OVG Lüneburg: Fax-Übermittlung von personenbezogenen Daten ist DSGVO-Verstoß

Die Übermittlung von personenbezogenen Daten (hier u.a.: Name, Anschrift und KFZ-Kennzeichen) per Telefax durch eine Behörde verletzt den Betroffenen in seinem Recht auf informationelle Selbstbestimmung und stellt einen Verstoß gegen die DSGVO dar, wenn die betreffenden Informationen besonders schutzbedürftig sind (OVG Lüneburg, Beschl. v. 22.07.2020 - Az.: 6 A 211/17).

Der Kläger war Inhaber einer Firma, die explosionsgefährliche Stoffe vertrieb. Er führte mit der verklagten Behörde wegen unterschiedlicher Maßnahmen eine gerichtliche Auseinandersetzung.

Im Rahmen dieses Verfahrens übersandte das Amt per Telefax an ihren Anwalt bestimmte personenbezogene Information über den Kläger.

Der so übermittelte Datensatz enthielt unter anderem Angaben zu Name und Anschrift des Klägers, seine Fahrzeugidentifikationsnummer und das amtliche KFZ-Kennzeichen.

Das OVG Lüneburg stufte dies als Datenschutzverletzung ein. Denn bei einer Fax-Übertragung erfolge die Datenübermittlung ohne ausreichende Sicherheitsvorkehrungen:

"Danach handelt es sich bei dem Telefaxverkehr um einen Dienst, der im Regelfall keine Datensicherheitsmaßnahmen enthält.

Die Informationen werden „offen“ (unverschlüsselt) übertragen. Eine Telefaxübersendung sei deshalb mit dem Versand einer offenen Postkarte vergleichbar. 

Der Datenschutzbeauftragte der Beklagten kommt in seiner Auskunft an den Kläger vom 11. April 2017 zu einer vergleichbaren Bewertung. Seiner Ansicht nach dürfen sensible personenbezogene Daten nicht ohne Sicherungen (z.B. Verschlüsselungsgeräte) gefaxt werden. Er merkt an, dass sensible personenbezogene Daten bei der Beklagten ausschließlich per Post zu versenden sind. Danach bestand bei der unverschlüsselten Übermittlung des Bescheides vom 3. Februar 2017 per Fax die Gefahr der Wahrnehmung von personenbezogenen Daten des Klägers durch unbefugte Dritte."

Der Kläger habe im vorliegenden Fall eine besondere Schutzbedürftigkeit.

Denn er sei erheblichen Gefahren ausgesetzt, weil er berufsbedingt mit explosionsgefährlichen Sprengstoffen Umgang habe Er sei damit einem deutlich erhöhten Angriffsrisiko durch militante Straftäter ausgesetzt, die auf von ihm vertriebene Sprengstoffe zugreifen wollten.

Die Datenübermittlung hätte somit nicht per Fax erfolgen dürfen, sondern auf anderem Wege, zum Beispiel per Post:

"Der vorstehend beschriebenen Gefahr hätte die Beklagte durch Sicherungsmaßnahmen bei der Übermittlung des Bescheides vom 3. Februar 2017 begegnen müssen. Solche Maßnahmen standen zur Verfügung und hätten ohne großen Aufwand eingesetzt werden können.

Im vorliegenden Fall hätte die Beklagte den Bescheid per Post versenden können oder mit Hilfe eines Boten in die nur 150 Meter entfernt liegende Kanzlei ihres Prozessbevollmächtigten überbringen können. Bei der auf Ausnahmefälle beschränkten Benutzung von Telefaxgeräten für die Übermittlung sind die von dem Datenschutzbeauftragten der Beklagten angesprochenen Sicherungen (z.B. Verschlüsselungsgeräte) zu verwenden. 

Ob die Benutzung eines Telefaxgeräts dem Stand der Technik entspricht, ist unmaßgeblich. Entscheidungserheblich ist, ob die Sicherungsmaßnahmen verfügbar sind und dem Stand der Technik entsprechen. Davon ist hier auszugehen."

Dabei sei es auch unerheblich, dass es sich bei dem Empfänger des Faxes um den anwaltlichen Prozessbevollmächtigten der Beklagten gehandelt habe, der besonderen Verschwiegenheitspflichten unterliege. Denn es bestünde die Gefahr des Missbrauchs durch unbefugte Dritte, die sich jederzeit realisieren könne. Darüber hinaus existiere das Risiko, dass bei der Datenübermittlung Fehler passieren würden, zum Beispiel durch die fehlerhafte Adressierung eines Faxes.

Anmerkung von RA Dr. Bahr:
Der Sachverhalt, der der Entscheidung zugrunde liegt, betrifft noch einen Zeitraum, der vor dem Inkrafttreten der DSGVO lag. Insofern trifft das Gericht keine näheren Ausführungen zur DSGVO.

Angesichts der Eindeutigkeit der richterlichen Aussage kann aber unzweifelhaft davon ausgegangen werden, dass bei einer aktuellen Handlung das Gericht auch eine DSGVO-Verletzung bejaht hätte.

Wichtig an der Entscheidung ist festzuhalten, dass nicht jede Fax-Übermittlung von personenbezogenen Daten rechtswidrig ist. Vielmehr stellt das Gericht klar, dass stets eine Abwägung der betroffenen Interessen vorzunehmen ist. Je stärker in die Rechte des einzelnen Betroffenen eingegriffen werde, umso mehr müsse die jeweilige Behörde entsprechende Sicherheitsvorkehrungen treffen.