Im Mai 2021 verabschiedete der Deutsche Bundestag mit dem TTDSG ein neues Datenschutzgesetz. Das Gesetz scheint auf den ersten Blick wenig Neues zu bieten, hat aber tatsächlich erhebliche Auswirkungen auf E-Mail-Dienstleister und Arbeitgeber, die ihren Mitarbeitern die Nutzung von Firmen-E-Mails für die private Kommunikation erlauben.
Das TTDSG vereinheitlicht verschiedene deutsche Datenschutzgesetze und verschärft die Bestimmungen für E-Mails.
(Bild: Production Perig - stock.adobe.com)
Das TTDSG wurde ursprünglich verabschiedet, um die Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie) der Europäischen Union umzusetzen, eine Ergänzung der allgemeinen Datenschutzverordnung (GDPR), die offiziell als Richtlinie über den Schutz der Privatsphäre und der elektronischen Kommunikation bekannt ist. Die eigentliche Triebkraft war jedoch die Vereinheitlichung der zahlreichen Gesetze, die den deutschen Datenschutz regeln.
Das TTDSG trat im Dezember 2021 in Kraft und gewährt sogenannten "Over-the-Top"-Diensten (OTT) Datenschutz auf Telekommunikationsebene, ein Begriff, der sich auf Cloud-basierte E-Mail und andere webbasierte Nachrichtenübermittlung bezieht. Dieser Schritt ist wichtig, weil er allen, die nicht in eine Nachricht involviert sind, die Einsicht in diese Kommunikation untersagt. Mit dem Gesetz wird auch die Rolle von Unternehmen geklärt, die ihren Mitarbeitern die Nutzung von Firmen-E-Mails für den privaten Gebrauch gestatten.
Geschützte Kommunikation im neuen Gewand
Da webbasierte E-Mail-Anwendungen und Nachrichtendienste unter die OTT-Bestimmung fallen, können Anbieter wie Google und Facebook nach Angaben von Anwälten der CMS, E-Mails und Nachrichten nicht mehr für zielgerichtete Werbung oder andere Dienste analysieren.
Für Unternehmen gelten weniger strenge Anforderungen. Bisher war unklar, ob Arbeitgeber die E-Mails ihrer Mitarbeiter ohne deren Zustimmung lesen dürfen. Es wurde argumentiert, dass die Unternehmen in diesem Fall als E-Mail-Provider im Auftrag ihrer Mitarbeiter fungierten. Wenn die Arbeitgeber die Korrespondenz ohne Erlaubnis lesen, setzen sie sich einer möglichen strafrechtlichen Verfolgung nach den Datenschutzgesetzen aus.
In Verbindung mit einem kürzlich ergangenen Gerichtsurteil hat das TTDSG klargestellt, was ein Provider ist, so dass persönliche E-Mails auf Firmenkonten eher den GDPR-Vorschriften als dem strengeren deutschen Telekommunikationsrecht unterliegen. Nach Ansicht der Datenschutzexperten von JOWECON brauchen Arbeitgeber nur einen zwingenden Grund, um ohne Erlaubnis zu spionieren. [ii]
Trotz der Auswirkungen auf den E-Mail-Verkehr konzentriert sich ein Großteil der Medien auf die Bestimmungen, die sich mit Cookies befassen, da deutsche (und europäische) Internetnutzer permanent von Bannern belästigt werden, die sie auffordern, die Verwendung von Cookies für jede einzelne Website zu genehmigen. Das TTDSG macht den Weg frei für Dienste, die die Cookie-Präferenzen der Nutzer speichern und an die Websites weitergeben, so dass die Banner überflüssig werden.
Mehr Bürokratie zum Schutz von Rechten
"Die Privatsphäre muss auch in der digitalen Welt geschützt werden. Zugleich müssen wir Geschäftsmodelle ermöglichen. Die neuen Regeln schaffen ein Gleichgewicht", sagte der damalige Wirtschaftsminister Peter Altmaier, als das Gesetz im Mai verabschiedet wurde.
Obwohl Cookies wenig mit E-Mail zu tun haben, unterstreicht der Schritt die zentrale Rolle, die der Datenschutz spielt. Letztendlich, so sagen Datenschutzanwälte, wird das TTDSG wahrscheinlich durch eine deutsche Version der lang erwarteten EU-Datenschutzverordnung für elektronische Kommunikation ersetzt werden. Diese Verschärfung der bestehenden Datenschutzrichtlinie für elektronische Kommunikation sollte 2018 zusammen mit der Datenschutz-Grundverordnung (DSGVO) eingeführt werden, hat jedoch lange auf sich warten lassen und wird nun voraussichtlich 2025 in Kraft treten.
Während das deutsche TTDSG Fragen klärte, die bereits vor der Pandemie in Deutschland existierten, ringt man nun auch mit pandemiebedingten Datenschutzproblemen, wie jeder andere auch. Deutsche Unternehmen, die während der Pandemie das Arbeiten von zu Hause aus ermöglichten, haben sich als Eldorado für Cyberangriffe erwiesen, die auf Phishing, Ransomware und andere Angriffe spezialisiert sind. Neunundfünfzig Prozent der Unternehmen, die ihren Mitarbeitern das Arbeiten von zu Hause aus erlaubten, berichteten von Phishing-Angriffen seit Beginn der Pandemie, sowohl per E-Mail als auch per Telefon, so eine Umfrage des Digitalverbands Bitkom unter 1.000 deutschen Unternehmen. 52 Prozent davon gaben an, dass die Angriffe zu Schäden geführt haben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
In der weltweiten der Bekämpfung der Cyberkriminalität sind die deutschen Sicherheitsexperten laut dem Mimecast-Bericht "State of Email Security 2022" dennoch zwiespältig, wenn es um Cybersicherheit und Datenschutzpolitik geht. Auf die Frage nach der potenziellen Auferlegung staatlicher Vorgaben wie Mindeststandards für die Cybersicherheit, beschrieben die deutschen Umfrageteilnehmer ein "halbvolles Glas":
69 Prozent gaben an, dass solche Vorschriften die allgemeine Cybersicherheit ihres Unternehmens mäßig bis stark verbessern würden.
62 Prozent gaben an, dass vorgeschriebene Cybersicherheitsstandards ihr Risiko von Cyberangriffen mäßig bis stark verringern würden.
65 Prozent sagten einen mäßigen bis starken Anstieg ihrer Kosten voraus.
67 Prozent sahen einen entsprechenden Rückgang ihrer Handlungsfreiheit bei der Abwehr von Cyberangriffen.
Verschlüsselung ist nicht gleich Verschlüsselung
Unternehmen sind verpflichtet, jegliche digitale Korrespondenz zu verschlüsseln, die personenbezogene Daten enthält. Der Verband unabhängiger öffentlicher Datenschützer empfiehlt 2020 zwei Verschlüsselungsstufen, wobei es im Ermessen der Unternehmen liegt, welche Stufe angemessen ist.
Die Verschlüsselung der Daten während der Übermittlung sei für die meisten Korrespondenzen obligatorisch, so der Verband. Diese Verschlüsselungsstufe sei ausreichend für jede Kommunikation, die, wenn sie von Unbefugten eingesehen wird, nur eine normale Bedrohung für die "Rechte und Freiheiten" der in der E-Mail genannten Personen darstellen würde. Sollte die Gefährdung ein "erhöhtes Risiko" darstellen, empfiehlt der Verband eine Ende-zu-Ende-Verschlüsselung (E2EE).
E-Mail wird in Deutschland oft als unsicher angesehen. Die meisten Unternehmen und Behörden weigern sich, E-Mails für offizielle Korrespondenz zu verwenden, die zum Beispiel spezifische Zahlen oder identifizierende Informationen über Fusionen und Übernahmen enthalten könnte. Obwohl Einzelpersonen auf Datenschutzrechte verzichten können, in der Hoffnung, offizielle Antworten von Behörden oder Unternehmen per E-Mail zu erhalten, raten Anwälte von dieser Praxis ab, da Verwirrung über den Umfang der Erlaubnis - eine einzelne E-Mail, eine einzelne Angelegenheit oder die gesamte Korrespondenz - entstehen kann, wodurch Unternehmen und Behörden unnötigen Risiken ausgesetzt würden.
Die Quintessenz
Die politischen Entscheidungsträger in Deutschland bemühen sich um ein Gleichgewicht zwischen der Forderung nach Datensicherheit, dem effizienten Austausch notwendiger Informationen und der langsam voranschreitenden EU-weiten Regulierung. Cyber-Angreifer scheinen den politischen Bemühungen immer noch einen Schritt voraus zu sein.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/db/3b/db3b88c18bb40fa007b8a0a84d992c82/0127345129v2.jpeg "Im Juli 2025 hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit 1.000 Menschen zu Datenschutzthemen befragt. Künftig sollen solche Umfragen im Rahmen des Datenschutzbarometers erfolgen. (Bild: Jadon Bester/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/38/da3889157477ba71878663a90c7a9ab5/0126746662v2.jpeg "EU-Verordnung Cyber Resilience Act: Herausforderung für Hersteller, Importeure und Händler. (Bild: frei lizenziert)")