Transportverschlüsselung genügt: VG Düsseldorf konkretisiert Anforderungen an E-Mail-Sicherheit
28.04.2026
Zusammenfassung
Das VG Düsseldorf entschied am 02.04.2026, dass kein genereller Zwang zur Ende-zu-Ende-Verschlüsselung besteht, sondern ein risikobasierter Ansatz gilt. Im konkreten Fall reichte Transportverschlüsselung aus. Je höher das Risiko, desto strengere Maßnahmen sind nötig, wobei Aufsichtsbehörden einen weiten Ermessensspielraum haben – das OLG Schleswig vertritt hingegen eine strengere Linie und verlangt bei erhöhtem Risiko weitergehende Schutzmaßnahmen.
4 Minuten Lesezeit
Mit Urteil vom 2. April 2026 (Az. 29 K 7351/23) hat das Verwaltungsgericht Düsseldorf zentrale Fragen zur datenschutzrechtlichen Absicherung von E-Mail-Kommunikation präzisiert. Im Fokus stand die bislang umstrittene Frage, ob personenbezogene Daten grundsätzlich nur mittels Ende-zu-Ende-Verschlüsselung übermittelt werden dürfen oder ob eine Transportverschlüsselung ausreichen kann.
Sachverhalt
Ausgangspunkt war ein alltäglicher Vorgang: Nach einem Verkehrsunfall wurde der Name einer betroffenen Person per E-Mail an eine Versicherung übermittelt. Der Kläger sah hierin einen Datenschutzverstoß und machte geltend, dass aufgrund seiner individuellen Situation ein erhöhtes Schutzbedürfnis bestehe. Er verlangte daher ein Einschreiten der zuständigen Aufsichtsbehörde und insbesondere strengere technische Schutzmaßnahmen. Die Behörde sah hierfür keinen Anlass, was der Kläger gerichtlich überprüfen ließ.
Maßstab: Angemessenes Schutzniveau statt Maximalschutz
Das Gericht stellt klar, dass die datenschutzrechtlichen Anforderungen nicht auf ein bestimmtes technisches Niveau festgelegt sind. Maßgeblich ist vielmehr, ob die gewählten Maßnahmen ein angemessenes Schutzniveau gewährleisten. Dieses bestimmt sich nach den konkreten Risiken für die betroffene Person.
Damit bestätigt das Gericht den risikobasierten Ansatz: Verantwortliche sind nicht verpflichtet, stets die technisch aufwendigste oder sicherste Lösung einzusetzen. Entscheidend ist vielmehr eine nachvollziehbare Abwägung zwischen Schutzbedarf und eingesetzten Maßnahmen.
Transportverschlüsselung im konkreten Fall ausreichend
Vor diesem Hintergrund verneinte das Gericht einen Datenschutzverstoß. Ausschlaggebend war die vergleichsweise geringe Sensibilität der übermittelten Information. Es handelte sich lediglich um den Namen der betroffenen Person, ohne weitere Angaben, die Rückschlüsse auf persönliche Verhältnisse oder eine besondere Schutzbedürftigkeit zuließen.
Unter diesen Umständen hielt das Gericht die eingesetzte Transportverschlüsselung für ausreichend. Eine generelle Verpflichtung zur Ende-zu-Ende-Verschlüsselung besteht nach der Entscheidung nicht. Gleichzeitig macht das Gericht deutlich, dass diese Bewertung stets vom Einzelfall abhängt: Bei sensibleren Daten oder erhöhtem Risiko können strengere Maßnahmen erforderlich sein.
Ermessensspielraum der Aufsichtsbehörden
Ein weiterer wesentlicher Aspekt betrifft die Rolle der Aufsichtsbehörden. Das Gericht betont, dass diesen bei der Entscheidung über ein Einschreiten ein weiter Spielraum zukommt. Betroffene können daher grundsätzlich nicht verlangen, dass bestimmte Maßnahmen – etwa die Verhängung eines Bußgelds oder die Anordnung konkreter technischer Vorgaben – ergriffen werden.
Diese Klarstellung unterstreicht, dass die Durchsetzung datenschutzrechtlicher Anforderungen nicht schematisch erfolgt, sondern eine behördliche Bewertung im Einzelfall voraussetzt.
Bedeutung für die Praxis
Für Unternehmen bringt das Urteil vor allem Klarheit im Umgang mit E-Mail-Kommunikation. Es bestätigt, dass die verbreitete Transportverschlüsselung in vielen Fällen ein ausreichendes Sicherheitsniveau darstellen kann. Zugleich bleibt die Pflicht bestehen, die jeweiligen Risiken sorgfältig zu bewerten und die getroffenen Maßnahmen nachvollziehbar zu begründen.
Entscheidend ist dabei insbesondere die Art der verarbeiteten Daten, der Kontext der Übermittlung und mögliche Auswirkungen auf die betroffenen Personen. Je höher das Risiko, desto höhere Anforderungen sind an die Absicherung zu stellen.
Fazit
Das Urteil fügt sich in die bisherige Linie der datenschutzrechtlichen Rechtsprechung ein und stärkt den risikobasierten Ansatz. Es erteilt pauschalen Anforderungen an bestimmte technische Maßnahmen eine Absage und rückt stattdessen die einzelfallbezogene Bewertung in den Mittelpunkt. Für die Praxis bedeutet dies: Nicht das Maximum an Sicherheit ist entscheidend, sondern eine angemessene, begründete und dokumentierte Schutzmaßnahme.
Abweichende Rechtsprechung: Schleswig-Holstein mit strengerer Linie
Die Frage der erforderlichen E-Mail-Sicherheit wird jedoch nicht einheitlich beurteilt. So vertritt die Rechtsprechung aus Schleswig-Holstein eine tendenziell strengere Auffassung und stellt höhere Anforderungen an die Vertraulichkeit bei der Übermittlung personenbezogener Daten.
Danach kann eine bloße Transportverschlüsselung – insbesondere bei erhöhtem Risiko – nicht in jedem Fall ausreichend sein, sodass weitergehende Maßnahmen in Betracht zu ziehen sind.
Den Volltext der Entscheidung des VLG Düsseldorf Sie hier: Verwaltungsgericht Düsseldorf, Urt. v. 02.04.2026, 29 K 7351/23
Die Gegenansicht des OLG Schleswig-Holstein finden sie hier: OLG Schleswig, Urt. v. 18.12.2024, Az: 12 U 9/24
