Knowledge Hub
Datenschutz

E-Mail-Systeme als DSGVO-Risiko: Warum interne Kommunikation versagt

Verfasst von
Max Hortmann
13 Nov 2025
Lesezeit:
Diesen Beitrag teilen

E-Mail-Systeme als DSGVO-Risiko: Strukturdefizite, technische Fehlkonfigurationen und rechtliche Folgen nach Art. 5, 24 und 32 DSGVO

I. Einleitung: Die unterschätzte Rolle von E-Mail-Systemen im Datenschutzrecht

E-Mail-Systeme gehören zu den zentralen Kommunikationsplattformen moderner Unternehmen. Sie dienen nicht nur dem Austausch von Nachrichten, sondern bilden zugleich eine wichtige Schnittstelle zu Betroffenenrechten, Informationsflüssen, internen Prozessen und technischen Sicherheitsmechanismen. Trotz dieser Bedeutung werden E-Mail-Systeme in der Praxis häufig unterschätzt. Ihre Konfiguration, Verwaltung, Überwachung und Dokumentation sind jedoch für die Einhaltung der DSGVO entscheidend.

In zahlreichen datenschutzrechtlichen Verfahren zeigt sich, dass Verstöße häufig nicht auf komplexe Datenbanken oder interne Softwaresysteme zurückzuführen sind, sondern auf grundlegende Fehler im E-Mail-Management. Fehlinfrastruktur, fehlende Spamkontrollen, unzureichende Überwachung, fehlende Protokollierung und mangelhafte organisatorische Strukturen führen zu Verstößen gegen Art. 5, Art. 12, Art. 15, Art. 24, Art. 25 und Art. 32 DSGVO.

Die Rechtsprechung unterstreicht diese Risiken. Entscheidungen wie EuGH C-340/21, OLG Düsseldorf (I-16 W 93/23), LG Wuppertal oder FG Berlin-Brandenburg machen deutlich, dass technische und organisatorische Fehler im E-Mail-System regelhaft als Verstöße gegen mehrere DSGVO-Pflichten eingeordnet werden — unabhängig davon, ob ein Datenmissbrauch eingetreten ist.

II. Rechtlicher Rahmen: Art. 5, Art. 12, Art. 24, Art. 25 und Art. 32 DSGVO

1. Art. 5 DSGVO: Grundprinzipien der Verarbeitung

E-Mail-Systeme müssen die Prinzipien der Datenminimierung, Speicherbegrenzung, Integrität, Vertraulichkeit und Transparenz gewährleisten. Werden Nachrichten ungeordnet gespeichert, werden Zugriffe nicht protokolliert oder bleiben E-Mail-Flüsse unkontrollierbar, liegt ein Verstoß gegen Art. 5 Abs. 1 lit. a, c, e und f DSGVO nahe.

Das FG Berlin-Brandenburg hat klargestellt, dass fehlende Dokumentation oder unvollständige Transparenz bereits eigenständige Pflichtverletzungen darstellen.

2. Art. 12 DSGVO: Bearbeitung von Betroffenenrechten

Art. 12 DSGVO verlangt:

  • unverzügliche Bearbeitung,
  • zuverlässige Eingangskontrolle,
  • fristgerechte Reaktion,
  • Erleichterung der Rechtsausübung.

Fehlgeleitete E-Mails („Spamfilter-Verlust“), nicht überwachte Systeme oder unklare Zuordnungen führen dazu, dass ein Auskunftsersuchen oder eine Löschanfrage unbemerkt bleibt — ein klarer Verstoß gegen Art. 12 DSGVO.

3. Art. 24 DSGVO: Organisationsverantwortung

Art. 24 DSGVO verpflichtet den Verantwortlichen, Strukturen zu schaffen, die die Einhaltung der DSGVO sicherstellen. Fehler im E-Mail-System sind regelmäßig Ausdruck eines Organisationsmangels. Dies hat das LG Wuppertal ausdrücklich hervorgehoben.

4. Art. 25 DSGVO: Privacy by Design und Default

E-Mail-Systeme müssen so gestaltet sein, dass:

  • datenschutzfreundliche Einstellungen voreingestellt sind,
  • Datenminimierung technisch unterstützt wird,
  • Risiken durch Filter, Weiterleitungen und Speicherorte minimiert werden.

Fehlt dies, liegt ein Verstoß gegen Art. 25 DSGVO vor.

5. Art. 32 DSGVO: Sicherheit der Verarbeitung

E-Mail-Systeme gehören zu den sensibelsten Verarbeitungsplattformen. Art. 32 verlangt angemessene technische und organisatorische Maßnahmen, darunter:

  • Verschlüsselung,
  • Zugriffsbeschränkungen,
  • Protokollierung,
  • Monitoring,
  • Schutz vor Fehlleitungen.

Gerichte wie das LG Baden-Baden und arbeitsgerichtliche Entscheidungen weisen darauf hin, dass fehlende Sicherheitsmaßnahmen schnell zu Rechtsverletzungen führen.

III. Typische Fehlstrukturen in E-Mail-Systemen

1. Fehlende oder unzureichende Spamfilter-Kontrolle

Eine der häufigsten Fehlerquellen ist die unzuverlässige Spamfilterung. Betroffenenanfragen oder behördliche Schreiben landen im Spam, ohne dass dies bemerkt wird. Das führt zu:

  • verpassten Fristen,
  • unvollständigen Auskünften,
  • fehlender Reaktion,
  • Verstößen gegen Art. 12 DSGVO.

2. Keine Monitoring- oder Eskalationsmechanismen

Viele Unternehmen verfügen nicht über strukturierte Verfahren, die:

  • Posteingänge überwachen,
  • unbearbeitete E-Mails eskalieren,
  • Fristläufe registrieren,
  • Verantwortlichkeiten zuweisen.

In der Folge hängt die Einhaltung der DSGVO vom Zufall ab.

3. Fehlende Protokollierung (Art. 32 DSGVO)

E-Mail-Systeme ohne:

  • Zugriffslogs,
  • Ablageprotokolle,
  • Änderungenachweise,
  • Weiterleitungsdokumentation,

erfüllen die Anforderungen der DSGVO nicht.

Das FG Berlin-Brandenburg hebt hervor, dass fehlende Protokollierung die Rechenschaftspflicht verletzt.

4. Unklare Berechtigungsstrukturen

Häufig haben:

  • zu viele Mitarbeitende Zugriff auf zentrale Postfächer,
  • technische Administratoren unbeschränkte Zugriffsrechte,
  • externe Dienstleister Zugriff auf interne Kommunikationsflüsse.

Dies verstößt gegen Art. 32 DSGVO.

5. Unzureichende Löschkonzepte

E-Mail-Systeme enthalten häufig langjährige Archivbestände. Diese Praxis verstößt gegen Art. 5 Abs. 1 lit. e DSGVO und gegen Dokumentationspflichten.

6. Schatten-Postfächer und Übergangslösungen

Viele Organisationen nutzen:

  • private E-Mail-Accounts,
  • inoffizielle Postfächer,
  • Weiterleitungen,
  • mobile Apps ohne Protokollierung.

Diese Praktiken sind datenschutzrechtlich nicht tragbar.

„Abstrakte digitale Grafik zur DSGVO-Compliance, die moderne Datenverarbeitung, IT-Sicherheit und Datenschutzstrukturen in Unternehmen visualisiert.“
„Futuristische Darstellung von Datenschutz, Datenfluss und IT-Sicherheitsarchitektur im Kontext der DSGVO und moderner Compliance-Prozesse.“

IV. Dogmatische Bewertung: Warum E-Mail-Fehler rechtswidrige Verarbeitungen darstellen

1. E-Mail-Systeme sind Kernbestandteile der Verarbeitungstätigkeit

Da nahezu jeder Arbeitsprozess in Unternehmen E-Mail-gestützt erfolgt, haben Fehler im System umfassende Auswirkungen auf Betroffenenrechte, Transparenz und Sicherheit.

2. Der EuGH betont die Nachweisbarkeit

Die Entscheidung C-340/21 stellt klar, dass Verantwortliche jederzeit die Einhaltung der DSGVO nachweisen müssen. Ein Unternehmen ohne Protokolle kann dies nicht.

3. Fehlkonfigurationen als Ausdruck struktureller Defizite

Das LG Wuppertal und das LG Baden-Baden bewerten technische Fehlkonfigurationen als Indikator fehlender Privacy-by-Design-Maßnahmen.

4. Fehlende Transparenz führt zu Verstößen gegen Art. 5 DSGVO

Wenn ein Unternehmen nicht erklären kann:

  • wo Mails gespeichert werden,
  • wer Zugriff hat,
  • wie lange sie aufbewahrt werden,
  • ob sie weitergeleitet wurden,

ist bereits ein Verstoß gegen Art. 5 DSGVO anzunehmen.

5. Betroffenenrechte sind ohne funktionierendes E-Mail-System nicht erfüllbar

Fehlt eine zuverlässige E-Mail-Infrastruktur, ist die Auskunft nach Art. 15 DSGVO strukturell unmöglich.

V. Folgen für Betroffene

Defizite in E-Mail-Systemen führen dazu, dass:

  • Auskünfte verspätet oder gar nicht erteilt werden,
  • Datenverluste auftreten,
  • interne Weitergaben unbekannt bleiben,
  • Löschpflichten nicht umgesetzt werden,
  • Transparenz nicht gewährleistet wird.

Die Rechtsprechung (LG Leipzig, LG Osnabrück, LG Bonn, OLG Frankfurt) erkennt an, dass Kontrollverlust über die eigene Datenverarbeitung einen immateriellen Schaden nach Art. 82 DSGVO darstellen kann.

VI. Folgen für Verantwortliche

1. Bußgelder nach Art. 83 DSGVO

Aufsichtsbehörden bewerten E-Mail-Fehler streng, da dies zentrale Systeme betrifft.

2. Schadensersatz nach Art. 82 DSGVO

Unvollständige Auskünfte, verspätete Rückmeldungen oder Intransparenz führen zu Haftungsrisiken.
Gerichte sehen solche Fehler regelmäßig als Grundlage eines immateriellen Schadens.

3. Organisationsverschulden (Art. 24 DSGVO)

Fehlende Strukturierung, unklare Prozesse oder unzureichende technische Maßnahmen sind Organisationsfehler.

4. Verstöße gegen mehrere DSGVO-Normen gleichzeitig

Ein E-Mail-System kann gleichzeitig gegen:

  • Art. 5 (Transparenz, Datenminimierung),
  • Art. 12 (Bearbeitung von Rechten),
  • Art. 25 (Privacy by Design),
  • Art. 30 (Dokumentation),
  • Art. 32 (Sicherheit)

verstoßen — ein erheblicher Compliance-Befund.

VII. Anforderungen an ein DSGVO-konformes E-Mail-System

Ein rechtssicheres E-Mail-System muss:

  1. Spamfilter dokumentiert überwachen
    regelmäßige Kontrollen mit Protokollen.
  2. Ticket- oder Workflow-Systeme für Betroffenenrechte nutzen
    automatische Fristenkontrolle.
  3. Zugriffsrechte klar definieren und beschränken
  4. Protokollierung aller relevanten Vorgänge sicherstellen
  5. Verschlüsselung und Transportabsicherung gewährleisten
  6. Zentralisierte Postfächer statt inoffizieller Accounts verwenden
  7. Verzeichnis der Verarbeitungstätigkeiten aktualisieren
  8. Löschkonzepte implementieren und durchsetzen
  9. Regelmäßige Audits und technische Kontrollen durchführen

Diese Anforderungen entsprechen den Normen der DSGVO und der dazu ergangenen Rechtsprechung.

VIII. Handlungsempfehlungen für Betroffene

Betroffene sollten:

  • auf vollständige Auskünfte nach Art. 15 DSGVO bestehen,
  • die Herkunft der Daten prüfen,
  • Fehlinformationen oder fehlende Antworten dokumentieren,
  • bei Verdacht einer fehlgeleiteten Anfrage nachfassen,
  • ggf. Aufsichtsbehörden einschalten oder rechtliche Schritte prüfen.

IX. Schlussbetrachtung

E-Mail-Systeme sind ein zentraler, aber oft übersehener Bestandteil der DSGVO-Compliance. Die Kombination aus technischer Bedeutung, organisatorischem Risiko und hoher rechtlicher Relevanz macht sie zu einem Kernelement der Datenschutzarchitektur. Fehler in E-Mail-Systemen führen regelmäßig zu strukturellen Verstößen gegen Art. 5, Art. 12, Art. 24, Art. 25 und Art. 32 DSGVO. Die Rechtsprechung hat klar definiert, dass solche Fehler nicht als technische Zufälle einzuordnen sind, sondern als Ausdruck mangelhafter Organisation.

CTA

Wenn Sie prüfen möchten, ob ein E-Mail-System DSGVO-konform betrieben wird oder ob strukturelle Defizite zu Datenschutzverstößen geführt haben, stehe ich Ihnen für eine fundierte und vertrauliche Beratung zur Verfügung.
Telefon: 0160 9955 5525
Kontakt: https://www.hortmannlaw.com/contact

Wenn Sie weitere Hintergrundanalysen zum Datenschutz suchen, finden Sie hier die wichtigsten vertiefenden Beiträge:

  1. DSGVO-Auskunft im Spamfilter
    https://www.hortmannlaw.com/articles/dsgvo-auskunft-spamfilter
  2. Unvollständige Auskünfte nach Art. 15 DSGVO
    https://www.hortmannlaw.com/articles/art15-dsgvo-unvollstaendige-auskunft
  3. Rückfragen als Datenfalle
    https://www.hortmannlaw.com/articles/rueckfrage-datenfalle-dsgvo
  4. Social-Media-Überwachung durch Unternehmen
    https://www.hortmannlaw.com/articles/social-media-ueberwachung-dsgvo
  5. Organisationsfehler nach Art. 24 DSGVO
    https://www.hortmannlaw.com/articles/art24-dsgvo-organisationsfehler
  6. Privacy by Design – warum es in der Praxis scheitert
    https://www.hortmannlaw.com/articles/privacy-by-design-scheitert
  7. DSGVO-Probleme in Großunternehmen
    https://www.hortmannlaw.com/articles/dsgvo-grossunternehmen-probleme
  8. Zutritts- und Sicherheitsdaten als DSGVO-Risiko
    https://www.hortmannlaw.com/articles/zutrittsdaten-dsgvo-sicherheitsbereiche
  9. Einwilligung unter Druck – unzulässige Kopplungen
    https://www.hortmannlaw.com/articles/dsgvo-einwilligung-druck
  10. Schadensersatz bei Kontrollverlust nach Art. 82 DSGVO
    https://www.hortmannlaw.com/articles/art82-dsgvo-kontrollverlust
  11. Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO
    https://www.hortmannlaw.com/articles/rechenschaftspflicht-dsgvo
  12. Kameraüberwachung im Garten – Datenschutz unter Nachbarn
    https://www.hortmannlaw.com/articles/kamerauberwachung-im-garten---datenschutz-unter-nachbarn
  13. Privatsphäre-Schutz für Hochvermögende
    https://www.hortmannlaw.com/articles/privatsphaere-schutz-hochvermoegende
  14. Art. 9 DSGVO & digitale Intimsphäre
    https://www.hortmannlaw.com/articles/datenschutz-intimsphaere-art9-dsgvo-digitale-sexarbeit
  15. DeFi, Krypto-Betrug & Datenschutz
    https://www.hortmannlaw.com/articles/defi-compliance-datenschutz-krypto-betrug-anwalt
  16. Crypto.com & DSGVO-Pflichten
    https://www.hortmannlaw.com/articles/dsgvo-crypto-com-pflichten-krypto-betrug
  17. Datenlecks im Krypto-Betrug
    https://www.hortmannlaw.com/articles/datenlecks-krypto-betrug
  18. Verfahrens- & Systemdaten im Netz
    https://www.hortmannlaw.com/articles/gesundheits-verfahrensdaten-im-netz
  19. Love Scam & Datenmissbrauch
    https://www.hortmannlaw.com/articles/love-scam-datenmissbrauch-opfer-anwalt
  20. Datenschutzpflichten von Krypto-Plattformen
    https://www.hortmannlaw.com/articles/die-rolle-von-krypto-plattformen-im-zusammenhang-mit-der-DSGVO
  21. KI, Datenschutz & Strafrecht – Verantwortungsmatrix
    https://www.hortmannlaw.com/articles/ki-haftung-datenschutz-und-strafrecht-die-neue-verantwortungsmatrix
  22. Was eine Datenschutzverletzung wirklich kostet
    https://www.hortmannlaw.com/articles/was-kostet-eigentlich-eine-datenschutzverletzung

Max Hortmann
Rechtsanwalt
,
Hortmann Law

Suchen Sie dringend diskrete, juristische Unterstüzung?

Wir helfen Ihnen gerne persönlich weiter – schildern Sie uns Ihr Anliegen und wir finden gemeinsam eine Lösung.

Kontakt aufnehmen
Verwandte Artikel

Das könnte Sie auch interessieren

Entdecken Sie weitere Beiträge zu aktuellen Themen rund um Digitalrecht, Cybercrime, Datenschutz, KI und Steuerrecht. Unsere verwandten Artikel geben Ihnen zusätzliche Einblicke und vertiefende Analysen.

Datenschutz
11/13/2025
November 13, 2025

Wenn Unternehmen Betroffene verantwortlich machen: Rechenschaftspflicht erklärt

Viele Verantwortliche schieben Betroffenen ihre eigenen Fehler zu – ein klarer Verstoß gegen Art. 5 Abs. 2 DSGVO.

Artikel lesen
Datenschutz

Schadensersatz nach Art. 82 DSGVO: Kontrollverlust als immaterieller Schaden

Moderne Rechtsprechung: Wann Kontrollverlust genügt, warum keine „Bagatelle“ nötig ist, und wie Betroffene Ansprüche sichern.

Artikel lesen
Datenschutz
11/13/2025
November 13, 2025

DSGVO-Einwilligung unter Druck: Unzulässige Kopplungen erkennen

Unternehmen setzen Betroffene oft unter faktischen Druck. Dieser Beitrag zeigt, wann eine Einwilligung nicht freiwillig ist.

Artikel lesen
Mehr anzeigen