Faxversand unzulässig? Die Auswirkungen auf die Versicherungsbranche

Quelle: ampwizard/Pixabay

Personenbezogene Daten dürfen nicht per Fax versendet werden. Das hatte das Oberverwaltungsgericht Lüneburg kürzlich entschieden, schränkte aber auch gleich ein: Denn es kommt auf das einzuhaltende Schutzniveau an, ob personenbezogene Daten per Fax weitergeleitet werden dürfen. Von einem generellen Verbot könne man jedoch nicht sprechen, meint Anne Dopheide, Unternehmensjuristin beim Leipziger Maklerpool Invers GmbH.

Personenbezogene Daten dürfen nicht per Fax versendet werden. Das geht aus einem Urteil des Oberverwaltungsgericht Lüneburg hervor (Az.: 11 LA 104/19). Grund ist der mangelnde Datenschutz, da Faxe in der Regel unverschlüsselt an den Empfänger bzw. die Empfängerin gehen. Geklagt hatte ein Sprengstoff-Händler, der Transporte für seine explosive Ladung organisieren wollte. Die Behörde, welche diese Fahrten genehmigen musste und Sperrvermerke für LKWs auszustellen hatte, hatte die entsprechenden Bescheide per Fax versendet. Darin waren höchst sicherheitsrelevante und personenbezogene Daten enthalten: etwa Inhaber und Fahrzeug-Identifikationsnummer des Fahrzeuges.

Obwohl der Händler bereits 2015 einer Übersendung der Daten per Fax widersprach, erhielt er im Jahr 2017 erneut derartige Faxe zugesendet. Daraufhin klagte er vor dem Verwaltungsgericht Osnabrück (VG) und auch vor dem Oberverwaltungsgericht Lüneburg (OVG). Beide Gerichte gaben dem Händler Recht und bezogen sich dabei auf das Niedersächsische Datenschutzgesetz, nach dem öffentliche Stellen angemessene technische und organisatorische Maßnahmen zu treffen haben, wobei der Aufwand für diese Maßnahmen unter Berücksichtigung des Standes der Technik in einem angemessenen Verhältnis zum angestrebten Zweck stehen soll.

Deshalb urteilten die Richter: Die Behörde darf die Faxe nicht versenden, weil dies das einzuhaltende Schutzniveau verletze. „Welches Schutzniveau dabei einzuhalten ist, richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand.“, heißt es dazu in der Urteilsbegründung.

Beim Transport von Sprengstoffen handelt es sich grundlegend um ein sehr sensibles Thema, welches im Zweifel sogar die innere Sicherheit betrifft. Welches Schutzniveau bei Informationen einzuhalten sei, „richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand“, führt das Gericht aus. Auch hänge es davon ab, ob sicherere Methoden des Versendens zur Verfügung stehen. Hierzu hatte selbst der Datenschutzbeauftragte der Behörde in einer Stellungnahme an den Kläger angemerkt, dass sensible personenbezogene Daten ausschließlich per Briefpost zu versenden seien. Das OVG ließ eine Berufung letztendlich nicht zu: Und verwies darauf, dass der Datenschutzbeauftragte das Versenden eines Faxes mit dem Versenden einer offenen Postkarte verglichen hatte.

Vermittler sollten Umgang mit dem Faxgerät einer kritischen Überprüfung unterziehen

Ob und unter welchen Umständen das Urteil auch für andere Branchen gilt, wird aktuell diskutiert: Denn das Urteil dürfte auch Versicherungsvermittler und andere Branchenteilnehmer betreffen. Sie versenden ebenfalls oft sensible Informationen, etwa in Anträgen oder Versicherungsverträgen: zu Vorerkrankungen, Vermögen, regulierten Schäden etc. Auch diese Infos sollten nicht einfach in Form einer Postkarte für alle lesbar sein: und damit nicht einfach per Fax versendet. Eine Verletzung des Datenschutzes ist sehr wahrscheinlich.

Quelle: Invers GmbH

Sicher lässt sich das Urteil und dessen zugrunde liegende Umstände nicht eins zu eins übertragen. Dennoch sollte jeder Vermittler hellhörig werden und seinen Umgang mit dem Faxgerät einer kritischen Überprüfung unterziehen. "Auch wenn man unserer Auffassung nach nicht von einem generellen Verbot sprechen kann, so sollte doch stets eine gehörige Portion Vorsicht bei der Benutzung von Faxgeräten mitschwingen. Mithin haben sensible persönliche Daten auf einem Fax nichts zu suchen.", sagt Anne Dopheide, Unternehmensjuristin der Invers GmbH.

Vermittler sollten sich deshalb vor jedem Fax Gedanken machen, ob die Versendung in dieser Form notwendig ist: Benötige ich tatsächlich einen rechtlich anerkannten Zugangsnachweis oder genügt eine verschlüsselte E-Mail? Können personenbezogene Daten auf dem Fax geschwärzt werden oder sind diese absolut notwendig für die Angelegenheit?

Insbesondere bei besonders schützenswerten personenbezogenen Daten (Gesundheitsangaben etc.) kann es notwendig sein, diese z.B. per Briefpost zu übermitteln. Weiterhin sind Adressierungsfehler oder Fehlleitungen aufgrund von veralteten Anschlussnummern oder aktivierten Anrufumleitungen/-weiterleitungen unbedingt zu vermeiden.

Alternativen für einen verschlüsselten Versand von Daten gibt es durchaus. So steht beispielsweise seit einigen Jahren die Benutzung von DE-Mail im Raum, eine rechtssichere und datenschutzkonforme Zustellungsmethode. Hier erfolgt eine verschlüsselte Kommunikation, zu der jedoch sowohl Sender als auch Empfänger einen Zugang benötigen. Allerdings ist dieser Dienst nicht so weit verbreitet, als dass man ihn als flächendeckendes Kommunikationsmittel bezeichnen könnte.