• Start
V-Hub by Vodafone BusinessSecuritySicherheitDatenschutz bei E-Mails: So schützen Sie vertrauliche Daten
Security

Datenschutz bei E-Mails

So schützen Sie vertrauliche Daten

Jetzt Geräte schützen
Portrait von Freca DumreseFreca Dumrese
23.12.2025
11 Min.

    Jede E-Mail kann eine Datenschutzfalle sein. Unverschlüsselte Inhalte, Fehlversand, Phishing – die Risiken sind real und werden von Unternehmen oft unterschätzt. Erfahren Sie hier, wie Sie Ihre E-Mail-Kommunikation sicher und rechtskonform gestalten.

    Inhaltsverzeichnis

    Datenschutz bei E-Mails: Das Wichtigste in KürzeWas Unternehmen über Datenschutz im E-Mail-Verkehr wissen müssenWarum jede E-Mail ein Risiko birgt – die unterschätzte GefahrPersonenbezogene Daten in E-Mails – was gilt laut DSGVO?

    Datenschutz bei E-Mails: Das Wichtigste in Kürze

    • E-Mails gehören zu den wichtigsten Kommunikationskanälen in Unternehmen – und gleichzeitig zu den häufigsten Ursachen für Datenschutzvorfälle.
    • Standardmäßig versendete E-Mails sind wie Postkarten: Ohne zusätzliche Schutzmaßnahmen lassen sich Inhalte beim Versand mitlesen, manipulieren oder sogar umleiten.
    • Entsprechend der DSGVO müssen für E-Mails bestimmte technische und organisatorische Maßnahmen (TOMs) umgesetzt werden. Wesentliche Schutzmaßnahmen für den geschäftlichen E-Mail-Verkehr sind die Transportverschlüsselung (TLS) und die Ende-zu-Ende-Verschlüsselung (z.B. S/MIME, PGP).
    • In der E-Mail-Kommunikation sind insbesondere die personenbezogenen Daten geschützt. Der Schutz bezieht sich auf E-Mail-Adressen, Inhalte und Dateianhänge von Mails.
    • Unternehmen müssen die rechtlichen Vorschriften strikt einhalten, wenn sie E-Mails aufbewahren und löschen.
    • Regelmäßige Schulungen wie z.B. Awareness-Trainings sind nötig, damit Mitarbeitende in der Lage sind, Phishing-Mails zu erkennen und E-Mail-Daten korrekt zu handhaben.
    Unkenntlicher Computerhacker tippt auf einem Smartphone

    Lookout: Die Sicherheitslösung für kleine Unternehmen

    Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

    Integrieren Sie Lookout in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-out in Ihrer mobilen Flotte.

    Neu: Jetzt mit Vodafone Managed Endpoint Sercurity Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

    Jetzt Geräte schützen

    Was Unternehmen über Datenschutz im E-Mail-Verkehr wissen müssen

    Unternehmen müssen E-Mail-Kommunikation als datenschutzrelevanten Prozess begreifen – nicht einfach nur als Routineangelegenheit.
    Dies beginnt bei der Rechtsgrundlage für die Verarbeitung und setzt sich in der technischen Absicherung und organisatorischen Steuerung fort.
    Technische Verfahren wie Transportverschlüsselung und Inhaltsverschlüsselung sind wichtige Bausteine, um die Regeln der Datenschutz-Grundverordnung (DSGVO) umzusetzen und den E-Mail-Verkehr zukunftssicher zu gestalten.
    Wichtig für Unternehmen ist es zunächst einmal zu berücksichtigen, dass E-Mail-Adressen gemäß DSGVO zu den geschützten personenbezogenen Daten gehören. Der Datenschutz bezieht sich also nicht nur auf die Inhalte und Anhänge von E-Mails.
    Datenschutz im E-Mail-Verkehr umfasst:
    • E-Mail-Adressen
    • Inhalte von E-Mails
    • Anhänge
    Die allgemeinen Datenschutzpflichten von Unternehmen hinsichtlich ihres E-Mail-Verkehrs sind im Einzelnen:
    1. Vertraulichkeit: Inhalte und Anhänge dürfen nicht für Unbefugte zugänglich sein. Technisch ist daher mindestens das Verschlüsselungsprotokoll TLS (Transport Layer Security) für den Transport zwischen Mail-Servern erforderlich. Echte Vertraulichkeit bietet aber nur eine Inhaltsverschlüsselung per Ende-zu-Ende-Verschlüsselung (E2EE).
    2. Integrität: Empfänger:innen von E-Mails sollten darauf vertrauen können, dass die Absender-Mail-Adresse korrekt ist und zu der Person gehört, die in der Nachricht als Absender steht. E-Mail-Adressen müssen daher vor Manipulation geschützt sein. Hierfür gibt es bestimmte Authentifizierungsstandards wie Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting & Conformanc (DMARC).
    3. Verfügbarkeit: Ansprechpersonen und Datenschutzbeauftragte müssen über die angegebenen E-Mail-Adressen tatsächlich auch verfügbar sein.
    4. Zugriffsregelung: E-Mails lassen sich zwar einfach verbreiten und weiterleiten, dennoch ist der Zugriff nicht für alle gedacht. Unternehmen sollten klare Regeln aufzustellen, wer geschäftliche Postfächer lesen darf. Dies gilt besonders für „geteilte“ Postfächer. Zu einem Rollen- und Berechtigungskonzept gehört es auch, Stellvertreterrechte zu dokumentieren.
    5. Archivierung & Aufbewahrung: Für E-Mails gelten gesetzliche Aufbewahrungspflichten z.B. aus dem Handels- und Steuerrecht. Unternehmen müssen diese im Einzelfall mit Datenschutzvorgaben (z.B. Zweckbindung, Löschung) in Einklang bringen.
    6. Protokollierung & Nachvollziehbarkeit: Zugriffe und Sicherheitsereignisse müssen nachvollziehbar dokumentiert werden.
    Praktischerweise erleichtern heute viele Anbieter von E-Mail-Systemen Nutzer:innen den Alltag, indem sie zahlreiche Sicherheitsfunktionen bereits „ab Werk“ integrieren. Dazu gehören z.B. Microsoft 365 Business, Exchange Online, Google Workspace und Mail von Apple.
    Allerdings sind diese keine „Selbstläufer“. Ohne eine saubere Konfiguration kann also dennoch ein Sicherheitsloch bestehen. Nutzen Sie deshalb etwa eine TLS-Mindestversionen, sichere Cipher-Suites, Anti-Spoofing, Malware-Filter und beachten Sie Data-Loss-Prevention-Regeln.
    Mehr zu Lookout

    Warum jede E-Mail ein Risiko birgt – die unterschätzte Gefahr

    Um die E-Mail-Sicherheit ranken sich viele Mythen: Zudem sind Mitarbeitende oft der Ansicht, dass sie die wesentlichen Regeln kennen und auch berücksichtigen. Demgegenüber steht die Tatsache, dass E-Mails aktuell eines der größten Cyberrisiken für Unternehmen darstellen.
    Viele Vorfälle sind banal – und wären im Grunde einfach vermeidbar, zum Beispiel:
    • Fehlversand: Eine Person hat die „Autovervollständigung“ aktiviert und schickt Gehaltsdaten an die falsche „Anna Meier“. Das ist ein gravierender Datenschutzvorfall. Sofortmaßnahmen sind in diesem Fall: Die Empfänger:in kontaktieren, um Löschung bitten, den Vorfall dokumentieren, das Risiko bewerten, die betroffene Person benachrichtigen und ggf. eine Meldung an die Aufsichtsbehörde machen.
    • Phishing/Spear-Phishing: „CFO bittet um dringende Überweisung“ – Fake-E-Mails mit einer Betreff-Zeile wie dieser sehen manchmal täuschend echt aus; die Domain der Absenderadresse kann verblüffend ähnlich sein. Ohne eine Awareness-Schulung, Linkprüfung und technische Schutzmaßnahmen (SPF, DKIM, DMARC, Malware-Filter) kommt es in solchen Fällen oft zu einem Datenabfluss oder finanziellen Schäden.
    • Unverschlüsselte Anhänge: Wenn z.B. ein PDF mit Kundendaten im Klartext und unverschlüsselt versendet wird, können Kriminelle diese unterwegs abgreifen. Unverschlüsselte E-Mails funktionieren eher wie Postkarten und nicht wie Briefe in einem Umschlag. Bei sensiblen Inhalten sollte der Versand daher nur verschlüsselt erfolgen.
    • Postfach-Hijacking: Kriminelle hacken heute gezielt Postfächer und das ist dank KI und Automatisierung bei einem schwachen Passwort und ohne Multi-Faktor-Authentifizierung nicht schwer. Anschließend können sie E-Mails nicht nur lesen, sondern diese auch im Namen der gehackten Person versenden und so Dritte täuschen. Die Risiken für einen Datenabfluss und die entsprechende Haftung sind erheblich.
    Kurz gesagt: Das größte Risiko birgt der Alltag – nicht die hochentwickelte Attacke auf das IT-System. Deshalb brauchen Unternehmen einfache, verbindliche Regeln, gute Voreinstellungen sowie technische und automatisierte Schutzmechanismen.
    Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

    Whitepaper: Cyber Security

    Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

    • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
    • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
    • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
    Jetzt kostenlos downloaden

    Personenbezogene Daten in E-Mails – was gilt laut DSGVO?

    Die DSGVO versteht unter personenbezogenen Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. In E-Mails können solche Daten an vielen Stellen stecken: im Inhalt, in Anhängen, in Metadaten (Header, IP-Adresse, Zeitstempel) und im Verteiler (CC/BCC).
    Für die Einhaltung des Datenschutzes von personenbezogenen Daten bei E-Mails ist vor allem Artikel 6 der DSGVO zur „Rechtmäßigkeit der Verarbeitung“ relevant:
    • Einwilligung: Die DSGVO schreibt in Art. 6, Abs. 1 lit. b vor, dass eine betroffene Person ihre Einwilligung zur Datenverarbeitung für bestimmte Zwecke gegeben haben muss. Für die Kommunikation per E-Mail heißt das z.B.: Unternehmen dürfen E-Mail-Adressen von Kunden ohne deren Zustimmung nicht einfach für Werbe-E-Mails nutzen.
    • Berechtigtes Interesse: Einerseits räumt die DSGVO Unternehmen das Recht ein, bei einem berechtigten Interesse personenbezogene Daten für ihre Zwecke nutzen zu dürfen. Andererseits schränkt sie dieses Recht in Art. 6, Abs. 1 lit. f insoweit ein, als dass die Interessen und Grundrechte Betroffener, insbesondere von Kindern, im Zweifelsfall vorgehen.
    Weitere wesentliche Prinzipien der DSGVO sind:
    • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Die betroffene Person muss wissen, wofür die Daten verwendet werden.
    • Zweckbindung: Die E-Mail-Kommunikation darf nur für klar definierte, legitime Zwecke erfolgen.
    • Datenminimierung: Unternehmen dürfen stets nur die nur notwendigen personenbezogenen Daten für ihre E-Mail-Kommunikation nutzen. Große Verteiler sind zu vermeiden.
    • Richtigkeit: Betriebe müssen die Korrektheit von Daten und somit auch ihre Aktualität sicherstellen.
    • Speicherbegrenzung: Für die Aufbewahrung von E-Mails gelten gesetzliche Fristen. Darüber hinaus besteht normalerweise nicht das Recht, diese Informationen weiter aufzubewahren. Betroffene Personen wie Geschäftspartner, Kunden, Mitarbeitende und Bewerber:innen können das „Recht auf Vergessenwerden“ im Zweifelsfall einfordern.
    • Integrität und Vertraulichkeit: Der Grundsatz der Vertraulichkeit der DSGVO verlangt unter anderem, angemessene technische und organisatorische Maßnahmen (TOMs) umzusetzen, damit diese sichergestellt ist.
    Wichtig: Nutzt ein Unternehmen für seine Auftragsverarbeitung externe E-Mail-Dienste (z.B. einen Cloud-Dienst), ist eine „AV-Vereinbarung“ mit dem Anbieter erforderlich – also ein Auftragsverarbeitungsvertrag. Darin sind zum Beispiel Dauer der Datenverarbeitung und Mitwirkungspflichten bei der Datensicherheit geregelt. Es empfiehlt sich hierbei, die Standorte der Datenverarbeitung und mögliche Unterauftragsverarbeiter:innen zu prüfen.

    Technik, die schützt: E-Mail-Verschlüsselung und sichere Übertragung

    Technische Sicherheitsmaßnahmen sind Teil der Datenschutzgrundverordnung und für Unternehmen Pflicht. Die wichtigsten Bausteine hinsichtlich des E-Mail-Verkehrs sind:

    Transportverschlüsselung (TLS)

    Das Verschlüsselungsprotokoll Transport Layer Security (TLS) schützt die Übertragung zwischen Mailservern und zwischen Client und Server (IMAP/POP/SMTP). Während des Transports sind die Daten dabei verschlüsselt.
    Ein Problem hierbei: Auf dem Server und im Postfach liegen Mails unverschlüsselt vor, sofern keine zusätzliche Maßnahme ergriffen wird. Außerdem erfolgt der Versand meistens über mehrere Server und Punkte. An diesen Verbindungspunkten liegen die Daten jeweils ebenfalls unverschlüsselt vor.
    Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt daher, bei der Verwendung von TLS die neueren Versionen zu erzwingen, z.B. TLS 1.2 und moderne Cipher-Suites zu verwenden. Dennoch bleibt TLS anfällig, z.B. für Man-in-the-Middle-Angriffe.

    Ende-zu-Ende-Verschlüsselung (Inhaltsverschlüsselung)

    Echte Vertraulichkeit und Schutz für personenbezogene Daten in E-Mails ermöglicht nur die Ende-zu-Ende-Verschlüsselung (E2EE). Sie wird auch als Inhaltsverschlüsselung bezeichnet. Sender und Empfänger nutzen dabei stets ein Schlüsselpaar. Es besteht zum einen aus einem privaten, geheimen Schlüssel, zum anderen aus einem öffentlichen Schlüssel (asymmetrisches Verfahren).
    Diese Technologie ermöglicht es, E-Mails verschlüsselt zu versenden, und auf der anderen Seite zu entschlüsseln. Der Versand erfolgt als „Geheimtext“.
    Die gängigen E2E-Verschlüsselungsverfahren sind:
    • S/MIME: Das Protokoll Secure/Multipurpose Internet Mail Extensions (S/MIME) ist zertifikatsbasiert. Es nutzt für E-Mails beglaubigte Zertifikate für Endnutzer:innen bzw. Adressat:innen, die die Root Certificate Authority (Root CA) ausstellt. Diese Behörde dient dabei als „Vertrauensanker“.
    • OpenPGP/PGP: Bei dem Standard Open Pretty Good Privacy (Open PGP, kurz PGP) werden Schlüsselpaare dezentral verwaltet. Diese Technologie ist besonders beliebt bei technisch versierten Teams.

    Auf die Organisation kommt es an: Prozesse und Teams fit für den Datenschutz machen

    Technologie ist aber nicht alles, sie wirkt nur im Zusammenhang mit strukturierten Abläufen, einer hohen Awareness und einem angemessenen Verhalten von Mitarbeitenden.
    Hier ein Beispiel für einen gut umsetzbaren organisatorischen Rahmen:

    Richtlinien & Checklisten

    • Versand sensibler Inhalte: Grundsätzlich sollten Sie nur verschlüsselte Mails versenden. Bei Unsicherheiten ist es besser, die Informationen über ein Portal bereitzustellen, z.B. über einen Download-Link mit Zugriffskontrolle.
    • Angaben von Empfängeradressen: Aus Datenschutzgründen ist es meist besser, Empfangsadressen beim Versand von E-Mails in größeren Verteilern als „Blind Copy“ einzusetzen. Denn dann können andere diese Adressen nicht sehen. Auch die Funktion „Autovervollständigen“ ist in dem Zusammenhang möglichst kritisch zu hinterfragen.
    • Anhänge: Metadaten wie zum Beispiel die Office-Dokumenteigenschaften können ebenfalls personenbezogene Daten enthalten und benötigen beim Versand möglicherweise eine Schutzklassifizierung (Public/Internal/Confidential/Strictly Confidential) und entsprechende Schutzmechanismen.
    • Antworten & Weiterleitungen: Schnell werden E-Mails heute einfach weitergeleitet, ohne die Inhalte vorher auf die Anwendung der Datenschutzregeln zu prüfen. Eine allzu leicht angeklickte „Antwort an alle“ kann riskant sein. Mitarbeitende sollten hier wachsam sein, denn auch intern im Unternehmen unterstehen personenbezogene Informationen dem Datenschutz.

    Awareness & Training

    • Phishing-Erkennung: Vermitteln Sie im Unternehmen, wie man die Richtigkeit von Domains in E-Mails erkennt; Linkziele mit der Maus prüft, bevor man draufklickt; und trotz Zeitdruck misstrauisch bleibt (Zero-Trust-Prinzip).
    • Sichere Sprache: Nutzen Sie personenbezogene Daten im Betreff und in der Mail sparsam und verschlüsseln Sie Anhänge.
    • Szenario-Übungen: Simulieren Sie in Teams, wie Sie mit einer Situation nach einem Fehlversand umgehen, trainieren Sie Meldewege und verankern Sie bei wichtigen E-Mails das Vier-Augen-Prinzip.

    Prozesse bei Vorfällen (Incident Response)

    • Meldeweg: Unternehmen müssen einen klaren internen Meldeweg definieren, zum Beispiel über eine Security- oder Privacy-Mailbox oder ein Ticket-System. Die Hemmschwelle für Mitarbeitende sollte möglichst niedrig sein.
    • Erstmaßnahmen: Nach einem Vorfall sollten sofort der Empfänger kontaktiert, die Löschung angefordert, Verteiler bereinigt und Postfach- sowie Versand-Logs gesichert werden.
    • Bewertung: Anschließend erfolgt eine Risikoanalyse, die Art, Umfang, Sensibilität der Daten, bestehende Schutzmaßnahmen und mögliche Folgen berücksichtigt. Auf Basis dieser Analyse wird entschieden, ob eine Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) und eine Benachrichtigung der betroffenen Personen (Art. 34 DSGVO) erforderlich ist.
    • Dokumentation: Jeder Vorfall muss vollständig dokumentiert werden – inklusive Vorfallakte, Lessons Learned und Anpassungen der Prozesse.

    Data Protection by Design & Default

    • Standardmäßig sichere Voreinstellungen: Es empfiehlt sich von Beginn an sichere Standards zu implementieren, wie z.B. die erzwungene TLS-Verschlüsselung und verpflichtende Multi-Faktor-Authentifizierung.
    • Privacy by Default: Datenschutzfreundliche Voreinstellungen sind heute in Anwendungen Pflicht. Es lohnt sich dennoch zu überprüfen, ob diese auch umgesetzt sind.

    Lieferanten & Cloud

    • AV-Verträge: Bei der Nutzung externer Dienstleister müssen Unternehmen Auftragsverarbeitungsverträge abschließen und den Datenstandort sowie Vereinbarungen mit Unterauftragsverarbeiter:innen prüfen.
    • Exit-Strategie: Wichtig ist es auch, für den Fall des Falles Regeln für die Datenrückgabe/-löschung mit externen Anbietern vertraglich zu regeln.
    Microsoft Defender für Unternehmen

    Microsoft Defender for Business

    Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.

    Neu: Jetzt mit Vodafone Managed Endpoint Sercurity Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

    • Schutz vor Ransomware, Phishing und anderen Bedrohungen
    • In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten
    Das kann der Microsoft Defender

    Fazit: Darum ist Datenschutz bei E-Mails für Unternehmen unverzichtbar

    Die E-Mail bleibt ein universeller, effizienter Kommunikationskanal – aber ein Kanal mit Risiken. Die DSGVO verlangt keine „perfekte Sicherheit“, sondern angemessene Maßnahmen, um den Datenschutz bei E-Mails umzusetzen. Angemessen heißt hier: orientiert am Risiko der betroffenen Personen, nicht am Komfort einer Organisation.
    Sie können die meisten Vorfälle verhindern oder wirksam eindämmen – mit einem klugen Mix aus: -
    • Technologien (TLS, S/MIME/PGP)
    • Prozessen (Adressprüfung, Klassifizierung, Vorfallmanagement)
    • Awareness (Phishing-Kompetenz, sichere Praxis).
    Wer E-Mails proaktiv absichert, vermeidet Bußgelder, schützt Kund:innen sowie Mitarbeitende und stärkt Vertrauen–genau das ist im digitalen Geschäftsalltag unverzichtbar.

    Datenschutz in E-Mails: Häufig gestellte Fragen (FAQ)

    Portrait von Freca DumreseFreca Dumrese
    23.12.2025
      # Tags:SicherheitBusiness BasicsCybersecurityTippsMobiles Arbeiten
      Das könnte Sie auch interessieren:
      Security

      E-Mail-Verschlüsselung

      E-Mail-Verschlüsselung einfach erklärt: Methoden, Vorteile, Grenzen plus praktische Tipps zum Schutz sensibler Daten im digitalen Alltag.

      Weiterlesen

      Digitalisierungsberatung

      Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.

      Termin vereinbaren