OVG Münster zur Angemessenheit von Sicherheitsmaßnahmen nach der DSGVO: Die Datenschutz-Grundverordnung (DSGVO) hat den Schutz personenbezogener Daten in Europa auf ein neues Niveau gehoben. Doch wie weit reichen die Pflichten der Verantwortlichen, wenn es um die technische Absicherung von Daten geht? Muss jede Übermittlung personenbezogener Daten zwingend Ende-zu-Ende verschlüsselt erfolgen, oder genügen auch andere Sicherheitsmaßnahmen? Diese Frage stand im Mittelpunkt eines Beschlusses des Oberverwaltungsgerichts Münster vom 20. Februar 2025 (16 B 288/23).
Das Gericht entschied, dass eine Ende-zu-Ende-Verschlüsselung bei der Übermittlung von Daten an das Transparenzregister nicht zwingend erforderlich ist. Stattdessen kommt es auf eine Gesamtbetrachtung der getroffenen Sicherheitsvorkehrungen an. Die Entscheidung zeigt, wie Gerichte die unbestimmten Rechtsbegriffe der DSGVO konkretisieren – und wo die Grenzen individueller Ansprüche auf maximale Datensicherheit liegen.
Der Sachverhalt: Ein Antragsteller mit besonderen Sicherheitsbedenken
Der Antragsteller, der beruflich mit explosiven Stoffen handelt, forderte, dass seine personenbezogenen Daten im Transparenzregister ausschließlich Ende-zu-Ende verschlüsselt übermittelt und verarbeitet werden. Er berief sich auf ein erhöhtes Risiko, Opfer von Straftaten zu werden, und verwies auf seine Widersprüche gegen die Datenverarbeitung nach Artikel 21 DSGVO sowie auf Artikel 18 DSGVO, der eine Einschränkung der Verarbeitung vorsieht. Die zuständige Behörde lehnte dies ab und verwies auf die bereits implementierten Sicherheitsmaßnahmen, darunter eine TLS-Verschlüsselung und zusätzliche Absicherungen wie die SINA-Box für die Kommunikation mit anderen staatlichen Stellen. Das Verwaltungsgericht Köln hatte die Klage abgewiesen, und das OVG Münster bestätigte diese Entscheidung nun im Beschwerdeverfahren.
Der Fall wirft grundsätzliche Fragen auf: Kann eine betroffene Person verlangen, dass ihre Daten nur mit der höchsten verfügbaren Verschlüsselungstechnologie verarbeitet werden? Und wie ist das Verhältnis zwischen dem individuellen Sicherheitsbedürfnis und den technischen sowie organisatorischen Möglichkeiten der verantwortlichen Stelle zu bewerten?
Grenzen des Anspruchs auf Verschlüsselung
Artikel 18 DSGVO: Kein Daueranspruch auf eine bestimmte Verschlüsselungsmethode
Das Gericht stellte klar, dass Artikel 18 Absatz 1 Buchstabe d DSGVO keinen Anspruch auf eine dauerhafte Ende-zu-Ende-Verschlüsselung begründet. Diese Vorschrift sieht vor, dass die Verarbeitung personenbezogener Daten eingeschränkt wird, solange ein Widerspruch nach Artikel 21 DSGVO geprüft wird. Der Antragsteller interpretierte dies jedoch als Grundlage für einen generellen Anspruch auf eine bestimmte Art der Datenverarbeitung. Das OVG Münster wies dies zurück: Die Einschränkung der Verarbeitung nach Artikel 18 DSGVO ist zeitlich begrenzt und dient lediglich der Überbrückung, bis geklärt ist, ob die berechtigten Interessen des Verantwortlichen oder der betroffenen Person überwiegen. Ein Anspruch auf eine bestimmte Verschlüsselungsmethode lasse sich daraus nicht ableiten.
Datenschutz zwischen Anspruch und Realität: Interessant ist die Überlegung des Gerichts, dass der Antragsteller theoretisch durch eine Einwilligung nach Artikel 18 Absatz 2 DSGVO die Bedingungen für die Datenverarbeitung selbst hätte festlegen können. Doch selbst dann wäre unklar, ob eine solche Einwilligung rechtlich bindend wäre, da Artikel 18 DSGVO primär ein temporäres Moratorium regelt, nicht aber eine dauerhafte Verpflichtung zu bestimmten Sicherheitsstandards.
Artikel 32 DSGVO: Gesamtsicherheitsniveau statt Einzelmaßnahmen
Der Kern der Entscheidung liegt in der Auslegung von Artikel 32 DSGVO, der Verantwortliche verpflichtet, „geeignete technische und organisatorische Maßnahmen“ zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Das Gericht betonte, dass diese Norm keine konkreten Technologien vorschreibt, sondern eine Gesamtbetrachtung aller Sicherheitsvorkehrungen verlangt. Die Behörde hatte bereits eine TLS-Verschlüsselung implementiert, die nach Ansicht des Gerichts dem Stand der Technik entspricht. Zudem wurden zusätzliche Sicherheitsmechanismen wie Client-Zertifikate und die SINA-Box eingesetzt, die speziell für die Kommunikation mit anderen Behörden genutzt wird.
Das OVG Münster argumentierte, dass der Antragsteller nicht glaubhaft machen konnte, warum ausgerechnet seine Daten ein so hohes Risiko bergen, dass eine Ende-zu-Ende-Verschlüsselung unverzichtbar wäre. Die bloße Behauptung, aufgrund seiner beruflichen Tätigkeit bestünde eine erhöhte Gefährdung, reichte nicht aus. Vielmehr müssten konkrete Anhaltspunkte vorliegen, die ein über das übliche Maß hinausgehendes Risiko belegen. Da der Antragsteller keine solchen Nachweise erbringen konnte, sah das Gericht keinen Anlass, von den bestehenden Sicherheitsstandards abzuweichen.
Die Rolle des Standes der Technik
Ein zentraler Streitpunkt war, ob die verwendete TLS-Verschlüsselung (Version 1.2) noch dem Stand der Technik entspricht. Der Antragsteller argumentierte, dass TLS 1.3 bereits seit 2018 verfügbar sei und daher die ältere Version nicht mehr ausreichend sei. Das Gericht folgte dieser Argumentation nicht. Es verwies darauf, dass die TLS-Verschlüsselung nur ein Baustein eines umfassenden Sicherheitskonzepts sei. Entscheidend sei das Gesamtsicherheitsniveau, das durch mehrere Maßnahmen gewährleistet werde. Zudem habe die Behörde ein IT-Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vorgelegt, das die Eignung der getroffenen Vorkehrungen bestätige.
Hier zeigt sich eine pragmatische Herangehensweise: Die DSGVO verlangt keine maximale Sicherheit, sondern ein angemessenes Schutzniveau. Ob eine bestimmte Technologie eingesetzt wird, hängt daher von einer Abwägung ab, die auch praktische und wirtschaftliche Gesichtspunkte berücksichtigt. Das Gericht betonte, dass die Auswahl der Maßnahmen im Ermessen der verantwortlichen Stelle liege, solange das geforderte Schutzniveau erreicht werde.
Beweislast und Darlegungsanforderungen
Das OVG Münster machte deutlich, dass die Beweislast für ein erhöhtes Risiko bei der betroffenen Person liegt. Der Antragsteller hatte zwar auf seine berufliche Tätigkeit mit Sprengstoffen verwiesen, konnte aber keine konkreten Bedrohungsszenarien oder Vorfälle benennen, die eine strengere Verschlüsselung erfordern würden. Die bloße Möglichkeit einer Gefährdung reicht nicht aus, um höhere Sicherheitsstandards durchzusetzen. Dies unterstreicht, dass die DSGVO zwar hohe Anforderungen an den Datenschutz stellt, individuelle Ansprüche auf bestimmte Sicherheitsmaßnahmen aber nur bei nachweislich erhöhten Risiken bestehen.
Kontext: Uneinheitliche Rechtsprechung zur Verschlüsselung
Die Entscheidung steht im Kontrast zu anderen gerichtlichen Urteilen, die in ähnlichen Konstellationen zu abweichenden Ergebnissen kamen. So hatten das Oberlandesgericht Schleswig-Holstein und das Oberlandesgericht Karlsruhe in Fällen, in denen Rechnungen aufgrund unzureichender Verschlüsselung von Hackern manipuliert wurden, unterschiedlich entschieden. Während das OLG Karlsruhe eine Ende-zu-Ende-Verschlüsselung nicht für zwingend hielt, sah das OLG Schleswig-Holstein hierin eine notwendige Maßnahme. Diese Uneinheitlichkeit zeigt, dass die Frage, wann eine bestimmte Verschlüsselungstechnologie erforderlich ist, noch nicht abschließend geklärt ist.
Das OVG Münster trägt mit seiner Entscheidung zu einer pragmatischen Auslegung der DSGVO bei. Es vermeidet eine Überforderung der Verantwortlichen, indem es nicht auf einzelne Technologien abstellt, sondern auf das Gesamtsystem der Sicherheitsvorkehrungen. Gleichzeitig betont es, dass betroffene Personen konkrete Risiken darlegen müssen, um höhere Anforderungen durchzusetzen.
Datenschutz & -Sicherheit als Abwägungsfrage
Die Entscheidung des OVG Münster ist ein wichtiges Signal für die Praxis: Die DSGVO verlangt keine perfekte Sicherheit, sondern ein dem Risiko angemessenes Schutzniveau. Verantwortliche haben bei der Auswahl der Maßnahmen einen Spielraum, solange sie nachweisen können, dass ihre Vorkehrungen den gesetzlichen Anforderungen genügen. Betroffene Personen können zwar höhere Sicherheitsstandards einfordern, müssen dies jedoch substantiiert begründen.
Für Unternehmen und Behörden bedeutet dies wohl derzeit, dass sie ihre Sicherheitskonzepte regelmäßig überprüfen und an den Stand der Technik anpassen müssen. Gleichzeitig zeigt dieser Fall, dass Gerichte keine pauschalen Ansprüche auf maximale Verschlüsselung anerkennen, sondern eine differenzierte Betrachtung vornehmen. Die Entscheidung stärkt also die Rechtssicherheit, ohne den Datenschutz zu schwächen. Sie unterstreicht, dass die DSGVO ein flexibles Instrument ist, das sowohl den Schutz personenbezogener Daten als auch die praktischen Erfordernisse der Datenverarbeitung berücksichtigt.
Nun … die Diskussion um die angemessene Verschlüsselung wird jedoch weitergehen – insbesondere vor dem Hintergrund zunehmender Cyberbedrohungen. Es bleibt abzuwarten, ob der Europäische Gerichtshof oder der Bundesgerichtshof in Zukunft klarere Vorgaben machen werden. Bis dahin bleibt die Bewertung der Sicherheitsmaßnahmen eine Frage des Einzelfalls.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Subventionsbetrug: BGH zur Reichweite des Vermögensschadens nach § 264 StGB - 16. Februar 2026
- Reichweite eines Verjährungseinredeverzichts bei Haftung von Geschäftsführern nach § 64 GmbHG a.F. - 16. Februar 2026
- Sexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis - 15. Februar 2026
