Behörden können personenbezogene Daten über das Internet auch ohne Ende-zu-Ende-Verschlüsselung versenden, wenn es bereits angemessene Sicherheitsvorkehrungen nach der DS-GVO gibt, wie z. B. eine Transportverschlüsselung, so das OVG Münster (Az.: 16 B 288/23).
In dem Fall ging der Kläger gegen eine Behörde vor, die personenbezogene Daten über das Internet verschickte. Für diese Datenübertragung nutzte die Behörde eine Transportverschlüsselung TLS (steht für: Transport Layer Security), d. h. die Daten werden zwischen Sender:in und Empfänger:in verschlüsselt. Auf den Endgeräten sind diese dann aber unverschlüsselt. Im Gegensatz dazu steht die Ende-zu-Ende-Verschlüsselung. Hier sind die Daten durchgehend verschlüsselt und können auch nur von autorisierten Personen ausgelesen werden.
Die TLS-Verschlüsselung ist ein weit genutztes Sicherheitsprotokoll, welches auch in den meisten Fällen ausreicht.
Dies sah der Kläger hier aber nicht gegeben. Seiner Ansicht nach reiche eine Transportverschlüsselung nicht aus, da potenzielle Angreifer über die Endgeräte auf die unverschlüsselten Daten zugreifen könnten. Hier greife nach seiner Argumentation Art. 32 DS-GVO. Dieser fordert, dass Unternehmen und Behörden entsprechende technische und organisatorische Maßnahmen zur Sicherung der personenbezogenen Daten ergreifen – die Erfüllung dieses Paragrafen sah der Kläger hier nicht gegeben.
Den Antrag lehnten sowohl das Verwaltungsgericht als auch das Oberverwaltungsgericht in der Berufung ab: Die DS-GVO sehe keine ausdrückliche Pflicht zur Ende-zu-Ende-Verschlüsselung vor. Die Maßnahmen, die ergriffen werden, müssen entsprechend Risiko und Stand der Technik gestaltet werden.
Durch die Implementierung von TLS 1.2 und die Ergreifung zusätzlicher Sicherheitsmaßnahmen habe die Behörde diese Vorgabe erfüllt. Die weiteren Sicherheitsmaßnahmen der Behörde schließen ein: Die Nutzung sogenannter SINA-Boxen, Client-Zertifikate zur Gewährleistung sicherer Kommunikation sowie ein gültiges IT-Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik (kurz: BSI).
Es reicht laut Gericht also eine Transportverschlüsselung aus, um Datensicherheit zu gewährleisten. Eine Ende-zu-Ende-Verschlüsselung sei nur unter besonderen Umständen notwendig .
Der Kläger konnte nicht hinreichend darlegen, dass ein erhöhtes Risiko für die Daten bestand. So konnte er nicht nachweisen, dass die Behörde bereits von einem Hackerangriff betroffen war oder die bestehenden Sicherheitsmaßnahmen unzureichend waren. Die Maßnahmen der Behörde reichen also aus und erfüllen die DS-GVO, entschied das Gericht.
(Bild: tadamichi – stock.adobe.com)
