VG Düsseldorf: Transportverschlüsselung reicht zur Absicherung beim Versand von E-Mails nach Art. 32 DSGVO aus - Keine Ende-zu-Ende-Verschlüsselung erforderlich
VG Düsseldorf
Urteil vom 02.04.2026
29 K 7351/23
Das Verwaltungsgericht Düsseldorf hat entschieden, dass die Versendung von E-Mails unter Verwendung einer Transportverschlüsselung (z. B. TLS) keinen Verstoß gegen die DSGVO darstellt. Eine Ende-zu-Ende-Verschlüsselung ist zur Einhaltung der Anforderungen an die Sicherheit der Verarbeitung nach Art. 32 DSGVO für die Kommunikation von nicht sensiblen Daten nicht zwingend erforderlich.
Aus den Entscheidungsgründen:
Die Einzelrichterin ist für die Entscheidung zuständig, nachdem ihr der Rechtsstreit durch Beschluss der Kammer vom 23. Februar 2026 gemäß § 6 Abs. 1 Satz 1 Verwaltungsgerichtsordnung (VwGO) zur Entscheidung übertragen worden ist.
Das Gericht kann gemäß § 101 Abs. 2 VwGO ohne mündliche Verhandlung entscheiden, weil die Beteiligten hierzu ihr Einverständnis erklärt haben.
Die insgesamt zulässige Klage hat nur in dem aus dem Tenor ersichtlichen Umfang Erfolg. Hinsichtlich der Klageanträge zu 1. und 2. ist die Klage unbegründet. Soweit der Kläger mit dem Hilfsklageantrag zu 3. bezüglich der Nichtmeldung des Datenschutzverstoßes und bezüglich des Datenschutzverstoßes selbst die Verpflichtung zur Neubescheidung über seine Beschwerde begehrt, ist die Klage ebenfalls unbegründet. Im Übrigen ist sie mit ihrem Hilfsklageantrag zu 3. begründet. Der Kläger hat einen Anspruch auf Neubescheidung seiner Beschwerde, soweit sie die verspätete Datenschutzauskunft durch die Beschwerdegegnerin zum Gegenstand hat (§ 113 Abs. 5 Satz 2 VwGO).
Die Klage ist zulässig, insbesondere als Verpflichtungsklage gemäß § 42 Abs. 1 Alt. 2 VwGO statthaft.
Die von dem Kläger begehrte andere Entscheidung über seine Beschwerde stellt - ebenso wie das Schreiben der Beklagten vom 16. November 2022 - einen Verwaltungsakt im Sinne von § 35 Satz 1 des Verwaltungsverfahrensgesetzes (VwVfG) dar. Insbesondere zielt es auf die Herbeiführung unmittelbarer Rechtswirkungen ab. Aus der Begründung ergibt sich, dass die Beklagte das Schreiben als Aufsichtsbehörde im Rahmen ihrer Befugnisse nach Art. 58 DSGVO erstellt hat. Dabei ist unschädlich, dass dieses weder als „Bescheid“ noch als „Verfügung“ oder in ähnlicher Weise bezeichnet wird. Denn inhaltlich stellt es eine auf unmittelbare Rechtswirkung nach außen gerichtete Entscheidung der Beklagten über den weiteren Fortgang - nämlich die Beendigung - des Beschwerdeverfahrens dar.
Vgl. zur Einordnung der abschließenden Beschwerdeentscheidung der Aufsichtsbehörde als Verwaltungsakt: VG Düsseldorf, Urteil vom 20. November 2025 - 29 K 3939/23 -, juris Rn 20 m.w.N.; VG Mainz, Urteil vom 16. Januar 2020 - 1 K 129/19.MZ -, juris Rn. 26 f. Vgl. auch zur Rechtsverbindlichkeit der Beschlüsse einer Aufsichtsbehörde: EuGH, Urteil vom 07.12.2023 - C-26/22 -, juris Rn. 50.
Die Klage ist rechtzeitig innerhalb der gemäß § 58 Abs. 2 VwGO geltenden Jahresfrist erhoben worden. Der Bescheid vom 16. November 2022 enthält keine Rechtsbehelfsbelehrung.
Der Kläger ist klagebefugt im Sinne von § 42 Abs. 2 VwGO, weil es nach seinem Vorbringen jedenfalls möglich ist, dass er durch die Einstellung des Beschwerdeverfahrens in eigenen subjektiv-öffentlichen Rechten nach Art. 57 Abs. 1 Buchst. f, 77 Abs. 1 DSGVO verletzt ist.
Vgl. VG Hamburg, Urteil vom 1. Juni 2021 - 17 K 2977/19 -, Rn. 41 ff.; VG Ansbach, Urteil vom 7. Dezember 2020 - An 14 K 18.02503 -, juris Rn. 25; OVG Rheinland-Pfalz, Urteil vom 26. Oktober 2020 - 10 A 10613/20 -, juris Rn. 29.
Die Klage ist mit ihren Klageanträgen zu 1. und 2. aber unbegründet. Der Bescheid vom 16. November 2022 ist insoweit rechtmäßig und verletzt den Kläger nicht in seinen Rechten. Der Kläger hat gegenüber der Beklagten keinen Anspruch auf das Ergreifen der begehrten Aufsichtsmaßnahmen (§ 113 Abs. 5 Satz 1 VwGO).
Rechtsgrundlage für die streitgegenständliche Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO.
Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen Vorschriften über den Datenschutz verstößt. Als Datenschutzaufsichtsbehörde muss sich die Beklagte im Rahmen ihrer Zuständigkeit mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten (Art. 57 Abs. 1 Buchst. f DSGVO).
Bei dem Recht auf Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO handelt es sich um ein subjektiv-öffentliches Recht, aus dem sich ein gerichtlich überprüfbarer, zweistufiger Anspruch ergibt.
Zunächst ist zu prüfen, ob die Aufsichtsbehörde in angemessenem Umfang überprüft hat, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Die Aufsichtsbehörde ist nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, eine Beschwerde mit aller gebotenen Sorgfalt zu bearbeiten. Hierzu verleiht ihr Art. 58 Abs. 1 DSGVO weitreichende Untersuchungsbefugnisse.
Vgl. EuGH, Urteil vom 16. Juli 2020 - C-311/18 -, juris Rn.109, 111.
Über den Einsatz der sich aus Art. 58 Abs. 1 DSGVO ergebenden Untersuchungsbefugnisse sowie den Umfang der Untersuchung entscheidet die Aufsichtsbehörde nach pflichtgemäßem Ermessen entsprechend der Sachlage im Einzelfall.
Vgl. Matzke, in: BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 49. Edition, Stand 01.02.2026, DSGVO Art. 57 Rz 17.
Stellt die Aufsichtsbehörde sodann am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen, wobei alle Maßnahmen insbesondere im Hinblick auf die Gewährleistung der Einhaltung der Verordnung geeignet, erforderlich und verhältnismäßig sein sollten und die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt.
Vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22 -, juris Rn. 47 ff.
Hiervon ausgehend richtet sich die gerichtliche Prüfung der Beschwerdeentscheidung nach § 114 Abs. 1 VwGO.
Bei Ermessensentscheidungen hat das Gericht nur zu prüfen, ob die Verwaltung den ihr eingeräumten Ermessensspielraum ausgeschöpft hat, ob sie die nach dem Zweck der Ermessensermächtigung für die Entscheidung relevanten Gesichtspunkte bei ihrer Entscheidung berücksichtigt hat und ob sie die gesetzlichen Grenzen der Ermessensbetätigung überschritten hat. Das Gericht darf die getroffene Entscheidung nur anhand derjenigen Erwägungen überprüfen, die die Behörde tatsächlich angestellt hat, wozu auch in Einklang mit § 114 Satz 2 VwGO nachgeschobene Erwägungen zählen.
Vgl. BVerwG, Urteil vom 11. Mai 2016 - 10 C 8/15 -, juris Rn. 13 m.w.N.
Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, das Beschwerdeverfahren einzustellen, nicht erkennbar.
Dies ergibt sich für den mit dem Klageantrag zu 1. geltend gemachten Sachverhalt bereits daraus, dass ein Datenschutzverstoß nicht vorliegt. Die Datenverarbeitung durch die verarbeitende Beschwerdegegnerin war rechtmäßig. Eine Ende-zu-Ende-Verschlüsselung bei elektronischer Kommunikation mit dem Kläger war weder allgemein noch in der Unfallsache geboten.
Die Datenverarbeitung der personenbezogenen Daten des Klägers durch die Verantwortliche in Form der Offenlegung durch die Anzeige des Verkehrsunfalls mit E-Mail vom 21. Januar 2022 sowie in Form der Übermittlung des an sie gerichteten Schreibens der Prozessbevollmächtigten des Klägers vom 2. März 2022 an die KFZ-Haftpflichtversicherung bzw. den für diese tätigen Versicherungsvertreter war gemäß Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO zulässig. Nach dieser Bestimmung ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen der Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Ein berechtigtes Interesse der Verantwortlichen liegt vor. Als Versicherungsnehmerin durfte das verantwortliche Busunternehmen den Namen des Klägers als Unfallgeschädigtem zum Zwecke der Schadensabwicklung des Verkehrsunfalls ihrer Versicherung melden. Soweit im E-Mail-Verteiler neben der „SVG-Kravag“ auch „SVG“ aufgeführt wird, handelt es sich angesichts des identischen Namens „Claus Vennemann“ ersichtlich um ein- und denselben Adressaten. Herr Vennemann scheint der bei der KRAVAG zuständige Versicherungsvertreter für die Beschwerdegegnerin zu sein.
Die Übermittlung der personenbezogenen Daten des Klägers per E-Mail war auch hinsichtlich der Sicherheit der Datenverarbeitung datenschutzkonform und verstößt nicht gegen Art. 5 Abs. 1 Buchst. f DSGVO. Nach diesem Grundsatz müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Dieser Grundsatz wird in Art. 32 DSGVO konkretisiert. Diese Vorschrift sieht vor, dass der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem risikoangemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 1. HS DSGVO). Diese Maßnahmen schließen gegebenenfalls unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten ein (Art. 32 Abs. 1 2. HS Buchst. a DSGVO).
Als Maßnahme zur Gewährleistung der Datensicherheit hat die Beschwerdegegnerin eine solche Verschlüsselung vorgenommen. Mangels gegenteiliger Anhaltspunkte durfte die Beklagte bei ihrer Prüfung davon auszugehen, dass die bei der Kommunikation zwischen der Beschwerdegegnerin und ihrer Versicherung beteiligten E-Mail-Anbieter eine Transportverschlüsselung einsetzen und dadurch die personenbezogenen Daten des Klägers in Form seines Namens und Vornamens während des Versands verschlüsselt worden sind.
Nachrichten, die per E-Mail versendet werden, unterliegen einer Transportverschlüsselung. Bei der Transportverschlüsselung wird zwischen dem E-Mail-Programm (Client) und dem E-Mail-Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll "Transport Layer Security" (TLS) verschlüsselt. Dies wird von den allermeisten E-Mail-Anbietern unterstützt. Alle Daten, die zwischen dem Client und dem E-Mail-Server ausgetauscht werden, sind damit während des Versands verschlüsselt. Allerdings werden E-Mails beim Versand über unterschiedliche Knotenpunkte im Web zwischen den Servern der E-Mail-Anbieter zur Empfängerin oder dem Empfänger weitergeleitet und sind in diesen Punkten nicht verschlüsselt und dazwischen nicht immer. Sowohl beim E-Mail-Anbieter als auch an den Knotenpunkten des Versands liegt die E-Mail im Klartext vor.
Vgl. Bundesamt für Sicherheit in der Informationstechnik, E-Mail-Verschlüsselung, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung.html#:~:text=Vertraulichkeit%20der%20E%2DMail:%20Verschl%C3%BCsselung%20nutzen%20Bei%20E%2DMail%2DVerschl%C3%BCsselung,entscheidende%20Unterschied%20liegt%2C%20wird%20im%20Folgenden%20erkl%C3%A4rt.
Diese Technik gewährleistete im vorliegenden Fall gleichwohl ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 Abs. 1 1. HS DSGVO.
Bei der Beurteilung des angemessenen Schutzniveaus sind gemäß Art. 32 Abs. 2 DSGVO insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
Das Risiko bestimmt sich nach der möglichen Schwere des Schadens und nach der Wahrscheinlichkeit, mit der der Schaden eintritt.
Vgl. Martini, in: Paal/Pauly, DS-GVO BDSG, 4. Auflage 2026, Art. 32 DSGVO, Rn. 50.
Anders als bei einer Ende-zu-Ende-Verschlüsselung, bei der nicht die einzelnen Abschnitte des Versandkanals verschlüsselt werden, sondern die E-Mails selbst, so dass weder die beteiligten E-Mail-Anbieter die E-Mail lesen können, noch potentielle Angreifer die Möglichkeit haben, die E-Mails unterwegs zu lesen oder zu manipulieren,
vgl. Bundesamt für Sicherheit in der Informationstechnik, E-Mail-Verschlüsselung, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung.html#:~:text=Vertraulichkeit%20der%20E%2DMail:%20Verschl%C3%BCsselung%20nutzen%20Bei%20E%2DMail%2DVerschl%C3%BCsselung,entscheidende%20Unterschied%20liegt%2C%20wird%20im%20Folgenden%20erkl%C3%A4rt,
Bei einer Transportverschlüsselung ein unbefugter Zugang zu personenbezogenen Daten nicht vollständig ausgeschlossen werden. Das birgt für den Kläger aber kein erhöhtes Risiko. Im Raum stand, dass ein unbefugter Dritter Kenntnis von dem in beiden E-Mails enthaltenen Namen des Klägers erlangt. Diese Daten sind nicht sensibel und bedürfen keines besonderen Schutzes. Die im Melderegister für ihn angeordnete Auskunftssperre ändert daran nichts. Der Name des Klägers ist nicht geheim, sondern im Internet frei zugänglich. Dasselbe gilt für seine Firma. Der Kläger verwendet kein Pseudonym. Sein Name wird daher nicht erst bei unbefugtem Zugang Dritter zu den E-Mails bekannt. Auch die Wahrscheinlichkeit, dass ein Dritter dadurch weitere Informationen über den Kläger erlangt, ist äußerst gering. Ein Bezug zur privaten Anschrift des Klägers kann nicht hergestellt werden. Denn die für den Kläger eingetragene Auskunftssperre nach § 51 BMG bewirkt, dass Dritte keinen Zugang zu den Meldedaten erhalten. Es ist auch nicht ersichtlich, wie ein Unbefugter über die Kanzlei der Prozessbevollmächtigten des Klägers nähere Informationen über den Kläger herausfinden könnte. Diese sind hinreichend sensibilisiert. Vielmehr kann der mögliche Aufenthaltsort des Klägers bereits jetzt mit seinem Namen in Verbindung mit seiner Firma und deren Sitz im Internet auf einfache Weise ermittelt werden. Die vom Kläger angenommene Gefahr, Dritte könnten ihn zur Erlangung seiner Produkte entführen oder einen Raub begehen, hat sich durch die Nennung seines Namens in den beiden streitgegenständlichen E-Mails nicht erhöht.
Da die Datenverarbeitung durch das Busunternehmen kein hohes Risiko für die Rechte und Freiheiten des Klägers zur Folge hat, bedurfte es auch keiner Datenschutz-Folgenabschätzung im Sinne von Art. 35 DSGVO.
Kann ein Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung nicht festgestellt werden, ist die Beklagte nicht gehalten, mit dem Ziel der Abstellung des Verstoßes die mit dem Klageantrag zu 1. begehrten Maßnahmen nach Art. 58 Abs. 2 DSGVO Maßnahmen zu ergreifen.
Der Klageantrag zu 2., mit dem der Kläger die Verpflichtung der Beklagten begehrt, gegenüber dem Verarbeiter eine angemessene Geldbuße zu verhängen für die Verspätung der Auskunft, die Nichtmeldung des Datenschutzverstoßes und der Datenschutzverstoß selbst, ist ebenfalls unbegründet. Der Kläger hat keinen Anspruch auf die Verhängung einer Geldbuße gemäß Art. 58 Abs. 2 Buchst. i DSGVO gegenüber der Beschwerdegegnerin. Dies ergibt sich hinsichtlich der Nichtmeldung des Datenschutzverstoßes und des Datenschutzverstoßes selbst bereits daraus, dass nach den obigen Ausführungen kein Datenschutzverstoß vorliegt, und infolgedessen keine Meldung nach Art. 33 DSGVO an die Beklagte erfolgen musste. Aus diesem Grund bleibt auch dem Hilfsantrag zu 3., soweit er auf die Neubescheidung des Klägers hinsichtlich der Nichtmeldung des Datenschutzverstoßes und des Datenschutzverstoßes selbst zielt, der Erfolg versagt.
In Bezug auf die Verspätung der Auskunft nach Art. 15 DSGVO liegt zwar ein Datenschutzverstoß vor. Der auf die Verhängung eines Bußgelds gerichtete Klageantrag zu 2. ist gleichwohl unbegründet.
Die Beklagte hat nicht in angemessenem Umfang überprüft, ob hinsichtlich der verspäteten Auskunftserteilung ein Verstoß gegen die Datenschutzgrundverordnung gegeben ist. Dass die gewünschte E-Mail-Auskunft zum Zeitpunkt der Entscheidung der Beklagten vorlag, ist für die Frage der fristgerechten Erfüllung des Antrags des Klägers auf Auskunft über seine personenbezogenen Daten ohne Belang. Soweit sich die Beklagte in ihrem Bescheid vom 16. November 2022 auf die Einlassung der Verantwortlichen stützt, es sei keine Identifikation für ein Auskunftsbegehren möglich gewesen, schließt dies einen Verstoß gegen Art. 12 Abs. 3 Satz 1 DSGVO nicht aus.
Der Antrag des Klägers auf Auskunft über seine personenbezogenen Daten gemäß Art. 15 Abs. 1 DSGVO an die Beschwerdegegnerin datiert vom 12. April 2022. Auskunft erteilt wurde mit der anwaltlichen Stellungnahme der Beschwerdegegnerin vom 26. Oktober 2022. Gemäß Art. 12 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Die einmonatige Frist hat die Beschwerdegegnerin nicht eingehalten. Sie hat den Kläger auch nicht über eine Fristverlängerung oder die Gründe für die Verzögerung unterrichtet (Art. 12 Abs. 3 Satz 3 DSGVO). Anders als die Verantwortliche geltend macht, war der Kläger auch identifizierbar. Der Antrag vom 12. April 2022 wurde weder anonym noch unter einem Pseudonym gestellt. Zwar wird nur der Name des Klägers ohne Privatanschrift angegeben. Das Schreiben wurde jedoch von den Prozessbevollmächtigten des Klägers übersendet, die sich bereits Schreiben vom 2. März 2022 an die Beschwerdegegnerin gewendet und darin neben dem Namen des Klägers auch den zugrunde liegenden Sachverhalt (Verkehrsunfall in F. am 20. Januar 2022) benannt haben. Damit war der Verantwortlichen eine Zuordnung des Klägers ohne weiteres möglich.
Der auf Verhängung einer Geldbuße gerichtete Klageantrag zu 2. hat dennoch keinen Erfolg. Ein gerichtlich im Wege der Verpflichtungsklage durchsetzbarer Anspruch gegen die Beklagte auf Ergreifen der Maßnahme nach Art. 58 Abs. 2 Buchst. i DSGVO besteht in Anbetracht des der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO zustehenden Auswahlermessens nur, wenn das Ermessen der Beklagten auf null reduziert ist. Dies ist vorliegend nicht der Fall, zumal von drei behaupteten Datenschutzverstößen nur einer gegeben ist, der zudem angesichts der später erteilten Auskunft nicht schwer wiegt.
Der Kläger hat aber, soweit er sich über die verspätete Auskunft beschwert hat, gegenüber der Beklagten einen Anspruch auf ermessensfehlerfreie Entscheidung über das Ergreifen von Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO unter Beachtung der Rechtsauffassung des Gerichts (§ 113 Abs. 5 Satz 2 VwGO) mit der Folge, dass der Hilfsantrag zu 3. insoweit Erfolg hat. Die Beklagte konnte ihre Ermessenserwägungen dazu im gerichtlichen Verfahren nicht wirksam nachholen, weil sie die nicht fristgerechte Erteilung der begehrten Datenschutzauskunft im Bescheid nicht als Verstoß erkannt und deshalb ihr Auswahlermessen nicht ausgeübt hat.
Den Volltext der Entscheidung finden Sie hier:
Urteil vom 02.04.2026
29 K 7351/23
Das Verwaltungsgericht Düsseldorf hat entschieden, dass die Versendung von E-Mails unter Verwendung einer Transportverschlüsselung (z. B. TLS) keinen Verstoß gegen die DSGVO darstellt. Eine Ende-zu-Ende-Verschlüsselung ist zur Einhaltung der Anforderungen an die Sicherheit der Verarbeitung nach Art. 32 DSGVO für die Kommunikation von nicht sensiblen Daten nicht zwingend erforderlich.
Aus den Entscheidungsgründen:
Die Einzelrichterin ist für die Entscheidung zuständig, nachdem ihr der Rechtsstreit durch Beschluss der Kammer vom 23. Februar 2026 gemäß § 6 Abs. 1 Satz 1 Verwaltungsgerichtsordnung (VwGO) zur Entscheidung übertragen worden ist.
Das Gericht kann gemäß § 101 Abs. 2 VwGO ohne mündliche Verhandlung entscheiden, weil die Beteiligten hierzu ihr Einverständnis erklärt haben.
Die insgesamt zulässige Klage hat nur in dem aus dem Tenor ersichtlichen Umfang Erfolg. Hinsichtlich der Klageanträge zu 1. und 2. ist die Klage unbegründet. Soweit der Kläger mit dem Hilfsklageantrag zu 3. bezüglich der Nichtmeldung des Datenschutzverstoßes und bezüglich des Datenschutzverstoßes selbst die Verpflichtung zur Neubescheidung über seine Beschwerde begehrt, ist die Klage ebenfalls unbegründet. Im Übrigen ist sie mit ihrem Hilfsklageantrag zu 3. begründet. Der Kläger hat einen Anspruch auf Neubescheidung seiner Beschwerde, soweit sie die verspätete Datenschutzauskunft durch die Beschwerdegegnerin zum Gegenstand hat (§ 113 Abs. 5 Satz 2 VwGO).
Die Klage ist zulässig, insbesondere als Verpflichtungsklage gemäß § 42 Abs. 1 Alt. 2 VwGO statthaft.
Die von dem Kläger begehrte andere Entscheidung über seine Beschwerde stellt - ebenso wie das Schreiben der Beklagten vom 16. November 2022 - einen Verwaltungsakt im Sinne von § 35 Satz 1 des Verwaltungsverfahrensgesetzes (VwVfG) dar. Insbesondere zielt es auf die Herbeiführung unmittelbarer Rechtswirkungen ab. Aus der Begründung ergibt sich, dass die Beklagte das Schreiben als Aufsichtsbehörde im Rahmen ihrer Befugnisse nach Art. 58 DSGVO erstellt hat. Dabei ist unschädlich, dass dieses weder als „Bescheid“ noch als „Verfügung“ oder in ähnlicher Weise bezeichnet wird. Denn inhaltlich stellt es eine auf unmittelbare Rechtswirkung nach außen gerichtete Entscheidung der Beklagten über den weiteren Fortgang - nämlich die Beendigung - des Beschwerdeverfahrens dar.
Vgl. zur Einordnung der abschließenden Beschwerdeentscheidung der Aufsichtsbehörde als Verwaltungsakt: VG Düsseldorf, Urteil vom 20. November 2025 - 29 K 3939/23 -, juris Rn 20 m.w.N.; VG Mainz, Urteil vom 16. Januar 2020 - 1 K 129/19.MZ -, juris Rn. 26 f. Vgl. auch zur Rechtsverbindlichkeit der Beschlüsse einer Aufsichtsbehörde: EuGH, Urteil vom 07.12.2023 - C-26/22 -, juris Rn. 50.
Die Klage ist rechtzeitig innerhalb der gemäß § 58 Abs. 2 VwGO geltenden Jahresfrist erhoben worden. Der Bescheid vom 16. November 2022 enthält keine Rechtsbehelfsbelehrung.
Der Kläger ist klagebefugt im Sinne von § 42 Abs. 2 VwGO, weil es nach seinem Vorbringen jedenfalls möglich ist, dass er durch die Einstellung des Beschwerdeverfahrens in eigenen subjektiv-öffentlichen Rechten nach Art. 57 Abs. 1 Buchst. f, 77 Abs. 1 DSGVO verletzt ist.
Vgl. VG Hamburg, Urteil vom 1. Juni 2021 - 17 K 2977/19 -, Rn. 41 ff.; VG Ansbach, Urteil vom 7. Dezember 2020 - An 14 K 18.02503 -, juris Rn. 25; OVG Rheinland-Pfalz, Urteil vom 26. Oktober 2020 - 10 A 10613/20 -, juris Rn. 29.
Die Klage ist mit ihren Klageanträgen zu 1. und 2. aber unbegründet. Der Bescheid vom 16. November 2022 ist insoweit rechtmäßig und verletzt den Kläger nicht in seinen Rechten. Der Kläger hat gegenüber der Beklagten keinen Anspruch auf das Ergreifen der begehrten Aufsichtsmaßnahmen (§ 113 Abs. 5 Satz 1 VwGO).
Rechtsgrundlage für die streitgegenständliche Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO.
Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen Vorschriften über den Datenschutz verstößt. Als Datenschutzaufsichtsbehörde muss sich die Beklagte im Rahmen ihrer Zuständigkeit mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten (Art. 57 Abs. 1 Buchst. f DSGVO).
Bei dem Recht auf Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO handelt es sich um ein subjektiv-öffentliches Recht, aus dem sich ein gerichtlich überprüfbarer, zweistufiger Anspruch ergibt.
Zunächst ist zu prüfen, ob die Aufsichtsbehörde in angemessenem Umfang überprüft hat, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Die Aufsichtsbehörde ist nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, eine Beschwerde mit aller gebotenen Sorgfalt zu bearbeiten. Hierzu verleiht ihr Art. 58 Abs. 1 DSGVO weitreichende Untersuchungsbefugnisse.
Vgl. EuGH, Urteil vom 16. Juli 2020 - C-311/18 -, juris Rn.109, 111.
Über den Einsatz der sich aus Art. 58 Abs. 1 DSGVO ergebenden Untersuchungsbefugnisse sowie den Umfang der Untersuchung entscheidet die Aufsichtsbehörde nach pflichtgemäßem Ermessen entsprechend der Sachlage im Einzelfall.
Vgl. Matzke, in: BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 49. Edition, Stand 01.02.2026, DSGVO Art. 57 Rz 17.
Stellt die Aufsichtsbehörde sodann am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen, wobei alle Maßnahmen insbesondere im Hinblick auf die Gewährleistung der Einhaltung der Verordnung geeignet, erforderlich und verhältnismäßig sein sollten und die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt.
Vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22 -, juris Rn. 47 ff.
Hiervon ausgehend richtet sich die gerichtliche Prüfung der Beschwerdeentscheidung nach § 114 Abs. 1 VwGO.
Bei Ermessensentscheidungen hat das Gericht nur zu prüfen, ob die Verwaltung den ihr eingeräumten Ermessensspielraum ausgeschöpft hat, ob sie die nach dem Zweck der Ermessensermächtigung für die Entscheidung relevanten Gesichtspunkte bei ihrer Entscheidung berücksichtigt hat und ob sie die gesetzlichen Grenzen der Ermessensbetätigung überschritten hat. Das Gericht darf die getroffene Entscheidung nur anhand derjenigen Erwägungen überprüfen, die die Behörde tatsächlich angestellt hat, wozu auch in Einklang mit § 114 Satz 2 VwGO nachgeschobene Erwägungen zählen.
Vgl. BVerwG, Urteil vom 11. Mai 2016 - 10 C 8/15 -, juris Rn. 13 m.w.N.
Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, das Beschwerdeverfahren einzustellen, nicht erkennbar.
Dies ergibt sich für den mit dem Klageantrag zu 1. geltend gemachten Sachverhalt bereits daraus, dass ein Datenschutzverstoß nicht vorliegt. Die Datenverarbeitung durch die verarbeitende Beschwerdegegnerin war rechtmäßig. Eine Ende-zu-Ende-Verschlüsselung bei elektronischer Kommunikation mit dem Kläger war weder allgemein noch in der Unfallsache geboten.
Die Datenverarbeitung der personenbezogenen Daten des Klägers durch die Verantwortliche in Form der Offenlegung durch die Anzeige des Verkehrsunfalls mit E-Mail vom 21. Januar 2022 sowie in Form der Übermittlung des an sie gerichteten Schreibens der Prozessbevollmächtigten des Klägers vom 2. März 2022 an die KFZ-Haftpflichtversicherung bzw. den für diese tätigen Versicherungsvertreter war gemäß Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO zulässig. Nach dieser Bestimmung ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen der Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Ein berechtigtes Interesse der Verantwortlichen liegt vor. Als Versicherungsnehmerin durfte das verantwortliche Busunternehmen den Namen des Klägers als Unfallgeschädigtem zum Zwecke der Schadensabwicklung des Verkehrsunfalls ihrer Versicherung melden. Soweit im E-Mail-Verteiler neben der „SVG-Kravag“ auch „SVG“ aufgeführt wird, handelt es sich angesichts des identischen Namens „Claus Vennemann“ ersichtlich um ein- und denselben Adressaten. Herr Vennemann scheint der bei der KRAVAG zuständige Versicherungsvertreter für die Beschwerdegegnerin zu sein.
Die Übermittlung der personenbezogenen Daten des Klägers per E-Mail war auch hinsichtlich der Sicherheit der Datenverarbeitung datenschutzkonform und verstößt nicht gegen Art. 5 Abs. 1 Buchst. f DSGVO. Nach diesem Grundsatz müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Dieser Grundsatz wird in Art. 32 DSGVO konkretisiert. Diese Vorschrift sieht vor, dass der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem risikoangemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 1. HS DSGVO). Diese Maßnahmen schließen gegebenenfalls unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten ein (Art. 32 Abs. 1 2. HS Buchst. a DSGVO).
Als Maßnahme zur Gewährleistung der Datensicherheit hat die Beschwerdegegnerin eine solche Verschlüsselung vorgenommen. Mangels gegenteiliger Anhaltspunkte durfte die Beklagte bei ihrer Prüfung davon auszugehen, dass die bei der Kommunikation zwischen der Beschwerdegegnerin und ihrer Versicherung beteiligten E-Mail-Anbieter eine Transportverschlüsselung einsetzen und dadurch die personenbezogenen Daten des Klägers in Form seines Namens und Vornamens während des Versands verschlüsselt worden sind.
Nachrichten, die per E-Mail versendet werden, unterliegen einer Transportverschlüsselung. Bei der Transportverschlüsselung wird zwischen dem E-Mail-Programm (Client) und dem E-Mail-Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll "Transport Layer Security" (TLS) verschlüsselt. Dies wird von den allermeisten E-Mail-Anbietern unterstützt. Alle Daten, die zwischen dem Client und dem E-Mail-Server ausgetauscht werden, sind damit während des Versands verschlüsselt. Allerdings werden E-Mails beim Versand über unterschiedliche Knotenpunkte im Web zwischen den Servern der E-Mail-Anbieter zur Empfängerin oder dem Empfänger weitergeleitet und sind in diesen Punkten nicht verschlüsselt und dazwischen nicht immer. Sowohl beim E-Mail-Anbieter als auch an den Knotenpunkten des Versands liegt die E-Mail im Klartext vor.
Vgl. Bundesamt für Sicherheit in der Informationstechnik, E-Mail-Verschlüsselung, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung.html#:~:text=Vertraulichkeit%20der%20E%2DMail:%20Verschl%C3%BCsselung%20nutzen%20Bei%20E%2DMail%2DVerschl%C3%BCsselung,entscheidende%20Unterschied%20liegt%2C%20wird%20im%20Folgenden%20erkl%C3%A4rt.
Diese Technik gewährleistete im vorliegenden Fall gleichwohl ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 Abs. 1 1. HS DSGVO.
Bei der Beurteilung des angemessenen Schutzniveaus sind gemäß Art. 32 Abs. 2 DSGVO insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
Das Risiko bestimmt sich nach der möglichen Schwere des Schadens und nach der Wahrscheinlichkeit, mit der der Schaden eintritt.
Vgl. Martini, in: Paal/Pauly, DS-GVO BDSG, 4. Auflage 2026, Art. 32 DSGVO, Rn. 50.
Anders als bei einer Ende-zu-Ende-Verschlüsselung, bei der nicht die einzelnen Abschnitte des Versandkanals verschlüsselt werden, sondern die E-Mails selbst, so dass weder die beteiligten E-Mail-Anbieter die E-Mail lesen können, noch potentielle Angreifer die Möglichkeit haben, die E-Mails unterwegs zu lesen oder zu manipulieren,
vgl. Bundesamt für Sicherheit in der Informationstechnik, E-Mail-Verschlüsselung, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung.html#:~:text=Vertraulichkeit%20der%20E%2DMail:%20Verschl%C3%BCsselung%20nutzen%20Bei%20E%2DMail%2DVerschl%C3%BCsselung,entscheidende%20Unterschied%20liegt%2C%20wird%20im%20Folgenden%20erkl%C3%A4rt,
Bei einer Transportverschlüsselung ein unbefugter Zugang zu personenbezogenen Daten nicht vollständig ausgeschlossen werden. Das birgt für den Kläger aber kein erhöhtes Risiko. Im Raum stand, dass ein unbefugter Dritter Kenntnis von dem in beiden E-Mails enthaltenen Namen des Klägers erlangt. Diese Daten sind nicht sensibel und bedürfen keines besonderen Schutzes. Die im Melderegister für ihn angeordnete Auskunftssperre ändert daran nichts. Der Name des Klägers ist nicht geheim, sondern im Internet frei zugänglich. Dasselbe gilt für seine Firma. Der Kläger verwendet kein Pseudonym. Sein Name wird daher nicht erst bei unbefugtem Zugang Dritter zu den E-Mails bekannt. Auch die Wahrscheinlichkeit, dass ein Dritter dadurch weitere Informationen über den Kläger erlangt, ist äußerst gering. Ein Bezug zur privaten Anschrift des Klägers kann nicht hergestellt werden. Denn die für den Kläger eingetragene Auskunftssperre nach § 51 BMG bewirkt, dass Dritte keinen Zugang zu den Meldedaten erhalten. Es ist auch nicht ersichtlich, wie ein Unbefugter über die Kanzlei der Prozessbevollmächtigten des Klägers nähere Informationen über den Kläger herausfinden könnte. Diese sind hinreichend sensibilisiert. Vielmehr kann der mögliche Aufenthaltsort des Klägers bereits jetzt mit seinem Namen in Verbindung mit seiner Firma und deren Sitz im Internet auf einfache Weise ermittelt werden. Die vom Kläger angenommene Gefahr, Dritte könnten ihn zur Erlangung seiner Produkte entführen oder einen Raub begehen, hat sich durch die Nennung seines Namens in den beiden streitgegenständlichen E-Mails nicht erhöht.
Da die Datenverarbeitung durch das Busunternehmen kein hohes Risiko für die Rechte und Freiheiten des Klägers zur Folge hat, bedurfte es auch keiner Datenschutz-Folgenabschätzung im Sinne von Art. 35 DSGVO.
Kann ein Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung nicht festgestellt werden, ist die Beklagte nicht gehalten, mit dem Ziel der Abstellung des Verstoßes die mit dem Klageantrag zu 1. begehrten Maßnahmen nach Art. 58 Abs. 2 DSGVO Maßnahmen zu ergreifen.
Der Klageantrag zu 2., mit dem der Kläger die Verpflichtung der Beklagten begehrt, gegenüber dem Verarbeiter eine angemessene Geldbuße zu verhängen für die Verspätung der Auskunft, die Nichtmeldung des Datenschutzverstoßes und der Datenschutzverstoß selbst, ist ebenfalls unbegründet. Der Kläger hat keinen Anspruch auf die Verhängung einer Geldbuße gemäß Art. 58 Abs. 2 Buchst. i DSGVO gegenüber der Beschwerdegegnerin. Dies ergibt sich hinsichtlich der Nichtmeldung des Datenschutzverstoßes und des Datenschutzverstoßes selbst bereits daraus, dass nach den obigen Ausführungen kein Datenschutzverstoß vorliegt, und infolgedessen keine Meldung nach Art. 33 DSGVO an die Beklagte erfolgen musste. Aus diesem Grund bleibt auch dem Hilfsantrag zu 3., soweit er auf die Neubescheidung des Klägers hinsichtlich der Nichtmeldung des Datenschutzverstoßes und des Datenschutzverstoßes selbst zielt, der Erfolg versagt.
In Bezug auf die Verspätung der Auskunft nach Art. 15 DSGVO liegt zwar ein Datenschutzverstoß vor. Der auf die Verhängung eines Bußgelds gerichtete Klageantrag zu 2. ist gleichwohl unbegründet.
Die Beklagte hat nicht in angemessenem Umfang überprüft, ob hinsichtlich der verspäteten Auskunftserteilung ein Verstoß gegen die Datenschutzgrundverordnung gegeben ist. Dass die gewünschte E-Mail-Auskunft zum Zeitpunkt der Entscheidung der Beklagten vorlag, ist für die Frage der fristgerechten Erfüllung des Antrags des Klägers auf Auskunft über seine personenbezogenen Daten ohne Belang. Soweit sich die Beklagte in ihrem Bescheid vom 16. November 2022 auf die Einlassung der Verantwortlichen stützt, es sei keine Identifikation für ein Auskunftsbegehren möglich gewesen, schließt dies einen Verstoß gegen Art. 12 Abs. 3 Satz 1 DSGVO nicht aus.
Der Antrag des Klägers auf Auskunft über seine personenbezogenen Daten gemäß Art. 15 Abs. 1 DSGVO an die Beschwerdegegnerin datiert vom 12. April 2022. Auskunft erteilt wurde mit der anwaltlichen Stellungnahme der Beschwerdegegnerin vom 26. Oktober 2022. Gemäß Art. 12 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Die einmonatige Frist hat die Beschwerdegegnerin nicht eingehalten. Sie hat den Kläger auch nicht über eine Fristverlängerung oder die Gründe für die Verzögerung unterrichtet (Art. 12 Abs. 3 Satz 3 DSGVO). Anders als die Verantwortliche geltend macht, war der Kläger auch identifizierbar. Der Antrag vom 12. April 2022 wurde weder anonym noch unter einem Pseudonym gestellt. Zwar wird nur der Name des Klägers ohne Privatanschrift angegeben. Das Schreiben wurde jedoch von den Prozessbevollmächtigten des Klägers übersendet, die sich bereits Schreiben vom 2. März 2022 an die Beschwerdegegnerin gewendet und darin neben dem Namen des Klägers auch den zugrunde liegenden Sachverhalt (Verkehrsunfall in F. am 20. Januar 2022) benannt haben. Damit war der Verantwortlichen eine Zuordnung des Klägers ohne weiteres möglich.
Der auf Verhängung einer Geldbuße gerichtete Klageantrag zu 2. hat dennoch keinen Erfolg. Ein gerichtlich im Wege der Verpflichtungsklage durchsetzbarer Anspruch gegen die Beklagte auf Ergreifen der Maßnahme nach Art. 58 Abs. 2 Buchst. i DSGVO besteht in Anbetracht des der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO zustehenden Auswahlermessens nur, wenn das Ermessen der Beklagten auf null reduziert ist. Dies ist vorliegend nicht der Fall, zumal von drei behaupteten Datenschutzverstößen nur einer gegeben ist, der zudem angesichts der später erteilten Auskunft nicht schwer wiegt.
Der Kläger hat aber, soweit er sich über die verspätete Auskunft beschwert hat, gegenüber der Beklagten einen Anspruch auf ermessensfehlerfreie Entscheidung über das Ergreifen von Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO unter Beachtung der Rechtsauffassung des Gerichts (§ 113 Abs. 5 Satz 2 VwGO) mit der Folge, dass der Hilfsantrag zu 3. insoweit Erfolg hat. Die Beklagte konnte ihre Ermessenserwägungen dazu im gerichtlichen Verfahren nicht wirksam nachholen, weil sie die nicht fristgerechte Erteilung der begehrten Datenschutzauskunft im Bescheid nicht als Verstoß erkannt und deshalb ihr Auswahlermessen nicht ausgeübt hat.
Den Volltext der Entscheidung finden Sie hier: