Die DSGVO ist seit 2018 in Kraft, aber sie entwickelt sich weiter. Gerichtsurteile, neue Richtlinien, verschärfte Kontrollen — 2025 und 2026 bringen wichtige Änderungen für alle, die mit E-Mail-Daten arbeiten. Hier ist, was du wissen musst.

Die Meta-GAU-Entscheidung: Was sie für E-Mail bedeutet

Im Mai 2025 hat der Europäische Gerichtshof (EuGH) ein wegweisendes Urteil gefällt: Die Datenschutzaufsichtsbehörden können nicht nur gegen Unternehmen vorgehen, die Daten verarbeiten, sondern auch gegen die, die die technische Infrastruktur bereitstellen.

  • Hosting-Provider haften mit, wenn Kunden DSGVO-verstoßen
  • E-Mail-Dienste müssen ihre Kunden stärker kontrollieren
  • "Wir wussten nichts" ist keine Entschuldigung mehr

Das neue BSI-Technische Richtlinien-Update

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2025 seine technischen Richtlinien für E-Mail-Sicherheit aktualisiert:

BSI TR-03108 (Sicherer E-Mail-Transport):

  • Neuere Updates betonen strengere Transport-Sicherheitsanforderungen mit modernen TLS-Standards
  • MTA-STS muss implementiert sein
  • DANE für alle neuen Domains

BSI TR-03182 (E-Mail-Authentifizierung):

  • DMARC-Policy muss auf "reject" stehen
  • DKIM-Schlüssel müssen mindestens 2048 Bit haben
  • SPF-Einträge müssen regelmäßig geprüft werden

Die ePrivacy-Verordnung: Stand 2025/2026

Die ePrivacy-Verordnung, die ursprünglich parallel zur DSGVO kommen sollte, ist immer noch nicht in Kraft. Aber es gibt Bewegung:

  • Der Rat der EU hat seine Position im Herbst 2025 festgelegt
  • Das Europäische Parlament stimmt voraussichtlich im Frühjahr 2026 ab
  • Inkrafttreten könnte Ende 2026 erfolgen

Aktuelle Entwürfe erhöhen den Druck auf Anbieter, stärkere Verschlüsselungs- und Schutzmaßnahmen gegen unbefugtes Abhören umzusetzen.

DSGVO-Bußgelder: Die Zahlen steigen

2024 und 2025 haben neue Rekordbußgelder gebracht:

  • Meta: 1,2 Milliarde Euro (Datentransfer in die USA)
  • Amazon: 746 Millionen Euro (Werbetracking)
  • Clearview AI: 30 Millionen Euro (Gesichtserkennung)

Auch kleinere Unternehmen wurden härter bestraft. Das durchschnittliche Bußgeld für DSGVO-Verstöße lag 2025 bei 75.000 Euro.

Das "Right to be Forgotten" bei E-Mails

Ein noch ungelöstes Problem: Wie funktioniert das "Recht auf Vergessen" bei E-Mails? Wenn jemand die Löschung seiner Daten verlangt, müssen Unternehmen alle Kopien entfernen. Aber was ist mit E-Mails, die bei anderen Empfängern landen?

Fazit

Die DSGVO ist kein statisches Gesetz. Sie lebt, sie wächst, sie wird durch Urteile und Richtlinien präzisiert. 2025 und 2026 bringen wichtige Weichenstellungen für den E-Mail-Datenschutz.

Deine E-Mail-Privatsphäre ist kein Luxus. Sie ist ein Recht. Und die Gesetzgebung holt langsam nach, was Technologie schon lange ermöglicht.