Das Gericht stellte klar, dass ein Verantwortlicher gemäß DSGVO nachweisen muss, dass angemessene Sicherheitsmaßnahmen getroffen wurden, um personenbezogene Daten zu schützen. Eine reine Transportverschlüsselung sei bei hohem finanziellen Risiko nicht ausreichend; End-to-End-Verschlüsselung sei erforderlich.
