Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten zu gewährleisten. Zu den möglichen Maßnahmen zählt ausdrücklich auch die Verschlüsselung personenbezogener Daten. In der Praxis stellt sich dabei die Frage, welches Verschlüsselungsniveau beim Versand personenbezogener Daten per E-Mail erforderlich ist.
Das Verwaltungsgericht Düsseldorf hat mit Urteil vom 2. April 2026 entschieden, dass eine Ende-zu-Ende-Verschlüsselung im E-Mail-Verkehr nicht generell erforderlich ist. Vielmehr kann die Übermittlung personenbezogener Daten per E-Mail mittels Transportverschlüsselung grundsätzlich ein angemessenes Schutzniveau im Sinne des Art. 32 DSGVO gewährleisten.
E-Mail mit Transportverschlüsselung an die Kfz-Haftpflichtversicherung
Dem Verfahren lag ein Verkehrsunfall zugrunde. Ein Busunternehmen übermittelte den Namen des betroffenen Unfallgeschädigten per E-Mail an seine Kfz-Haftpflichtversicherung. Für den Kläger bestand eine Melderegisterauskunftssperre nach § 51 BMG. Er sah in der E-Mail-Übermittlung einen Verstoß gegen Art. 32 DSGVO und begehrte von der LDI NRW aufsichtsrechtliche Maßnahmen. Insbesondere sollte die Behörde eine verpflichtende Ende-zu-Ende-Verschlüsselung anordnen und ein Bußgeld verhängen.
Das Gericht wies diese Begehren im Wesentlichen zurück. Die Datenverarbeitung war nach Auffassung des Gerichts zur Schadensabwicklung zulässig. Das Busunternehmen durfte den Namen des Betroffenen an seine Versicherung übermitteln.
Art. 32 DSGVO verlangt keine Maximalsicherheit
Entscheidend ist nach dem Urteil die risikobasierte Betrachtung. Art. 32 DSGVO verlangt nicht die höchstmögliche Sicherheit, sondern geeignete Maßnahmen unter Berücksichtigung von Stand der Technik, Implementierungskosten, Art, Umfang, Umständen und Zwecken der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere des Risikos.
Nach Ansicht des VG Düsseldorf genügte im konkreten Fall die Transportverschlüsselung. Zwar bietet eine Ende-zu-Ende-Verschlüsselung ein höheres Schutzniveau, weil die E-Mail selbst verschlüsselt wird. Bei der Transportverschlüsselung kann ein unbefugter Zugang zu personenbezogenen Daten dagegen nicht vollständig ausgeschlossen werden. Gleichwohl war diese hier ausreichend, weil lediglich Name und Vorname übermittelt wurden. Diese Daten stufte das Gericht nicht als sensibel ein. Der Name des Klägers war zudem im Internet frei zugänglich und ein Bezug zu seiner privaten Anschrift ließ sich nicht herstellen. Auch die Melderegisterauskunftssperre begründete nach Auffassung des Gerichts kein darüber hinausgehendes Risiko.
Mangels hohen Risikos war auch keine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich. Ebenso bestand keine Pflicht zur Meldung eines Datenschutzverstoßes nach Art. 33 DSGVO, da ein solcher Verstoß hinsichtlich der E-Mail-Übermittlung nicht festgestellt wurde.
Auskunftspflichten nach Art. 15 DSGVO bleiben strikt einzuhalten
Einen Teilerfolg erzielte der Kläger jedoch hinsichtlich seines Auskunftsersuchens nach Art. 15 DSGVO. Das Unternehmen hatte auf den Antrag vom 12. April 2022 erst mit anwaltlicher Stellungnahme vom 26. Oktober 2022 reagiert. Damit war die Monatsfrist des Art. 12 Abs. 3 Satz 1 DSGVO nicht eingehalten. Eine Fristverlängerung oder Mitteilung von Verzögerungsgründen erfolgte ebenfalls nicht. Das Gericht verpflichtete die Aufsichtsbehörde deshalb zur erneuten Entscheidung über diesen Punkt.
Einen Anspruch auf Verhängung eines Bußgeldes verneinte es jedoch mangels Ermessensreduzierung auf null.
Fazit
Das Urteil schafft praxisrelevante Klarheit zum Umgang mit personenbezogenen Daten im E-Mail-Verkehr. Art. 32 DSGVO verlangt beim E-Mail-Versand personenbezogener Daten keine pauschale Ende-zu-Ende-Verschlüsselung. Maßgeblich bleibt stets das konkrete Risiko der Verarbeitung. Bei üblichen Risiken und nicht sensiblen Daten kann eine Transportverschlüsselung ausreichend sein. Die Anforderungen sind folglich einzelfallabhängig. Je sensibler die Daten und je gravierender mögliche Folgen eines unbefugten Zugriffs sind, desto eher können weitergehende Schutzmaßnahmen erforderlich werden. Unabhängig davon zeigt die Entscheidung, dass Betroffenenrechte, insbesondere Auskunftsersuchen nach Art. 15 DSGVO, fristgerecht und sorgfältig bearbeitet werden müssen.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
