Viele Behörden, Gerichte, Anwälte und auch Unternehmen nutzen noch immer Faxgeräte, um teilweise hoch sensible Informationen auszutauschen. Dies bringt längst ein erhebliches datenschutzrechtliches Risiko mit sich.
Warum ist ein Fax so unsicher?
Das Telefax wurde ursprünglich über Ende-zu-Ende-verschlüsselte Telefonleitungen verschickt, so dass der Inhalt auf dem Weg zwischen Absender und Empfänger stets verschlüsselt war. Inzwischen wird das klassische Faxgerät beim Empfänger häufig durch elektronische Weiterleitungen in E-Mail-Postfächer ersetzt, wobei das Fax automatisch in einen E-Mail-Anhang umgewandelt wird. Damit beruht die Übertragung auf Internettechnologie anstatt wie früher auf exklusiven Telefonleitungen.
Das Fax sollte daher laut erneuter Stellungnahme der Bremer Landesdatenschutzbeauftragten vielmehr wie eine unverschlüsselte E-Mail behandelt werden. Beide Kommunikationswege nutzen zwar IP-basierte Telekommunikationsnetze. Da Faxdienste aber nicht mit zusätzlichen Sicherungsmaßnahmen ausgestattet werden können, kann die Vertraulichkeit nicht gewährleistet werden und Daten könnten von unbefugten Dritten eingesehen werden.
Zwar gibt es Zusatzkomponenten für Faxgeräte, die eine Verschlüsselung erlauben. Allerdings ist deren Einsatz häufig nicht praktikabel, da auch der Empfänger eine entsprechende kostenintensive Vorrichtung zur Entschlüsselung des Texts benutzen muss. Außerdem erlaubt das Übertragungsprotokoll beim Fax-Versand per Internet keine Entschlüsselung.
Für den Versand von sensiblen personenbezogenen Daten erfüllt die Faxkommunikation damit nach Auffassung vieler Landesaufsichtsbehörden (etwa MV, NRW und Bayern) nicht die Voraussetzungen des Art. 32 DSGVO (technische und organisatorische Maßnahmen).
Inzwischen ist auch die Integrität des Faxes nicht mehr ausreichend gewährleistet. Denn Faxe werden nicht mehr durch eine eigene exklusive Faxleitung, sondern in Paketen separiert verschickt. Kommt ein Paket nicht an, ist das Fax fehlerhaft. Es können aber auch durch Tippfehler oder die Eingabe einer falschen Faxnummer Daten in fremde Hände gelangen.
Welche Folgen kann der Faxgebrauch haben?
Vor dem Versenden von Nachrichten muss abhängig vom jeweiligen Schutzbedarf der Daten ein ausreichender Sicherheitsstandard gemäß Art. 32 DSGVO gewährleistet sein. Einen solchen kann das Fax nicht mehr bieten, wenn sensible Daten ausschließlich verschlüsselt übermittelt werden dürfen. Dies gilt daher insbesondere für besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO.
Das LfDI Bremen empfiehlt stattdessen eine inhaltsverschlüsselte E-Mail oder einen herkömmlichen Brief. Findet eine Übermittlung sensibler Daten dennoch über das Faxgerät statt, erfolgt die Kommunikation nicht datenschutzkonform. Das Oberverwaltungsgericht Lüneburg urteilte am 22. Juli 2020 zu Lasten einer Behörde, die sensible personenbezogene Daten per Fax verschickt hatte wegen der bestehenden Gefahr der Wahrnehmung von personenbezogenen Daten durch unbefugte Dritte. Die Behörde habe keine ausreichenden Schutzvorkehrungen getroffen. Die Folge einer solchen unbefugten Weitergabe kann ein nicht unerhebliches Bußgeld einer Aufsichtsbehörde sein.
Fazit: Das Fax hat ausgedient
Das Fax ist kein sicheres Kommunikationsmittel von sensiblen Daten mehr. Das wird inzwischen auch von vielen Aufsichtsbehörden so gesehen. Suchen Sie sichere Kommunikationswege und beauftragen Sie einen Experten für Datenschutz und Datensicherheit, um Ihre technischen und organisatorischen Maßnahmen überprüfen zu lassen.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.