Zuletzt aktualisiert am 1. Juni 2026

Datenschutz gewinnt in der modernen Arbeitswelt zunehmend an Bedeutung. Die Entscheidung des Arbeitsgerichts Suhl (Aktenzeichen 6 Ca 704/23) unterstreicht die Notwendigkeit, sensible Informationen angemessen zu schützen. Ein zentraler Aspekt dabei ist die Verschlüsselung von E-Mails, die nicht nur gesetzliche Anforderungen erfüllt, sondern auch die Integrität und Vertraulichkeit von Daten sicherstellt.

Der Ausgangsfall: Eine E-Mail ohne Verschlüsselung

Das Arbeitsgericht Suhl musste im Dezember 2023 über einen Fall entscheiden, in dem ein Arbeitnehmer datenschutzrechtliches Schmerzensgeld einforderte. Er hatte sich mit einem datenschutzrechtlichen Auskunftsersuchen an seinen Arbeitgeber gewandt. Dieser hatte ihm auch Auskunft gewährt und die gespeicherten personenbezogenen Daten über eine unverschlüsselte E-Mail an den Arbeitnehmer geschickt. Darin sah der Arbeitnehmer einen immateriellen Schaden und einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO).

Die Entscheidung des Arbeitsgerichts

In dem genannten Fall spielt der Schutz personenbezogener Daten eine wichtige Rolle. Über unverschlüsselte E-Mails übertragene Arbeitnehmerdaten sind leicht Ziel von Cyberangriffen oder unbefugtem Zugriff. Das Arbeitsgericht Suhl verdeutlicht in seiner Entscheidung, dass Unternehmen verpflichtet sind, adäquate Maßnahmen zu ergreifen, um die Privatsphäre und Sicherheit der Mitarbeiter zu gewährleisten.

Die Verschlüsselung von E-Mails

Die E-Mail-Verschlüsselung ist ein bewährtes Mittel, um die Risiken der Datenübertragung zu minimieren. Eine der einfachsten Methoden ist die Nutzung von Ende-zu-Ende-Verschlüsselung. Hierbei findet die Verschlüsselung der Daten schon auf dem Endgerät des Absenders und die Entschlüsselung erst auf dem Endgerät des Empfängers statt. Selbst bei einem potenziellen Datenleck bleibt der Inhalt für Unbefugte unlesbar.

Um die Verschlüsselung von E-Mails einfach umzusetzen, können Unternehmen auf bewährte Technologien zurückgreifen. Verschiedene E-Mail-Clients bieten integrierte Verschlüsselungsfunktionen, die mit wenigen Klicks aktiviert werden können. Zudem stehen externe Dienste wie Pretty Good Privacy (PGP) oder S/MIME zur Verfügung, die eine sichere Kommunikation gewährleisten.

Was Unternehmen noch tun müssen

dass Unternehmen nicht nur technische Maßnahmen implementieren, sondern auch ihre Mitarbeiter sensibilisieren. Schulungen zu den Anforderungen der DSGVO und zur sicheren Kommunikation im digitalen Raum sind nötig, um das Bewusstsein für den Datenschutz zu stärken. Dies trägt dazu bei, dass die Verschlüsselung von E-Mails nicht nur als lästige Pflicht, sondern als wichtiger Beitrag zum Datenschutz verstanden wird.

Insgesamt zeigt die Entscheidung des Arbeitsgerichts Suhl, dass der Schutz von personenbezogenen Daten nicht zu vernachlässigen sind. Die Implementierung von E-Mail-Verschlüsselung ist nicht nur eine rechtliche Verpflichtung, sondern auch ein aktiver Beitrag zum Schutz der Privatsphäre und Datensicherheit im digitalen Zeitalter.

Rechtliche Grundlagen der E-Mail-Verschlüsselung

Die Pflicht zur Verschlüsselung von E-Mails ergibt sich aus mehreren Vorschriften der DSGVO. Art. 32 Abs. 1 lit. a DSGVO nennt die Verschlüsselung ausdrücklich als geeignete technische Maßnahme zum Schutz personenbezogener Daten. Dabei unterscheidet man zwischen der Transportverschlüsselung (TLS), die den Übertragungsweg absichert, und der Ende-zu-Ende-Verschlüsselung (z. B. S/MIME oder PGP), die den Inhalt der E-Mail selbst schützt.

Die Transportverschlüsselung mittels TLS gilt heute als Mindeststandard und wird von den meisten E-Mail-Anbietern standardmäßig unterstützt. Bei der Übermittlung besonders sensibler Daten — etwa Gesundheitsdaten, Daten nach Art. 9 DSGVO oder vertrauliche Geschäftsinformationen — reicht die Transportverschlüsselung allein jedoch häufig nicht aus. In solchen Fällen empfehlen Datenschutzaufsichtsbehörden die Ende-zu-Ende-Verschlüsselung, die sicherstellt, dass nur der beabsichtigte Empfänger den Inhalt lesen kann.

Bedeutung des Urteils für die betriebliche Praxis

Das Urteil des Arbeitsgerichts Suhl hat weitreichende praktische Konsequenzen für Unternehmen aller Branchen. Es verdeutlicht, dass die unverschlüsselte Versendung sensibler Informationen per E-Mail nicht nur einen Datenschutzverstoß darstellen kann, sondern auch arbeitsrechtliche Konsequenzen nach sich ziehen kann. Arbeitgeber sind verpflichtet, ihre Mitarbeiter über die korrekte Handhabung sensibler Daten zu informieren und entsprechende technische Lösungen bereitzustellen.

Besonders relevant ist das Urteil für Branchen, in denen regelmäßig besonders schützenswerte Daten per E-Mail kommuniziert werden. Dazu zählen das Gesundheitswesen, der Rechts- und Steuerberatungsbereich, das Personalwesen sowie die Finanzbranche. In diesen Bereichen muss die E-Mail-Verschlüsselung als selbstverständlicher Bestandteil der betrieblichen Kommunikation verstanden werden.

Verschlüsselungsmethoden im Vergleich

Transportverschlüsselung (TLS): Bei der TLS-Verschlüsselung wird die Verbindung zwischen den E-Mail-Servern verschlüsselt. Der Vorteil liegt in der einfachen Implementierung, da keine zusätzliche Software auf Seiten des Empfängers erforderlich ist. Der Nachteil besteht darin, dass die E-Mail auf den beteiligten Servern im Klartext vorliegt und theoretisch von Administratoren eingesehen werden kann. Für die meisten geschäftlichen E-Mails bietet TLS dennoch ein angemessenes Schutzniveau.

S/MIME-Verschlüsselung: S/MIME (Secure/Multipurpose Internet Mail Extensions) ermöglicht eine Ende-zu-Ende-Verschlüsselung auf Basis von Zertifikaten. Beide Kommunikationspartner benötigen ein digitales Zertifikat, das von einer anerkannten Zertifizierungsstelle ausgestellt wurde. S/MIME ist in den meisten gängigen E-Mail-Programmen bereits integriert und bietet ein hohes Maß an Sicherheit und Authentizität. Der Aufwand für die Zertifikatsverwaltung ist jedoch nicht unerheblich.

PGP-Verschlüsselung: Pretty Good Privacy (PGP) ist eine weitere Methode der Ende-zu-Ende-Verschlüsselung, die auf einem dezentralen Schlüsselsystem basiert. Im Gegensatz zu S/MIME werden keine zentralen Zertifizierungsstellen benötigt. PGP wird vor allem im technisch versierten Umfeld eingesetzt und erfordert in der Regel die Installation zusätzlicher Software oder Plugins.

Empfehlungen der Datenschutzaufsichtsbehörden

Die deutschen Datenschutzaufsichtsbehörden haben in verschiedenen Stellungnahmen und Orientierungshilfen Empfehlungen zur E-Mail-Verschlüsselung formuliert. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in ihrer Orientierungshilfe zum Einsatz von E-Mail-Diensten betont, dass die Transportverschlüsselung als Mindeststandard anzusehen ist. Bei der Übermittlung besonders sensibler personenbezogener Daten wird eine Ende-zu-Ende-Verschlüsselung empfohlen.

Das Bayerische Landesamt für Datenschutzaufsicht hat außerdem klargestellt, dass Unternehmen eine Risikobewertung durchführen müssen, um das angemessene Verschlüsselungsniveau für ihre E-Mail-Kommunikation zu bestimmen. Diese Bewertung muss den Schutzbedarf der übermittelten Daten, die Wahrscheinlichkeit einer unbefugten Kenntnisnahme und den Stand der Technik berücksichtigen.

Praktische Umsetzung im Unternehmen

Für die Implementierung einer rechtskonformen E-Mail-Verschlüsselung empfehlen sich folgende Schritte: Zunächst sollte eine Bestandsaufnahme der aktuellen E-Mail-Infrastruktur durchgeführt werden. Dabei ist zu prüfen, ob bereits eine Transportverschlüsselung aktiviert ist und ob die verwendeten E-Mail-Server aktuelle TLS-Versionen unterstützen. Anschließend sollte eine Kategorisierung der E-Mail-Kommunikation nach Schutzbedarf erfolgen, um festzulegen, welche Kommunikationswege eine Ende-zu-Ende-Verschlüsselung erfordern.

Die Mitarbeiter müssen in der korrekten Nutzung der Verschlüsselungstechnologien geschult werden. Dabei sollte besonderer Wert auf praxisnahe Anleitungen gelegt werden, die den Arbeitsablauf möglichst wenig beeinträchtigen. Ergänzend sollten interne Richtlinien festlegen, welche Informationen nur verschlüsselt versendet werden dürfen und wie mit E-Mails umzugehen ist, die sensible Daten enthalten. Ein externer Datenschutzbeauftragter kann bei der Erstellung dieser Richtlinien und der Durchführung der Schulungen kompetent unterstützen. Die DATUREX GmbH berät Unternehmen in Dresden und ganz Sachsen bei der Implementierung sicherer E-Mail-Kommunikation.

Fazit: E-Mail-Verschlüsselung als Pflichtmaßnahme

Das Urteil des Arbeitsgerichts Suhl unterstreicht nachdrücklich, dass die Verschlüsselung von E-Mails keine freiwillige Zusatzmaßnahme ist, sondern eine grundsätzliche Anforderung des Datenschutzes darstellt. Unternehmen, die sensible personenbezogene Daten per E-Mail versenden, müssen sicherstellen, dass mindestens eine Transportverschlüsselung aktiviert ist. Bei besonders schützenswerten Daten ist außerdem eine Ende-zu-Ende-Verschlüsselung erforderlich.

Die Aufsichtsbehörden prüfen zunehmend die technischen und organisatorischen Maßnahmen von Unternehmen, und eine fehlende oder unzureichende E-Mail-Verschlüsselung kann zu empfindlichen Bußgeldern nach Art. 83 Abs. 4 DSGVO führen. Außerdem drohen Schadensersatzansprüche betroffener Personen, wenn durch die unverschlüsselte Übermittlung ein Datenschutzvorfall eintritt und personenbezogene Daten in die falschen Hände gelangen.

Unternehmen sollten die E-Mail-Verschlüsselung daher als integralen Bestandteil ihrer technischen und organisatorischen Maßnahmen betrachten und entsprechende Investitionen in Technologie und Mitarbeiterschulungen tätigen. Die Kosten für die Implementierung einer professionellen Verschlüsselungslösung sind in der Regel deutlich geringer als die potenziellen Kosten eines Datenschutzvorfalls — sowohl in finanzieller Hinsicht als auch mit Blick auf den Reputationsverlust.

Gerade für kleine und mittelständische Unternehmen, die über keine eigene IT-Abteilung verfügen, kann die Einrichtung einer professionellen E-Mail-Verschlüsselung eine Herausforderung darstellen. In solchen Fällen empfiehlt es sich, auf spezialisierte IT-Dienstleister zurückzugreifen und die datenschutzrechtlichen Anforderungen gemeinsam mit einem qualifizierten Datenschutzberater zu definieren. So wird sichergestellt, dass die gewählte Lösung sowohl den technischen als auch den rechtlichen Anforderungen entspricht und im betrieblichen Alltag praktikabel umsetzbar ist.

Sie benötigen Unterstützung bei der Umsetzung datenschutzrechtlicher Pflichten oder bei sonstigen Fragen rund um das Thema Datenschutz? Unser Team an Experten steht Ihnen gerne zur Seite. Kontaktieren Sie uns hier!