Datenschutz 05. Mai 2026 7 Min. Lesezeit

DSGVO und E-Mail: Reicht TLS-Verschlüsselung? Was das Düsseldorfer Urteil für KMU bedeutet

Verwaltungsgericht Düsseldorf, 2. April 2026: Transportverschlüsselung (TLS) reicht für DSGVO-konforme E-Mail-Geschäftspost in der Regel aus. Was das Urteil bringt — und wann Sie trotzdem mehr brauchen.

P
Pageartist
Editoriales Coverbild: stilisierter Briefumschlag, der in geometrische Datenströme zerfällt, mit goldenen Schloss-Konturlinien als Sinnbild für Transportverschlüsselung.

Wer als KMU regelmäßig Rechnungen, Vertragsunterlagen oder Bewerbungen per E-Mail verschickt, fragt sich seit Jahren: Reicht eine normale verschlüsselte Verbindung — oder müssen wir zusätzlich Ende-zu-Ende-Verschlüsselung einsetzen, damit das DSGVO-konform ist? Das Verwaltungsgericht Düsseldorf hat im Verfahren 29 K 7351/23 (Urteil vom 2. April 2026) im TLS-bezogenen Teil zugunsten des verklagten Unternehmens entschieden: Transportverschlüsselung reicht in der Regel aus. Wir ordnen das Urteil ein und zeigen, was Sie jetzt im Postausgang Ihres Unternehmens prüfen sollten.

Worum ging es in dem Verfahren?

Geklagt hatte ein Betroffener gegen eine Anordnung der Landesdatenschutzbehörde. Streitpunkt war die Frage, ob ein Unternehmen personenbezogene Daten — konkret den Namen einer Person in einer geschäftlichen E-Mail — auch ohne Ende-zu-Ende-Verschlüsselung übertragen darf, wenn die Verbindung zwischen den Mailservern per TLS abgesichert ist.

Das Gericht prüfte die Anforderungen aus Art. 32 Abs. 1 und 2 DSGVO an ein „dem Risiko angemessenes Schutzniveau" und kam zu dem Ergebnis: Bei E-Mails mit Inhalten geringer Sensibilität — etwa einem Namen oder einer Standard-Geschäftskorrespondenz — ist Transportverschlüsselung ausreichend. Eine Pflicht zur zusätzlichen Inhaltsverschlüsselung sieht das Gericht ausdrücklich nicht. Ein Verstoß gegen den Grundsatz „Integrität und Vertraulichkeit" aus Art. 5 Abs. 1 lit. f DSGVO liege ebenfalls nicht vor.

◆ Tipp

Wer von der Aufsichtsbehörde zur Ende-zu-Ende-Verschlüsselung gedrängt wird, kann sich auf dieses Urteil stützen — sofern es um normale Geschäftskorrespondenz geht. Bei besonders sensiblen Daten bleibt es bei einer Einzelfallabwägung.

Was bedeutet „Transportverschlüsselung" konkret?

Wenn Ihr Mailserver eine E-Mail an den Server des Empfängers übergibt, kann diese Übergabe per TLS verschlüsselt sein. Die E-Mail liegt dabei nur während der Übertragung im Klartext zwischen den beiden Servern geschützt vor — vor und nach der Übergabe ist sie auf den Servern selbst lesbar. Das ist der Unterschied zur Ende-zu-Ende-Verschlüsselung wie PGP oder S/MIME, bei der nur Absender und Empfänger den Inhalt entschlüsseln können.

Wichtig: Transportverschlüsselung ist nicht „TLS irgendwie aktiviert". Das Gericht betont, dass eine obligatorische Transportverschlüsselung nötig ist — also keine Fallback-Möglichkeit auf eine Klartextverbindung, wenn der Empfängerserver kein TLS anbietet.

Drei Punkte, die Sie jetzt prüfen sollten

  1. Erzwingt Ihr Mailserver TLS beim Versand? Bei den meisten gehosteten Lösungen (Plesk, Microsoft 365, Google Workspace) ist das heute Standard. Beim eigenen Mailserver (z. B. Postfix) gehört der entsprechende Eintrag smtp_tls_security_level = encrypt oder eine vergleichbare Konfiguration in den Postausgang.
  2. Welche TLS-Version ist aktiv? TLS 1.2 oder höher gilt als Stand der Technik. Ältere Versionen (TLS 1.0, 1.1, SSLv3) sollten serverseitig deaktiviert sein. Ein Test über checktls.com oder vergleichbare Werkzeuge zeigt das in zwei Minuten.
  3. Wann brauchen Sie trotzdem mehr? Bei Gesundheitsdaten, Sozialdaten, Bankdaten von Endkunden, Bewerbungsunterlagen mit Schwerbehindertenausweis oder besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO bleibt das Risiko-Profil so hoch, dass eine Inhaltsverschlüsselung weiterhin angemessen sein kann.

Was ändert das in der Praxis?

Für die meisten KMU bringt das Urteil vor allem eins: Rechtssicherheit. Wer in den vergangenen Jahren von Beratern oder einer Aufsichtsbehörde gehört hat, der Versand normaler Geschäftspost per E-Mail sei nur mit S/MIME oder PGP DSGVO-konform, hat jetzt eine konkrete Gegenposition. Das Verwaltungsgericht Düsseldorf hält die in der Praxis verbreitete Standardlösung — sauber konfigurierte Transportverschlüsselung — für ausreichend.

Wir empfehlen trotzdem zwei Dinge: Erstens ein dokumentiertes Review der Mailserver-Konfiguration, das den TLS-Status festhält. Zweitens eine kurze schriftliche Risikoabwägung im Verfahrensverzeichnis, in der Sie für die regelmäßig verschickten Datenkategorien begründen, warum Transportverschlüsselung das angemessene Schutzniveau ist. Beides zusammen ist im Zweifel Ihre beste Antwort gegenüber der Aufsichtsbehörde.

Wo das Urteil seine Grenzen hat

Das Düsseldorfer Urteil ist eine erstinstanzliche Entscheidung. Andere Verwaltungsgerichte und Aufsichtsbehörden können in Einzelfällen anders entscheiden — gerade bei sensibleren Datenkategorien. Auch hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine Empfehlungen zur E-Mail-Sicherheit nicht aufgegeben. Das Urteil entlastet bei der Standard-Geschäftskorrespondenz, ersetzt aber keine Risikoanalyse für sensible Vorgänge.

Wer ohnehin für besonders schutzwürdige Kommunikation bereits S/MIME oder ein verschlüsseltes Kundenportal nutzt, sollte dabei bleiben. Das Urteil senkt nicht das gesamte Schutzniveau — es zieht eine Linie, ab welchem Risikoprofil zusätzliche Maßnahmen wirklich verlangt werden können.

Lass uns über dein Projekt sprechen.

30 Minuten Erstgespräch, kostenlos und unverbindlich. Konkrete Antworten statt Sales-Pitch.

→ Kontakt aufnehmen