Fax & Datenschutz: Wie verhält es sich datenschutzrechtlich bei der Übermittlung von Daten per Telefax?

Es ist ein Stück vergangener Bürogeschichte: Das Fax beziehungsweise Telefax. Generell ist das Telefax ein verlässliches Gerät, was den Datenschutz betrifft, gibt es hier allerdings noch Aufholbedarf. Die Bremer Landesbeauftragte für Datenschutz (LfDI)*, Imke Sommer, hat eine Stellungnahme zum Thema Fax und Datenschutz veröffentlicht. Worin die Probleme genau bestehen, und welche Alternativen Unternehmen haben, um die Kommunikation in Zukunft sicher und datenschutzkonform zu gestalten, erfahren Sie hier.
 

Ist der Versand personenbezogener Daten via Fax DSGVO konform?

Personenbezogene Daten wie Namen, E-Mail-Adressen, persönliche Adressen oder ähnliches unterliegen durch die DSGVO einem besonderen Schutz. Daher ist es wichtig, dass beim Versand und der generellen Weitergabe solcher Daten eine sichere Versandmethode gewählt wird. Das geht beispielsweise mithilfe verschlüsselter Briefe oder E-Mails. Das Fax gehört jedoch einer anderen technologischen Generation an, in der ein sicherer und datenschutzkonformer Versand nicht im Vordergrund stand. Spätestens seit der DSGVO rücken diese Faktoren allerdings immer stärker in den Vordergrund. Da Faxgeräte trotzdem noch zur Standardausstattung in vielen Büros gehören, ist es oft schwierig eine geeignete Lösung zu finden. Wenn personenbezogene Daten gefaxt werden, sind diese nicht sicher, da die Datensicherheit beim Faxen zu gering ist um hier Datenschutz garantieren zu können. Das Fax wird praktisch gesehen übermittelt und kann von allen, die Zugang zu dem Empfängergerät haben, eingesehen werden. Dadurch ist gerade die Vertraulichkeit der Daten stark gefährdet, da das Fax an sich die zu übermittelnden Informationen offen und unverschlüsselt überträgt . Auch die nicht zu gewährleistende Zugriffskontrolle stellt ein großes Problem dar. Es ist bei einem Fax kaum möglich nachzuvollziehen, wer die gefaxten Dokumente bereits gesichtet hat.

Zudem werden zum Faxen oftmals Internetleitungen benutzt, die nicht verschlüsselt sind. Vor einigen Jahren wurden dafür noch standardmäßig Ende-zu-Ende verschlüsselte Telefonleitungen benutzt. Dazu kommt, dass aus Versehen eine falsche Nummer angewählt werden kann oder das Fax an einer anderen Zielnummer empfangen werden kann. Dass hier ein klares Datenschutzleck vorliegt, steht außer Frage.
Ein weiteres Problem: Beim Faxverkehr gibt es keine konkreten Vorschriften. Weder die DSGVO, noch andere Regelwerke greifen dieses Problem auf. Die genannten Problematiken bleiben auch bestehen, wenn ein eintreffendes Telefax automatisch digitalisiert und in einem Postfach abgelegt wird (sog. digitale Faxdienste oder auch Cloud-Fax-Services).
 

Datenschutz beim Telefax nicht gewährleistet: Brief- und Mailversand als Alternativen

Zusammengefasst ist es datenschutzrechtlich nicht sinnvoll ist, vertrauliche Daten per Fax zu übermitteln. Aber wie sieht die Alternative aus? Leider werden Übertragungen per Faxgerät nach wie vor als gängige Kommunikationsmaßnahme eingesetzt. Laut einer Umfrage des Digitalverbands Bitcom setzt noch jede:r fünfte Ärzt:in auf das Fax, um mit Kolleg:innen zu kommunizieren. Abgesehen von der Tatsache, dass die Digitalisierung vor vielen Arztpraxen noch immer Halt gemacht hat, weist dieser Umstand aber auf ein weiteres Problem hin: Werden personenbezogene Daten, die laut DSGVO besonders schützenswert sind (wie etwa Gesundheitsdaten) per Fax übermittelt, ist dies laut Sommer* als unzulässig einzustufen. Werden (besonders sensible) personenbezogene Daten dennoch per Telefax übermittelt, dann kann dies Abmahnungen und Bußgelder nach sich ziehen (vgl. hierzu z.B. 11 LA 104/19 des Oberverwaltungsgericht Lüneburgs, das Ende 2020 urteilte, dass unverschlüsselte Telefaxe nicht ausreichend gesichert seien und die Informationen daher offen mitgeteilt würden). Um im schlimmsten Fall sogar ein Bußgeld zu vermeiden, gibt es also einiges zu beachten.
 

Fax und Datenschutz: Das sollten Sie beachten

1. Keine vertraulichen und / oder personenbezogenen Daten per Fax übermitteln
2. Wollen Sie etwas faxen, dann ist laut Art. 32 Abs. 1 DSGVO vorab der Schutzbedarf der zu faxenden Daten zu ermitteln. Ein Fax muss den hier genannten Anforderungen an die Sicherheit der Verarbeitung gerecht werden. Zudem müssen Sie eine Analyse der Risiken der Verarbeitung vornehmen und ggf. entsprechende Sicherheitsmaßnahmen ergreifen.
4. Ende-zu-Ende verschlüsselte E-Mails
5. Wenn es trotzdem mal schnell gehen muss, können Sie auf Ende-zu-Ende verschlüsselte E-Mails zurückgreifen. Selbstverständlich besteht in weniger dringlichen Fällen nach wie vor die Möglichkeit wichtige und sensible Informationen postalisch per Brief zu übermitteln. Dies dauert zwar etwas länger, mit dieser Übermittlungsmethode sind Sie aber laut *Sommer auf der sicheren Seite.

In der oben genannten Stellungnahme heißt es weiter, dass „die Bremische Verwaltung davon aus[geht, dass] bis Ende 2022 alle Faxgeräte durch sicherere Technologien abgelöst“ werden. Wir sind uns sicher: Das schaffen Sie schneller!
 
---
* Hinweis: Grundsätzlich ist immer die jeweilige Behörde eines (Bundes)Landes zuständig; dies ist also keine für die ganze EU / Deutschland wirksame Entscheidung.