OVG Lüneburg: Faxversand personenbezogener Daten rechtswidrig

Telefax, Fax, DSGVO, informationelle Selbstbestimmung, personenbezogene Daten, Datenschutz, 11 LA 104/19, OVG Lüneburg, Faxversand

Faxversand ade? Eine – vor allen Dingen für die behördliche und juristische Praxis – weitreichende Entscheidung zur datenschutzrechtlichen Zulässigkeit von Fax-Sendungen hat kürzlich das Oberverwaltungsgericht Lüneburg getroffen. Die Verwaltungsrichter entschieden, dass die unverschlüsselte Übertragung sensibler personenbezogener Daten mittels Telefax gegen datenschutzrechtliche Vorgaben und das Recht der Betroffenen auf informationelle Selbstbestimmung verstoßen kann (OVG Lüneburg, Beschluss vom 22.07.2020, 11 LA 104/19). Lesen Sie in unserem Beitrag alles zum Hintergrund der Entscheidung und zu den praktischen Auswirkungen, die von ihr ausgehen werden.

Faxversand durch Behörde – Zum Hintergrund der Entscheidung

Der Kläger des Ausgangsverfahrens betreibt ein Unternehmen, das hauptsächlich explosionsgefährliche Stoffe und Chemikalien vertreibt. Seine Kunden sind nahezu ausschließlich Sicherheitsbehörden, die die klägerischen Produkte für die Erfüllung ihrer öffentlichen Aufgaben beziehen. Der Kläger hat für seinen Betrieb u.a. zwei Fahrzeuge angemeldet, für die die – hier beklagte – Behörde hinsichtlich der Halterdaten s.g. Übermittlungssperren gem. § 41 Abs. 2 StVG im Fahrzeugregister anordnete. Im Hinblick auf bestimmte – und für den hiesigen Artikel nicht interessierenden – Einschränkungen in diesen Anordnungen führte der Kläger beim Verwaltungsgericht zwei Klageverfahren. Im Vorfeld eines dieser Verfahren bestätigte die beklagte Behörde dem Kläger, dass sie die aktuellen datenschutzrechtlichen Bestimmungen einhalte und u.a. eine unverschlüsselte Übertragung seiner personenbezogenen Daten auf elektronischem Wege nicht vornehme und dies auch nicht vorhabe. Im Rahmen des zweiten gerichtlichen Verfahrens übersandte die beklagte Behörde jedoch ihrem Prozessbevollmächtigten mit Fax vom 07.02.2017 den Bescheid zur Anordnung einer Übermittlungssperre für eines der klägerischen Fahrzeuge. Der Bescheid enthielt u.a. Vorname, Name und Anschrift des Klägers, die Fahrzeugidentifikationsnummer sowie das amtliche Kfz-Kennzeichen des betroffenen Fahrzeugs. Der Bescheid wurde dabei unter Verzicht auf eine Anonymisierung der personenbezogenen Daten unverschlüsselt per Telefax versandt. Dieses Vorgehen rügte der Kläger daraufhin mit Schreiben vom 20.03.2017 gegenüber dem Datenschutzbeauftragten der beklagten Behörde. Nach dessen Antwort entfaltete sich ein weitergehender Schriftwechsel zwischen den Parteien. Auf Antrag begehrte der Kläger schließlich festzustellen, dass der Faxversand des streitgegenständlichen Bescheides rechtswidrig war. Darauf reagierte die Behörde nicht mehr.

Faxversand datenschutzwidrig – VG gibt Kläger recht

Auf die sich anschließende Klage vor dem Verwaltungsgericht Osnabrück stellte dieses fest, dass der unverschlüsselte Faxversand des streitgegenständlichen Bescheides rechtswidrig war. Zur Begründung hat es u.a. ausgeführt:

Die zulässige Feststellungsklage sei begründet. Die Beklagte habe mit dem verfahrensgegenständlichen Faxversand das datenschutzrechtlich erforderliche Schutzniveau nicht gewahrt, um den Kläger u.a. vor den besonderen Gefahren zu schützen, die sich aus dessen unternehmerischer Situation ergeben.

In diesem Zusammenhang sehe § 7 des – zum Zeitpunkt des Rechtsstreits noch anwendbaren alten – Niedersächsischen Datenschutzgesetzes vor, dass eine datenverarbeitende öffentliche Stelle angemessene und dem Stand der Technik entsprechende technische und organisatorische Maßnahmen treffen muss, um ein ordnungsgemäßes Niveau an Datenschutz und Datensicherheit zu gewährleisten.

Dagegen habe die Beklagte mit ihrem Vorgehen verstoßen:

„Angesichts der mit einer unverschlüsselten Faxübertragung verbundenen abstrakten Risiken hätte die Beklagte dem Stand der Technik entsprechend das Fax nicht ohne Verschlüsselung übermitteln dürfen. Zu berücksichtigen ist auch, dass der Übermittlungsvorgang selbst noch zahlreiche andere Risiken birgt und deshalb auf eine Übersendung per Fax hätte verzichtet werden müssen.“

Oberverwaltungsgericht bestätigt Entscheidung

Auf die Berufung der Beklagten bestätigte das Oberverwaltungsgericht Lüneburg nun die erstinstanzliche Entscheidung.

Die vorgetragenen Einwände der Beklagten rechtfertigen die Annahme ernstlicher Zweifel an der Richtigkeit des mit der Berufung angefochtenen Urteils nicht. Denn das Verwaltungsgericht habe rechtsfehlerfrei festgestellt, dass der Kläger im vorliegenden Fall eines erhöhten Schutzniveaus bedürfe. Der Kläger habe entsprechend glaubhaft gemacht, dass er aufgrund seiner Tätigkeit einem deutlich höheren Angriffsrisiko ausgesetzt sei – nämlich zur Ermöglichung eines illegalen Zugriffes auf „seine“ Sprengstoffe. Der Umgang des Klägers mit riskanten und von Kriminellen begehrten Produkten wie Sprengstoffen, führe zu einer gegenüber einem durchschnittlichen Fahrzeughalter deutlich erhöhten Wahrscheinlichkeit einer Rechtsverletzung.

Bereits aus den Grundrechten des Klägers ergebe sich die Verpflichtung des Gesetzgebers, angemessene Schutzvorkehrungen zu treffen, um einen unbefugten Zugriff auf sensible Daten des Klägers zu verhindern. Dies ergebe sich aus dessen Recht auf informationelle Selbstbestimmung gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG.

Der Gesetzgeber im Land Niedersachsen habe die genannten verfassungsrechtlichen Vorgaben durch § 7 des Landesdatenschutzgesetzes entsprechend umgesetzt. Die Vorschrift sehe u.a. vor, dass bei der Übermittlung personenbezogener Daten eine s.g. Transportkontrolle stattzufinden hat, die auch angemessene und – unter Abwägung des Aufwandes einerseits und des Risikos für den Betroffenen andererseits – dem Stand der Technik entsprechende kryptografische Verfahren vorsehen müsse.

Dagegen habe die Beklagte mit dem unverschlüsselten Faxversand verstoßen und den Kläger damit in seinen Rechten verletzt:

„Eine unverschlüsselte Übermittlung von personenbezogenen Daten des Klägers per Fax unterschreitet das einzuhaltende Schutzniveau. Das Verwaltungsgericht weist zu Recht darauf hin, dass bei einer Übermittlung per Fax kein Hindernis für die Wahrnehmung der Daten durch Unbefugte besteht. Diese Einschätzung des erstinstanzlichen Gerichts wird bestätigt durch Informationen des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen […]. Danach handelt es sich bei dem Telefaxverkehr um einen Dienst, der im Regelfall keine Datensicherheitsmaßnahmen enthält. Die Informationen werden ‚offen“ (unverschlüsselt) übertragen. Eine Telefaxübersendung sei deshalb mit dem Versand einer offenen Postkarte vergleichbar.

Auswirkungen auf die Praxis

Die vorliegende Entscheidung wird vermutlich nur die erste in einer ganzen Reihe weiterer sein, die zu einem schnelleren Ende des überkommenden herkömmlichen, sich aber persistent haltenden Telefaxes beitragen wird. Sie ist deshalb – aus datenschutzrechtlicher Sicht – überaus begrüßenswert, auch weil sie Digitalisierungsmaßnahmen bei Behörden – und vor allen Dingen auch in Anwaltskanzleien – beschleunigen wird.

Praktikern, aber auch Behörden und Gerichten sei an dieser Stelle einmal mehr geraten, fortan generell – und nicht nur im Falle ganz besonders sensibler Daten – auf das besondere elektronische Anwaltspostfach (beA) oder aber, dort wo möglich, verschlüsselten E-Mail-Versand auszuweichen – und damit dem Faxgerät ein für allemal den Stecker zu ziehen.

Sie benötigen Beratung in datenschutzrechtlichen Fragen oder wollen Ihr Unternehmen datensicher aufstellen? Schreiben Sie uns gerne!

Karsten Gröger

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.