Datenschutzprobleme beim Fax

Viele Behörden, Gerichte, Anwälte und auch Unternehmen nutzen noch immer Faxgeräte, um teilweise hoch sensible Informationen auszutauschen. Dies bringt längst ein erhebliches datenschutzrechtliches Risiko mit sich.

Warum ist ein Fax so unsicher?

Das Telefax wurde ursprünglich über Ende-zu-Ende-verschlüsselte Telefonleitungen verschickt, so dass der Inhalt auf dem Weg zwischen Absender und Empfänger stets verschlüsselt war. Inzwischen wird das klassische Faxgerät beim Empfänger häufig durch elektronische Weiterleitungen in E-Mail-Postfächer ersetzt, wobei das Fax automatisch in einen E-Mail-Anhang umgewandelt wird. Damit beruht die Übertragung auf Internettechnologie anstatt wie früher auf exklusiven Telefonleitungen.

Das Fax sollte daher laut erneuter Stellungnahme der Bremer Landesdatenschutzbeauftragten vielmehr wie eine unverschlüsselte E-Mail behandelt werden. Beide Kommunikationswege nutzen zwar IP-basierte Telekommunikationsnetze. Da Faxdienste aber nicht mit zusätzlichen Sicherungsmaßnahmen ausgestattet werden können, kann die Vertraulichkeit nicht gewährleistet werden und Daten könnten von unbefugten Dritten eingesehen werden.

Zwar gibt es Zusatzkomponenten für Faxgeräte, die eine Verschlüsselung erlauben. Allerdings ist deren Einsatz häufig nicht praktikabel, da auch der Empfänger eine entsprechende kostenintensive Vorrichtung zur Entschlüsselung des Texts benutzen muss. Außerdem erlaubt das Übertragungsprotokoll beim Fax-Versand per Internet keine Entschlüsselung.

Für den Versand von sensiblen personenbezogenen Daten erfüllt die Faxkommunikation damit nach Auffassung vieler Landesaufsichtsbehörden (etwa MV, NRW und Bayern) nicht die Voraussetzungen des Art. 32 DSGVO (technische und organisatorische Maßnahmen).

Inzwischen ist auch die Integrität des Faxes nicht mehr ausreichend gewährleistet. Denn Faxe werden nicht mehr durch eine eigene exklusive Faxleitung, sondern in Paketen separiert verschickt. Kommt ein Paket nicht an, ist das Fax fehlerhaft. Es können aber auch durch Tippfehler oder die Eingabe einer falschen Faxnummer Daten in fremde Hände gelangen.

Welche Folgen kann der Faxgebrauch haben?

Vor dem Versenden von Nachrichten muss abhängig vom jeweiligen Schutzbedarf der Daten ein ausreichender Sicherheitsstandard gemäß Art. 32 DSGVO gewährleistet sein. Einen solchen kann das Fax nicht mehr bieten, wenn sensible Daten ausschließlich verschlüsselt übermittelt werden dürfen. Dies gilt daher insbesondere für besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO.

Das LfDI Bremen empfiehlt stattdessen eine inhaltsverschlüsselte E-Mail oder einen herkömmlichen Brief. Findet eine Übermittlung sensibler Daten dennoch über das Faxgerät statt, erfolgt die Kommunikation nicht datenschutzkonform. Das Oberverwaltungsgericht Lüneburg urteilte am 22. Juli 2020 zu Lasten einer Behörde, die sensible personenbezogene Daten per Fax verschickt hatte wegen der bestehenden Gefahr der Wahrnehmung von personenbezogenen Daten durch unbefugte Dritte. Die Behörde habe keine ausreichenden Schutzvorkehrungen getroffen. Die Folge einer solchen unbefugten Weitergabe kann ein nicht unerhebliches Bußgeld einer Aufsichtsbehörde sein.

Fazit: Das Fax hat ausgedient

Das Fax ist kein sicheres Kommunikationsmittel von sensiblen Daten mehr. Das wird inzwischen auch von vielen Aufsichtsbehörden so gesehen. Suchen Sie sichere Kommunikationswege und beauftragen Sie einen Experten für Datenschutz und Datensicherheit, um Ihre technischen und organisatorischen Maßnahmen überprüfen zu lassen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

4 Kommentare

  1. Stephan Wolff Profilbild
    Stephan Wolff

    Vielen Dank für diesen tollen Aufsatz Herr Kayser.
    Ergänzend möchte ich noch anmerken, dass es nicht ungewöhnlich ist, dass Standalone-Faxgeräte in frei zugänglichen Bereichen stehen und eingehende Faxe (Papier) von Unberechtigten eingesehen werden können.
    Zudem steht der Verwaltungsaufwand bei der IT für die Anzahl von Faxen pro Jahr in keinem wirtschaftlichen Verhältnis.

  2. Jörg-D. Hansen Profilbild
    Jörg-D. Hansen

    Sehr geehrter Herr Kayser,
    vielen Dank für den Artikel, den ich bis auf den ersten Abschnitt gut nachvollziehen kann. In der Einleitung gehen Sie mit der Beschreibung meines Erachtens etwas zu weit.

    Bei der „herkömmlichen“ Übermittlung per Fax handelte es sich bei genauer Betrachtung nicht um eine Verschlüsselung sondern um eine Sprachcodierung. Genausowenig wurden damals Fax-Mitteilungen über exklusive Leitungen versandt. Die Verbindung war allerdings exklusiv – ein kleiner Unterschied. Die daraus resultierenden Datenschutz-Vorteile entgehen uns heutzutage.

    Beste Grüße

  3. Marcus Daniel Profilbild
    Marcus Daniel

    Es mag ja zutreffen, dass der Faxversandt unsicher ist. Aber warum geht niemand in den inzwischen überall erscheinenden Artikeln darauf ein, dass die gleiche Argumente doch auch auf das klassische Telefonieren zutreffen? Ende zu Ende Verschlüsselung ist nicht verbreitet, Pakte werden mit Internettechnologie in einem Netzwerk verschickt, etc. Sogar Anrufbeantworternachrichten werden auch gerne in Emails verwandelt.

    Und warum wird die Umwandlung des Faxes in eine Email so unreflektiert kritisiert? Zu diesem Zeitpunkt, kann die Email ja auch wieder geschützt werden. Wahrscheinlich weil die Ende-zu-Ende Verschlüsselung von Email ein nur technisch aber nicht anwenderfreundlich gelöstes Problem ist.

    Und was soll die Erwähnung von Tippfehlern überall? Das Trifft auf jegliche Adressen und Nummern zu und ist kein exklusives Problem des Faxens.

    Die Aufsichtsbehörden tun sich keinen Gefallen, wenn sie ihre Empfehlungen mit nicht ganz passenden Argumenten noch zusätzlich zu unterfüttern versuchen. Das klingt doch so, als ob das Hauptargument allein nicht trägt.

    (Ich bin froh, wenn das Faxen ausstirbt, aber für die Anwender war es eine intuitiv zu bedienende und einfach zu versehende Technologie.)

    1. Joachim Witzik Profilbild
      Joachim Witzik

      Die Anmerkung von Herrn Daniel finde ich berechtigt.

      Die KDSA-Ost.de hat in ihrem Tätigkeitsbericht von 2019 und 2020 das Thema auch einmal aus einer anderen Sichtweise dargestellt und sich nicht an die pauschalisierten Darstellungen angelehnt.
      Eine Fall-zu-Fall Unterscheidung wäre manchmal angebracht.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.