Datenschutzkonformität von Faxen

Die Bremer Datenschutzaufsicht hat auf Ihrer Webseite eine Stellungnahme veröffentlicht, wonach Sie feststellt, dass das Fax nicht mehr datenschutzkonform einsetzbar ist (https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen/telefax_ist_nicht_datenschutz_konform-16111). Hierzu hat sie die Bremer Verwaltung bereits dazu angehalten keine Faxe mit personenbezogenen Daten mehr zu verwenden und auf Alternativen umzustellen. Nach Sicht der Behörde ist die Versendung von besonderen personenbezogenen Daten nach Art. 9 DSGVO gänzlich unzulässig.

Wie begründet die Behörde ihre Auffassung?

Grundsätzlich soll das Fax eine sichere Übertragungsmethode sein, doch da inzwischen an vielen Stellen dazu übergegangen wurde, dass eingehende Faxe in E-Mails umgewandelt oder ein Cloud-Fax-Service eingerichtet wurde, sieht die Behörde das Problem hier auf der Seite des Empfängers. Als Sender kann man nicht sicher sein, welcher Technologie sich der Empfänger am anderen Ende bedient. Werden Faxe in E-Mails umgewandelt, sieht die Behörde hier die Problematik, dass diese nicht verschlüsselt sein könnten und damit das Risiko hoch ist, dass die gesendeten Informationen abgefangen werden. Dies spielt auf die Postkartenproblematik bei unverschlüsselten E-Mails an.

Hinsichtlich eines Cloud-Fax-Dienstes sieht es die Behörde als problematisch an, dass der Absender nicht weiß, ob die Daten auf einem europäischen Server gespeichert werden (Stichwort: Unzulässigkeit des Privacy Shield).

Was ist von dieser Auffassung zu halten?

Die Begründung für die Auffassung der Behörde scheint nicht gänzlich unplausibel und stellt auch vorerst nur eine Einzelmeinung unter den 16 deutschen Datenschutzaufsichtsbehörden dar. Da nach wie vor auch in vielen Bereichen noch Faxe genutzt werden (Siehe Corona-Pandemie und Gesundheitsämter, die noch Fax nutzen, um Infektionszahlen zu melden), ist die Auffassung für die Praxis jedoch denkbar ungeeignet. Insbesondere wenn man sich die empfohlenen Alternativen zum Fax ansieht: Ende-zu-Ende-Verschlüsselung bei der E-Mail oder die Post.

Die Ende-zu-Ende-Verschlüsselung stellt immer wieder vor Probleme, da auch die Gegenseite die vorhandenen Verschlüsselungstechnologie nutzen muss. Außerdem werden auch die vorherrschenden Verschlüsselungsmethoden (z. Bsp. S/MIME, OpenPGP) immer wieder nicht als Goldstandard der IT-Sicherheit kritisiert.

Bei der Post gibt es wiederum viele Stationen vom Absender bis zum Empfänger an denen Briefe verloren gehen können, was auch regelmäßig passiert, von der einzuplanenden Zeitverzögerung bis zum Empfang ganz schweigen.

Wir sehen das Fax daher grundsätzlich immer noch als nutzbare und grundsätzlich sichere Übertragungsmethode für Daten an. Auch das Bundesamt für Sicherheit in der Informationstechnologie gibt in seinem IT-Grundschutzkatalog Hinweise für eine sichere Fax-Übertragung: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/09_NET_Netze_und_Kommunikation/NET_4_3_Faxgeraete_und_Faxserver_Edition_2021.pdf?__blob=publicationFile&v=2.

Da die Bremer Datenschutzaufsicht bisher als einzige Behörde diese Ansicht geäußert hat, gehen wir davon aus, dass die eine Einzelmeinung darstellt, welche ggf. auch erst einmal einer gerichtlichen Überprüfung standhalten müsste.

Jedoch sollte wenigstens bei der Übertragung von besonderen personenbezogenen Daten per Fax, wie Gesundheitsdaten, im Vorhinein ggf. überprüft werden, ob die Übertragung tatsächlich notwendig ist und ob eine sichere Übertragung gewährleistet werden kann, möglicherweise sogar über eine Anfrage beim Empfänger, wie dort die Faxtechnologie gehandhabt wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kontaktieren Sie uns

Office Radebeul
+ 49 (0)351 27220880

E-Mail:
info@datarea.de

Log in