Personenbezogene Daten müssen durch eine Behörde nicht zwingend Ende-zu-Ende verschlüsselt sein, da eine Transportverschlüsselung gemäß der DSGVO zumeist ausreicht. Dies hat das OVG Münster entschieden.
Das Oberverwaltungsgericht (OVG) Münster hat entschieden, dass Behörden personenbezogene Daten nicht zwingend mit einer Ende-zu-Ende-Verschlüsselung übermitteln müssen. Eine Transportverschlüsselung, beispielsweise durch eine Transport Layer Security (TLS-Verschlüsselung), reiche in den meisten Fällen aus. TLS ist ein weit verbreitetes Sicherheitsprotokoll, das Datenschutz und Datensicherheit für die Kommunikation über das Internet erleichtert.
Der Kläger habe kein besonderes Risiko nachweisen können, dass eine weitergehende Verschlüsselung erforderlich gemacht hätte. Damit bleibt es bei der generellen Regelung der Datenschutz-Grundverordnung (DSGVO), wonach angemessene Sicherheitsmaßnahmen getroffen werden müssen, aber keine spezifische Verschlüsselung vorgeschrieben ist (OVG Münster, Beschluss vom 20.02.2025 – Az.: 16 B 288/23).
Neu für Unternehmen 🔥
Rundum-Datenschutz im Abo
Vermeiden Sie hohe Datenschutz-Bußgelder & Abmahnungen.
Mit unseren Datenschutz-Paketen ab 711 € mtl.
✓ Rechtssicherheit
✓ Abmahnschutz
✓ Persönliche Betreuung im Ernstfall
Die Anforderungen an den Datenschutz wechseln ständig: Hochautomatisierte Abmahnkanzleien spüren bestehende Datenschutzlücken in Sekunden auf und strafen Sie mit saftigen Bußgeldern ab! Bleiben Sie mit dem wöchentlichen Datenschutz-Update unserer Datenschutzpakete immer einen Schritt voraus. Mit dem Abmahnkostenschutz bieten wir Ihnen nicht nur Sicherheit, sondern auch die Gewissheit, dass Sie im Falle einer Abmahnung nicht allein sind.
Forderung nach stärkerer Verschlüsselung
Der Kläger hatte sich gegen eine Behörde gewandt, die personenbezogene Daten über das Internet verschickte. Die Behörde nutzte für die elektronische Datenübertragung eine Transportverschlüsselung TLS. Das bedeutet, dass die Daten auf dem Weg zwischen Sender und Empfänger verschlüsselt sind, jedoch auf den Endgeräten selbst entschlüsselt vorliegen.
Der Kläger argumentierte, dass eine Transportverschlüsselung nicht ausreiche, da Angreifer theoretisch an den Endpunkten der Kommunikation Zugriff auf die unverschlüsselten Daten erhalten könnten. Er forderte, dass die Behörde stattdessen eine Ende-zu-Ende-Verschlüsselung verwenden solle. Bei einer solchen Methode wären die Daten von der Quelle bis zum Empfänger durchgängig verschlüsselt, sodass nur autorisierte Empfänger sie entschlüsseln könnten.
Seine Argumentation stützte er auf Art. 32 DSGVO, der verlangt, dass Unternehmen und Behörden „geeignete technische und organisatorische Maßnahmen“ zum Schutz personenbezogener Daten ergreifen. Da aus seiner Sicht die Transportverschlüsselung nicht sicher genug war, sah er einen Verstoß gegen diese Regelung. Er beantragte daher, die Behörde im Rahmen eines einstweiligen Rechtsschutzverfahrens zu verpflichten, eine Ende-zu-Ende-Verschlüsselung zu implementieren.
Behörde hat keine Pflicht zur Ende-zu-Ende-Verschlüsselung
Das OVG Münster lehnte den Antrag des Klägers nun jedoch ab. Das OVG urteilte, dass die DSGVO keine ausdrückliche Pflicht zur Ende-zu-Ende-Verschlüsselung vorsehe. Vielmehr müssten Maßnahmen getroffen werden, die dem Risiko angemessen seien und dem Stand der Technik entsprechen würden.
Die Behörde habee bereits eine Transportverschlüsselung durch TLS 1.2 implementiert und zusätzliche Sicherheitsmaßnahmen getroffen. Dazu gehöre unter anderem die Nutzung sogenannter SINA-Boxen sowie Client-Zertifikate, um eine gesicherte Kommunikation zwischen Behörden zu gewährleisten. Zudem habe die Behörde ein gültiges IT-Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik (BSI) besessen, das ihre Sicherheitsvorkehrungen bestätigt habe.
Das OVG wies darauf hin, dass Art. 32 DSGVO von „geeigneten“ Sicherheitsmaßnahmen spreche, die sich nach dem Risiko und den Implementierungskosten richteten. Eine Ende-zu-Ende-Verschlüsselung sei nicht grundsätzlich erforderlich, wenn eine Transportverschlüsselung ausreiche, um die Sicherheit der Daten zu gewährleisten.
Kein erhöhtes Risiko nachgewiesen
Ein zentraler Punkt des Urteils war die Frage, ob im Fall ein besonders hohes Risiko für die Daten bestand. Das Verwaltungsgericht hatte in der vorherigen Instanz dazu bereits festgestellt, dass der Kläger nicht glaubhaft gemacht habe, dass seine personenbezogenen Daten einem besonderen Risiko ausgesetzt gewesen seien. Er habe nicht nachweisen können, dass die Behörde in der Vergangenheit Opfer eines Hackerangriffs geworden war oder dass unzureichende Sicherheitsmaßnahmen bestanden.
Das OVG Münster folgte dieser Einschätzung und betonte, dass eine generelle Verpflichtung zur Ende-zu-Ende-Verschlüsselung nur dann gerechtfertigt sei, wenn besondere Umstände vorlägen. Diese habe der Kläger jedoch nicht nachweisen können.
Ein weiteres Argument war, dass die Sicherheitsmaßnahmen der Behörde bereits den Anforderungen der DSGVO genügten. Da sich keine Sicherheitslücken gezeigt hätten und ein anerkanntes Sicherheitszertifikat vorlag, sah das OVG keine Veranlassung, zusätzliche Maßnahmen wie eine Ende-zu-Ende-Verschlüsselung anzuordnen.
DSGVO verlangt keine generelle Ende-zu-Ende-Verschlüsselung
Das Urteil bestätigt, dass Behörden bei der Datenübermittlung nicht zwingend Ende-zu-Ende-Verschlüsselung nutzen müssen. Die DSGVO fordert lediglich angemessene Sicherheitsmaßnahmen, die dem Risiko und dem Stand der Technik entsprechen. Eine Transportverschlüsselung wie TLS kann daher in vielen Fällen ausreichen. Dies jedoch sollte immer anwaltlich geprüft werden.
Für Betroffene bedeutet das: Wer eine höhere Verschlüsselung fordert, muss darlegen, warum in seinem konkreten Fall ein erhöhtes Risiko besteht. Ohne einen solchen Nachweis besteht kein Anspruch auf eine speziellere Verschlüsselungsmethode.
Sie suchen einen Anwalt im Datenschutzrecht?
Haben Sie eine Abmahnung erhalten, Fragen im Datenschutzrecht oder benötigen Sie eine dauerhafte Betreuung? WBS.LEGAL berät Sie gerne zu allen Fragen des Datenschutzrechts.
tsp
