als gesetzliche Anforderung kommt bei Anbietern die keine Telekommunikationsanbieter und auch keine Berufsgeheimnisträger sind nur Art. 32 DSGVO in Betracht. Dazu passend gibt es eine Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ von der Datenschutzkonferenz, die die Aufsichten aber selbst nicht erstnehmen. Bei Beschwerden erhalte ich regelmäßig „unverbindlich“ zurück (blog.lindenberg.one/AufsichtEmail).
Telekommunikationsanbieter wären verpflichtet das TK-Geheimnis zu schützen, aber die Bundesnetzagentur hat bisher kein wie veröffentlicht. Dementsprechend drücken auch die sich.
Die Empfehlungen zu TLS des BSIs darf man bei Email nicht zu ernst nehmen, sonst gefährdet man die Interoperabilität und es kommt noch häufiger zu unverschlüsselter Kommunikation.
Nach meinen Beobachtungen sind Server die keine opportunistische Verschlüsselung verwenden sehr selten, aber nur ganz wenige verwenden SMTP-DANE oder MTA-STS und sind damit gegen Downgrade-, MiTM- und ähnliche Attacken immun. Eingangsseitig TLS zu erzwingen loht daher nicht wirklich, denn die Server die man damit ausgrenzt würden auch an einen beliebigen anderen nicht authentifizierten Server übermitteln.