SBS Firmengruppe Logos

| Datenschutzrecht

Dürfen personenbezogene Daten per Fax versendet werden?


Ein Telefax ist unverschlüsselt. Geschützt sind Daten damit also nicht. Ein Datenschutzverstoß?

Die Faxübermittlung personenbezogener Daten kann eine Datenschutzverletzung darstellen – und zwar wenn es sich um sensible personenbezogene Daten, also besonders schutzbedürftige Informationen handelt. Ein Fax kommt diesem besonderen Schutzbedarf nicht nach. Denn diese Übermittlungsform ist unverschlüsselt – wie eine offene Postkarte. Die Gefahr, dass unbefugte Dritte das Schreiben erhalten (d.h. jemand anderes als Absender oder geplanter Empfänger des Faxes), ist zu hoch. Somit wird in das Recht auf informationelle Selbstbestimmung der betroffenen Person eingegriffen – ein eindeutiger Verstoß gegen den Datenschutz bzw. die DSGVO (OVG Lüneburg, Beschluss vom 22.07.2020 - Az.: 6 A 211/17).


Der Fall: Ein Telefax mit sensiblen personenbezogenen Daten

Geklagt hatte der Inhaber einer Firma, die explosionsgefährliche Stoffe an nationale Sicherheitsbehörden verkauft, die diese Produkte benötigen, um ihre hoheitlichen Aufgaben wahrzunehmen. Die Klage richtete sich gegen eine Behörde. Hintergrund ist, dass der Kläger sich in anderer Sache mit der Behörde in einen Rechtsstreit befand. Im Rahmen dieses anderen, vorangegangenen Rechtsstreits übermittelte das Amt am 03. Februar 2017 an ihren Anwalt u.a. Name, Anschrift, Fahrzeugidentifikationsnummer und KFZ-Kennzeichen des Klägers – und zwar als Fax.

Die Art der Übermittlung seiner personenbezogenen Daten (nämlich per Fax) empfand der Kläger als rechtswidrig – und zog deswegen vor das Oberverwaltungsgericht (OVG) Lüneburg. Damit wollte er  verhindern, dass die Behörde seine personenbezogenen Daten abermals unverschlüsselt faxt. Es bestand ein „Feststellungsinteresse wegen Wiederholungsgefahr“. Dass seine Daten nicht nochmal per Fax versendet werden, sei wichtig: Denn als besagter Inhaber einer Firma, die mit Sprengstoffen zu tun hat, sei er berufsbedingt einem deutlich höheren Risiko ausgesetzt, Opfer einer Straftat zu werden, als ein durchschnittlicher Bürger.


Der richterliche Beschluss: Ein Verstoß gegen das Datenschutzrecht

Die Richter des OVG Lüneburg behandelten die Daten des Klägers, die das beklagte Amt an ihren Anwalt übermittelt hatte, nicht nur als personenbezogene, sondern auch als sensible Daten. Sie stimmten dem Kläger also zu: Als Inhaber einer Firma, die explosionsgefährliche Sprengstoffe vertreibt, habe er eine besondere Schutzbedürftigkeit. So bestehe bei ihm ein erhöhtes Risiko, von militanten Straftätern angegriffen zu werden, die sich zu den Sprengstoffen Zugriff verschaffen wollen.

Statt einer offenen Faxübermittlung hätten bei diesen sensiblen personenbezogenen Daten Sicherungsmaßnahmen ergriffen werden müssen – beispielsweise indem sie per Post oder aber mithilfe eines Boten versendet werden. Die Kanzlei des Anwalts, an den das Fax ging, war ohnehin nur 150 Meter entfernt. Der Aufwand für eine sichere Datenübermittlung wäre nicht groß gewesen. Das hingegen gewählte Fax sei unverschlüsselt; vergleichbar mit einer offenen Postkarte – und damit alles andere als sicher. Ja, der Empfänger des Faxes unterlag einer besonderen Verschwiegenheitspflicht, da er Anwalt ist. Aber: Um den Anwalt als mögliche Datenschutzlücke geht es hier gar nicht. Vielmehr bestehe die Gefahr, dass die versendeten Daten in die Hände unbefugter Dritter gelangen. Denn das Risiko, dass bei der Datenübermittlung per Fax Fehler passieren (z.B. weil es fehlerhaft adressiert wird) und dadurch ungewollterweise jemand anderes als das Amt (der Absender) oder der Anwalt (der geplante Empfänger) die sensiblen Daten einsehen kann, sei schlichtweg zu hoch.

Da die Gefahr sich erhöht, dass der Kläger Opfer einer Straftat wird (aufgrund seines Berufes/der Sprengstoffe), wenn andere Personen Kenntnis über seine personenbezogenen Daten haben, sei ein Fax als mögliche Datenschutzlücke in dem hier behandelten Fall besonders riskant. Konkret sei dadurch die informationelle Selbstbestimmung des Klägers (dessen sensible personenbezogene Daten ja gefaxt worden waren) verletzt worden – ein klarer Verstoß gegen das Datenschutzrecht.


Das Recht auf informationelle Selbstbestimmung

Das Recht auf informationelle Selbstbestimmung ergibt sich aus dem Grundgesetz (Artikel 2, Absatz 1 i.V.m. Artikel 1, Absatz 1). Der Gesetzgeber wird dadurch verpflichtet, dafür zu sorgen, dass notwendige Sicherheitsvorkehrungen bestehen, um allen Bürgern dieses Grundrecht zu gewährleisten. Vor allem müssten Daten davor geschützt werden, dass unbefugte Dritte auf sie zugreifen und missbräuchlich nutzen.

Dafür gibt es in Niedersachsen (wo sich der vorliegende Fall abspielte) das Niedersächsische Datenschutzgesetz (NDSG) vom 29. Januar 2002. Darin ist festgeschrieben, dass öffentliche Stellen (unter Berücksichtigung des Standes der Technik im Verhältnis zum angestrebten Zweck) technische und organisatorische Maßnahmen zu treffen haben, damit die Verarbeitung und Übermittlung personenbezogener Daten datenschutzkonform abläuft – d.h. geschützt vor unbefugtem Zugriff und Missbrauch (§7, Absatz 1 (NDSG)). Dazu gehört die Transportkontrolle und die Organisationskontrolle (§7, Absatz 2 (NDSG)): Daten dürfen bei ihrer Übertragung und bei ihrem Transport nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Nr. 10). Und die innerbehördliche/-betriebliche Organisation muss den besonderen Anforderungen des Datenschutzes gerecht werden (Nr. 11).

Es müssen entsprechende Maßnahmen getroffen werden, damit diese Bedingungen erfüllt werden. Dabei ist es immer eine Abwägung des Aufwandes für die Sicherungsmaßnahmen mit den folgenden drei Fragen: Wie sensibel und bedeutend sind die Daten? Welche potenziellen Gefahren gibt es? Wie hoch ist die Schutzbedürftigkeit?


Ist jedes Fax ein DSGVO-Verstoß?

Eines kann ganz grundsätzlich vorweggenommen werden: Nein, nicht jedes Fax ist ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO). Allgemein müsse immer eine Abwägung stattfinden: der Interessen des Absenders und Empfängers sowie natürlich der Interessen desjenigen, dessen Daten (per Fax) übermittelt werden. Je stärker in die Rechte des letzteren Betroffenen eingegriffen wird, desto mehr Sicherheitsmaßnahmen müsse der Absender (in diesem Fall die Behörde) ergreifen, wenn er die Daten des Betroffenen faxen möchte – oder eben gänzlich auf ein Fax verzichten und stattdessen den Postweg wählen. Dieser Postweg wäre im vorliegenden Fall angebracht gewesen, da es sich eben nicht bloß um personenbezogene Daten handelte, sondern um sensible personenbezogene Daten. Hier fiel die Interessensabwägung also für den Kläger aus: Dass die Behörde seine Daten per Fax an ihren Anwalt übermittelt hatte, war ein Datenschutzverstoß – ziemlich sicher auch ein Verstoß gegen die DSGVO.

Warum nur „ziemlich sicher“? Weil die Datenübermittlung, die hier so kritisch zu betrachten ist, 2017 stattgefunden hat. Die DSGVO ist allerdings erst 2018, also ein Jahr darauf, in Kraft getreten. Das heißt: Die Richter des OVG Lüneburg haben diese europäische Richtlinie nicht für ihren Beschluss heranziehen dürfen. Da sie aber auch ohne Einbeziehen der DSGVO das streitgegenständliche Fax eindeutig als einen Datenschutzverstoß (Verstoß gegen die informationelle Selbstbestimmung des Klägers) eingeordnet haben, liegt nahe, dass sie auch die Frage nach einer DSGVO-Verletzung bejaht hätten.


SBS LEGAL - Kanzlei für Datenschutzrecht in Hamburg

Datenschutz ist extrem wichtig! Das wird im hier behandelten Fall besonders deutlich: Der Kläger ist der Gefahr ausgesetzt, Opfer eines Angriffs durch militante Straftäter zu werden. Dass seine personenbezogenen Daten wie Name, Anschrift und KFZ-Kennzeichen also besonders sensible Daten sind und damit einem besonderen Schutz bedürfen, ist klar. Genauso klar ist es, dass eben jene Daten nicht einfach unverschlüsselt per Fax übermittelt werden dürfen.

Als Kanzlei für Datenschutzrecht hilft unser Anwalts-Team von SBS LEGAL einerseits dabei, Rechte im Datenschutz geltend zu machen. Andererseits unterstützen wir Unternehmen dabei, allen gesetzlichen Regelungen in diesem Rechtsgebiet auch vollumfänglich nachzukommen. Denn manchmal ist das gar nicht so einfach: Was dürfen, was können und was müssen wir im Sinne des Datenschutzes tun? – Fragen, die sich einem jeden Unternehmer stellen.

Das Anwalts-Team von SBS Legal sorgt dafür, dass unsere Mandanten den hohen Anforderungen des geltenden Datenschutzrechtes in jeder Hinsicht gerecht werden und die von der Rechtsprechung gesetzten Maßstäbe souverän umsetzen – und das schon seit vielen Jahren. Mit unserer Erfahrung beraten wir Sie kompetent und fachlich versiert in allen Belangen des Datenschutzes – für die erfolgreiche rechtliche Absicherung Ihres Unternehmens: über die allgemeine Prüfung und Umsetzung datenschutzrechtlicher Pflichten, die Gestaltung rechtssicherer Verträge zu Auftragsverarbeitung bis hin zur Erarbeitung einer datenschutzrechtlichen Compliance, um Vorgaben auch aus wirtschaftlicher Sicht abzuwägen.

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.

Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten der SBS LEGAL?

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht