Das Oberverwaltungsgericht Nordrhein-Westfalen (OVG NRW, Beschluss vom 20.02.2025, Az. 16 B 288/23) hat sich mit einer wichtigen Frage zum Datenschutz und der Sicherheit elektronischer Kommunikation befasst: Hat ein Empfänger das Recht, darauf zu bestehen, dass personenbezogene Daten nur verschlüsselt per E-Mail versendet werden?

Im konkreten Fall hatte der Antragsteller verlangt, dass eine Behörde ihm ausschließlich Ende-zu-Ende-verschlüsselte E-Mails sendet. Die Behörde lehnte dies ab, da sie bereits Transportverschlüsselung (TLS) einsetzte. Der Antragsteller sah sich dadurch in seinen Datenschutzrechten verletzt und forderte eine gerichtliche Entscheidung.

Der Beschluss des OVG NRW stellt klar: Es besteht keine generelle Verpflichtung zur Ende-zu-Ende-Verschlüsselung, solange andere Schutzmaßnahmen, wie Transportverschlüsselung, dem Risiko angemessen sind.

Wie sicher müssen personenbezogene Daten per E-Mail übermittelt werden?

Die Datenschutz-Grundverordnung (DSGVO) fordert in Art. 32 Abs. 1, dass Unternehmen und Behörden „geeignete technische und organisatorische Maßnahmen“ ergreifen, um personenbezogene Daten zu schützen. Dazu zählt auch die Verschlüsselung. Doch welche Form der Verschlüsselung notwendig ist, hängt von mehreren Faktoren ab:

Ende-zu-Ende-Verschlüsselung vs. Transportverschlüsselung

Der Beschluss betont, dass Ende-zu-Ende-Verschlüsselung nicht zwingend vorgeschrieben ist, wenn Transportverschlüsselung (TLS) in Kombination mit anderen Schutzmaßnahmen ausreicht.

🔒 Ende-zu-Ende-Verschlüsselung (E2EE):

• Der Inhalt der Nachricht bleibt über den gesamten Übertragungsweg verschlüsselt.
• Nur Absender und Empfänger können die Nachricht entschlüsseln.
• Hoher Schutz, aber komplex in der Umsetzung, da beide Seiten kompatible Systeme benötigen.

🔑 Transportverschlüsselung (TLS):

• Die Nachricht wird während der Übertragung verschlüsselt.
• Serverbetreiber (z. B. E-Mail-Anbieter) könnten theoretisch Zugriff auf Inhalte haben.
• Standardlösung für viele Unternehmen und Behörden, da sie einfacher zu implementieren ist.

Das Gericht entschied, dass die Behörde mit ihrer TLS-gesicherten Kommunikation und zusätzlichen Schutzmaßnahmen (z. B. IT-Sicherheitszertifikat) bereits ein angemessenes Sicherheitsniveau bot.

Hat der Empfänger ein Recht auf verschlüsselte E-Mails?

Das OVG NRW stellt fest: Nein, ein genereller Anspruch auf Ende-zu-Ende-Verschlüsselung besteht nicht.

Allerdings haben Empfänger unter bestimmten Voraussetzungen das Recht, eine sicherere Übermittlung personenbezogener Daten zu verlangen, wenn:

✔ Es sich um besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) handelt.
✔ Ein individuelles erhöhtes Risiko für den Empfänger besteht.
✔ Andere verfügbare Schutzmaßnahmen nicht ausreichen, um eine sichere Übermittlung zu gewährleisten.

Wer als Empfänger Bedenken hinsichtlich der Sicherheit einer E-Mail-Übertragung hat, sollte aktiv auf den Absender zugehen und eine alternative Übermittlungsmethode vorschlagen (z. B. verschlüsselte Anhänge mit Passwortübermittlung auf anderem Wege).

Empfehlungen für Unternehmen und Behörden

Um Datenschutzverstöße zu vermeiden und rechtlich sicher zu agieren, sollten Unternehmen und öffentliche Stellen folgende Maßnahmen berücksichtigen:

✔ Grundsätzlich Transportverschlüsselung (TLS) verwenden – E-Mails sollten nie unverschlüsselt versendet werden.
✔ Risikobasierte Entscheidung für Ende-zu-Ende-Verschlüsselung – Falls besonders sensible Daten betroffen sind, kann E2EE erforderlich sein.
✔ Alternative Übermittlungswege anbieten – Wenn Empfänger Bedenken äußern, sind verschlüsselte ZIP-Dateien oder sichere Portale eine praktikable Lösung.
✔ Dokumentation der Sicherheitsmaßnahmen – Unternehmen und Behörden sollten nachweisen können, dass ihre Maßnahmen dem aktuellen Stand der Technik entsprechen.

Unser Beratungsangebot

Die sichere elektronische Übermittlung personenbezogener Daten ist ein komplexes Thema. Wir stehen Ihnen gern beratend zur Seite, um für Ihr Unternehmen oder Ihre Behörde eine rechtssichere und praktikable Lösung zu entwickeln.