Dass auch Fax ein Datenschutz Thema sein kann, ist vermutlich den wenigsten bewusst. Immerhin gilt Fax bisher als zuverlässig, sicher und echt. Mit dem Wandel der Kommunikationstechnologie zu IP basierten Systemen, hat sich auch die Technologie verändert, über welche Faxe übermittelt werden. Beim Endanwender hat sich nichts geändert, doch wie auch beim Telefonieren wurde die zugrundeliegende Technik auf Digitaltechnik umgestellt. Alles läuft jetzt quasi durch das Internet. Entsprechend wies jetzt die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) von Bremen in ihrem 1. Jahresbericht 1 Download Link zum 1. Jahresbericht als PDF auf die sich dadurch ergebenden Sicherheitsprobleme bei der Übermittlung von personenbezogenen Daten per Fax hin.
“Nach Ermittlung des Schutzbedarfs der zu übermittelnden Daten und einer Analyse der Risiken der Verarbeitung sind für Übertragungsverfahren Sicherheitsmaßnahmen wie beispielsweise die in Artikel 32 Absatz 1 Buchstabe a Datenschutzgrundverordnung (DSGVO) explizit genannte Verschlüsselung zu ermitteln und umzusetzen. Hierbei ist zu beobachten, dass die Übermittlung per Fax inzwischen wie die Übermittlung durch eine unverschlüsselte E-Mail bewertet werden muss, weil beide Verfahren inzwischen IP-basierte Telekommunikationsnetze nutzen.”
Oftmals laufen Faxe auch nicht mehr auf einem Faxgerät auf, wie der Bremer LfDI in seinem zweiten Bericht erläutert, sondern werden als E-Mail an den Empfänger weitergeleitet2“Zudem kann nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät existiert. Meist werden Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten.” 2. Jahresbericht Datenschutz.pdf So kommt der LfDI Bremen zum Schluss:
“Aufgrund dieser Umstände hat ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail (welche oftmals mit der offen einsehbaren Postkarte verglichen wird). Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet.”
“In der Regel” heißt, dass Ausnahmen möglich sind. Welche dieses sein könnten, wird aber nicht erwähnt. Ganz deutlich wird der LfDI Bremen jedoch, wenn es um Daten besonderer Kategorien nach Art. 9 Abs. 1 DS-GVO geht. Eine Übertragung mittels Fax-Diensten hält er für unzulässig.3“Für die Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der Datenschutzgrundverordnung ist die Nutzung von Fax-Diensten unzulässig.” 2. Jahresbericht Datenschutz.pdf, Seite 29 Das lässt vermuten, dass eine Ausnahme dann möglich sein könnte, wenn es wenig sensible Daten übertragen werden sollen oder diese vielleicht pseudonymisiert sind.
Die DS-GVO verpflichtet Verantwortliche, bei einer Übermittlung von personenbezogenen Daten dem Schutzbedarf und den möglichen Risiken angemessene Maßnahmen zu treffen, um die Sicherheit der Verarbeitung bzw. Übermittlung zu gewährleisten. Bei E-Mails kann dieses z.B. durch Verschlüsselung erfolgen. Fax bietet solche Möglichkeiten nicht und sollte aus diesem Grund nicht zur Übermittlung von personenbezogenen Daten mit einem erhöhten Schutzbedarf genutzt werden.
Danke für die interessante Information. Welche Art von Daten fällt unter die “personenbezogenen Daten mit einem erhöhten Schutzbedarf”?
Unter die Daten mit erhöhtem Schutzbedarf fallen solche, die mit AOSF Verfahren zu tun haben, aber auch Gutachten, Atteste, Zeugnisse, Schülerlisten mit mit Adressen, Geburtsdaten, Religion, …, je nach Inhalte auch Schreiben mit Ordnungsmaßnahmen usw. Das Feld ist weit. In der Praxis werden manchen Dinge mal schnell über Fax weitergeben, da man das Original nicht extra scannen und an ein E-Mail anhängen muss (das dann wiederum wegen fehlender Verschlüsselung auch nicht sicher ist).