Abo

Urteil : Zur Rechtswidrigkeit der Übermittlung personenbezogener Daten per Fax : aus der RDV 5/2020, Seite 277 bis 278

(Oberverwaltungsgericht Lüneburg, Beschluss vom 22. Juli 2020 – 11 LA 104/19 –)

Rechtsprechung
Lesezeit 5 Min.
  1. Ob die Übermittlung eines Bescheides, der personenbezogene Daten enthält, durch die Behörde per Fax rechtswidrig war, kann im Wege einer Feststellungsklage bei Vorliegen eines Feststellungsinteresses zur Überprüfung gestellt werden.
  2. Bei der Übermittlung von personenbezogenen Daten per Fax muss die Behörde zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen. Welches Schutzniveau dabei einzuhalten ist, richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand.

Aus den Gründen:

Der Kläger kann sich darauf berufen, dass die Beklagte zur Gewährleistung seines Grundrechts auf informationelle Selbstbestimmung bei der Übermittlung von personenbezogenen Daten Schutzvorkehrungen trifft, damit seine personenbezogenen Daten nicht unbefugt an Dritte gelangen. Das in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG wurzelnde Grundrecht auf informationelle Selbstbestimmung verpflichtet den Gesetzgeber, für notwendige Sicherungsvorkehrungen Sorge zu tragen (BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83 u.a. –, BVerfGE 65, 1, juris, Rn. 191, „Volkszählungsurteil“). Insbesondere sind die betroffenen Daten vor unbefugtem Zugriff Dritter und vor missbräuchlicher Nutzung zu schützen (Senatsurt. v. 14.01.2020 – 11 LC 191/17 -, juris, Rn. 49). Der niedersächsische Gesetzgeber hat hierzu in § 7 Abs. 1 des Niedersächsischen Datenschutzgesetzes vom 29. Januar 2002 (Nds. GVBl. 2002, 22, i.d. Änderungsfassung v. 12.12.2012, Nds. GVBl. 2012, 589 – NDSG a.F. –) geregelt, dass öffentliche Stellen die technischen und organisatorischen Maßnahmen zu treffen haben, um eine den Vorschriften dieses Gesetzes entsprechende Verarbeitung personenbezogener Daten sicherzustellen (Satz 1). Der Aufwand für die Maßnahmen muss unter Berücksichtigung des Standes der Technik in einem angemessenen Verhältnis zu dem angestrebten Zweck stehen (Satz 2). Diese Gestaltungsregeln richten sich an die Beklagte als öffentliche Stelle (§ 2 Abs. 1 Satz 1 Nr. 2 NDSG a.F.) und beziehen sich auch auf die Übermittlung von personenbezogenen Daten. § 7 Abs. 2 NDSG a.F. regelt elf Kontrollmaßnahmen bei der automatisierten Verarbeitung von personenbezogenen Daten. Nach § 7 Abs. 2 NDSG a.F. sind Maßnahmen zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet sind, nach Nr. 10 zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle), und nach Nr. 11 die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle). Der Umfang der Kontrolle ist über eine Abwägung zwischen der Sensibilität und Bedeutung der Daten, den potentiellen Gefahren, dem Grad der Schutzbedürftigkeit und dem mit den Sicherungsmaßnahmen verbundenen Aufwand zu bestimmen (Der Landesbeauftragte für den Datenschutz Niedersachsen, Erläuterungen zur Anwendung des NDSG, 3. Aufl. 2008, § 7, zu Abs. 2). Daran gemessen hat die Beklagte mit der nicht verschlüsselten Übermittlung des nicht anonymisierten Bescheides vom 3. Februar 2017 über ein Faxgerät an ihren Prozessbevollmächtigten nicht den gebotenen Schutz gewährleistet und dadurch den Kläger in seinem Grundrecht verletzt. Der Kläger ist besonders schutzbedürftig.

Der Kläger ist erheblichen Gefahren ausgesetzt, weil er berufsbedingt mit explosionsgefährlichen Sprengstoffen umgeht. Wie bereits zur Zulässigkeit der Feststellungsklage ausgeführt, ist der Kläger dadurch einem deutlich erhöhten Angriffsrisiko durch militante Straftäter ausgesetzt, die auf von ihm vertriebene Sprengstoffe zugreifen wollen.

Die in dem übermittelten Bescheid enthaltenen personenbezogenen Daten (Name und Adresse des Klägers, Fahrzeugidentifikationsnummer und das amtliche Kennzeichen des Fahrzeugs) sind besonders sensibel. Der Senat teilt die Auffassung des 12. Senats in seinem Urteil vom 19. Mai 2020 – H. –, dass die Kenntnis dieser personenbezogenen Daten das Risiko des Klägers, Opfer einer Straftat zu werden, deutlich erhöht.

Daraus folgt, dass die Beklagte bei der Übermittlung der personenbezogenen Daten des Klägers ein angemessenes Schutzniveau gewährleisten muss. Soweit die Beklagte geltend macht, der Kläger habe in an sie gerichteten Telefaxschreiben personenbezogene Daten preisgegeben und dieser Kommunikationsform zugestimmt, überzeugt dieser Einwand nicht. Die Beklagte bezieht sich dabei auf Faxdokumente aus den Jahren 2011 und 2012 (Schreiben v. 10.02.2011 und 09.09.2012). Der Kläger hat bereits mit Schreiben vom 9. Dezember 2015 an die Beklagte der unverschlüsselten Übermittlung von personenbezogenen Daten widersprochen. Der Vortrag des Klägers, jedenfalls für den Zeitraum nach dem 9. Dezember 2015 habe er einer Übersendung per Fax nicht zugestimmt, ist unwidersprochen geblieben. Zudem hat die Beklagte dem Kläger mit Schreiben vom 25. Februar 2016 bestätigt, dass sich der Umgang mit personenbezogenen Daten in der zuständigen Abteilung nach den geltenden datenschutzrechtlichen Vorgaben richte und auf nichtverschlüsseltem elektronischem Weg personenbezogene Daten nicht übermittelt würden.

Angesichts der besonderen Schutzbedürftigkeit des Klägers und seiner personenbezogenen Daten ist bei der hier vorliegenden Verarbeitung mit Hilfe einer Datenverarbeitungsanlage ein erhöhtes Schutzniveau einzuhalten. Eine unverschlüsselte Übermittlung von personenbezogenen Daten des Klägers per Fax unterschreitet das einzuhaltende Schutzniveau. Das Verwaltungsgericht weist zu Recht darauf hin, dass bei einer Übermittlung per Fax kein Hindernis für die Wahrnehmung der Daten durch Unbefugte besteht. Diese Einschätzung des erstinstanzlichen Gerichts wird bestätigt durch Informationen des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen auf seiner Internetseite (https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/Kommunikaton/Inhalt/070402_Datensicherheit_beim_Telefaxverkehr/Datensicherheit_beim_Telefaxverkehr.php). Danach handelt es sich bei dem Telefaxverkehr um einen Dienst, der im Regelfall keine Datensicherheitsmaßnahmen enthält. Die Informationen werden „offen“ (unverschlüsselt) übertragen. Eine Telefaxübersendung sei deshalb mit dem Versand einer offenen Postkarte vergleichbar. Der Datenschutzbeauftragte der Beklagten kommt in seiner Auskunft an den Kläger vom 11. April 2017 zu einer vergleichbaren Bewertung. Seiner Ansicht nach dürfen sensible personenbezogene Daten nicht ohne Sicherungen (z.B. Verschlüsselungsgeräte) gefaxt werden. Er merkt an, dass sensible personenbezogene Daten bei der Beklagten ausschließlich per Post zu versenden sind. Danach bestand bei der unverschlüsselten Übermittlung des Bescheides vom 3. Februar 2017 per Fax die Gefahr der Wahrnehmung von personenbezogenen Daten des Klägers durch unbefugte Dritte.

Der vorstehend beschriebenen Gefahr hätte die Beklagte durch Sicherungsmaßnahmen bei der Übermittlung des Bescheides vom 3. Februar 2017 begegnen müssen. Solche Maßnahmen standen zur Verfügung und hätten ohne großen Aufwand eingesetzt werden können. Im vorliegenden Fall hätte die Beklagte den Bescheid per Post versenden können oder mit Hilfe eines Boten in die nur 150 Meter entfernt liegende Kanzlei ihres Prozessbevollmächtigten überbringen können. Bei der auf Ausnahmefälle beschränkten Benutzung von Telefaxgeräten für die Übermittlung sind die von dem Datenschutzbeauftragten der Beklagten angesprochenen Sicherungen (z.B. Verschlüsselungsgeräte) zu verwenden. Ob die Benutzung eines Telefaxgeräts dem Stand der Technik entspricht, ist unmaßgeblich. Entscheidungserheblich ist, ob die Sicherungsmaßnahmen verfügbar sind und dem Stand der Technik entsprechen. Davon ist hier auszugehen.

Unerheblich ist auch, dass der Bescheid per Fax nicht an einen beliebigen Dritten, sondern an den Prozessbevollmächtigten der Beklagten übersandt wurde, der wie seine Mitarbeiter der Verschwiegenheitspflicht unterliegt. Es besteht die Gefahr des Missbrauchs durch unbefugte Dritte, die sich jederzeit realisieren kann. Zudem bestehen auch Risiken außerhalb des unmittelbaren Übertragungsvorgangs, zum Beispiel durch Adressierungsfehler oder Fehlleitungen aufgrund von veralteten Anschlussnummern oder aktivierten Anrufumleitungen bzw. -weiterleitungen (vgl. hierzu die Informationen des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen auf der bezeichneten Internetseite).