· Fachbeitrag · Datenschutz
Unverschlüsselte Übersendung personenbezogener Daten per Fax durch Makler rechtswidrig?
| Das OVG Lüneburg erklärt die unverschlüsselte Übersendung personenbezogener Daten in einem Behörden-Bescheid per Fax für rechtswidrig. In der Praxis stellt sich die Frage, ob die Entscheidung sich auch auf die elektronische Kommunikation von Versicherungsmaklern auswirkt, etwa wenn der Makler einen Versicherungsvertrag für seinen Kunden dem Versicherer gegenüber kündigt. Lesen Sie nachfolgend die Antwort. |
Übermittlung personenbezogener Daten per Fax rechtswidrig
Im Lüneburger Fall organisiert ein Sprengstoffhändler Transporte für explosive Ladungen. Die zuständige Behörde muss die Fahrten der eingesetzten Lkw genehmigen und für sie sog. Sperrvermerke verlängern. In ihrem Bescheid waren sicherheitsrelevante und damit besonders sensible Daten enthalten, etwa der Name und die Anschrift des Fahrzeughalters, die Fahrzeug-Identifikations-Nummer und das amtliche Kennzeichen der Fahrzeuge.
Der Händler widersprach einer Übersendung des Bescheids durch die Behörde per Fax. Er begründete dies damit, dass er befürchtet, militante Straftäter könnten von den gefährlichen Ladungen erfahren und dies entsprechend kriminell nutzen. Nachdem die Behörde dem Widerspruch ignorierte und erneut einen Bescheid per Fax versendet hatte, klagte der Händler. Er wollte feststellen lassen, dass die (widersprochene) unverschlüsselte Übersendung personenbezogener Daten in einem Bescheid per Fax rechtswidrig ist.
Unverschlüsselte Faxübertragung reicht nicht
Das VG Osnabrück gab ihm in der Vorinstanz Recht, das OVG Lüneburg lehnte den Antrag der Behörde auf Zulassung der Berufung ab: Angesichts der mit einer unverschlüsselten Faxübertragung verbundenen abstrakten Risiken hätte die Behörde dem Stand der Technik entsprechend das Fax nicht ohne Verschlüsselung übermitteln dürfen. Zu berücksichtigen sei auch, dass der Übermittlungsvorgang selbst noch zahlreiche andere Risiken berge und die Behörde deshalb auf eine Übersendung per Fax hätte verzichten müssen
(OVG Lüneburg, Beschluss vom 22.07.2020, Az. 11 LA 104/19, Abruf-Nr. 217337).
OVG hat das Schutzniveau präzisiert
Bei der Übermittlung von personenbezogenen Daten per Fax muss die Behörde zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen.
Welches Schutzniveau dabei einzuhalten ist, richtet sich nach
- der Sensibilität und Bedeutung der zu übermittelnden Daten,
- den potenziellen Gefahren bei der Faxübermittlung,
- dem Grad der Schutzbedürftigkeit des Betroffenen und
- dem mit den Sicherungsmaßnahmen verbundenen Aufwand.
Das OVG verwies darauf, dass der Datenschutzbeauftragte des Landes NRW das unverschlüsselte Versenden eines Faxes mit dem Versenden einer offenen Postkarte verglichen hatte. Zudem bestehe die Gefahr, dass der Bescheid mit den sensiblen Daten versehentlich an die falsche Nummer gesendet werden könnte. Sensible personenbezogene Daten seien von der Behörde daher ausschließlich per Post zu versenden.
Bedeutung für Versicherungsmakler
Das OVG hat zwar über einen Einzelfall entschieden. Es ist jedoch davon auszugehen, dass sich andere Gerichte für ihre Einzelfallentscheidungen an diesem Beschluss orientieren werden.
Versand per Fax
Für die Kommunikation von Versicherungsmaklern per Fax ergibt sich daher der folgende Schluss:
- Widerspricht der Maklerkunde der (unverschlüsselten) Übermittlung per Fax, dürfte eine gleichwohl erfolgte (unverschlüsselte) Übermittlung stets rechtswidrig sein.
- Widerspricht der Maklerkunde ihr nicht grundsätzlich, dürfte es auf die Gesamtumstände des Einzelfalls ankommen. Je sensibler die Kundendaten sind, desto größer sind die potenziellen Gefahren der Faxmitteilung und desto höher ist das Schutzbedürfnis des Betroffenen.
Die unverschlüsselte Kündigung z. B. einer Kfz- oder privaten Haftpflicht-Versicherung per Fax dürfte anders zu werten sein als die unverschlüsselte Antragstellung eines Krankenversicherungsvertrags per Fax mit ihren umfangreichen Gesundheitsfragen bzw. Auskünften zu Vorerkrankungen. Personenbezogene Daten sind zwar in beiden Fällen betroffen. Aber insbesondere die Schutzbedürftigkeit des Betroffenen ist unterschiedlich zu werten.
Der Aufwand für Sicherungsmaßnahmen muss umso höher sein, je sensibler die übermittelten Kundendaten sind. Gesundheitsdaten im Sinne des Art. 9 DSGVO sind besonders geschützt und deren Verarbeitung ‒ zu der die Übermittlung gehört ‒ bedarf einer ausdrücklichen Einwilligung des Betroffenen. Das bedeutet, dass der Makler den Kunden aufklären muss, ob er bei einer Fax-Versendung die personenbezogenen Kundendaten verschlüsselt übermitteln kann oder dies technisch bei seinem Faxgerät nicht möglich ist.
Versand per E-Mail
Auch für das Versenden durch E-Mail dürften die vorstehenden Maßstäbe entsprechend anzuwenden sein. Denn auch bei der Versendung durch E-Mail stellt sich die Frage, ob Post auf sicherem Weg zum Empfänger gelangen kann.
PRAXISTIPP | Verwenden Sie bei der elektronischen Kommunikation geeignete Verschlüsselungstechniken. Denn die machen die Faxübermittlung sicher. Das Gleiche gilt für das Versenden von E-Mails. |