Datenschutzkonforme Übermittlung per Fax
Leitsatz
Datenschutzkonforme Übermittlung per Fax
Tenor
Der Antrag der Beklagten auf Zulassung der Berufung gegen das Urteil des Verwaltungsgerichts Osnabrück - 6. Kammer - vom 30. Januar 2019 wird abgelehnt.
Die Beklagte trägt die Kosten des Zulassungsverfahrens.
Der Wert des Streitgegenstandes für das Zulassungsverfahren wird auf 5.000 EUR festgesetzt.
Entscheidungsgründe
Der Kläger begehrt mit seiner Klage festzustellen, dass die unverschlüsselte Übersendung eines Faxes von der Beklagten an ihren Prozessbevollmächtigten rechtswidrig war.
Der Kläger ist Inhaber einer Firma, [die mit verbotenen Stoffen umgeht]. Er ist Halter zweier Fahrzeuge, für die die Beklagte Übermittlungssperren gemäß § 41 Abs. 2 des Straßenverkehrsgesetzes - StVG - im Fahrzeugregister anordnete. Bezüglich von Einschränkungen in diesen Anordnungen führte der Kläger beim Verwaltungsgericht Klageverfahren zu den Aktenzeichen E. und F.. Im Vorlauf zu dem gerichtlichen Verfahren E. bestätigte die Beklagte dem Kläger schriftlich, dass sie die aktuellen datenschutzrechtlichen Bestimmungen einhält und eine unverschlüsselte Übertragung seiner personenbezogenen Daten auf elektronischem Wege nicht vornimmt. Im Rahmen des gerichtlichen Verfahrens F. übersandte die Beklagte ihrem Prozessbevollmächtigten mit Fax vom […] 2017 den Bescheid vom 3. Februar 2017 zur Anordnung einer Übermittlungssperre für das Fahrzeug G. des Klägers. Der Bescheid enthält unter anderem Name und Anschrift des Klägers sowie die Fahrzeugidentifikationsnummer und das amtliche Kennzeichen des Fahrzeuges. Der Bescheid wurde ohne Anonymisierung der personenbezogenen Daten unverschlüsselt versandt. Dieses Vorgehen rügte der Kläger mit Schreiben vom 20. März 2017 gegenüber dem Datenschutzbeauftragten der Beklagten. Nach einer Antwort des Datenschutzbeauftragten schloss sich ein weiterer Schriftwechsel an. Auf einen Antrag des Klägers festzustellen, dass die Übermittlung des Bescheides vom 3. Februar 2017 rechtswidrig war, reagierte die Beklagte nicht.
Auf Klage des Klägers vom 20. Juli 2017 hat das Verwaltungsgericht mit Urteil vom 30. Januar 2019 festgestellt, dass die unverschlüsselte Übermittlung des Bescheides vom 3. Februar 2017 per Fax durch die Beklagte an ihren Prozessbevollmächtigten am […] 2017 um etwa 18:00 Uhr rechtswidrig war. Zur Begründung hat es ausgeführt:
Die Klage sei als Feststellungsklage zulässig. Die in Rede stehende Rechtswidrigkeit der Faxübermittlung am [...] 2017 sei ein Rechtsverhältnis. Es liege auch ein berechtigtes Interesse des Klägers wegen Wiederholungsgefahr vor. Die Beklagte habe wiederholt in Schreiben personenbezogene Daten des Klägers unverschlüsselt weitergegeben. Das berechtigte Interesse ergebe sich auch daraus, dass sich hier eine Maßnahme kurzfristig erledigt habe, die angesichts des Umgangs des Klägers mit [verbotenen Stoffen] mit einer tiefgreifenden Grundrechtsverletzung verbunden gewesen sei.
Die Klage sei auch begründet. Die Beklagte habe mit der Übermittlung eines unverschlüsselten Faxes am [...] 2017 das datenschutzrechtlich erforderliche Schutzniveau für den besonderen Gefahren ausgesetzten Kläger nicht gewahrt. Die Übersendung des Faxes sei daher in dem bestehenden Rechtsverhältnis rechtswidrig. Die Beklagte habe im Rahmen der Datenverarbeitung nicht das Schutzniveau beachtet, das § 7 des Niedersächsischen Datenschutzgesetzes in der zum Zeitpunkt der Faxübermittlung anwendbaren Fassung - NDSG a.F. - für die Tätigkeit einer Behörde, die als öffentliche Stelle im Rahmen privatwirtschaftlicher Verträge handele, vorgebe. Zwar gebe § 7 NDSG a.F. kein Recht auf Implementierung bestimmter Schutzvorkehrungen. Ein angemessenes Schutzniveau müsse aber erreicht werden. Der Kläger sei wegen der erheblichen Gefahren, denen er im Falle einer Identifizierung ausgesetzt sei, in besonderem Maße auf den Schutz seiner personenbezogenen Daten angewiesen. Angesichts der mit einer unverschlüsselten Faxübertragung verbundenen abstrakten Risiken hätte die Beklagte dem Stand der Technik entsprechend das Fax nicht ohne Verschlüsselung übermitteln dürfen. Zu berücksichtigen sei auch, dass der Übermittlungsvorgang selbst noch zahlreiche andere Risiken berge und deshalb auf eine Übersendung per Fax hätte verzichtet werden müssen.
Der Zulassungsantrag der Beklagten ist unbegründet.
Die Begründung des Zulassungsantrages ist nicht geeignet, ernstliche Zweifel an der Richtigkeit des angefochtenen Urteils im Sinne des § 124 Abs. 2 Nr. 1 VwGO aufzuzeigen. Ernstliche Zweifel an der Richtigkeit der erstinstanzlichen Entscheidung sind zu bejahen, wenn der Rechtsmittelführer einen einzelnen tragenden Rechtssatz oder eine einzelne erhebliche Tatsachenfeststellung mit schlüssigen Gegenargumenten in Frage stellt (BVerfG, Beschl. v. 8.12.2009 - 2 BvR 758/07 -, BVerfGE 125, 104, juris, Rn. 96). Die Richtigkeitszweifel müssen sich dabei auch auf das Ergebnis der Entscheidung beziehen; es muss also mit hinreichender Wahrscheinlichkeit anzunehmen sein, dass die Berufung zu einer Änderung der angefochtenen Entscheidung führen wird (BVerwG, Beschl. v. 10.3.2004 - 7 AV 4/03 -, NVwZ-RR 2004, 542, juris, Rn. 7 ff.). § 124 Abs. 2 Nr. 1 VwGO eröffnet den Zugang zu einer inhaltlichen Überprüfung des angefochtenen Urteils in einem Berufungsverfahren somit nur in den Fällen, in denen die Richtigkeit des angefochtenen Urteils weiterer Prüfung bedarf. Demgegenüber reicht es nicht aus, wenn Zweifel lediglich an der Richtigkeit einzelner Rechtssätze oder tatsächlicher Feststellungen des Urteils bestehen, das Urteil aber im Ergebnis richtig ist (vgl. BVerwG, Beschl. v. 10.3.2004 - 7 AV 4/03 -, a.a.O., juris, Rn. 9 ff.). Eine den Anforderungen des § 124 a Abs. 4 Satz 4 VwGO genügende Darlegung dieses Zulassungsgrundes erfordert, dass im Einzelnen unter konkreter Auseinandersetzung mit der verwaltungsgerichtlichen Entscheidung ausgeführt wird, dass und warum Zweifel an der Richtigkeit der Auffassung des erkennenden Verwaltungsgerichts bestehen sollen. Hierzu bedarf es regelmäßig qualifizierter, ins Einzelne gehender, fallbezogener und aus sich heraus verständlicher Ausführungen, die sich mit der angefochtenen Entscheidung auf der Grundlage einer eigenständigen Sichtung und Durchdringung des Prozessstoffes auseinandersetzen (Niedersächsisches OVG, Beschl. v. 17.6.2015 - 8 LA 16/15 -, NdsRPfl. 2015, 244, juris, Rn. 10). Daran gemessen rechtfertigen die Einwände der Beklagten nicht die Annahme ernstlicher Zweifel an der Richtigkeit des angefochtenen Urteils.
Das Begehren des Klägers ist als allgemeine Feststellungsklage nach § 43 Abs. 1 VwGO zulässig. Danach kann durch Klage die Feststellung des Bestehens oder Nichtbestehens eines Rechtsverhältnisses begehrt werden, wenn der Kläger ein berechtigtes Interesse an der baldigen Feststellung hat. Unter einem feststellungsfähigen Rechtsverhältnis sind die rechtlichen Beziehungen zu verstehen, die sich aus einem konkreten Sachverhalt aufgrund einer öffentlich-rechtlichen Norm für das Verhältnis von (natürlichen oder juristischen) Personen untereinander oder einer Person zu einer Sache ergeben, kraft deren eine der beteiligten Personen etwas Bestimmtes tun muss, kann oder darf oder nicht zu tun braucht. Rechtliche Beziehungen haben sich nur dann zu einem Rechtsverhältnis im Sinne des § 43 Abs. 1 VwGO verdichtet, wenn die Anwendung einer bestimmten Norm des öffentlichen Rechts auf einen bereits übersehbaren Sachverhalt streitig ist (BVerwG, Urt. v. 26.1.1996 - 8 C 19/94 -, BVerwGE 100, 262, juris, Rn. 10). Der Streit der Beteiligten betrifft die Bedeutung und Tragweite einer Vorschrift des öffentlichen Rechts in Beziehung zu einem konkreten Sachverhalt.
Hier liegt ein Sachverhalt vor, der einer Norm zugeordnet werden kann. Streitgegenständlich ist die von der Beklagten vorgenommene Übermittlung des Bescheides vom 3. Februar 2017 per Fax an ihren Prozessbevollmächtigten am […] 2017. Entgegen der Ansicht der Beklagten geht es dem Kläger nicht nur um die rechtliche Qualifikation des Handelns der Beklagten als rechtswidrig oder rechtmäßig - ein derartiges Begehren unterfiele als nicht feststellungsfähige Rechtsfrage nicht der Feststellungsklage im Sinne von § 43 VwGO (Bayerischer VGH, Urt. v. 9.4.2003 - 24 B 02.646 -, juris, Rn. 22, Sodan, in: Sodan/Ziekow, VwGO, 5. Aufl. 2018, § 43, Rn. 35) -, sondern um seine Rechtsposition, die durch die Weitergabe seiner personenbezogenen Daten möglicherweise berührt ist.
Der Kläger hat auch ein Feststellungsinteresse wegen Wiederholungsgefahr. Eine Wiederholungsgefahr begründet ein berechtigtes Interesse im Sinne des § 43 Abs. 1 VwGO, wenn hinreichend konkrete Anhaltspunkte dafür vorliegen, dass die beanstandete hoheitliche Maßnahme erneut vorgenommen wird (Bayerischer VGH, Urt. v. 15.2.2012 - 1 B 09.2157 -, juris, Rn. 31). Die Beklagte macht geltend, sie habe die angeordneten Übermittlungssperren zwischenzeitlich sofort vollziehbar aufgehoben. Die Übermittlungssperren könnten deshalb nicht zur Begründung eines besonders hohen Schutzniveaus herangezogen werden. Der Kläger sei auch nicht besonderen Gefahren ausgesetzt. Mit diesem Vortrag dringt die Beklagte nicht durch.
Das Verwaltungsgericht hat die Wiederholungsgefahr damit begründet, dass die Beklagte wiederholt Faxe ohne Verschlüsselung versandt habe. Hierzu verweist das Verwaltungsgericht neben der streitgegenständlichen Faxübersendung auf zwei Schreiben vom 22. Juni 2016 und 19. August 2016 in gerichtlichen Verfahren, die beide unverschlüsselt mit personenbezogenen Daten des Klägers an das Verwaltungsgericht bzw. an das Oberverwaltungsgericht übermittelt worden sind. Daraus schließt das erstinstanzliche Gericht zu Recht, dass auch zukünftig die beschriebene Gefahr droht.
Ob der Kläger besonderen oder erheblichen Gefahren ausgesetzt ist und deshalb bei der Übermittlung seiner personenbezogenen Daten ein bestimmtes Schutzniveau gewährleistet sein muss, ist eine Frage der Begründetheit der Klage. Zudem ist zu berücksichtigen, dass der 12. Senat des Niedersächsischen Oberverwaltungsgerichts mit Urteil vom […] ein Urteil des Verwaltungsgerichts bestätigt hat, mit dem die Beklagte verpflichtet wurde, dem Kläger für ein von ihm gehaltenes Fahrzeug eine Übermittlungssperre nach § 41 Abs. 2 StVG ohne generelle Ausnahme von Anfragen von Polizei und Bußgeldstellen und ohne Befristung auf fünf Jahre zu erteilen. Der Senat hat ausgeführt, dass § 41 Abs. 2 StVG eine glaubhaft gemachte Beeinträchtigung der schutzwürdigen Interessen des Betroffenen durch die Übermittlung der Halterdaten voraussetze. Der Kläger habe glaubhaft gemacht, dass er berufsbedingt allgemein einem deutlich höheren Angriffsrisiko ausgesetzt sei […]. Der Umgang des Klägers mit [verbotenen Stoffen] […] führe zu einer gegenüber einem durchschnittlichen Fahrzeughalter deutlich erhöhten Wahrscheinlichkeit der Beeinträchtigung seiner Rechte. Dies gelte insbesondere für das Risiko, Opfer einer Straftat zu werden.
Soweit das Verwaltungsgericht das Feststellungsinteresse des Klägers auch wegen der Möglichkeit bejaht hat, durch die unverschlüsselte Faxübermittlung, ein Ereignis, das auf eine Zeitspanne beschränkt ist, in der Rechtsschutz kaum erlangt werden kann, tiefgreifend in einem Grundrecht verletzt worden zu sein, wird diese Annahme von der Beklagten mit der Zulassungsbegründung nicht in Frage gestellt.
Die Beklagte hat in ihren Ausführungen zur Begründetheit der Klage nicht dargelegt, dass die Auffassung des Verwaltungsgerichts, die Faxübermittlung am […] 2017 sei rechtswidrig und verletze den Kläger in seinen Rechten, ernstlichen Zweifeln unterliegt.
Der Kläger kann sich darauf berufen, dass die Beklagte zur Gewährleistung seines Grundrechts auf informationelle Selbstbestimmung bei der Übermittlung von personenbezogenen Daten Schutzvorkehrungen trifft, damit seine personenbezogenen Daten nicht unbefugt an Dritte gelangen. Das in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG wurzelnde Grundrecht auf informationelle Selbstbestimmung verpflichtet den Gesetzgeber, für notwendige Sicherungsvorkehrungen Sorge zu tragen (BVerfG, Urt. v. 15.12.1983 - 1 BvR 209/83 u.a. -, BVerfGE 65, 1, juris, Rn. 191, „Volkszählungsurteil“). Insbesondere sind die betroffenen Daten vor unbefugtem Zugriff Dritter und vor missbräuchlicher Nutzung zu schützen (Senatsurt. v. 14.1.2020 - 11 LC 191/17 -, juris, Rn. 49). Der niedersächsische Gesetzgeber hat hierzu in § 7 Abs. 1 des Niedersächsischen Datenschutzgesetzes vom 29. Januar 2002 (Nds. GVBl. 2002, 22, i.d. Änderungsfassung v. 12.12.2012, Nds. GVBl. 2012, 589 - NDSG a.F. -) geregelt, dass öffentliche Stellen die technischen und organisatorischen Maßnahmen zu treffen haben, um eine den Vorschriften dieses Gesetzes entsprechende Verarbeitung personenbezogener Daten sicherzustellen (Satz 1). Der Aufwand für die Maßnahmen muss unter Berücksichtigung des Standes der Technik in einem angemessenen Verhältnis zu dem angestrebten Zweck stehen (Satz 2). Diese Gestaltungsregeln richten sich an die Beklagte als öffentliche Stelle (§ 2 Abs. 1 Satz 1 Nr. 2 NDSG a.F.) und beziehen sich auch auf die Übermittlung von personenbezogenen Daten. § 7 Abs. 2 NDSG a.F. regelt elf Kontrollmaßnahmen bei der automatisierten Verarbeitung von personenbezogenen Daten. Nach § 7 Abs. 2 NDSG a.F. sind Maßnahmen zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet sind, nach Nr. 10 zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle), und nach Nr. 11 die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle). Der Umfang der Kontrolle ist über eine Abwägung zwischen der Sensibilität und Bedeutung der Daten, den potentiellen Gefahren, dem Grad der Schutzbedürftigkeit und dem mit den Sicherungsmaßnahmen verbundenen Aufwand zu bestimmen (Der Landesbeauftragte für den Datenschutz Niedersachsen, Erläuterungen zur Anwendung des NDSG, 3. Aufl. 2008, § 7, zu Abs. 2). Daran gemessen hat die Beklagte mit der nicht verschlüsselten Übermittlung des nicht anonymisierten Bescheides vom 3. Februar 2017 über ein Faxgerät an ihren Prozessbevollmächtigten nicht den gebotenen Schutz gewährleistet und dadurch den Kläger in seinem Grundrecht verletzt.
Der Kläger ist besonders schutzbedürftig. Der Kläger ist erheblichen Gefahren ausgesetzt, weil er berufsbedingt mit [verbotenen Stoffen] umgeht. Wie bereits zur Zulässigkeit der Feststellungsklage ausgeführt, ist der Kläger dadurch einem deutlich erhöhten Angriffsrisiko […], ausgesetzt, […].
Die in dem übermittelten Bescheid enthaltenen personenbezogenen Daten (Name und Adresse des Klägers, Fahrzeugidentifikationsnummer und das amtliche Kennzeichen des Fahrzeugs) sind besonders sensibel. Der Senat teilt die Auffassung des 12. Senats in seinem Urteil vom […], dass die Kenntnis dieser personenbezogenen Daten das Risiko des Klägers, Opfer einer Straftat zu werden, deutlich erhöht.
Daraus folgt, dass die Beklagte bei der Übermittlung der personenbezogenen Daten des Klägers ein angemessenes Schutzniveau gewährleisten muss. Soweit die Beklagte geltend macht, der Kläger habe in an sie gerichteten Telefaxschreiben personenbezogene Daten preisgegeben und dieser Kommunikationsform zugestimmt, überzeugt dieser Einwand nicht. Die Beklagte bezieht sich dabei auf Faxdokumente aus den Jahren 2011 und 2012 (Schreiben v. 10.2.2011 und 9.9.2012). Der Kläger hat bereits mit Schreiben vom 9. Dezember 2015 an die Beklagte der unverschlüsselten Übermittlung von personenbezogenen Daten widersprochen. Der Vortrag des Klägers, jedenfalls für den Zeitraum nach dem 9. Dezember 2015 habe er einer Übersendung per Fax nicht zugestimmt, ist unwidersprochen geblieben. Zudem hat die Beklagte dem Kläger mit Schreiben vom 25. Februar 2016 bestätigt, dass sich der Umgang mit personenbezogenen Daten in der zuständigen Abteilung nach den geltenden datenschutzrechtlichen Vorgaben richte und auf nichtverschlüsseltem elektronischem Weg personenbezogene Daten nicht übermittelt würden.
Angesichts der besonderen Schutzbedürftigkeit des Klägers und seiner personenbezogenen Daten ist bei der hier vorliegenden Verarbeitung mit Hilfe einer Datenverarbeitungsanlage ein erhöhtes Schutzniveau einzuhalten. Eine unverschlüsselte Übermittlung von personenbezogenen Daten des Klägers per Fax unterschreitet das einzuhaltende Schutzniveau. Das Verwaltungsgericht weist zu Recht darauf hin, dass bei einer Übermittlung per Fax kein Hindernis für die Wahrnehmung der Daten durch Unbefugte besteht. Diese Einschätzung des erstinstanzlichen Gerichts wird bestätigt durch Informationen des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen auf seiner Internetseite (https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/Kommunikation/Inhalt/070402_Datensicherheit_beim_Telefaxverkehr/Datensicherheit_beim_Telefaxverkehr.php). Danach handelt es sich bei dem Telefaxverkehr um einen Dienst, der im Regelfall keine Datensicherheitsmaßnahmen enthält. Die Informationen werden „offen“ (unverschlüsselt) übertragen. Eine Telefaxübersendung sei deshalb mit dem Versand einer offenen Postkarte vergleichbar. Der Datenschutzbeauftragte der Beklagten kommt in seiner Auskunft an den Kläger vom 11. April 2017 zu einer vergleichbaren Bewertung. Seiner Ansicht nach dürfen sensible personenbezogene Daten nicht ohne Sicherungen (z.B. Verschlüsselungsgeräte) gefaxt werden. Er merkt an, dass sensible personenbezogene Daten bei der Beklagten ausschließlich per Post zu versenden sind. Danach bestand bei der unverschlüsselten Übermittlung des Bescheides vom 3. Februar 2017 per Fax die Gefahr der Wahrnehmung von personenbezogenen Daten des Klägers durch unbefugte Dritte.
Der vorstehend beschriebenen Gefahr hätte die Beklagte durch Sicherungsmaßnahmen bei der Übermittlung des Bescheides vom 3. Februar 2017 begegnen müssen. Solche Maßnahmen standen zur Verfügung und hätten ohne großen Aufwand eingesetzt werden können. Im vorliegenden Fall hätte die Beklagte den Bescheid per Post versenden können oder mit Hilfe eines Boten in die nur 150 Meter entfernt liegende Kanzlei ihres Prozessbevollmächtigten überbringen können. Bei der auf Ausnahmefälle beschränkten Benutzung von Telefaxgeräten für die Übermittlung sind die von dem Datenschutzbeauftragten der Beklagten angesprochenen Sicherungen (z.B. Verschlüsselungsgeräte) zu verwenden. Ob die Benutzung eines Telefaxgeräts dem Stand der Technik entspricht, ist unmaßgeblich. Entscheidungserheblich ist, ob die Sicherungsmaßnahmen verfügbar sind und dem Stand der Technik entsprechen. Davon ist hier auszugehen.
Unerheblich ist auch, dass der Bescheid per Fax nicht an einen beliebigen Dritten, sondern an den Prozessbevollmächtigten der Beklagten übersandt wurde, der wie seine Mitarbeiter der Verschwiegenheitspflicht unterliegt. Es besteht die Gefahr des Missbrauchs durch unbefugte Dritte, die sich jederzeit realisieren kann. Zudem bestehen auch Risiken außerhalb des unmittelbaren Übertragungsvorgangs, zum Beispiel durch Adressierungsfehler oder Fehlleitungen aufgrund von veralteten Anschlussnummern oder aktivierten Anrufumleitungen bzw. -weiterleitungen (vgl. hierzu die Informationen des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen auf der bezeichneten Internetseite).
Die Kostenentscheidung beruht auf § 154 Abs. 2 VwGO.
Die Streitwertfestsetzung beruht auf §§ 47 Abs. 1 und 3, 52 Abs. 2 GKG.
Dieser Beschluss ist unanfechtbar (§§ 152 Abs. 1 VwGO, 68 Abs. 1 Satz 5, 66 Abs. 3 Satz 3 GKG).