Ist das Versenden von Dateien per E-Mail DSGVO-konform in der EU?
Published on 22. April 2026
Ist das Versenden von Dateien per E-Mail DSGVO-konform in der EU?
Das Versenden von Dateien per E-Mail ist nicht automatisch DSGVO-nicht-konform, aber für Dokumente, die sensible personenbezogene Daten enthalten, ist es sehr schwierig, die Sicherheitsanforderungen aus Artikel 32 der DSGVO nur mit E-Mail zu erfüllen. E-Mail-Anhänge fehlen an Zugangskontrollen, können nach der Zustellung nicht widerrufen werden, bieten keine Protokollierung darüber, wer die Datei geöffnet hat, und übertragen in vielen Konfigurationen Daten über Server außerhalb der EU. Für Dokumente mit geringem Risiko, die keine personenbezogenen Daten enthalten, ist E-Mail im Allgemeinen akzeptabel. Für alles, was personenbezogene Daten enthält, ist eine kontrolliertere Methode zum Teilen erforderlich.
Was die DSGVO über das Versenden von Dokumenten sagt
Die DSGVO verbietet E-Mail nicht als Teilungsmechanismus. Artikel 32 verlangt jedoch von Organisationen, technische und organisatorische Maßnahmen zu ergreifen, die dem Risiko der verarbeiteten Daten angemessen sind. Für Dokumente, die personenbezogene Daten enthalten, müssen diese Maßnahmen Folgendes berücksichtigen:
- Vertraulichkeit — unbefugten Zugriff verhindern
- Integrität — sicherstellen, dass Daten während der Übertragung nicht verändert werden
- Verfügbarkeit — Zugriff wiederherstellen können, wenn er verloren geht
- Resilienz — Sicherheit unter widrigen Bedingungen aufrechterhalten
Standard-E-Mail — unverschlüsselte SMTP-Zustellung ohne Zugangskontrollen — erfüllt mehrere dieser Anforderungen nicht, wenn sie auf sensible personenbezogene Daten angewendet wird.
Die spezifischen Probleme mit E-Mail-Anhängen
Keine Zugangskontrolle nach der Zustellung
Sobald eine Datei im Posteingang eines Empfängers zugestellt wird, haben Sie keine Möglichkeit, zu verhindern, dass er sie öffnet, weiterleitet oder unbegrenzt aufbewahrt. Wenn dieser Empfänger später die Organisation verlässt oder sein Konto kompromittiert wird, ist Ihr Dokument gefährdet.
Kein Prüfprotokoll
Das Verantwortlichkeitsprinzip der DSGVO verlangt von Ihnen, die Einhaltung nachzuweisen. E-Mail bietet kein Protokoll darüber, wer einen Anhang geöffnet hat, wann oder wie oft. Sie können die Frage eines Regulators darüber, wer Zugriff auf ein sensibles Dokument hatte, nicht beantworten, wenn Sie es als E-Mail-Anhang gesendet haben.
Kein Widerruf
Wenn Sie feststellen, dass ein Dokument an die falsche Person gesendet wurde, können Sie einen E-Mail-Anhang nicht zurückrufen. Das Dokument befindet sich dauerhaft im Besitz dieser Person.
Routing über Server von Dritten
E-Mail wird häufig über Server außerhalb der EU geleitet — einschließlich US-amerikanischer Microsoft Exchange-, Google Workspace- oder Yahoo-Infrastruktur. Ohne spezifische Konfiguration stellt dies einen unkontrollierten internationalen Datentransfer gemäß Kapitel V der DSGVO dar.
Keine Verschlüsselung im Ruhezustand auf dem Gerät des Empfängers
Selbst wenn E-Mails während der Übertragung verschlüsselt sind, wird der Anhang typischerweise unverschlüsselt im E-Mail-Client des Empfängers und auf dessen Gerätespeicher gespeichert.
Wann E-Mail-Anhänge unter der DSGVO akzeptabel sein können
E-Mail-Anhänge können in Szenarien mit geringerem Risiko konform verwendet werden:
- Nicht-personenbezogene Dokumente — Marketingmaterialien, Produktbroschüren, öffentlich verfügbare Informationen
- Verschlüsselte Anhänge — Dateien, die mit AES-256 verschlüsselt sind, wobei nur der beabsichtigte Empfänger den Entschlüsselungsschlüssel besitzt, separat übertragen
- Innerhalb einer vollständig verwalteten EU-Unternehmensumgebung — wo sowohl Sender als auch Empfänger ein in der EU gehostetes verwaltetes E-Mail-System mit Kontrollen zur Verhinderung von Datenverlust verwenden
- Mit dokumentierter rechtlicher Grundlage und Minimierung — wo die geteilten Daten tatsächlich notwendig sind und das Teilen dokumentiert ist
Für die meisten KMUs und Dienstleistungsunternehmen ist es nicht praktikabel, all diese Bedingungen gleichzeitig für jedes ausgehende Dokument zu erfüllen. Deshalb gibt es speziell entwickelte sichere Dokumentenfreigabeplattformen.
Die konforme Alternative: Sichere Dokumentenlinks
Anstatt eine Datei an eine E-Mail anzuhängen, teilen Sie einen sicheren Link, der:
- Erfordert, dass der Empfänger sich authentifiziert, bevor er auf das Dokument zugreift
- Die Datei auf Ihrem kontrollierten, in der EU gehosteten Server belässt, anstatt sie an das Gerät des Empfängers zu liefern
- Jedes Zugriffsereignis in einem vollständigen Prüfprotokoll aufzeichnet
- Es Ihnen ermöglicht, den Zugriff jederzeit zu widerrufen
- AES-256-Verschlüsselung im Ruhezustand auf das Dokument anwendet
SendNow arbeitet ausschließlich auf EU-basierten Infrastrukturen und bietet all diese Kontrollen. Sie senden den Link per E-Mail — was in Ordnung ist — während Sie die vollständige DSGVO-konforme Kontrolle über das Dokument selbst aufrechterhalten.
Verwandte Lektüre: DSGVO und Dokumentenfreigabe: Vollständiger Leitfaden | Beste DSGVO-konforme Dateiübertragungswerkzeuge für europäische Unternehmen (2026)
Risikobewertung von E-Mail-Anhängen nach Dokumenttyp
| Dokumenttyp | Risiko personenbezogener Daten | Geeignet für E-Mail-Anhang? |
|---|---|---|
| Marketingbroschüre | Keine | Ja |
| Produktspezifikation | Keine | Ja |
| Vertrag mit namentlich genannten Parteien | Hoch | Nein — verwenden Sie einen sicheren Link |
| Mitarbeiterakten | Sehr hoch | Nein — verwenden Sie einen sicheren Link |
| Finanzmodell mit Personalkosten | Hoch | Nein — verwenden Sie einen sicheren Link |
| Rechnung mit Kundenname | Mittel | Verschlüsseln oder sicheren Link verwenden |
| Cap Table | Sehr hoch | Nein — verwenden Sie einen sicheren Link |
| Gesundheits- oder Rechtsbericht | Sehr hoch | Nein — verwenden Sie einen sicheren Link |
So bewerten Sie Ihre aktuellen E-Mail-Freigabeverfahren
Überprüfen Sie die Arten von Dokumenten, die Ihre Organisation regelmäßig per E-Mail sendet, und fragen Sie:
- Enthält das Dokument Namen, E-Mail-Adressen, Finanzdaten oder andere Informationen, die eine lebende Person identifizieren können?
- Verschlüsselt Ihr E-Mail-System Daten während der Übertragung und im Ruhezustand über die gesamte Lieferkette?
- Können Sie ein Protokoll darüber erstellen, wer das Dokument erhalten und geöffnet hat?
- Können Sie den Zugriff widerrufen, wenn das Dokument falsch gesendet wurde?
- Befinden sich alle Server in der Lieferkette innerhalb der EU/EEA?
Wenn Sie eine dieser Fragen für einen Dokumenttyp, der personenbezogene Daten enthält, mit „Nein“ beantworten, wechseln Sie diese Kategorie sofort zu einer sicheren, linkbasierten Freigabemethode.
Verwandte Lektüre: Erstellen Sie eine DSGVO-Dokumentenfreigaberichtlinie
Häufig gestellte Fragen
Ist es illegal, personenbezogene Daten per E-Mail in der EU zu versenden?
Es ist nicht automatisch illegal, aber es kann gegen Artikel 32 der DSGVO verstoßen, wenn die Daten sensibel sind und angemessene Sicherheitsmaßnahmen nicht vorhanden sind. Aufsichtsbehörden haben speziell Geldstrafen verhängt, weil unsichere E-Mails zur Übertragung personenbezogener Daten verwendet wurden.
Macht die Verschlüsselung eines E-Mail-Anhangs ihn DSGVO-konform?
Verschlüsselung verbessert die Sicherheit erheblich, aber Sie haben immer noch kein Prüfprotokoll, keine Widerrufsmöglichkeit und keine Kontrolle über die Aufbewahrung nach der Zustellung. Verschlüsselung ist notwendig, aber nicht ausreichend für hochriskante Dokumente.
Welche personenbezogenen Daten finden sich am häufigsten in Geschäftsdokumenten?
Namen und Kontaktdaten in Verträgen, Finanzinformationen in Rechnungen und Berichten, Mitarbeiterdaten in HR-Dokumenten und Identitätsdetails in rechtlicher Korrespondenz.
Kann ich Gmail oder Outlook verwenden, um DSGVO-konforme Dokumente zu senden?
Die Verbraucher-Versionen von Gmail und Outlook speichern Daten auf US-basierten Servern und bieten nur begrenzte Prüfprotokollierung. Geschäftsversionen mit aktivierter EU-Datenresidenz sind für Dokumente mit geringerem Risiko konformer, bieten jedoch nicht die Zugangskontrollen, die für hochsensible personenbezogene Daten erforderlich sind.
Wie sage ich den Empfängern, dass sie einen sicheren Link anstelle eines Anhangs erwarten sollen?
Eine kurze Notiz funktioniert gut: „Ich habe dieses Dokument über einen sicheren Link geteilt, anstatt es anzuhängen, um die DSGVO-Konformität sicherzustellen. Klicken Sie auf den Link, um sicher darauf zuzugreifen.“ Die meisten professionellen Empfänger schätzen die Transparenz.
Gilt die DSGVO, wenn ich ein Dokument an ein anderes EU-Unternehmen sende?
Ja. Die DSGVO gilt für Sie als Datenverantwortlichen, unabhängig davon, ob der Empfänger ebenfalls in der EU ansässig ist. Sie sind dafür verantwortlich, sicherzustellen, dass die Übertragung rechtmäßig und sicher ist.
Welche Geldstrafe hat die ICO oder andere EU-Regulierungsbehörden für unsichere E-Mail-Freigaben verhängt?
Die britische ICO und die EU-Datenschutzbehörden haben Geldstrafen und Verwarnungen für die unsichere E-Mail-Übertragung sensibler personenbezogener Daten, einschließlich Gesundheitsakten, rechtlicher Dokumente und Finanzinformationen, verhängt. Die Beträge variieren je nach Umfang des Verstoßes und dem Umsatz der Organisation.
Was ist der sicherste Weg, ein sensibles Dokument mit einer externen Partei zu teilen?
Verwenden Sie eine sichere Dokumentenfreigabeplattform, die pro Empfänger Links, AES-256-Verschlüsselung, EU-Datenresidenz, ein vollständiges Prüfprotokoll und die Möglichkeit bietet, den Zugriff zu widerrufen. SendNow bietet all diese Funktionen unter sendnow.live.
Ready to share documents smarter?
Start tracking who reads your documents, page by page. Free trial, no credit card required.
Get Started for Free →