Das Verwaltungsgericht Düsseldorf (Urteil vom 2.4.2026, 29 K 7351/23) präzisiert die Anforderungen an ein „angemessenes Schutzniveau“ nach Art. 32 DSGVO bei der Übermittlung personenbezogener Daten per E‑Mail – und schärft zugleich die Pflichten der Aufsichtsbehörde bei verspäteter Auskunftserteilung nach Art. 15 DSGVO.
Verkehrsunfall, Auskunftssperre, E‑Mail an die Versicherung
Ausgangspunkt ist ein Verkehrsunfall, bei dem ein Busunternehmen mit dem Pkw des Klägers kollidiert und anschließend weiterfährt. Der Kläger, für den wegen Gefahren für Leib und Leben eine Auskunftssperre nach § 51 BMG eingetragen ist, übergibt dem Busfahrer seine ladungsfähige Anschrift mit dem Hinweis, Kommunikation solle nur schriftlich erfolgen. Später lässt er über seine Anwälte ausdrücklich darauf hinweisen, dass bei elektronischer Verarbeitung seiner Daten besondere Schutzmaßnahmen zu treffen seien.
Das Busunternehmen meldet den Schadenfall per E‑Mail an seine Kfz‑Haftpflichtversicherung und leitet auch das Schreiben der Klägervertreter per E‑Mail weiter. In beiden Fällen werden Name und Vorname des Klägers übermittelt; weitere sensible Angaben, insbesondere zur Privatadresse, enthalten die E‑Mails nicht. Der Kläger erfährt über die Versicherung von diesen Übermittlungen und rügt gegenüber der Landesdatenschutzbeauftragten u.a. eine unzureichende Absicherung des Kommunikationswegs, verlangt Ende‑zu‑Ende‑Verschlüsselung und sieht in der Nutzung „bloßer“ Transportverschlüsselung einen Verstoß gegen Art. 32 DSGVO.
Parallel dazu hatte der Kläger beim Busunternehmen am 12. April 2022 eine auf den Unfall bezogene Auskunft nach Art. 15 DSGVO beantragt, die erst mit anwaltlicher Stellungnahme vom 26. Oktober 2022 erteilt wurde. Die Aufsichtsbehörde stellt das Beschwerdeverfahren mit Schreiben vom 16. November 2022 ein, erkennt keinen Datenschutzverstoß und verweist darauf, dass Transportverschlüsselung in „normalen Risikosituationen“ ausreiche und der Kläger anhand Name und Vorname nicht hinreichend identifizierbar gewesen sei. Hiergegen richtet sich die Verpflichtungsklage auf Einschreiten der Aufsichtsbehörde, hilfsweise Neubescheidung.
Kein Anspruch auf Ende‑zu‑Ende‑Verschlüsselung: Risikobasierter Maßstab des Art. 32 DSGVO
Kernstück der Entscheidung ist die Frage, ob das Busunternehmen mit der Nutzung von E‑Mail nebst Transportverschlüsselung ein angemessenes Schutzniveau im Sinne des Art. 32 Abs. 1 DSGVO gewährleistet hat oder ob im konkreten Fall eine Ende‑zu‑Ende‑Verschlüsselung geboten gewesen wäre. Das Gericht stellt deutlich heraus, dass Art. 32 DSGVO einen risikobasierten Maßstab etabliert, der Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere möglicher Schäden in den Blick nimmt.
Ausgangspunkt der Analyse ist der Sicherheitsgrundsatz des Art. 5 Abs. 1 lit. f DSGVO („Integrität und Vertraulichkeit“), der durch Art. 32 DSGVO konkretisiert wird. Verschlüsselung wird in Art. 32 Abs. 1 S. 2 lit. a DSGVO ausdrücklich nur „gegebenenfalls“ als eine mögliche Maßnahme genannt, nicht jedoch als zwingende Vorgabe in jeder Verarbeitungssituation. Das Verwaltungsgericht macht sich in diesem Zusammenhang die Beschreibung des BSI zur Funktionsweise der Transportverschlüsselung zunutze: E‑Mails sind im Übertragungskanal zwischen Client und Mailserver mittels TLS verschlüsselt, liegen aber an Zwischenknoten und beim Provider im Klartext vor. Demgegenüber ermöglicht Ende‑zu‑Ende‑Verschlüsselung, dass die Nachricht ausschließlich beim Absender und Empfänger lesbar ist und auch Provider keinen Zugriff auf den Inhalt haben.
Das Gericht verneint gleichwohl einen Verstoß gegen Art. 32 DSGVO und akzeptiert Transportverschlüsselung im konkreten Fall als ausreichend. Maßgeblich ist, dass nur der Name des Klägers übermittelt wurde, mithin keine besonderen Kategorien personenbezogener Daten oder sonstige Informationen mit deutlich erhöhter Sensibilität. Die Auskunftssperre nach § 51 BMG führt nach Auffassung der Kammer nicht dazu, den Namen als besonders schutzbedürftig zu qualifizieren, da er im Internet – ebenso wie die Kanzleianschrift – öffentlich zugänglich ist und der Kläger kein Pseudonym verwendet. Die Gefahr, dass ein unbefugter Dritter über einen zufälligen Zugriff auf den E‑Mail‑Transportkanal weitergehende, insbesondere die private Anschrift betreffende Erkenntnisse gewinnt, bewertet das Gericht als äußerst gering. Die Auskunftssperre gerade verhindere den Zugriff Dritter auf die Meldedaten, sodass aus der Kenntnis des Namens allein kein erweiterter Risikoanstieg folge.
Bemerkenswert ist dabei die methodische Herangehensweise: Das Gericht differenziert klar zwischen dem objektiven Schutzniveau des eingesetzten technischen Mechanismus (Transportverschlüsselung mit den bekannten Schwächen an Knotenpunkten) und dem konkreten Risiko, das sich aus der Kombination von Dateninhalt, Kontext der Verarbeitung und möglichen Schadensszenarien ergibt. Dass Ende‑zu‑Ende‑Verschlüsselung technisch ein höheres Sicherheitsniveau bietet, genügt nicht, um sie rechtlich zu einem Muss zu machen, solange das verbleibende Risiko unter Einsatz einer schwächeren, aber weit verbreiteten Maßnahme (TLS) gemessen am Schwere‑ und Eintrittswahrscheinlichkeitsmaßstab des Art. 32 Abs. 2 DSGVO noch als angemessen beherrscht gelten kann.
Konsequent lehnt das Verwaltungsgericht einen subjektiven Anspruch des Betroffenen auf Anordnung von Ende‑zu‑Ende‑Verschlüsselung durch die Aufsichtsbehörde ab. Solange kein Datenschutzverstoß vorliegt, reduziert sich das Ermessen der Behörde hinsichtlich der Abhilfebefugnisse nach Art. 58 Abs. 2 DSGVO nicht auf eine bestimmte Maßnahme; ein „Recht auf konkrete Verschlüsselungstechnologie“ besteht damit nicht.
Beschwerderecht und Prüfpflicht der Aufsichtsbehörde: zweistufiger Anspruch
Auf der Ebene des Beschwerderechts arbeitet das Verwaltungsgericht die aus Art. 57 Abs. 1 lit. f, Art. 77 Abs. 1 DSGVO resultierenden subjektiv‑öffentlichen Rechtspositionen des Betroffenen heraus. Es versteht das Beschwerderecht als zweistufigen Anspruch: Zunächst muss die Aufsichtsbehörde eine Beschwerde mit der nach Art. 57 Abs. 1 lit. f DSGVO gebotenen Sorgfalt prüfen und den Gegenstand der Beschwerde in angemessenem Umfang untersuchen. Hierfür stehen ihr die Untersuchungsbefugnisse aus Art. 58 Abs. 1 DSGVO zur Verfügung; über deren Einsatz und den Umfang der Sachverhaltsaufklärung entscheidet sie jedoch nach pflichtgemäßem Ermessen.
Auf der zweiten Stufe ist die Aufsichtsbehörde verpflichtet, bei festgestellten Verstößen in geeigneter Weise zu reagieren und eine oder mehrere der Abhilfebefugnisse nach Art. 58 Abs. 2 DSGVO einzusetzen. Ob es im Ergebnis zu einer Verwarnung, einer Anordnung, einem Verarbeitungsverbot oder einer Geldbuße kommt, liegt wiederum im Auswahlermessen der Behörde, dessen gerichtliche Kontrolle sich nach § 114 VwGO auf Ermessensüberschreitung und Ermessensfehlgebrauch beschränkt.
Vor diesem dogmatischen Hintergrund prüft das Gericht die angegriffene Beschwerdeentscheidung der Landesdatenschutzbeauftragten. Für die E‑Mail‑Übermittlungen an die Versicherung erkennt es keinen Datenschutzverstoß, sodass die Einstellung des Beschwerdeverfahrens insoweit ermessensfehlerfrei war. Entsprechend verneint es sowohl einen Anspruch auf die begehrte verpflichtende Anordnung von Ende‑zu‑Ende‑Verschlüsselung als auch auf eine Verwarnung oder Geldbuße wegen des behaupteten „Datenschutzverstoßes E‑Mail“.
Verspätete Auskunft: Verstoß ja, aber kein Anspruch auf Geldbuße
Anders beurteilt das Gericht den Teil der Beschwerde, der sich auf die verspätete Auskunft nach Art. 15 DSGVO bezieht. Hier konstatiert es einen klaren Verstoß gegen Art. 12 Abs. 3 DSGVO. Zwischen dem Auskunftsantrag des Klägers vom 12. April 2022 und der Antwort des Busunternehmens vom 26. Oktober 2022 liegt ein Zeitraum von mehr als sechs Monaten. Die gesetzliche Frist von einem Monat wurde nicht eingehalten; eine zulässige Verlängerung um höchstens zwei weitere Monate wurde weder gegenüber dem Betroffenen kommuniziert noch begründet.
Die von der Verantwortlichen und der Aufsichtsbehörde ins Feld geführte angeblich fehlende Identifizierbarkeit des Klägers lässt das Gericht nicht gelten. Zwar enthielt der Auskunftsantrag nur den Namen ohne Privatanschrift, er wurde jedoch über dieselben Prozessbevollmächtigten übermittelt, die bereits im Schreiben vom 2. März 2022 mit identischem Namen und detaillierter Schilderung des Unfallgeschehens aufgetreten waren. Vor diesem Hintergrund war die Zuordnung des Antrags zur Person des Klägers ohne weiteres möglich, sodass ein Verweis auf Identifizierungsprobleme nicht geeignet war, die Verzögerung zu rechtfertigen.
Trotz der festgestellten Verletzung von Art. 12 Abs. 3 DSGVO verneint das Gericht einen subjektiven Anspruch des Klägers auf Verhängung einer Geldbuße nach Art. 58 Abs. 2 lit. i DSGVO. Die Entscheidung über das Ob und Wie einer Bußgeldverfolgung bleibt Teil des Auswahlermessens der Aufsichtsbehörde, das nur in Ausnahmefällen auf Null reduziert ist. Ein solcher Ausnahmefall lag hier nach Auffassung der Kammer nicht vor, zumal von den vom Kläger behaupteten mehreren Datenschutzverstößen nur die verspätete Auskunft durchgreift und zudem durch die später nachgeholte Auskunft in ihrer Schwere relativiert wird.
Gleichwohl verpflichtet das Verwaltungsgericht die Beklagte, über die Beschwerde neu zu entscheiden, soweit sie die verspätete Auskunft betrifft. Die Aufsichtsbehörde hatte diesen Punkt im Ausgangsbescheid nicht als eigenständigen Verstoß gewürdigt und folglich ihr Auswahlermessen hinsichtlich der möglichen Abhilfemaßnahmen nicht ausgeübt. Dies stellt einen Ermessensausfall dar, der im gerichtlichen Verfahren nicht mehr wirksam geheilt werden konnte, weil die ursprüngliche Entscheidung den Verstoß materiell nicht erkannt hatte. Die Konsequenz ist ein Neubescheidungsanspruch nach § 113 Abs. 5 S. 2 VwGO, der sich auf eine ermessensfehlerfreie Entscheidung über etwaige Maßnahmen wegen der Fristversäumnis richtet.
Fazit: Klarere Konturen für „angemessenes Schutzniveau“ und Aufgabenprofil der Aufsicht
Die Entscheidung schärft in zweierlei Hinsicht das Verständnis der DSGVO‑Vorgaben. Zum einen verdeutlicht sie, dass Art. 32 DSGVO kein technikgetriebenes „Maximalprinzip“ kennt, sondern einen risikobasierten Maßstab, bei dem sich das angemessene Schutzniveau an Art und Sensibilität der Daten, Kontext der Verarbeitung und realistischer Schadenswahrscheinlichkeit orientiert. Eine allgemeine Pflicht zur Ende‑zu‑Ende‑Verschlüsselung bei E‑Mail‑Kommunikation besteht danach selbst bei betroffenen Personen mit Auskunftssperre nicht, solange sich der Dateninhalt im Wesentlichen auf den ohnehin öffentlich zugänglichen Namen beschränkt und keine zusätzlichen risikosteigernden Faktoren hinzutreten.
Zum anderen bestätigt das Urteil die hohe Bindungswirkung des Beschwerderechts nach Art. 77 DSGVO: Die Aufsichtsbehörde muss sowohl den Sachverhalt mit der gebotenen Sorgfalt aufklären als auch bei erkannten Verstößen ihr Auswahlermessen tatsächlich ausüben. Unterbleibt dies – wie bei der verspäteten Auskunft – entsteht ein Anspruch des Betroffenen auf Neubescheidung, auch wenn er keinen Anspruch auf bestimmte, insbesondere sanktionsrechtliche Maßnahmen wie Geldbußen hat. Für Verantwortliche bleibt damit die Erkenntnis, dass formale Pflichten wie Auskunftsfristen keineswegs als „Nebenkriegsschauplatz“ zu behandeln sind, während Aufsichtsbehörden sich daran erinnern lassen müssen, dass die sorgfältige Bewertung jedes einzelnen Beschwerdepunkts zum Kern ihres gesetzlichen Auftrags gehört.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- VG Düsseldorf zu Art. 32 DSGVO: Wann Transportverschlüsselung genügt - 13. Mai 2026
- BGH: Streaming ist Dienstvertrag - 13. Mai 2026
- KI-Bildgenerierung und Lichtbildschutz: OLG Düsseldorf setzt Maßstäbe - 13. Mai 2026
