Im Rahmen eines Beschwerdeverfahrens vor dem Oberverwaltungsgericht (OVG) für das Land Nordrhein-Westfalen (Az. 16 B 288/23) wurde durch den Beschwerdeführer der Antrag gestellt, dass die Antragsgegnerin es zu unterlassen habe, seine personenbezogenen Daten elektronisch, ohne eine Ende-zu-Ende-Verschlüsselung zu übermitteln, ausgenommen eine spezialgesetzliche Vorschrift gestattet dies.

Was war geschehen?

Dem Beschwerdeverfahren vor dem OVG ging ein Beschluss des Verwaltungsgerichts (VG) Köln (Az. 13 L 1467/22) voraus, in dem der Antrag des Beschwerdeführers auf Anordnung einer einstweiligen Verfügung abgelehnt wurde: Der Betroffene hatte darin vorgetragen, ihm stünde ein Anspruch auf Übermittlung und Verarbeitung seiner personenbezogenen Daten durch die Antragsgegnerin (eine Behörde) im Wege der Ende-zu-Ende-Verschlüsselung zu. Dem Betroffenen ging es ausweislich der Sachverhaltsdarstellung der Gerichte um eine Beschränkung der Einsichtnahme in das Transparenzregister, in welchem er als wirtschaftlich Berechtigter für zwei Handelsgesellschaften mit dem Fokus auf Explosivstoffe geführt wird. Aufgrund der beruflichen Tätigkeit des Beschwerdeführers hätten kriminelle Dritte Interesse an den im Transparenzregister verarbeiteten Daten zu seiner Person; es bestünde die Gefahr, dass er Opfer von Straftaten werde. Auch sei die durch die Antragsgegnerin verwendete TLS-Verschlüsselung (TLS 1.2) nicht ausreichend und entspräche nicht dem Stand der Technik. Eine weitere unsichere Datenübermittlung, so der Antragsteller, sei durch die Antragsgegnerin zu erwarten.

Wie bewertet das OVG den Sachverhalt?

Im Hinblick auf den geltend gemachten Anspruch auf eine Ende-zu-Ende-Verschlüsselung durch die Antragsgegnerin stellt das OVG fest, dass die Einwände des Beschwerdeführers die Einschätzungen des VG Köln nicht durchgreifend in Zweifel ziehen würden. Das VG Köln hatte ausgeführt:

„Nach Art. 32 Abs. 1 DSGVO ist die Antragsgegnerin bei der Verarbeitung personenbezogener Daten verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ (Urteil des VG Köln, Rn. 29)

Erforderlich seien eine Risikoeinschätzung und darauf basierend die Feststellung des Schutzbedarfs der Daten, so das Gericht. Die in Art. 32 Abs. 1 lit. a DSGVO genannte Maßnahme der Verschlüsselung personenbezogener Daten müsse den in Art. 5 Abs. 1 lit. f DSGVO genannten Zielsetzungen der Integrität und Vertraulichkeit genügen sowie dem Stand der Technik entsprechen; darüberhinausgehende spezifische Anforderungen für das einzusetzende Verschlüsselungsverfahren ließen sich Art. 32 DSGVO aber nicht entnehmen (siehe auch Urteil des VG Köln, Rn. 32 und 36).

Der Antragsteller hätte nach Ansicht des VG Köln nicht hinreichend glaubhaft gemacht, dass die Datenverarbeitung der Antragsgegnerin für ihn ein besonderes Risiko darstellen würde. Weder sei den Ausführungen zu entnehmen gewesen, dass ein erhöhtes Risiko in Form von Hackerangriffen für die Antragsgegnerin bestünde, noch sei diese durch Sicherheitslücken in der Vergangenheit aufgefallen. Die Antragsgegnerin sichere Datenübertragungen stets mittels TLS-Verschlüsselung sowie weiteren Techniken (SINA-Box, Client-Zertifikate), hätte ein aktuell positiv auditiertes IT-Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik vorgelegt und würde im Übrigen keine Zweifel an der Umsetzung des eigenen IT-Sicherheitskonzept aufkommen lassen.

Das OVG verdeutlicht dazu noch einmal:

„Die gegen diese Ausführungen gerichteten Einwände des Antragstellers betreffen einzelne Aspekte der Gesamtbetrachtung. Sie führen auch bei gemeinsamer Würdigung nicht zum Erfolg der Beschwerde. Dies liegt insbesondere daran, dass der Antragsteller mit seinem Beschwerdevorbringen die für die Gesamtbetrachtung nach Art. 32 Abs. 1 DSGVO wesentliche Einschätzung des Verwaltungsgerichts nicht durchgreifend in Zweifel zieht, wonach er das von der Datenverarbeitung der Antragsgegnerin für ihn ausgehende besondere Risiko nicht glaubhaft gemacht habe, und sich die von ihm begehrte Art der Datenübermittlung jedenfalls ohne ein solches erhöhtes Risiko nicht aus Art. 32 Abs. 1 DSGVO ableiten lasse. Dabei besteht Einigkeit darüber, dass es sich bei den in Rede stehenden Daten des Antragstellers nicht um personenbezogene Daten i. S. v. Art. 9 und 10 DSGVO handelt.“ (Urteil des OVG, Rn. 19, Hervorhebungen durch die Autorin)

Fazit

Das Urteil verdeutlicht, dass im Zusammenhang mit der Bestimmung geeigneter technischer und organisatorischer Maßnahmen im Sinne des Art. 32 Abs. 1 DSGVO eine Risikoeinschätzung und konkrete Schutzbedarfsfeststellung der verarbeiteten Daten erforderlich ist. Auch wenn sich keine generelle Pflicht zur Implementierung einer Ende-zu-Ende-Verschlüsselung aus der Vorschrift ergibt, so dürften jedoch in jeder öffentlichen Stelle diverse Fälle vorliegen, in denen sensible Daten mit einem entsprechend hohen Schutzbedarf verarbeitet werden (Gesundheits-, Personal- und Sozialdaten, Daten von Minderjährigen etc.).

Der verantwortlichen Behörde sollte bewusst sein, in welchen Fällen verschärfte Sicherheitsmaßnahmen, wie eine Ende-zu-Ende-verschlüsselte Datenübermittlung, zwingend erforderlich sind – um auf der anderen Seite die Fälle rechtfertigen zu können, für die eine solche Maßnahme zur Gewährleistung eines angemessenen Schutzniveaus eben nicht erforderlich ist. Im Zweifel sollte dies immer mit der*dem Datenschutzbeauftragten und Informationssicherheits-Beauftragten abgestimmt werden. Aufwands- und risikoärmer wäre an dieser Stelle sicherlich die Annahme eines als grundsätzlich „hoch“ eingestuften Schutzbedarfes für alle Daten und einer stets einzusetzenden Ende-zu-Ende-Verschlüsselung.

| | | , , , , , , , ,