VG Düsseldorf: Transportverschlüsselung bei E-Mail reicht für normale Datenübermittlung aus

03.06.2026
IT-Recht
1 Minute

Muss jede geschäftliche E-Mail mit personenbezogenen Daten Ende-zu-Ende-verschlüsselt werden? Das VG Düsseldorf hat nun wichtige Maßstäbe für die Beurteilung des angemessenen Schutzniveaus nach Art. 32 DS-GVO gesetzt.

Was Verantwortliche wissen sollten

Das Verwaltungsgericht Düsseldorf hat mit Urteil vom 2. April 2026 (Az. 29 K 7351/23) entschieden, dass ein Datenschutzverstoß durch Übermittlung personenbezogener Daten per E-Mail nicht vorliegt, wenn die Transportverschlüsselung eingesetzt wurde und das Risiko der Verarbeitung nicht erhöht ist. Die Übermittlung per E-Mail war hinsichtlich der Datensicherheit datenschutzkonform; die im Verfahren beklagte Partei durfte davon ausgehen, dass die beteiligten E-Mail-Anbieter eine Transportverschlüsselung einsetzen. Bei der Transportverschlüsselung wird zwischen E-Mail-Programm und E-Mail-Server eine verschlüsselte Verbindung aufgebaut, z. B. gemäß dem Protokoll „Transport Layer Security" (TLS). Eine Ende-zu-Ende-Verschlüsselung sei demgegenüber nur geboten, wenn ein erhöhtes Risiko besteht. Einen Verstoß stellte das Gericht jedoch bei der verspäteten Auskunftserteilung fest: Die Beklagte hatte die einmonatige Frist des Art. 12 Abs. 3 Satz 1 DS-GVO nicht eingehalten.

Handlungsbedarf

  • Prüfen Sie das Risikoniveau der von Ihnen verarbeiteten Daten gemäß Art. 32 Abs. 2 DS-GVO, bei sensiblen oder erhöht schutzbedürftigen Daten ist Ende-zu-Ende-Verschlüsselung geboten

  • Dokumentieren Sie, dass Ihre E-Mail-Infrastruktur TLS-Verschlüsselung unterstützt und diese aktiv genutzt wird

  • Richten Sie Prozesse ein, die eine fristgerechte Beantwortung von Auskunftsanträgen (Art. 15 DS-GVO) innerhalb eines Monats sicherstellen

  • Kommunizieren Sie Fristverlängerungen und deren Gründe unverzüglich an die Betroffenen (Art. 12 Abs. 3 Satz 3 DS-GVO)

Unser Angebot für Sie

  • Datenschutz-Audit Ihrer E-Mail-Kommunikation und Verschlüsselungsmaßnahmen

  • Beratung zur risikogerechten Auswahl technischer und organisatorischer Maßnahmen (TOM)

  • Entwicklung und Implementierung eines Prozesses zur Bearbeitung von Betroffenenrechten

  • Vertretung in Aufsichtsbeschwerdeverfahren vor Datenschutzbehörden

Bildnachweis:dem10/Stock-Fotografie-ID:1392074953

Autor:in

Carola SielingRechtsanwältin, Fachanwältin für Informationstechnologierecht, Dozentin der Nordakademie, Datenschutzbeauftragte, IT-Sicherheitsbeauftragte, KI Compliance Beauftragte, Partnerin

Immer bestens informiert mit den Newslettern von SCHOMERUS

Schomerus GruppeImpressumDatenschutz
Steuerberatung und Rechtsberatung
Schomerus & Partner mbB
Steuerberater Rechtsanwälte
Wirtschaftsprüfer
Wirtschaftsprüfung
Hamburger Treuhand Gesellschaft
Schomerus & Partner mbB
Wirtschaftsprüfungsgesellschaft
München
Atelierstraße 1
81671 München
Paderborn
Klingenderstraße 5
33100 Paderborn
Hamburg
Deichstraße 1
20459 Hamburg
Pixel