Bei Daten mit normalem Risiko reicht es aus, wenn die Informationen beim E-Mail-Versand transportverschlüsselt werden. Eine Ende-zu-Ende-Verschlüsselung ist hingegen nicht notwendig (VG Düsseldorf, Urt. v. 02.04.2026 – 29 K 7351/23).
Der Kläger war in einen Verkehrsunfall mit einem Bus verwickelt. Für ihn besteht wegen Gefahren für Leib und Leben eine Auskunftssperre im Melderegister. Das Busunternehmen meldete den Unfall per E-Mail an seine Haftpflichtversicherung und leitete ein anwaltliches Schreiben des Klägers ebenfalls per E-Mail weiter. Dabei wurden der Name des Klägers und Angaben zum Unfall übermittelt.
Der Kläger verlangte von der Datenschutzbehörde, gegen das Unternehmen vorzugehen. Er meinte, dass seine Daten nur mit einer besonders sicheren Ende-zu-Ende-Verschlüsselung hätten versendet werden dürfen. Die Datenschutzbehörde vertrat jedoch den Standpunkt, dass die Transportverschlüsselung im vorliegenden Fall ausreichend gewesen sei. Dagegen ging der Kläger gerichtlich vor.
Das VG Düsseldorf wies die Klage hinsichtlich dieses Punktes ab.
Das Unternehmen habe ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten müssen. Welche Maßnahmen erforderlich seien, hänge vom Risiko im Einzelfall ab. Maßgeblich seien die Art der Daten, die möglichen Folgen eines Datenabflusses und die Eintrittswahrscheinlichkeit eines Schadens.
Im vorliegenden Fall seien lediglich der Name des Klägers und Angaben zum Unfall per E-Mail übermittelt worden. Diese Informationen seien nicht besonders sensibel. Eine normale Transportverschlüsselung, wie sie beim Versand von E-Mails üblich sei (z. B. über TLS), verschlüssele die Daten auf dem Übertragungsweg zwischen den beteiligten Servern.:
“Diese Technik gewährleistete im vorliegenden Fall gleichwohl ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 Abs. 1 1. HS DSGVO.”
Zwar könne bei dieser Technik nicht ausgeschlossen werden, dass E-Mails an bestimmten Knotenpunkten unverschlüsselt vorlägen. Dennoch sei entscheidend, ob daraus ein reales und erhöhtes Risiko entstehe. Dies sei nicht erkennbar, trotz der vorliegenden Meldesperre:
"Anders als bei einer Ende-zu-Ende-Verschlüsselung, bei der nicht die einzelnen Abschnitte des Versandkanals verschlüsselt werden, sondern die E-Mails selbst, so dass weder die beteiligten E-Mail-Anbieter die E-Mail lesen können, noch potentielle Angreifer die Möglichkeit haben, die E-Mails unterwegs zu lesen oder zu manipulieren, (…) kann bei einer Transportverschlüsselung ein unbefugter Zugang zu personenbezogenen Daten nicht vollständig ausgeschlossen werden.
Das birgt für den Kläger aber kein erhöhtes Risiko."
Und weiter:
"Im Raum stand, dass ein unbefugter Dritter Kenntnis von dem in beiden E-Mails enthaltenen Namen des Klägers erlangt. Diese Daten sind nicht sensibel und bedürfen keines besonderen Schutzes.
Die im Melderegister für ihn angeordnete Auskunftssperre ändert daran nichts.
Der Name des Klägers ist nicht geheim, sondern im Internet frei zugänglich. Dasselbe gilt für seine Firma. Der Kläger verwendet kein Pseudonym. Sein Name wird daher nicht erst bei unbefugtem Zugang Dritter zu den E-Mails bekannt.
Auch die Wahrscheinlichkeit, dass ein Dritter dadurch weitere Informationen über den Kläger erlangt, ist äußerst gering. Ein Bezug zur privaten Anschrift des Klägers kann nicht hergestellt werden. Denn die für den Kläger eingetragene Auskunftssperre nach § 51 BMG bewirkt, dass Dritte keinen Zugang zu den Meldedaten erhalten. Es ist auch nicht ersichtlich, wie ein Unbefugter über die Kanzlei der Prozessbevollmächtigten des Klägers nähere Informationen über den Kläger herausfinden könnte. Diese sind hinreichend sensibilisiert. Vielmehr kann der mögliche Aufenthaltsort des Klägers bereits jetzt mit seinem Namen in Verbindung mit seiner Firma und deren Sitz im Internet auf einfache Weise ermittelt werden. Die vom Kläger angenommene Gefahr, Dritte könnten ihn zur Erlangung seiner Produkte entführen oder einen Raub begehen, hat sich durch die Nennung seines Namens in den beiden streitgegenständlichen E-Mails nicht erhöht."