Transportverschlüsselung bei E-Mails

Wer personenbezogene Daten per E-Mail versendet, stellt sich früher oder später dieselbe Frage: Reicht eine übliche Transportverschlüsselung aus oder muss es stets eine Ende-zu-Ende-Verschlüsselung sein? Das Verwaltungsgericht Düsseldorf (VG Düsseldorf, Urt. v. 02.04.2026 – 29 K 7351/23) hat hierzu mit Urteil vom 02.04.2026 eine für die Praxis wichtige Klarstellung vorgenommen. Eine Ende-zu-Ende-Verschlüsselung war nach Auffassung des Gerichts weder allgemein noch in der konkreten Unfallsache geboten. Maßgeblich war vielmehr, ob die getroffenen Maßnahmen im konkreten Einzelfall ein dem Risiko angemessenes Schutzniveau gewährleisteten.

Für Unternehmen ist das eine erhebliche Entlastung. Das Urteil bedeutet aber gerade nicht, dass jede gewöhnliche E-Mail-Kommunikation automatisch datenschutzrechtlich unbedenklich wäre. Das Gericht hat die Transportverschlüsselung nicht abstrakt, sondern bezogen auf einen konkreten Einzelfall als ausreichend angesehen. Wer daraus einen allgemeinen Freibrief ableitet, liest die Entscheidung zu weit.

Worum ging es in dem Verfahren?

Ausgangspunkt war ein Verkehrsunfall mit einem Bus. Für den Kläger war wegen Gefahren für Leib und Leben eine Auskunftssperre im Melderegister nach § 51 BMG eingerichtet. Das Busunternehmen meldete den Unfall per E-Mail an seine Haftpflichtversicherung und leitete später auch ein anwaltliches Schreiben des Klägers per E-Mail weiter. Der Kläger sah darin einen Datenschutzverstoß und verlangte ein Einschreiten der Datenschutzaufsicht, weil aus seiner Sicht nur eine besonders sichere Ende-zu-Ende-Verschlüsselung zulässig gewesen wäre.

Die Datenschutzbehörde sah das anders. Sie ging davon aus, dass in Verarbeitungssituationen mit normalen Risiken bereits eine Transportverschlüsselung eine ausreichende Risikominderung erreichen könne. Das Verwaltungsgericht Düsseldorf hat im Ergebnis bestätigt, dass die Übermittlung an die Haftpflichtversicherung zur Schadensabwicklung zulässig war und dass die eingesetzte Transportverschlüsselung im konkreten Fall ausreichte. Erfolg hatte der Kläger nur insoweit, als die Datenschutzbehörde seine Beschwerde wegen der verspäteten Bearbeitung des Auskunftsantrags nicht rechtsfehlerfrei behandelt hatte; insoweit musste sie neu entscheiden.

Warum die Entscheidung für die Praxis so wichtig ist

Die Entscheidung ist deshalb bedeutsam, weil sie einen häufigen Irrtum korrigiert: Art. 32 DSGVO verlangt kein denkbar maximales Sicherheitsniveau in jeder Situation. Die Vorschrift verlangt vielmehr ein dem Risiko angemessenes Schutzniveau. Das ist ein erheblicher Unterschied. Datenschutzrecht verlangt nicht automatisch die technisch schärfste Maßnahme, sondern die Maßnahme, die im konkreten Kontext sachlich und risikobezogen angemessen ist.

Genau an diesem Punkt setzt das Urteil an. Maßgeblich sind insbesondere:
• Stand der Technik
• Implementierungskosten
• Art, Umfang, Umstände und Zwecke der Verarbeitung
• unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

Damit bestätigt das VG Düsseldorf den risikobasierten Ansatz der DSGVO. Wer personenbezogene Daten verarbeitet, muss also sauber differenzieren. Nicht jede E-Mail ist gleich riskant. Eine Nachricht mit allgemein gehaltenen Vorgangsdaten ist anders zu bewerten als eine E-Mail mit Gesundheitsdaten, Zugangsdaten, Bankinformationen oder hochsensiblen Mandatsinhalten.

Was das Gericht zur Transportverschlüsselung gesagt hat

Transportverschlüsselung ist nicht wertlos, sondern ein anerkannter Schutzmechanismus

Das Gericht hat gebilligt, dass die Aufsichtsbehörde mangels gegenteiliger Anhaltspunkte davon ausgehen durfte, dass die an der Kommunikation beteiligten E-Mail-Anbieter eine Transportverschlüsselung einsetzen. Beschrieben wird diese Technik als verschlüsselte Verbindung zwischen E-Mail-Programm und E-Mail-Server, etwa über TLS. Die zwischen Client und Server ausgetauschten Daten sind dabei während dieses Übertragungsabschnitts verschlüsselt.

Das ist für die Praxis wichtig, weil Transportverschlüsselung in der Diskussion oft zu pauschal abgewertet wird. Das Urteil macht deutlich: Transportverschlüsselung ist kein Nullschutz. Sie ist eine echte technische Schutzmaßnahme und kann im Einzelfall genügen, um ein risikoangemessenes Schutzniveau zu erreichen.

Das Gericht hat die Grenzen der Transportverschlüsselung ausdrücklich gesehen

Ebenso wichtig ist der zweite Teil der Begründung: Das VG Düsseldorf hat gerade nicht verkannt, dass Transportverschlüsselung Grenzen hat. Das Gericht spricht ausdrücklich an, dass E-Mails an bestimmten Knotenpunkten oder bei beteiligten Anbietern im Klartext vorliegen können und ein unbefugter Zugriff daher nicht vollständig ausgeschlossen ist. Es war sich also bewusst, dass eine Transportverschlüsselung weniger Schutz bietet als eine echte Ende-zu-Ende-Verschlüsselung.

Gerade deshalb ist das Urteil juristisch interessant: Obwohl das Gericht diese Schwächen sieht, kommt es trotzdem zu dem Ergebnis, dass die eingesetzte Transportverschlüsselung im konkreten Fall ausreichend war. Das zeigt besonders deutlich, dass es aus Sicht des Gerichts nicht auf theoretische Maximalsicherheit, sondern auf die konkrete Risikolage ankommt.

Warum Ende-zu-Ende-Verschlüsselung hier nicht verlangt wurde

Die übermittelten Daten waren aus Sicht des Gerichts nicht besonders sensibel

Entscheidend war für das Gericht, welche Daten überhaupt betroffen waren. Im Raum stand nach den Entscheidungsgründen, dass ein unbefugter Dritter Kenntnis von dem in beiden E-Mails enthaltenen Namen des Klägers erlangen könnte. Diesen Umstand hat das Gericht im konkreten Zusammenhang nicht als besonders sensibel eingestuft.

Darin liegt der eigentliche Kern des Urteils: Je geringer die Sensibilität der Daten und je niedriger das Missbrauchsrisiko, desto eher kann eine Transportverschlüsselung genügen. Die DSGVO zwingt in solchen Konstellationen nicht automatisch zur strengstmöglichen Lösung.

Auch die Auskunftssperre im Melderegister änderte nach Ansicht des Gerichts nichts

Der Kläger hatte darauf verwiesen, dass für ihn wegen Gefahren für Leib und Leben eine Auskunftssperre im Melderegister besteht. Das ist zunächst ein ernstzunehmender Umstand. Das Gericht hat jedoch ausgeführt, dass dies im konkreten Fall kein erhöhtes Risiko begründet habe. Maßgeblich war aus Sicht des Gerichts, dass der Name des Klägers nicht geheim war, sondern im Internet frei zugänglich, ebenso seine Firma. Zudem sei eine Verbindung zu seiner privaten Anschrift gerade nicht herstellbar, weil die Auskunftssperre den Zugriff auf die Meldedaten verhinderte.

Damit macht das VG Düsseldorf deutlich, dass selbst ein an sich schutzrelevanter Umstand wie eine Melderegistersperre nicht automatisch dazu führt, jede Kommunikation nur noch Ende-zu-Ende verschlüsselt führen zu müssen. Auch dann bleibt es bei der Prüfung, ob sich das konkrete Risiko durch die fragliche Datenübermittlung tatsächlich erhöht hat. Das hat das Gericht hier verneint.

Es fehlte an einem real gesteigerten Schadenspotenzial

Das Gericht hat außerdem hervorgehoben, dass die Wahrscheinlichkeit, über die E-Mails zusätzliche verwertbare Informationen über den Kläger zu erhalten, äußerst gering sei. Ein Bezug zur privaten Anschrift könne nicht hergestellt werden. Auch die vom Kläger befürchteten Gefahren, etwa eine Entführung oder ein Raub zur Erlangung seiner Produkte, hätten sich durch die Nennung seines Namens in den streitigen E-Mails nicht erhöht.

Juristisch übersetzt bedeutet das: Nicht jede denkbare Gefahr reicht aus. Es braucht ein nachvollziehbares, reales und erhebliches Risiko für die Rechte und Freiheiten der betroffenen Person. Gerade daran fehlte es nach Auffassung des Gerichts in diesem Fall.

Art. 32 DSGVO verlangt Risikoangemessenheit, nicht Maximalschutz

Verschlüsselung ist nur ein Mittel, nicht automatisch immer dieselbe Maßnahme

Art. 32 DSGVO nennt die Verschlüsselung personenbezogener Daten als mögliche Maßnahme, schreibt aber nicht in jeder Konstellation eine bestimmte Form der Verschlüsselung vor. Genau das spiegelt sich in der Entscheidung des VG Düsseldorf wider. Das Gericht prüft nicht schematisch, ob eine Ende-zu-Ende-Verschlüsselung technisch möglich gewesen wäre, sondern ob sie rechtlich geboten war. Diese Frage beantwortet es im konkreten Fall mit Nein.

Das ist für Unternehmen bedeutsam, weil Art. 32 DSGVO in der Praxis oft missverstanden wird. Wer die Vorschrift so liest, als müsse immer die maximal denkbare technische Absicherung eingesetzt werden, verkennt ihren Aufbau. Die Norm verlangt eine Abwägung, keine reflexhafte Übererfüllung.

Das Urteil ist kein Freibrief für beliebige E-Mail-Kommunikation

Ebenso klar ist aber: Das Urteil sagt nicht, dass Transportverschlüsselung immer genügt. Die Entscheidung beruht auf einer konkreten Bewertung der betroffenen Daten, der möglichen Folgen eines Datenabflusses und der Wahrscheinlichkeit eines Schadenseintritts. Bereits aus dieser Struktur folgt, dass Fälle mit sensibleren Informationen anders zu beurteilen sein können.

Daraus folgt für die Praxis: Das Urteil entlastet, aber es verführt besser nicht zu Nachlässigkeit. Je sensibler die Daten, je größer der mögliche Schaden und je höher die Angriffsrelevanz, desto eher wird eine stärkere Schutzmaßnahme erforderlich sein.

Wann Ende-zu-Ende-Verschlüsselung eher geboten sein kann

Aus der Entscheidung lässt sich im Umkehrschluss ableiten, dass eine Ende-zu-Ende-Verschlüsselung deutlich näherliegen kann, wenn E-Mails etwa folgende Inhalte betreffen:

• Gesundheitsdaten oder sonstige besonders sensible personenbezogene Daten
• Zugangsdaten, Passwörter oder sicherheitsrelevante Authentifizierungsinformationen
• Bankdaten, Steuerdaten oder Ausweisdokumente
• vertrauliche Personalangelegenheiten
• Mandatsinformationen mit erhöhtem Geheimhaltungsinteresse
• Fälle mit real erhöhter Bedrohungslage und konkreter Deanonymisierungsgefahr

Das sind keine starren Kategorien. Sie zeigen aber, wie der risikobezogene Prüfungsmaßstab des Art. 32 DSGVO praktisch funktioniert. Nicht die Technik allein entscheidet, sondern der Schutzbedarf der konkreten Nachricht.

Was Unternehmen aus dem Urteil mitnehmen sollten

Eine saubere Risikobewertung wird noch wichtiger

Wer personenbezogene Daten per E-Mail versendet, sollte künftig weniger darüber streiten, ob es abstrakt immer Ende-zu-Ende-Verschlüsselung sein muss, und stärker dokumentieren, warum im konkreten Fall welche Maßnahme angemessen ist. Das Urteil stärkt damit letztlich nicht bloß die Transportverschlüsselung, sondern vor allem den Gedanken der nachvollziehbaren Risikobewertung.

Für die Praxis empfiehlt sich insbesondere:

• Datenkategorien vor dem Versand einordnen
• Schutzbedarf des konkreten Inhalts bewerten
• Transportverschlüsselung technisch sauber konfigurieren und dokumentieren
• Empfängerkreise eng halten und Fehladressierungen vermeiden
• Inhalte auf das Notwendige beschränken
• bei erhöhtem Risiko auf Ende-zu-Ende-Verschlüsselung oder sichere Portallösungen ausweichen
• Mitarbeiter für Vertraulichkeit und Versandfehler sensibilisieren

Unternehmen sollten sich nicht auf bloße Vermutungen verlassen

Bemerkenswert ist, dass das Gericht im konkreten Verfahren mangels gegenteiliger Anhaltspunkte davon ausging, dass die beteiligten E-Mail-Anbieter Transportverschlüsselung einsetzen. Für die Unternehmenspraxis sollte daraus aber nicht folgen, dass man sich mit pauschalen Annahmen begnügt. Wer datenschutzrechtlich sauber arbeiten will, sollte tatsächlich prüfen und dokumentieren, welche technischen Standards im eigenen System und bei genutzten Dienstleistern umgesetzt sind.

Gerade bei wiederkehrenden Geschäftsprozessen kann eine fehlende Dokumentation schnell zum Problem werden. Denn in einem anderen Verfahren kann die tatsächliche technische Ausgestaltung deutlich intensiver hinterfragt werden. Das Urteil zeigt zwar, dass Gerichte nicht unrealistisch argumentieren. Es zeigt aber ebenso, dass eine belastbare Tatsachengrundlage bei technischen Schutzmaßnahmen entscheidend bleibt.

Auch wichtig: Das Urteil betraf nicht nur die Verschlüsselung

Wer die Entscheidung sauber einordnet, darf einen Punkt nicht ausblenden: Der Kläger hat nicht vollständig verloren. Das VG Düsseldorf hat angenommen, dass hinsichtlich der verspäteten Bearbeitung des Auskunftsantrags ein DSGVO-Verstoß vorlag, weil die Monatsfrist aus Art. 12 Abs. 3 DSGVO nicht eingehalten wurde und der Kläger trotz fehlender Privatanschrift identifizierbar war. Insoweit musste die Datenschutzbehörde die Beschwerde unter Beachtung der Rechtsauffassung des Gerichts neu bescheiden.

Für Unternehmen liegt darin eine zusätzliche Mahnung: Selbst wenn die technische Absicherung einer E-Mail-Kommunikation im Einzelfall ausreichend ist, können organisatorische Mängel an anderer Stelle weiterhin zu DSGVO-Verstößen führen. Datensicherheit und Betroffenenrechte sind zwei verschiedene Baustellen. Wer nur auf Verschlüsselung schaut, greift zu kurz.

Einordnung für die anwaltliche Beratungspraxis

Die Entscheidung des VG Düsseldorf ist für die Beratungspraxis besonders nützlich, weil sie Unternehmen und Beratern ein gut handhabbares Raster gibt. Die richtige Frage lautet künftig weniger: „Brauchen wir immer Ende-zu-Ende-Verschlüsselung?“ Die präzisere Frage lautet: „Welches Schutzniveau ist für diese konkrete E-Mail nach Art. 32 DSGVO erforderlich?“

Damit wird die datenschutzrechtliche Beratung zugleich anspruchsvoller. Es genügt nicht, pauschal Standardfloskeln zu verwenden. Erforderlich ist eine konkrete Schutzbedarfsanalyse, die technische, organisatorische und inhaltliche Faktoren zusammenführt. Genau darin liegt die eigentliche Reichweite des Urteils.

Fazit

Das VG Düsseldorf hat mit Urteil vom 02.04.2026 klargestellt, dass eine Transportverschlüsselung bei einer E-Mail-Übermittlung im konkreten Einzelfall datenschutzrechtlich ausreichen kann. Eine Ende-zu-Ende-Verschlüsselung ist nicht generell vorgeschrieben. Entscheidend ist, ob die gewählte Maßnahme im konkreten Fall ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 DSGVO gewährleistet.

Für Unternehmen ist das eine praxisnahe und vernünftige Aussage. Sie sollten das Urteil aber nicht missverstehen. Transportverschlüsselung reicht nicht immer, sondern nur dort, wo Art, Umfang, Umstände, Zwecke, Sensibilität und Risikopotenzial der konkreten Verarbeitung dies tragen. Bei sensiblen Inhalten oder erhöhter Gefährdungslage kann eine Ende-zu-Ende-Verschlüsselung weiterhin geboten sein. Wer E-Mail-Kommunikation datenschutzkonform gestalten will, braucht deshalb vor allem eines: eine nachvollziehbare, dokumentierte und am Einzelfall orientierte Risikobewertung.