OVG-Beschluss zur E-Mail-Verschlüsselung: Ein Rückschritt für die Rechtssicherheit?

Publiziert am 13. März 2025 von SWinkler

Das Oberverwaltungsgericht Nordrhein-Westfalen (OVG NRW) hat am 20. Februar 2025 entschieden, dass Behörden bei der Übermittlung personenbezogener Daten nicht zwingend eine Ende-zu-Ende-Verschlüsselung einsetzen müssen. Eine Transportverschlüsselung sei in vielen Fällen ausreichend (Az. 16 B 288/23) . Dieser Beschluss steht im Widerspruch zu den Empfehlungen deutscher Datenschutzbehörden und wirft Fragen zur Rechtssicherheit auf.

Ungünstig ist in diesem Zusammenhang insbesondere, dass sich das Gericht nicht weiter dazu verhält, welche Arten von Daten der Kläger Ende-zu-Ende verschlüsselt haben wollte und warum diese Verschlüsselung nicht notwendig gewesen ist. Es stellt schlicht und ergreifend fest, dass dem so ist.

Empfehlungen der Datenschutzbehörden zur E-Mail-Verschlüsselung

Die deutschen Datenschutzbehörden betonen die Notwendigkeit einer angemessenen Verschlüsselung beim Versand personenbezogener Daten. In ihrer Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ empfehlen sie:

  • Transportverschlüsselung als Mindeststandard für E-Mails mit normalem Risiko.
  • Ende-zu-Ende-Verschlüsselung für E-Mails mit sensiblen oder besonders schützenswerten Inhalten.

Diese Empfehlungen basieren auf der Datenschutz-Grundverordnung (DSGVO), die in Art. 32 Abs. 1 geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten fordert.

Widersprüchliche Rechtsprechung und ihre Auswirkungen

Der Beschluss des OVG NRW, der eine Transportverschlüsselung als ausreichend erachtet, steht im Kontrast zu den strikteren Empfehlungen der Datenschutzbehörden. Diese Uneinigkeit führt zu:

  • Rechtsunsicherheit: Unternehmen und Behörden sind unsicher, welche Verschlüsselungsstandards sie einhalten müssen, um DSGVO-konform zu handeln.
  • Erhöhtem Risiko von Datenschutzverletzungen: Ohne klare Vorgaben könnten sensible Daten unzureichend geschützt werden, was zu Datenpannen führen kann.
  • Möglichen Sanktionen: Unterschiedliche Auslegungen der Verschlüsselungspflichten könnten zu Bußgeldern oder anderen Sanktionen führen.

Unser Beratungsangebot

In diesem komplexen Umfeld ist es entscheidend, die richtigen Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Wir stehen Ihnen gern beratend zur Seite, um eine rechtssichere und effektive E-Mail-Verschlüsselung in Ihrem Unternehmen zu implementieren.

Dieser Beitrag wurde unter Betroffene Personen, Unternehmen abgelegt und mit , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.