Derzeit wird vermehrt diskutiert, ob das Fax noch datenschutzkonform eingesetzt werden kann.
Insbesondere die Datenschutzbehörden in Bremen und Hessen sehen den Einsatz des Fax als kritisch ein.
(https://datenschutz.hessen.de/datenschutz/it-und-datenschutz/zur-%C3%BCbermittlung-personenbezogener-daten-per-fax,
https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen-und-handlungshilfen/telefax-ist-nicht-datenschutz-konform-161119)
Die Behörden gehen davon aus, dass in vielen Fällen durch Nutzung von Faxgeräten der datenschutzrechtliche Grundsatz der Vertraulichkeit nicht mehr gewahrt werden kann.
Rechtliche Anforderungen
Die Vertraulichkeit stellt einen der wichtigsten Grundsätze in der DSGVO dar. Darunter versteht man, dass personenbezogene Daten nur von denjenigen eingesehen werden dürfen, die auch dazu berechtigt sind (Artikel 5 Absatz 1 f DSGVO). Die für die Datenverarbeitung verantwortliche Stelle (z.B. Unternehmen, Verein, Behörde) hat sicherzustellen, dass die Vertraulichkeit der Daten durch angemessene Maßnahmen auch gewährleistet wird (Artikel 5 Absatz 1 f DSGVO, Artikel 32 DSGVO).
Die Vertraulichkeit muss auch bei der Übertragung von Daten sichergestellt werden, z.B. beim Versand einer E-Mail, per Post. Oder eben auch per Fax.
Beim Versand von Daten per Fax kann die Vertraulichkeit z.B. in den folgenden Fällen verletzt werden:
- Es wird versehentlich die falsche Zielfaxnummer eingegeben, sodass die Daten bei einer unbefugten Person landen.
- Eine unbefugte Person nimmt Einsicht in die übermittelten Daten per Fax, da jeder Zugang zu dem Empfängergerät hat, was der Absender nicht wissen kann.
Technik
Das Fax galt früher als besonders datenschutzkonforme Methode, da die Daten über die Telefonleitung Ende-zu-Ende- übermittelt wurden. Das ist heute in der Regel nicht mehr der Fall, da die meisten Faxgeräte auf Internet-Technologie beruhen.
Die hessische Datenschutzbehörde stellt das Problem wie folgt dar:
Technologische Weiterentwicklungen im Bereich der Übertragungstechnik haben dazu geführt, dass seit einiger Zeit überwiegend die sogenannte Paketvermittlung als Grundlage der Datenübertragung auch beim Fax zum Einsatz kommt. Dabei werden die zu übertragenden Daten mittels des TCP/IP-Standards auf sogenannte „Pakete“ aufgeteilt und über eine Vielzahl von Verbindungen zwischen mehreren vermittelnden Punkten zwischen den Endstellen übertragen. Die genutzten Verbindungen und Punkte sind dabei – im Gegensatz zur früheren Leitungsvermittlung – nicht für die beiden Endstellen reserviert. Heutzutage ist es denkbar, dass die beteiligten Zwischenpunkte weltweit verteilt sind und von verschiedensten staatlichen oder privaten Akteuren betrieben werden. Diese Akteure haben hierbei grundsätzlich die Möglichkeit, auf die von ihnen vermittelten Pakete Zugriff zu nehmen. Dies wird insbesondere dann problematisch, wenn die beiden Endstellen die von ihnen versandten Pakete nicht verschlüsseln. Eine solche kommt üblicherweise nicht zum Einsatz.
Mit „nicht verschlüsselt“ meint die Behörde wohl, dass der Versand nicht Ende-zu-Ende-verschlüsselt erfolgt, da die sogenannte Transportverschlüsselung auch beim Fax zum Standard gehört.
Unter Transportverschlüsselung versteht man das unverschlüsselte Senden von Daten über einen verschlüsselten Kanal. Bei der Ende-zu-Ende- Verschlüsselung wird dagegen auch der Inhalt verschlüsselt, sodass nur der Berechtigte den Inhalt entschlüsseln und lesen kann.
Anforderungen an die Sicherheit
Wie beim Versand einer E-Mail müssen auch beim Fax geeignete Maßnahmen getroffen werden, um das Risiko zu minimieren, dass unbefugte Personen den Inhalt einsehen können. Es kommt dabei auf die Art der Daten an, die verschickt werden sollen.
Soweit keine sensiblen personenbezogenen Daten (z.B. Bankdaten, Finanzinformationen) oder personenbezogene Daten nach Art. 9 DSGVO (z.B. Gesundheitsdaten, politische Meinungen, religiöse Ansichten) an den Empfänger übermittelt werden oder andere sensible Daten (z.B. personenbezogene Daten zu Schulden, Pfändungen, Höhe des Einkommens, Sozialleistungen), reicht die Transportverschlüsselung aus. Diese bietet einen Basisschutz und gilt als Mindestanforderung zur Sicherung der Vertraulichkeit personenbezogener Daten und sensibler Informationen.
Bei der Versendung von sensiblen Daten ist zusätzlich eine Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung) nach Art. 32 DSGVO verpflichtend, um das Risiko zu minimieren, dass eine unbefugte Person mitliest. Man kann als Absender jedoch nicht sicher sein, dass die Daten auch inhaltlich verschlüsselt ankommen, da man in der Regel nicht weiß, welche Technik der Empfänger nutzt und ob diese auch kompatibel ist.
Alternativen
Bei Versand von sensiblen Daten gelten der postalische Versand und die inhaltlich verschlüsselte Mail als datenschutzkonform. Besteht man dennoch auf die Nutzung des Fax, sollte man auf Ende-zu-Ende-Verschlüsselung setzen und mit dem Absender absprechen, ob eine geeignete und mit der eigenen Technik kompatible Verschlüsselung eingesetzt wird.
In bestimmten Situationen kann auch der Versand nicht inhaltlich verschlüsselter sensibler Daten per Fax rechtskonform sein, wenn es besonders wichtig und dringend ist, dass der Empfänger die Informationen enthält und keine geeignete Alternative zur Verfügung steht.
Auch das Fax kann noch datenschutzkonform eingesetzt werden, wenn die erforderlichen Verschlüsselungsmethoden eingesetzt werden.
Max Macht (Volljurist)
