Übermittlung personenbezogener Daten durch Behörde per Fax

Das OVG Lüneburg (11 LA 104/19) hat festgestellt, dass eine Behörde bei der Übermittlung von personenbezogenen Daten per Fax zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen. Welches Schutzniveau dabei einzuhalten ist, richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand. Im vorliegenden Fall wurde die Übermittlung per Fax als rechtswidrig eingestuft.

Dabei geht es um einen nicht verallgemeinerungsfähigen Sonderfall: Der Kläger ist besonders schutzbedürftig. Der Kläger ist gerichtlich festgestellt erheblichen Gefahren ausgesetzt, weil er „berufsbedingt mit explosionsgefährlichen Sprengstoffen umgeht“. Damit ist er, so das Gericht, einem deutlich erhöhten Angriffsrisiko durch militante Straftäter ausgesetzt, die auf von ihm vertriebene Sprengstoffe zugreifen wollen. Vor dem Hintergrund dieses Schutzfaktors sowie der Tatsache, dass ausdrücklich nach einer verschlüsselten Übersendung von Daten erlangt wurde – die die Behörde zugesichert hatte! – ergab sich vorliegend die Rechtswidrigkeit.

Dabei führt das OVG zum zu betreibenden Sicherungsaufwand im Allgemeinen aus:

Der Aufwand für die Maßnahmen muss unter Berücksichtigung des Standes der Technik in einem angemessenen Verhältnis zu dem angestrebten Zweck stehen (Satz 2). Diese Gestaltungsregeln richten sich an die Beklagte als öffentliche Stelle (§ 2 Abs. 1 Satz 1 Nr. 2 NDSG a.F.) und beziehen sich auch auf die Übermittlung von personenbezogenen Daten. § 7 Abs. 2 NDSG a.F. regelt elf Kontrollmaßnahmen bei der automatisierten Verarbeitung von personenbezogenen Daten. Nach § 7 Abs. 2 NDSG a.F. sind Maßnahmen zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet sind, nach Nr. 10 zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle), und nach Nr. 11 die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

Der Umfang der Kontrolle ist über eine Abwägung zwischen der Sensibilität und Bedeutung der Daten, den potentiellen Gefahren, dem Grad der Schutzbedürftigkeit und dem mit den Sicherungsmaßnahmen verbundenen Aufwand zu bestimmen (Der Landesbeauftragte für den Niedersachsen, Erläuterungen zur Anwendung des NDSG, 3. Aufl. 2008, § 7, zu Abs. 2). 

Dies ist alles nichts Neues und auf keinen Fall bedeutet es, dass Faxübermittlungen nun generell unzulässig sind! Vielmehr geht es hier um einen besonders gefährdeten Berufstätigen mit nachvollziehbarem Sicherheitsniveau, dass trotz Zusicherung durch die Behörde verletzt wurde. Letztlich wird es auf den Einzelfall ankommen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.