Das Oberverwaltungsgericht Lüneburg hat in seinem Beschluss vom 22.07.2020, Az. 11 LA 104/19 festgestellt, dass eine Übersendung von personenbezogener Daten per Fax rechtswidrig sein kann.

Damit gab das Gericht dem Kläger recht, der mit seiner Klage die Feststellung begehrte, dass eine unverschlüsselt Übersendung eines Faxes durch die betreffende Behörde an seinen Prozessbevollmächtigten rechtswidrig war. In dem betreffenden Bescheid der beklagten Behörde an den Prozessbevollmächtigten waren neben den Angaben zum Kläger in Bezug auf Name und Anschrift auch Fahrzeug Identifikationsnummern und das amtliche Kennzeichen der Fahrzeuge des Klägers benannt. Der Bescheid wurde unverschlüsselt und nicht anonymisiert auf dem Faxwege versandt Beim Kläger lagen spezielle Sachverhalte und situationsbedingt Besonderheiten vor, da dieser hauptsächlich explosiongefährliche Stoffe an nationale Sicherheitsbehörden vertreibt, sodass die per Fax übermittelten Daten aufgrund der Gefahrensituation sensible Daten darstellten und besonders schutzwürdig waren.

Das Gericht stellte eine besondere Schutzwürdigkeit des Klägers fest aufgrund der potentiellen Gefahr, die der Kläger ausgesetzt ist. Die besondere Sensibilität hinsichtlich der Daten sah das Gericht insbesondere in dem Umstand, dass ein Bekanntwerden dieser Daten die Gefahr für den Kläger nicht unerheblich erhöht, Opfer einer Straftat zu werden.

Auch der seitens der beklagten Behörde vorgebrachte Einwand, dass der Kläger in diese Kommunikationsform zugestimmt habe, überzeugt das Gericht nicht. Vielmehr habe der Kläger bereits in einem vorherigen Schreiben gegenüber der Beklagten eine Übermittlung personenbezogener Daten in unverschlüsselt Form widersprochen. Im Nachgang zu diesem Widerspruch bestätigte die Behörde, dass diese sich bei der Verarbeitung personenbezogenen Daten an die geltenden datenschutzrechtlichen Vorgaben orientiert und personenbezogene Daten auf einem nicht verschlüsselten elektronischen Wege nicht übermittelt.

Wie auch bereits durch einzelne Datenschutzbehörden deutlich gemacht (unter anderem durch den Landesdatenschutzbeauftragten Nordrhein-Westfalen), handelt es sich bei der Nutzung eines Faxes um eine Kommunikation, die im Regelfall keine Daten Sicherheitsmaßnahmen vorhält. Der Versand eines Faxes sei vergleichbar mit der Übersendung einer offenen Postkarte.

Weiterhin stellte das Gericht fest, dass die beklagte Behörde ohne großen Aufwand Sicherheitsmaßnahmen hätte ergreifen können. So bestünde die Möglichkeit ein Verschlüsselungsgerät zu nutzen. Auch hätte der Bescheid per Post oder aber mit einem Boten in die nicht weit entfernte Kanzlei des Prozessbevollmächtigten befördert werden können.

Unerheblich sei der Umstand, dass der Bescheid per Fax dem Prozessbevollmächtigten zuging und nicht z.B. an eine falsche Faxnummer versandt wurde. Es bestünde immer die Gefahr, dass unbefugte Dritte ein solches Fax abgreifen oder Ihnen anderweitig zur Kenntnis gelangt. Nicht von der Hand zu weisen sind die Gefahren die aufgrund z.B. eines Adressierungsfehlers oder aber eine Fehlleitung entstehen können.

Nach Ansicht der Datenschutzbehörden ist der Versand per Fax mindestens genauso unsicher wie eine E-Mail und sollte dahingehend bezüglich der Sicherheitsmaßnahmen behandelt werden. Eine ständige Nutzung des Faxgerätes insbesondere bei sensiblen Daten, erfülle bereits jetzt nicht mehr den Stand der Technik und ist dahingehend bereits nach Art. 32 DSGVO nicht datenschutzkonform. Hier sollte der Verantwortliche gemeinsam mit seinen Datenschutzbeauftragten eine eingehende Prüfung vornehmen.

Grundsätzlich empfehlen die Datenschutzbehörden auf das Fax zu verzichten und sichere Übertragungswege zu nutzen. Sollte dennoch die Nutzung unausweichlich sein ist dem Verantwortlichen zu empfehlen, seitens des Betroffenen eine wirksame Einwilligung einzuholen, dass eine Übermittlung per Fax vorgenommen werden kann. Diese Vorgehensweise ähnelt dem benötigten Einverständnis eines Mandanten hinsichtlich der Kommunikation über unverschlüsselte E-Mails. Dein Einverständnis des Betroffenen vor, ist diesem den Vorrang vor den datenschutzrechtlichen Risiken einzuräumen. Sollte es sich allerdings um besonders sensitive Daten handeln ist ein Versand per Fax nur über entsprechende technische Sicherungsmaßnahmen (z.B. Verschlüsselung) hinnehmbar. Auch müssten für diesen Fall die organisatorischen Datenschutzmaßnahmen beachtet werden, so dass ausgeschlossen werden kann, dass ein Versand an eine falsche Faxnummer erfolgt, dass eine vorherige Information des Betroffenen gewährleistet ist und ebenso sichergestellt ist, dass kein Dritter auf das Faxgerät zugreifen kann.

So erreichen Sie uns

Adresse
Aachener Straße 75
50931 Köln
©LR Datenschutz GmbH