In unserem Newsflash informieren wir kurz und bündig über rechtliche Neuigkeiten. Diese Woche geht es um den Datenschutz.
Kein flächendeckendes Internet, Chaos im Homeschooling oder ein Fax vom Geschäftspartner. Was das Thema Rückschritt angeht, liegt Deutschland ganz weit vorn. Nun könnte die Digitalisierung noch einmal einen ganz unerwarteten Schub bekommen. Wo der Datenschutz sonst ein Hinderungsgrund ist und die Digitalisierung behindert, könnte sie beim Fax gerade das Zünglein an der Waage sein.
Zuletzt wurde das Fax bundesweit belächelt, als es für die regelmäßige Meldung der Corona-Infizierten durch die Gesundheitsbehörden das Mittel der Wahl war. In Behörden ist das Fax aber auch sonst noch gerne genommen. Genau das kritisiert jetzt die Bremer Datenschutzbeauftragte. Für die Übertragung besonderer Kategorien personenbezogener Daten, in dem Falle Gesundheitsdaten, sei gemäß der Datenschutzgrundverordnung (DSGVO) die Nutzung von Fax-Diensten unzulässig. Hier ist nicht das Fax an sich das Problem und dass die Nachricht offen sichtbar beim Empfänger ankommt. Grund seien technische Änderungen in den Telefonnetzen, nach denen keine exklusiven Leitungen mehr genutzt werden und somit ein Zugriff Dritter möglich ist. Zudem werden oft Systeme genutzt, die ankommende Faxe automatisiert in eine unverschlüsselt E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten.
Die Lösung sieht die Datenschutzbeauftragte in Ende-zu-Ende verschlüsselten E-Mails oder in der herkömmlichen Post – aber bitte keine Postkarte.
Ein Datenschutzverstoß kann weitreichende Konsequenzen haben. Neben dem Imageschaden sind Abmahnungen der Konkurrenten oder Verbände, Bußgelder durch die Behörden und Schmerzensgelder durch die Betroffenen möglich. So war es ziemliches Pech für ein Unternehmen, dass auch einen Rechtsanwalt in seinem E-Mail-Verteiler hatte, für dessen Zusendung der elektronischen Werbung aber wie so oft keine Einwilligung vorlag. Besagter Rechtsanwalt forderte neben der Unterlassung weiterer Werbe-E-Mails auch ein Schmerzensgeld von 500 Euro. Das Amtsgericht lehnte zunächst einen Schmerzensgeldanspruch ab, da ein Schaden nicht ersichtlich gewesen sei. Die Frage muss nun aber wohl oder übel vom EuGH entschieden werden, denn eine klare Rechtsprechung existiert bisher nicht.
Eine weitere Anfrage wird der EuGH auch bald wegen einer anderen Thematik erhalten: Muss für die Abberufung eines betrieblichen Datenschutzbeauftragten ein wichtiger Grund vorliegen, etwa wie bei einer Kündigung? Das regelt das deutsche Datenschutzrecht zwar, widerspricht damit aber dem europäischen Recht. Der Datenschutzbeauftragte darf laut DSGVO von dem Verantwortlichen oder dem Auftragsverarbeiter nicht einfach abberufen oder benachteiligt werden. Einen besonderen Grund setzt die DSGVO aber nicht voraus.