Kategorien
Datenschutzrecht IT-Recht & Technologierecht

Übermittlung personenbezogener Daten durch Behörde per Fax

Das OVG Lüneburg (11 LA 104/19) hat festgestellt, dass eine Behörde bei der Übermittlung von personenbezogenen Daten per Fax zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen. Welches Schutzniveau dabei einzuhalten ist, richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand. Im vorliegenden Fall wurde die Übermittlung per Fax als rechtswidrig eingestuft.

Dabei geht es um einen nicht verallgemeinerungsfähigen Sonderfall: Der Kläger ist besonders schutzbedürftig. Der Kläger ist gerichtlich festgestellt erheblichen Gefahren ausgesetzt, weil er „berufsbedingt mit explosionsgefährlichen Sprengstoffen umgeht“. Damit ist er, so das Gericht, einem deutlich erhöhten Angriffsrisiko durch militante Straftäter ausgesetzt, die auf von ihm vertriebene Sprengstoffe zugreifen wollen. Vor dem Hintergrund dieses Schutzfaktors sowie der Tatsache, dass ausdrücklich nach einer verschlüsselten Übersendung von Daten erlangt wurde – die die Behörde zugesichert hatte! – ergab sich vorliegend die Rechtswidrigkeit.

Dabei führt das OVG zum zu betreibenden Sicherungsaufwand im Allgemeinen aus:

Der Aufwand für die Maßnahmen muss unter Berücksichtigung des Standes der Technik in einem angemessenen Verhältnis zu dem angestrebten Zweck stehen (Satz 2). Diese Gestaltungsregeln richten sich an die Beklagte als öffentliche Stelle (§ 2 Abs. 1 Satz 1 Nr. 2 NDSG a.F.) und beziehen sich auch auf die Übermittlung von personenbezogenen Daten. § 7 Abs. 2 NDSG a.F. regelt elf Kontrollmaßnahmen bei der automatisierten Verarbeitung von personenbezogenen Daten. Nach § 7 Abs. 2 NDSG a.F. sind Maßnahmen zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet sind, nach Nr. 10 zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle), und nach Nr. 11 die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

Der Umfang der Kontrolle ist über eine Abwägung zwischen der Sensibilität und Bedeutung der Daten, den potentiellen Gefahren, dem Grad der Schutzbedürftigkeit und dem mit den Sicherungsmaßnahmen verbundenen Aufwand zu bestimmen (Der Landesbeauftragte für den Niedersachsen, Erläuterungen zur Anwendung des NDSG, 3. Aufl. 2008, § 7, zu Abs. 2). 

Dies ist alles nichts Neues und auf keinen Fall bedeutet es, dass Faxübermittlungen nun generell unzulässig sind! Vielmehr geht es hier um einen besonders gefährdeten Berufstätigen mit nachvollziehbarem Sicherheitsniveau, dass trotz Zusicherung durch die Behörde verletzt wurde. Letztlich wird es auf den Einzelfall ankommen.

Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Unsere Kanzlei ist spezialisiert auf Strafverteidigung, Wirtschaftsstrafrecht und IT-Recht. Rechtsanwalt Jens Ferner ist Fachanwalt für Strafrecht und Fachanwalt für IT-Recht. RA JF ist Kommentator in einem StPO-Kommentar sowie Autor in zwei Fachzeitschriften im IT-Recht + Strafrecht, zudem Softwareentwickler. Seine Spezialität ist die Schnittmenge aus Strafrecht und IT, speziell bei Fragen digitaler Beweismittel & IT-Forensik.

Ihr Profi bei Strafverteidigung und im Wirtschaftsstrafrecht sowie für Unternehmen im IT-Recht inklusive Softwarerecht, Datenschutzrecht, IT-Compliance, IT-Sicherheit und IT-Vertragsrecht mit Arbeitsrecht.