Das Oberverwaltungsgericht (OVG) Münster hat sich zu der Frage geäußert, ob Behörden bei der Übermittlung personenbezogener Daten grundsätzlich zur Ende-zu-Ende-Verschlüsselung verpflichtet sind.
Worum ging es?
Ein Kläger verlangte von einer Behörde, personenbezogene Daten ausschließlich mit Ende-zu-Ende-Verschlüsselung zu übermitteln. Er argumentierte, dass eine reine Transportverschlüsselung (z.B. TLS) nicht dem Stand der Technik entspreche und seine Interessen gefährde. Der Kläger sah in der Transportverschlüsselung ein unzureichendes Schutzniveau und forderte eine höhere Sicherheitsstufe.
Wie entschied das Gericht?
Das OVG Münster (OVG Münster, Beschl. v. 20.02.2025 – Az.: 16 B 288/23) wies die Berufung des Klägers zurück. Das Gericht stellte fest, dass die DSGVO keine generelle Pflicht zur Ende-zu-Ende-Verschlüsselung vorschreibt. Gemäß Art. 32 DSGVO sind lediglich „geeignete Maßnahmen“ zum Schutz personenbezogener Daten erforderlich, die sich nach dem Risiko und dem Stand der Technik richten.
Im vorliegenden Fall hatte die Behörde bereits eine Transportverschlüsselung (TLS) eingesetzt, die als ausreichend sicher eingestuft wurde. Das Gericht betonte, dass der Kläger keine konkrete Gefährdung durch die Verwendung von TLS glaubhaft machen konnte. Es gab keine Hinweise darauf, dass die Behörde einem erhöhten Risiko ausgesetzt war, z.B. durch häufige Hackerangriffe oder Sicherheitslücken.
Zusätzlich hatte die Behörde weitere Sicherheitsmaßnahmen implementiert, darunter die Verwendung einer SINA-Box und Client-Zertifikate für die Kommunikation mit anderen staatlichen Stellen. Darüber hinaus verfügte die Behörde über ein IT-Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das die Umsetzung eines angemessenen IT-Sicherheitskonzepts bestätigte.
Das Gericht führte aus, dass die Behörde eine Risikoeinschätzung vorgenommen hatte und auf dieser Basis ein dem Risiko angemessenes Schutzniveau gewährleiste. Der Kläger konnte nicht nachweisen, dass die Datenverarbeitung der Behörde für ihn ein besonderes Risiko darstellte oder dass eine Ende-zu-Ende-Verschlüsselung erforderlich sei.
Konsequenzen für die Praxis
Die Entscheidung des OVG Münster hat folgende Konsequenzen für die Datenübermittlung durch Behörden:
Keine generelle Ende-zu-Ende-Verschlüsselungspflicht:
Behörden sind nicht generell verpflichtet, personenbezogene Daten mit Ende-zu-Ende-Verschlüsselung zu übermitteln. Die Wahl der Sicherheitsmaßnahmen hängt vom konkreten Risiko und dem Stand der Technik ab.
Angemessenheit des Schutzniveaus entscheidend:
Die DSGVO verlangt keine maximale Sicherheit, sondern ein angemessenes Schutzniveau, das sich an den Risiken orientiert. Behörden müssen eine Risikobewertung durchführen und darauf basierend geeignete technische und organisatorische Maßnahmen ergreifen.
Transportverschlüsselung im Regelfall ausreichend:
Im Regelfall ist eine Transportverschlüsselung (TLS) ausreichend, sofern keine konkreten Anhaltspunkte für ein erhöhtes Risiko vorliegen. TLS gilt als Stand der Technik und bietet ein hohes Maß an Sicherheit.
Nachweispflicht des Klägers bei erhöhtem Risiko:
Wenn ein Kläger eine Ende-zu-Ende-Verschlüsselung fordert, muss er ein erhöhtes Risiko glaubhaft machen. Ein bloßer Wunsch nach maximaler Sicherheit reicht nicht aus, um eine solche Maßnahme zu rechtfertigen.
Weitere Sicherheitsmaßnahmen können aber erforderlich sein:
Behörden müssen zusätzliche Sicherheitsmaßnahmen ergreifen, wenn dies aufgrund der Risikobewertung erforderlich ist. Dazu können z.B. SINA-Boxen, Client-Zertifikate oder andere technische Lösungen gehören.
Zusammenfassung
Das OVG Münster hat entschieden, dass für Behörden keine generelle Pflicht zur Ende-zu-Ende-Verschlüsselung bei der Datenübermittlung besteht. Eine Transportverschlüsselung (TLS) ist im Regelfall ausreichend, sofern sie ein angemessenes Schutzniveau bietet. Die Entscheidung betont die Bedeutung einer individuellen Risikobewertung und stellt klar, dass die Wahl der Sicherheitsmaßnahmen dem konkreten Risiko und dem Stand der Technik entsprechen muss. Der bloße Wunsch nach maximaler Sicherheit rechtfertigt nicht den Einsatz von Ende-zu-Ende-Verschlüsselung, wenn keine konkrete Gefährdungslage besteht.
