatur oder auf Website

Handlungsempfehlung

E-Mail-Kommunikation ist aus dem Geschäftsalltag nicht wegzudenken. Gleichzeitig birgt sie erhebliche datenschutzrechtliche Risiken, die viele Unternehmen unterschätzen. Die DSGVO stellt klare Anforderungen an die technische Sicherheit, die Aufbewahrung und Löschung sowie den Umgang mit Mitarbeiter-E-Mails.

Die gute Nachricht: Mit den richtigen Maßnahmen lässt sich E-Mail-Kommunikation datenschutzkonform gestalten. Der Schlüssel liegt in einem ganzheitlichen Ansatz, der technische Lösungen mit organisatorischen Regelungen und Mitarbeiterschulungen verbindet.

Prüfen Sie anhand der Checkliste, ob Ihr Unternehmen die wesentlichen Anforderungen erfüllt. Besonders wichtig sind:

  • Eine klare Regelung zur privaten Nutzung geschäftlicher E-Mails
  • Ein Löschkonzept mit automatischen Löschfristen
  • Verschlüsselung sensibler E-Mail-Inhalte
  • Prozesse für den Umgang mit E-Mails ausgeschiedener Mitarbeiter

Als Rechtsanwalt und zertifizierter Datenschutzbeauftragter unterstütze ich Unternehmen dabei, ihre E-Mail-Kommunikation rechtskonform zu gestalten. Von der Entwicklung maßgeschneiderter Löschkonzepte über die Implementierung technischer Maßnahmen bis zur Schulung Ihrer Mitarbeiter – ich begleite Sie auf dem Weg zur datenschutzkonformen E-Mail-Kommunikation.

Vereinbaren Sie ein Erstgespräch, um Ihre Situation zu besprechen. Gemeinsam finden wir praxisgerechte Lösungen, die Ihre Geschäftsprozesse unterstützen und gleichzeitig rechtliche Sicherheit schaffen.

Häufig gestellte Fragen 

Muss ich alle geschäftlichen E-Mails verschlüsseln?

Nein, nicht jede E-Mail muss verschlüsselt werden. Die Transportverschlüsselung (TLS) sollte jedoch Standard sein. Eine Ende-zu-Ende-Verschlüsselung ist nur bei besonders sensiblen Daten erforderlich, etwa bei Gesundheitsdaten, Bankdaten oder vertraulichen Unternehmensinformationen. Für normale Geschäftskorrespondenz ohne sensible Inhalte genügt TLS.

Wie lange muss ich geschäftliche E-Mails aufbewahren?

Das hängt vom Inhalt der E-Mail ab. Buchungsrelevante E-Mails (etwa Rechnungen) müssen zehn Jahre aufbewahrt werden. Geschäftsbriefe unterliegen einer sechsjährigen Aufbewahrungsfrist. Nicht geschäftsrelevante E-Mails sollten dagegen zeitnah gelöscht werden, um den Grundsatz der Speicherbegrenzung einzuhalten.

Dürfen Mitarbeiter geschäftliche E-Mail-Accounts privat nutzen?

Rechtlich ist die private Nutzung möglich, führt aber zu erheblichen datenschutzrechtlichen Komplikationen. Aus diesem Grund verbieten die meisten Unternehmen die private Nutzung vollständig. Wenn Sie die private Nutzung erlauben, sollten Sie dies klar regeln und eine Kennzeichnungspflicht für private E-Mails einführen.

Darf ich auf das E-Mail-Konto eines ausgeschiedenen Mitarbeiters zugreifen?

Grundsätzlich ja, wenn Sie die private Nutzung verboten haben und dies im Arbeitsvertrag oder einer Betriebsvereinbarung geregelt ist. Am besten ist es, wenn ausscheidende Mitarbeiter ihr Postfach vor dem Ausscheiden übergeben. Bei einem nachträglichen Zugriff sollten Sie das Vier-Augen-Prinzip beachten und nur auf geschäftsrelevante E-Mails zugreifen.

Brauche ich für den Versand eines Newsletters immer eine Einwilligung?

In der Regel ja. Der Newsletter-Versand erfordert eine ausdrückliche Einwilligung im Double-Opt-In-Verfahren.

Was muss ich tun, wenn ich eine E-Mail an den falschen Empfänger gesendet habe?

Versuchen Sie zunächst, die E-Mail zurückzurufen. Bewerten Sie das Risiko für die betroffenen Personen. Bei sensiblen Daten oder einem hohen Risiko müssen Sie den Vorfall binnen 72 Stunden an die Datenschutzbehörde melden. Dokumentieren Sie den Vorfall und ergreifen Sie Maßnahmen, um künftige Fehler zu vermeiden.

Muss ich meine Mitarbeiter im Datenschutz bei E-Mails schulen?

Ja, Mitarbeiterschulungen sind Teil der organisatorischen Maßnahmen nach Art. 32 DSGVO. Ihre Mitarbeiter sollten wissen, wie sie E-Mails sicher nutzen, wie sie Phishing-Angriffe erkennen und wie sie mit sensiblen Daten umgehen. Regelmäßige Schulungen reduzieren das Risiko von Datenpannen erheblich.

Brauche ich einen externen Datenschutzbeauftragten für meine E-Mail-Kommunikation?

Ab 20 Mitarbeitern, die ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, benötigen Sie einen Datenschutzbeauftragten. E-Mail-Kommunikation allein löst diese Pflicht meist nicht aus. Ein externer Datenschutzbeauftragter kann Sie jedoch dabei unterstützen, Ihre E-Mail-Prozesse datenschutzkonform zu gestalten und Bußgelder zu vermeiden.

Kontakt aufnehmen
Nach oben scrollen