Ende-zu-Ende-Verschlüsselung: Wirklich notwendig?
Am 20.02.2025 hat das Oberverwaltungsgericht Nordrhein-Westfalen entschieden (Az. 16 B 288/23), dass Betroffene keinen Anspruch auf eine Ende-zu-Ende verschlüsselte Übertragung ihrer personenbezogenen Daten haben.
Der Antragsteller ging im Wege des einstweiligen Rechtsschutzes gegen eine öffentliche Stelle vor und begehrte die Verpflichtung der Antragsgegnerin zur Übermittlung seiner personenbezogenen Daten nur Ende-zu-Ende verschlüsselt. In der ersten Instanz, vor dem Verwaltungsgericht Köln, verlor der Antragssteller, deswegen versuchte er sein Glück in der Berufungsinstanz.
Das Oberverwaltungsgericht Nordrhein-Westfalen bestätigte die Entscheidung des Verwaltungsgerichts. Der Antragsteller ist zwar ein Betroffener im Sinne des Datenschutzrechts. Er hat jedoch keinen Anspruch auf eine Ende-zu-Ende-Verschlüsselung. Die Antragsgegnerin als datenschutzrechtliche Verantwortliche musste ausreichende technische und organisatorische Maßnahmen treffen, um die ihr anvertrauten personenbezogenen Daten zu schützen. Das ergibt sich aus Art. 32 DSGVO. Diese Norm enthält jedoch keine Verpflichtung, die Daten nur Ende-zu-Ende verschlüsselt zu übertragen. Es genügt, dass die Antragsgegnerin andere ausreichende Sicherheitsmaßnahmen getroffen hat, wie z.B. Transportverschlüsselung.
Auswirkungen auf die Praxis:
es steht fest, dass datenschutzrechtliche Verantwortliche und Ihre Auftragsverarbeiter verpflichtet sind, ausreichende Sicherheitsvorkehrungen zu treffen, um einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten. Eine Ende-zu-Ende-Verschlüsselung kann aber nicht pauschal, ohne Berücksichtigung der konkreten Verarbeitung und vornehmlich der Risiken für den Betroffenen gefordert werden. Eine generelle Pflicht zur Ende-zu-Ende-Verschlüsselung besteht nicht. Die Aufgabe der Verantwortlichen ist es, zu dokumentieren, welche Sicherheitsmaßnahmen getroffen wurden und welche Risiken bei der konkreten Verarbeitung zu erwarten sind. Die Sicherheitsvorkehrungen müssen dem Stand der Technik in Anbetracht der Risikoabwägung entsprechen und verhältnismäßig sein. Nur wenn diese Vorgänge dokumentiert sind, können Verantwortliche ihren Rechenschaftspflichten gegenüber Datenschutzaufsichtsbehörden und im Falle eines Rechtsstreites gegenüber Gerichten nachkommen.
Diese Entscheidung steht auch im Widerspruch zu der Rechtsprechung des Oberlandesgerichts Schleswig (Urteil vom 18.12.2024, Az. 12 U 9/24). Das Oberlandesgericht hat im Dezember 2024 entschieden, dass eine Ende-zu-Ende-Verschlüsselung “das Mittel der Wahl” sei, wenn es um Rechnungsversand per Mail geht. Die Auffassung des Oberlandesgerichts Schleswig berücksichtigt jedoch im Gegensatz zu dem Oberverwaltungsgericht nicht die Feinheiten des Art. 32 DSGVO.
Es bleibt deshalb abzuwarten, welche Auffassung sich durchsetzt. Für die Rechtsprechung des Oberverwaltungsgerichts Nordrhein-Westfalen sprechen sehr gute Argumente. Die Verantwortlichen sind jedoch gut beraten, die Verarbeitungsvorgänge nicht nur zu dokumentieren, sondern auch die Transportverschlüsselung ergänzende Sicherheitsvorkehrungen zu prüfen und gegebenenfalls umzusetzen.
Bild von Pete Linforth auf Pixabay
Justyna Rulewicz
RECHTSANWÄLTIN / GESCHÄFTSFÜHRENDE PARTNERIN (CEO)
Piotr Stojgniew Maluszczak
RECHTSANWALT/WIRSTSCHAFTSMEDIATOR
