Kategorien
Arbeitsrecht Datenschutzrecht IT-Recht & Technologierecht

Übermittlung personenbezogener Daten durch Behörde per Fax

Das OVG Lüneburg (11 LA 104/19) hat festgestellt, dass eine Behörde bei der Übermittlung von personenbezogenen Daten per Fax zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen. Welches Schutzniveau dabei einzuhalten ist, richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand. Im vorliegenden Fall wurde die Übermittlung per Fax als rechtswidrig eingestuft.

Dabei geht es um einen nicht verallgemeinerungsfähigen Sonderfall: Der Kläger ist besonders schutzbedürftig. Der Kläger ist gerichtlich festgestellt erheblichen Gefahren ausgesetzt, weil er „berufsbedingt mit explosionsgefährlichen Sprengstoffen umgeht“. Damit ist er, so das Gericht, einem deutlich erhöhten Angriffsrisiko durch militante Straftäter ausgesetzt, die auf von ihm vertriebene Sprengstoffe zugreifen wollen. Vor dem Hintergrund dieses Schutzfaktors sowie der Tatsache, dass ausdrücklich nach einer verschlüsselten Übersendung von Daten erlangt wurde – die die Behörde zugesichert hatte! – ergab sich vorliegend die Rechtswidrigkeit.

Dabei führt das OVG zum zu betreibenden Sicherungsaufwand im Allgemeinen aus:

Der Aufwand für die Maßnahmen muss unter Berücksichtigung des Standes der Technik in einem angemessenen Verhältnis zu dem angestrebten Zweck stehen (Satz 2). Diese Gestaltungsregeln richten sich an die Beklagte als öffentliche Stelle (§ 2 Abs. 1 Satz 1 Nr. 2 NDSG a.F.) und beziehen sich auch auf die Übermittlung von personenbezogenen Daten. § 7 Abs. 2 NDSG a.F. regelt elf Kontrollmaßnahmen bei der automatisierten Verarbeitung von personenbezogenen Daten. Nach § 7 Abs. 2 NDSG a.F. sind Maßnahmen zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet sind, nach Nr. 10 zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle), und nach Nr. 11 die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

Der Umfang der Kontrolle ist über eine Abwägung zwischen der Sensibilität und Bedeutung der Daten, den potentiellen Gefahren, dem Grad der Schutzbedürftigkeit und dem mit den Sicherungsmaßnahmen verbundenen Aufwand zu bestimmen (Der Landesbeauftragte für den Datenschutz Niedersachsen, Erläuterungen zur Anwendung des NDSG, 3. Aufl. 2008, § 7, zu Abs. 2). 

Dies ist alles nichts Neues und auf keinen Fall bedeutet es, dass Faxübermittlungen nun generell unzulässig sind! Vielmehr geht es hier um einen besonders gefährdeten Berufstätigen mit nachvollziehbarem Sicherheitsniveau, dass trotz Zusicherung durch die Behörde verletzt wurde. Letztlich wird es auf den Einzelfall ankommen.

Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht
Letzte Artikel von Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht (Alle anzeigen)