OVG Lüneburg: Feststellung der Rechtswidrigkeit der Übermittlung personenbezogener Daten per Fax

Die Übermittlung eines Schreibens mit personenbezogenen Daten per Fax kann unter bestimmten Voraussetzungen einen Datenschutzverstoß darstellen. Dies hat das OVG Lüneburg kürzlich entschieden.

Das OVG Lüneburg hat mit Beschluss vom 22.07.2020, Az.: 11 LA 104/19, (= http://www.rechtsprechung.niedersachsen.de/jportal/portal/page/bsndprod.psml?doc.id=MWRE200002923&st=ent&doctyp=juris-r&showdoccase=1&paramfromHL=true#focuspoint) über die Rechtswidrigkeit der Übermittlung personenbezogener Daten per Fax entschieden. Es ging konkret um die vom Kläger begehrte Feststellung, dass die unverschlüsselte Übersendung eines Faxes von der Beklagten an ihren Prozessbevollmächtigten rechtswidrig war.

Das Gericht entschied (Leitsätze):

1. Ob die Übermittlung eines Bescheides, der personenbezogene Daten enthält, durch die Behörde per Fax rechtswidrig war, kann im Wege einer Feststellungsklage bei Vorliegen eines Feststellungsinteresses zur Überprüfung gestellt werden.

2. Bei der Übermittlung von personenbezogenen Daten per Fax muss die Behörde zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen. Welches Schutzniveau dabei einzuhalten ist, richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand.

In dem vorliegenden Fall stellte das Gericht die Datenschutzwidrigkeit fest, da es um Daten zur Person des Klägers ging und dieser im hochsensiblen Bereich des Umgangs mit Sprengstoffen tätig war, so dass die Bekanntgabe seiner Daten den Kläger einer Gefahr für Leib und Leben aussetzen konnte. Das Gericht führt dazu aus:

„Der Kläger ist besonders schutzbedürftig. Der Kläger ist erheblichen Gefahren ausgesetzt, weil er berufsbedingt mit explosionsgefährlichen Sprengstoffen umgeht. Wie bereits zur Zulässigkeit der Feststellungsklage ausgeführt, ist der Kläger dadurch einem deutlich erhöhten Angriffsrisiko durch militante Straftäter ausgesetzt, die auf von ihm vertriebene Sprengstoffe zugreifen wollen.“

Bring Your Own Device (BYOD) in der Justiz

Von Mittwoch, den 25.09., bis Freitag, den 27.09.2013, fand in Saarbrücken der 22. Deutsche EDV-Gerichtstag statt. Mehr als 600 Juristen aus ganz Deutschland und dem Gastland Niederlande diskutierten während der Tagung aktuelle Fragen des elektronischen Rechtsverkehrs sowie IT-rechtliche Fragen mit Bezug zur Justiz.

Am Freitag, den 27.09.2013, moderierte ich den Arbeitskreis „Bring Your Own Device (BYOD) in der Justiz“, d.h. das Mitführen eigener elektronischer Endgeräte. Ich hatte im Vorfeld die Idee zur Behandlung dieses Themas und übernahm daher auch sehr gerne die Moderation der Veranstaltung. Eingeladen hatte ich als Referenten zum einen Herrn Andreas Herberger, Vorstandsvorsitzender der Makrolog Content Management AG, zum anderen Herrn Michael Otter, Referent im Bundesamt für die Sicherheit in der Informationstechnik (BSI) sowie Herrn Professor Dr. Georg Borges, Professor u.a. für IT-Recht an der Ruhr-Universität Bochum.

In der Anmoderation wies ich auf die Ungenauigkeit in der wörtlichen Übersetzung von BYOD hin, da die wörtliche Übersetzung des „Mitbringens“ außer Acht lässt, dass es eigentlich um Fragen des „Connect Your Own Device“ bzw. des „Use Your Own Device“ geht.

Zu Beginn referierte Herr Herberger über technische Aspekte von BYOD und zeigte u.a. ein paar interessante Zahlen über die Durchdringung des Marktes insbesondere  mit Smartphones. Herr Herberger kam daneben auf technische Fragen wie z.B. Netzanbindung, Device-Management und Datensicherheit zu sprechen.

Herr Michael Otter stellte seinen Vortrag unter die provozierende fragende Überschrift „Bring Your Own Disaster?“ und verwies auf massive Probleme im Bereich der Informationssicherheit. Es sei zu beachten, dass BYOD Einfallstor für massive Angriffe von außen auf die Netze der Justiz werden könnte. Er kam dabei insbesondere auf die Probleme von Vireneinschleusung und Schadcode zu sprechen. Er zeigte jedoch auch Möglichkeiten auf, wie ein BYOD-Management und verschiedene Sicherheits-Strategien zu einem (noch) aus informationssicherheitstechnischer Sicht hinnehmbaren Einsatz von BYOD führen könnten. Dennoch sieht Herr Otter den Einsatz von BYOD aus sicherheitstechnischer Sicht eher kritisch.

Herr Professor Dr. Borges kam auf die rechtlichen Fragen von BYOD zu sprechen. Dabei machte er deutlich, dass vielfältige rechtliche Probleme angesprochen seien, die nur kurz behandelt werden könnten, mit denen man in ihrer Fülle jedoch eine gesamte eigene Tagung bestreiten könnte. Er nannte als betroffene Rechtsgebiete beispielhaft das Arbeits- und Dienstrecht, das Urheber- und Lizenzrecht sowie das Datenschutz- und Datensicherheitsrecht. Nach einem kurzen Überblick über die dienstrechtlichen Bestimmungen widmete sich Prof. Borges vor allem dem besonders wichtigen Problem des Datenschutzes und der Datensicherheit. Im Rahmen der Datensicherheit sei § 9 BDSG als Zentralnorm zu beachten. Prof. Borges wies auf das Zusammenspiel der dienstrechtlichen Regelungen mit den datenschutzrechtlichen Regelungen hin. Verschiedene Teilregelungen des Dienstrechtes seien nur rudimentär. Die Regelung des § 7 DA DS Nordrhein-Westfalen wurde beispielhaft besprochen. Herr Prof. Borges nutzte dies als Überleitung in die Diskussion mit den anwesenden Teilnehmern des EDV-Gerichtstages. Prof. Dr. Borges, der im zweiten Hauptamt selbst Richter am Oberlandesgericht in Hamm ist, vertrat seine persönliche Auffassung, dass seiner Einschätzung nach viele Richter gerne mit eigenen Endgeräten arbeiten würden und daher eine pragmatische, aber zugleich möglichst sichere Lösung für den Einsatz eigener Endgeräte der Richter gefunden werden solle. Diese Einschätzung wurde von den Anwesenden, zumindest wenn man die Diskussionsbeiträge zugrunde legt, geteilt.

Das Thema BYOD wurde im Rahmen der Veranstaltung sicherlich nicht ausdiskutiert, jedoch handelt es sich bei BYOD um ein Zukunftsthema in der Justiz, das möglicherweise auch den EDV-Gerichtstag weiter begleiten wird.

Zulässigkeit der Speicherung von Daten von Verkehrsunfällen im Informationssystem der Kfz-Versicherungen

Das Amtsgericht Kassel entschied  mit Urteil vom 07.05.2013, Az.: 435 C 584/13, dass einem Fahrzeughalter kein Löschungsanspruch bzw. Unterlassungsanspruch hinsichtlich von im Informationssystem der Versicherungen gespeicherten Daten zu Verkehrsunfällen zusteht.

Es fehle bereits an der Speicherung personenbezogener Daten, da vorliegend nur das Kfz-Kennzeichen und die Fahrzeugidentifikationsnummer gespeichert worden seien. Dies seien keine personenbezogenen Angaben. Zwar liege die Bestimmbarkeit einer Person auch dann vor, wenn die speichernde Stelle mittels der bei ihr vorhandenen Kenntnisse, Mittel, Möglichkeiten und verfügbaren Hilfsmitteln ohne unverhältnismäßigen Aufwand den Bezug zur gesuchten Person herstellen könne, ein solcher geringer Aufwand liege aber nicht vor, wenn die Daten zum Halter zuerst  über das Kraftfahrtbundesamt oder die örtliche Kfz-Zulassungsstelle erfragt werden müssten.

Die überwiegende Rechtsprechung hat dies zumindest bezüglich IP-Adressen anders gesehen und dort die bloße „Personenbeziehbarkeit“ ausreichen lassen. Über den ggf. erforderlichen „geringen Aufwand“ hätte man bei IP-Adressen ebenfalls trefflich streiten können.

Selbst wenn man dieser Ansicht nicht folge, finde sich in § 29 Abs. 1 Nr. 1 BDSG eine hinreichende Grundlage für die Speicherung der konkreten Fahrzeugdaten. Danach ist die Speicherung personenbezogener Daten zum Zweck der Übermittlung dann zulässig, wenn kein Grund zur Annahme schutzwürdige Interesse des Betroffenen am Ausschluss von Erhebung und Speicherung vorliegt. Dies sei vorliegend der Fall.

Das Gericht sagt hierzu:

„Denn das System dient dem Interesse der Versichertengemeinschaft. Mithilfe der solchermaßen gespeicherten Daten können nämlich Fälle leichter bearbeitet werden, in denen eine unberechtigte Inanspruchnahme von Kfz-Haftpflicht- bzw. -Kaskoversicherungen in Frage steht, nachdem ein Schadensfall lediglich fiktiv, d.h. ohne Vorlage einer konkreten Reparaturkostenrechnung reguliert worden ist. Dabei kommt es nicht auf die Person des Halters am, sondern auf das Fahrzeug an sich, um ermitteln zu können, ob dieses bereits einmal einem vergleichbaren Schaden zuvor erlitten hat. Ein schutzwürdiges Interesse des betroffenen Fahrzeughalters vermag das Gericht indessen nicht zu erkennen. Denn es fehlt an den hierfür erforderlichen konkreten Anhaltspunkten, die Grund zur Annahme dafür liefern, dass die Speicherung der Daten den Rechtskreis der betroffenen Person, hier des Klägers, beeinträchtigen könnte (vgl. Gola/Schomerus, § 29 BDSG Rdnr. 10, 12).“

Das Gericht geht auch auf Einwände in der Literatur hinsichtlich der Speicherung der Daten durch Versicherungen ein:

„Der in der Literatur geäußerten Auffassung, mit Hilfe eines solchen Systems könne das Datenschutzrecht ausgehebelt und faktisch eine ‚schwarze Liste‘ für unerwünschte Risiken in der Versicherung geschaffen werden (so z.B. Riemer, ZRP 2009, S. 111), vermag das erkennende Gericht nicht zu folgen. Denn im Falle einer Neuversicherung des Betroffenenfahrzeuges könnte selbst dann, wenn entgegen den vorgelegten Statuten des … ein Versicherungsunternehmen bei der Risikoprüfung den Datensatz abrufen würde, daraus kein Erkenntnis gewonnen werden, das Auswirkungen auf die Beurteilung des Risikos hätte. Denn der Fahrzeughalter ist nicht als Schadensverursacher registriert. Im konkreten Fall ist dies nämlich der Unfallgegner des Klägers. Bei der genannten Auffassung dürfte es sich deswegen um eine rein spekulative Vermutungen handeln.“

Die Entscheidung des Amtsgerichts Kassel birgt einigen Sprengstoff. Die Entscheidung stellt nämlich alleine auf die im entschiedenen Fall betroffenen Daten ab. Die Kritik der Literatur beschäftigt sich hingegen nicht so sehr mit einzelnen Daten, sondern sieht die Gesamtheit der von den Versicherungen erhobenen und gespeicherten Daten, die durchaus zu einem System der Risikominimierung für die Versicherungen führen können.

Im Kommentar von Gola/Schomerus (BDSG Kommentar, 11. Auflage, § 29 Rdnr. 7) ist das Funktionieren des Informationssystems HIS näher beschrieben. Dort ist formuliert:

“…Hierbei leiten die einzelnen Versicherungen die Daten derjenigen Personen, die als besonderes Risiko erkannt wurden oder in dubiose Versicherungsfälle verwickelt waren, an das Hinweissystem weiter. Als ‚dubios‘ werden ggf. auch Fälle behandelt, in denen der Versicherte häufig ‚auffällig‘ geworden ist.“

Ob die Kritik der Literatur angesichts dessen als „rein spekulative Vermutung“ bezeichnet werden kann, erscheint fraglich.