Keine Versendung sensibler Daten per Fax

Das Oberverwaltungsgericht Lüneburg entschied am 22.07.2020, dass sich die datenschutzrechtlichen Sicherheitsvorkehrungen danach zu richten haben, wie sensible und bedeutsam bestimmte Daten seien. Ein Bericht, der neben Name und Anschrift eines Sprengstoffhändlers auch dessen Fahrzeugidentifikationsnummer und das amtliche Kennzeichen enthalte, sei jedenfalls nicht unverschlüsselt per Fax zu versenden.

Versand per Brief oder Fax?
Der Kläger vertrieb unter anderem explosionsgefährliche Stoffe an nationale Sicherheitsbehörden und war Halter zweier Fahrzeuge. Für diese ordnete die Beklagte – eine Behörde - Übermittlungssperren im Fahrzeugregister an. Dazu führte der Kläger beim Verwaltungsgericht zwei Klageverfahren. Im Vorlauf des einen gerichtlichen Verfahren bestätigte die Beklagte dem Kläger schriftlich, dass sie die aktuellen datenschutzrechtlichen Bestimmungen einhalten und eine unverschlüsselte Übertragung seiner personenbezogenen Daten auf elektronischem Wege nicht vornehmen werden. Trotzdem übersandte die Beklagte in dem anderen Verfahren per Fax einen Bescheid zur Anordnung einer Übermittlungssperre für eines der Kläger-Fahrzeuge. Der Bescheid enthielt u.a. Name und Anschrift des Klägers sowie die Fahrzeugidentifikationsnummer und das amtliche Kennzeichen des Fahrzeuges. Der Bescheid wurde ohne Anonymisierung der personenbezogenen Daten unverschlüsselt versandt. Der Kläger rügte dieses Vorgehen gegenüber dem Datenschutzbeauftragten der Beklagten. Der Datenschutzbeauftragte gab dem Beklagte recht. Daher beantragte der Kläger festzustellen, dass die Übermittlung des Bescheides rechtswidrig war. Darauf reagierte die Beklagte nicht. Aufgrund dessen klagte der Kläger. Die Vorinstanz stellte die Rechtswidrigkeit des Vorgehens fest. Die beklagte Behörde beantragte daraufhin die Zulassung der Berufung.

Keine ernsthaften Zweifel an Richtigkeit des 1. Urteils
Das OVG Lüneburg entschied, der Berufungszulassungsantrag der Beklagten sei nicht geeignet, ernste Zweifel an der Richtigkeit des angefochtenen Urteils aufzuzeigen. Es müsse mit hinreichender Wahrscheinlichkeit anzunehmen sein, dass die Berufung zu einer Änderung der angefochtenen Entscheidung führe. Dies sei aber nur der Fall, wenn die Richtigkeit des angefochtenen Urteils weiterer Prüfung bedürfe. Es reiche nicht aus, wenn lediglich an der Richtigkeit einzelner Rechtssätze oder tatsächlicher Feststellungen Zweifel bestehen, das Urteil aber im Ergebnis richtig sei.

Anforderungen an den Datenschutz bei öffentlichen Stellen
Das Oberverwaltungsgericht entschied, dass die Beklagte mit der unverschlüsselten Übermittlung des nicht anonymisierten Bescheides per Fax das Grundrecht des Klägers auf informationelle Selbstbestimmung verletzt habe. Bei der Übermittlung von personenbezogenen Daten seien besondere Schutzvorkehrungen zu treffen, damit die Daten nicht unbefugt an Dritte gelangen. Insbesondere seien die betroffenen Daten vor unbefugtem Zugriff Dritter und vor missbräuchlicher Nutzung zu schützen. Im niedersächsischen Datenschutzgesetz sei geregelt, dass öffentliche Stellen die technischen und organisatorischen Maßnahmen zu treffen haben, um die Verarbeitung personenbezogener Daten sicherzustellen. Der Aufwand für die Maßnahmen müsse unter Berücksichtigung des Standes der Technik in einem angemessenen Verhältnis zum angestrebten Zweck stehen. Zudem seien Maßnahmen zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet seien zu gewährleisten, dass bei der Datenübertragung diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können. Die interne Organisation sei dabei so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht werde. Der Umfang der Kontrolle habe sich dabei nach Sensibilität und Bedeutung der Daten, den potentiellen Gefahren, dem Grad der Schutzbedürftigkeit und dem mit den Sicherungsmaßnahmen verbundenen Aufwand zu richten.

Besondere Schutzbedürftigkeit des Klägers
Der Kläger sei besonders schutzbedürftig, stellte das Gericht fest. Er sei erheblichen Gefahren ausgesetzt, weil er berufsbedingt mit explosionsgefährlichen Sprengstoffen umgehe. Daher sei er z.B. einem deutlich erhöhten Angriffsrisiko durch militante Straftäter ausgesetzt. Die in dem gefaxten Bescheid enthaltenen personenbezogenen Daten (Name und Adresse, Fahrzeugidentifikationsnummer und amtliches Kennzeichen) seien besonders sensibel. Die Kenntnis dieser Daten erhöhe das Risiko des Klägers deutlich, Opfer einer Straftat zu werden.

Gewährleistung eines angemessenen Schutzniveaus
Aufgrund der besonderen Schutzbedürftigkeit müsse ein angemessenes Schutzniveau gewährleistet werden, entschied das Gericht. Der Kläger habe per Schreiben an die Beklagte der unverschlüsselten Übermittlung seiner Daten widersprochen. Auch für einen späteren Zeitraum habe er nicht der Übersendung per Fax zugestimmt. Zudem habe die Beklagte bestätigt, dass sich der Umgang mit personenbezogenen Daten in der zuständigen Abteilung nach den geltenden datenschutzrechtlichen Vorgaben richte. Auf die Übermittlung personenbezogener Daten auf nichtverschlüsseltem elektronischem Wege solle verzichtet werden.

Datenübermittlung per Fax unterschreitet angemessenes Schutzniveau
Das OVG urteilte, die unverschlüsselte Übermittlung der Klägerdaten per Fax habe das einzuhaltende Schutzniveau unterschritten. Beim Telefax handele es sich um einen Dienst ohne weitere Datensicherheitsmaßnahmen. Die Informationen werden „offen“ (unverschlüsselt) übertragen. Eine Telefaxübersendung sei deshalb mit dem Versand einer offenen Postkarte vergleichbar. Der Datenschutzbeauftragte der Beklagten sei in seiner Auskunft an den Kläger zu einer vergleichbaren Bewertung gelangt. Seiner Ansicht nach hätten die sensiblen Daten nicht ohne Sicherungen (z.B. Verschlüsselungsgeräte) gefaxt werden dürfen. Vielmehr sei der Postweg angebracht gewesen.

Sensible Daten besser per Brief versenden
Das Gericht kam zum Schluss, die Beklagte habe der beschriebenen Gefahr durch bestimmte Sicherungsmaßnahmen begegnen müssen. Solche Maßnahmen hätten zur Verfügung gestanden und seien auch ohne großen Aufwand einsetzbar gewesen. Vorliegend habe die Beklagte den Bescheid per Post oder mit Hilfe eines Boten versenden können. Bei der auf Ausnahmefälle beschränkte Benutzung von Telefaxgeräten seien zumindest bestimmte Sicherungen (z.B. Verschlüsselungsgeräte) zu verwenden. Ob die Benutzung eines Telefaxgeräts dem Stand der Technik entspreche, sei nicht maßgeblich. Erheblich sei, ob die Sicherungsmaßnahmen verfügbar seien und dem Stand der Technik entsprechen. Davon sei vorliegend auszugehen.

Oberverwaltungsgericht Lüneburg, Beschluss vom 22.07.2020, Az. 11 LA 104/19