procontra: Im vergangenen Jahr hat das Oberverwaltungsgericht Lüneburg ein Urteil gefällt, durch das der Versand personenbezogener Daten via Fax streng limitiert wird. Wird in Zeiten sozialer Medien und E-Mails überhaupt noch per Fax kommuniziert?
Guido Babinsky: Allerdings, ich schätze, dass noch immer 50 bis 75 Prozent aller Makler das Faxgerät für ihre Arbeit benutzen – häufig als Multifunktionsgerät. Das hat einen ganz einfachen Grund: Viele nutzen den Fax-Sendebericht als Zugangsnachweis, beispielsweise wenn es um die Einhaltung von Kündigungsfristen in der Kfz-Versicherung geht. Allerdings sollte hier beachtet werden, dass verschiedene Oberlandesgerichte und auch der BGH entschieden haben, dass ein einfacher Faxbericht mit OK-Vermerk allein nicht mehr als Zustellnachweis gilt, unter anderem, weil dieser leicht manipulierbar ist.
procontra: 2020 hat nun das Oberverwaltungsgericht Lüneburg ein bemerkenswertes Urteil gefällt. Darin heißt es: Personenbezogene Daten dürfen nicht mehr per Fax versendet werden.
Babinsky: Da muss man differenzieren. Aus dem Urteil eine Pauschalabsage für den Fax-Versand personenbezogener Daten herauszulesen, wäre für mich zu weit gegriffen. Die DSGVO verfolgt ja einen risikobasierten Ansatz. Es gilt also stets abzuwägen: Mit welcher Handlung gehe ich welches Risiko ein und welchen Schaden könnte ein Betroffener, sprich der Kunde, aus meinen Handlungen erleiden. Wenn ich das Risiko folglich als gering einschätze, und dies ist abhängig von der Kategorie der versandten Daten, kann ich auch weiterhin personenbezogene Daten per Fax verschicken.
procontra: Wo liegt denn überhaupt das Problem? Faxen an sich erscheint jetzt nicht unbedingt risikoreich.
Babinsky: Wenn auf Sender- sowie Empfängerseite jeweils noch traditionelle Faxgeräte stehen, welche direkt an eine konkrete Telefonleitung angeschlossen sind, gibt es in der Regel keine Probleme bzw. das Risiko ist überschaubar. Nur: Im Zuge der Digitalisierung ist das traditionelle Faxgerät bei den Versicherern praktisch verschwunden. Wir haben eine Stichprobe bei 24 Unternehmen gemacht – bei keinem ist noch ein traditionelles Gerät im Einsatz. Stattdessen werden heutzutage Faxserver verwendet. Dadurch wird das Fax nicht mehr an ein konkretes Endgerät geschickt, sondern in eine Mail umgewandelt und an die jeweilige E-Mail-Adresse des Empfängers weitergeleitet. Technisch betrachtet ist es somit – zumindest was die Inhaltsverschlüsselung angeht – einer unverschlüsselten E-Mail gleichzusetzen, bei der der Datenschutz kaum gewährleistet wird. Die Landesbeauftragten für Datenschutz in Bremen und Nordrhein-Westfalen hatten in diesem Zusammenhang auch den Vergleich mit einer „offen einsehbaren Postkarte“ bemüht.
procontra: In dem OVG-Urteil ging es damals um einen Sprengstoffhändler, der den Transport seiner Waren organisierte. Die Behörde hatte unter anderem die Kennzeichen und Identifikationsnummern der hierfür verwendeten Fahrzeuge per Fax versandt. Inwieweit lässt sich dieses Urteil auf den Makler übertragen?
Babinsky: Das Urteil hat eine Signalwirkung für Makler: Auch sie müssen sich fragen, welche Daten sie per Fax verschicken wollen. Nehmen wir beispielsweise die Kündigung einer Hausratversicherung. An personenbezogenen Daten lassen sich hieraus der Name und die Adresse des Kunden, der Versicherer, die Versicherungsnummer und die Tatsache, dass der Vertrag gekündigt wurde, herauslesen. Meiner Meinung nach geht das Risiko hier gegen null – was soll dem Kunden aus diesen Daten für ein Schaden entstehen, selbst wenn diese in die falschen Hände geraten?
procontra: Es gibt aber auch Gegenbeispiele.
Babinsky: Absolut. Nehmen wir eine Risikovoranfrage für eine PKV mit Befundberichten vom Arzt, womöglich noch mit einem Bericht, dass der Kunde aus einer stationären psychotherapeutischen Behandlung entlassen wurde. Das mögliche Schadenszenario für den Kunden ist hier extrem hoch und kann von Mobbing bis hin zum möglichen Verlust des Arbeitsplatzes gehen.
procontra: Bei seinem Urteil bezog sich das OVG Lüneburg auf das Niedersächsische Landesdatenschutzgesetz. Gelten für Makler anderer Bundesländer nun andere Regeln oder sind die Datenschutzgesetze der Bundesländer vergleichbar?
Babinsky: Die Datenschutzgesetze der Länder beruhen allesamt auf der DSGVO sowie dem Bundesdatenschutzgesetz – demzufolge sind die jeweiligen Landesgesetze praktisch identisch. Unterschiede gibt es aber bei der jeweiligen Auslegung. Im Norden tun sich hier Niedersachsen und Bremen mit einer sehr restriktiven Auslegung hervor – insbesondere Bremen, das seinen Behörden im Mai dieses Jahres das Versenden personenbezogener Daten per Fax grundsätzlich untersagte, was nach meiner Auffassung aber nicht differenziert genug ist. Die bayerischen Behörden setzen ihren Fokus hingegen vielmehr auf die korrekte Anwendung. Das heißt: Der Versender muss sichergehen, dass er die richtige Fax-Nummer eingegeben hat, dass die Fax-Nummer noch existiert und am besten auch noch kontrollieren, dass das Fax beim richtigen Empfänger eingegangen ist. Eine Differenzierung der Datenkategorien findet hier indes nicht statt.
Seite 1: Ein Urteil mit SignalwirkungSeite 2: Sensible Daten oder nicht? Faustregel für Makler
procontra: Und wie sieht es in den anderen Bundesländer aus?
Babinsky: Die Datenschutzbehörden der anderen Länder haben sich nach meinem Kenntnisstand noch gar nicht konkret zu diesem Themenkomplex geäußert. Dies könnte sich aber in naher Zukunft ändern, wenn zum 1. Dezember dieses Jahres das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien, kurz TTDSG, in Kraft tritt. Hier ist auf jeden Fall einiges im Fluss.
procontra: Eine Differenzierung zwischen sensiblen und weniger sensiblen Daten, Unterschiede bei der Auslegung von Bundesland zu Bundesland. Wie soll der Makler hier noch den Überblick behalten?
Babinsky: Grundlegend kann ich Maklern nur raten, sich ernsthaft mit dem Thema Datenschutz zu beschäftigen und es nicht auf die leichte Schulter zu nehmen. Natürlich kann der Makler vielleicht nicht in jedem Einzelfall beurteilen, ob es sich nun um sensible Daten handelt oder nicht. Aber er kann eine Faustregel anwenden: Ich würde stets vom Fax abraten, wenn es um die Übersendung von biometrischen sowie von Gesundheitsdaten, aber auch von Religionsdaten und Bankdaten geht. Auch bei Daten von exponierten Persönlichkeiten – beispielsweise dem Bürgermeister, dem Stadtrat oder dem Vorstandsvorsitzenden einer Aktiengesellschaft – rate ich: Finger weg vom Fax!
Gleiches gilt in der Kommunikation mit den Kunden. Hier kann der Makler nicht wissen, ob der Kunde ein klassisches Faxgerät benutzt oder beispielsweise einen unverschlüsselten Cloud-Fax-Service – das wäre mir definitiv zu heiß.
procontra: Das gilt für Faxe aller Art?
Babinsky: Ja, ganz egal ob Antrag, Risikovoranfrage oder einfach nur eine Kündigung – bei diesen drei oben genannten Punkten rate ich zu extremer Vorsicht.
procontra: Was droht Maklern denn bei Verstößen?
Babinsky: Sie müssen mit Geldbußen rechnen. Man bekommt medial zwar nur die großen Fälle wie H&M, 1&1 oder Deutsche Wohnen mit, aber es gibt viele kleinere Verfahren mit geringeren Geldbußen, die es nicht in die Medien schaffen. Das jeweilige Bußgeld bemisst sich immer am Umsatz des Unternehmens – Makler können sich das für ihr Unternehmen unter anderem auf https://www.dsgvo-portal.de/dsgvo-bussgeld-rechner.php ausrechnen. Bei einem Maklerunternehmen mit einem Jahresumsatz von 120.000 Euro drohen beispielsweise – je nach Schwere des Datenschutzverstoßes – Bußgelder zwischen 972 und 13.997 Euro. Ob Makler diese Bußgelder in Kauf nehmen wollen, hängt natürlich von ihrem persönlichen Risikoappetit ab. Ich rate aber auf jeden Fall dringend davon ab, sensible Daten per Fax zu verschicken – schließlich gibt es ja Alternativen.
procontra: Wie sehen die aus?
Babinsky: Man muss unterscheiden zwischen einem Makler mit Direktanbindungen zu den einzelnen Versicherern und einem Pool-Makler.
procontra: Fangen wir mit dem Einzelmakler an.
Babinsky: Dieser sollte sein Mailprogramm beziehungsweise seine Mailaccounts dringend auf den neuesten technischen Stand bringen – das heißt er braucht mindestens eine TLS-Verschlüsselung. Darüber hinaus muss bei sensiblen Daten noch eine Inhaltsverschlüsselung vorhanden sein – meine persönliche Empfehlung ist hierbei der S/MIME-Standard, das derzeit wohl sicherste und einfachste Verfahren, um vertrauliche Daten zu verschicken. Alternativ kann er die Anhänge auch mit einem separaten Passwort verschlüsseln. Die Versicherer bieten natürlich sogenannte Secure-Mails, also eine verschlüsselte E-Mail-Kommunikation, an. Allerdings ist das für den Makler recht aufwendig, weil er sich hier stets neu in das jeweilige System einloggen muss. Ich empfehle darum, den eigenen Mailaccount technisch auf den entsprechenden Stand zu bringen.
procontra: Bleibt der Poolmakler.
Babinsky: Der Poolmakler hat die Möglichkeit, alles über sein Maklerverwaltungsprogramm zu machen – und das wäre auch meine dringende Empfehlung. Bei den Maklerverwaltungsprogrammen können Makler zu nahezu 99,9 Prozent sicher sein, dass die versandten Daten sicher an den Versicherer übermittelt werden.
Über den Autor: Guido Babinsky ist gelernter Versicherungsfachmann, Sachverständiger für Immobilienbewertungen und zertifizierter Datenschutzbeauftragter. Seit 1997 agiert Babinsky als Geschäftsführer der Paderborner basucon GmbH, die Unternehmen unter anderem zum Thema Datenschutz berät.
Seite 1: Ein Urteil mit SignalwirkungSeite 2: Sensible Daten oder nicht? Faustregel für Makler