Das Oberverwaltungsgericht Nordrhein-Westfalen (OVG NRW) hat mit Beschluss vom 20.02.2025 (Az. 16 B 288/23) klargestellt, dass betroffene Personen keinen generellen Anspruch auf eine Ende-zu-Ende-Verschlüsselung bei der elektronischen Übermittlung ihrer personenbezogenen Daten haben. Im folgenden Kurzartikel beleuchten wir die wesentlichen Punkte des Urteils.
Hintergrund und Sachverhalt
Ein Antragsteller hatte im Wege des einstweiligen Rechtsschutzes von einer öffentlichen Stelle gefordert, dass seine personenbezogenen Daten ausschließlich mittels Ende-zu-Ende-Verschlüsselung oder einer vergleichbaren Technik übermittelt werden. Nachdem das Verwaltungsgericht Köln seinen Antrag in erster Instanz abgelehnt hatte, wandte er sich an das OVG NRW.
Entscheidung des Gerichts
Das OVG NRW bestätigte die Entscheidung der Vorinstanz und stellte fest, dass weder Art. 18 Abs. 1 DSGVO noch Art. 32 Abs. 1 DSGVO einen Anspruch auf eine spezielle, höherwertige Verschlüsselung begründen. Die Begründung lautet im Wesentlichen:
Auswirkungen für die Praxis
Die Entscheidung unterstreicht, dass Verantwortliche verpflichtet sind, geeignete technische und organisatorische Maßnahmen zu dokumentieren und eine angemessene Risikoabwägung durchzuführen. Eine generelle Pflicht zur Implementierung einer Ende-zu-Ende-Verschlüsselung besteht jedoch nicht. Dies verdeutlicht, dass in der Praxis stets eine Abwägung zwischen Implementierungskosten, technischem Fortschritt und tatsächlichem Schutzbedarf erfolgt.Für Datenschutzbeauftragte und IT-Verantwortliche ist es daher wichtig, die getroffenen Sicherheitsmaßnahmen regelmäßig zu überprüfen und deren Wirksamkeit nachvollziehbar zu dokumentieren – auch ohne den Einsatz spezifischer Verschlüsselungstechnologien.