Übermittlung personenbezogener Daten per Fax

Die unverschlüsselte Übersendung sensibler Informationen per Fax durch eine Behörde verstößt gegen den Datenschutz. Dies gilt jedenfalls dann, wenn der Bescheid stattdessen auf sicherem Weg zum Empfänger gelangen kann. Dies hat das Oberverwaltungsgericht Lüneburg mit Beschluss vom 22.07.2020 entschieden.

Sensible Daten

Ein Gewerbetreibender stand in dauerndem Kontakt mit einer Behörde. Spätestens ab 2015 hatte er der Übersendung von Faxen mit unverschlüsselten Daten widersprochen. Gleichwohl erhielt sein Anwalt 2017 einen Bescheid per Fax: Dieser enthielt nicht nur persönliche Angaben zum Inhaber, sondern auch weitere sensible Informationen. Das Verwaltungsgericht Osnabrück teilte die Ansicht des Gewerbetreibenden, dass diese Art der Übermittlung rechtswidrig war. In früheren Verfahren hatten auch das VG und das OVG Lüneburg entsprechende Faxe erhalten - damit bestand aus Sicht der Richter eine Wiederholungsgefahr.

Fax ist wie eine "offene Postkarte"

Der Antrag der Verwaltung auf Zulassung der Berufung zum OVG Lüneburg blieb ohne Erfolg. Das OVG hielt ihr vor, dass sie das "einzuhaltende Schutzniveau" unterschritten habe, und verwies auf eine Aussage auf der Seite des Datenschutzbeauftragten von Nordrhein-Westfalen, wonach ein Faxversand mit dem Abschicken "einer offenen Postkarte" vergleichbar sei. Jeder Dritte könne bei unverschlüsselter Übermittlung auf die Daten zugreifen. Zudem sei die Gefahr eines Irrläufers durch falsche Eingabe hoch. Aus Sicht der Lüneburger Richter kommt es nicht auf den Stand der Faxtechnik an, sondern ob sicherere Methoden verfügbar sind. Sie verwiesen dabei auf Post, Boten (die Kanzlei des Anwalts lag hier nur in 150 Metern Entfernung) oder den Einsatz von Verschlüsselungstechnik. Dies sei der relevante Stand der Technik.

Übertragbarkeit auf Anwälte?

Obwohl die Entscheidung sich auf § 7 NDSG a.F. stützte - dieser legte Datenschutzregeln für Behörden fest -, führte sie in sozialen Medien zu lebhaften Reaktionen. Diskutiert wurde, ob sie auch Auswirkungen auf die Verwendung des Faxgeräts in Kanzleien und Arztpraxen haben könnte. So wurde der Beschluss auf Twitter als Argument für die Verwendung des "beA" anstelle des Vorab-Faxes gewertet, und für Arztpraxen wurde auf das analoge System KIM verwiesen. Sobald es allgemein verfügbar sei, werde dies der technische Standard. Umgekehrt wurde die Sicherheit von Faxservern betont. Technisch sei die Aussage des OVG Lüneburg daher "grottenfalsch". Verschiedentlich infrage gestellt wurde die Sicherheit von Post und Boten.

OVG Lüneburg, Beschluss vom 22.07.2020

Redaktion beck-aktuell, 20. Dezember 2021.

Weiterführende Links

Aus der Datenbank beck-online

OVG Lüneburg, Feststellung der Rechtswidrigkeit der Übermittlung personenbezogener Daten per Fax, BeckRS 2020, 17839 (ausführliche Gründe)

Petra Geißinger, Der holprige Kanzleialltag mit dem beA, ZAP 2019, 1211

Günther, Haftungsfallen rund ums beA, NJW 2020, 1785

BGH, Keine Pflicht des Patentanwalts zur Nutzung des beA zwecks Fristwahrung, NJW 2020, 2194

Aus dem Nachrichtenarchiv

Das beA und die Umlaute, Meldung der beck-aktuell-Redaktion vom 24.07.2020, becklink 2016997

Aus dem Internet

Die im Text zitierten Information des Datenschutzbeauftragten NRW zur Sicherheit beim Faxversand finden sie auf dessen Internetseite.

Information der Kassenärztlichen Bundesvereinigung zu KIM finden Sie auf deren Seite.