Hessischer Datenschutzbeauftragter nimmt zu Sicherheit von Faxen Stellung

Nachdem wir in diesem Jahr bereits zur Meinung der Bremer Datenschutzaufsicht zur Nutzung und Sicherheit von Faxen berichtet haben , nimmt nun auch der Hessische Datenschutzbeauftragte zu diesem Thema Stellung (https://datenschutz.hessen.de/datenschutz/it-und-datenschutz/zur-%C3%BCbermittlung-personenbezogener-daten-per-fax).

Auch wenn das Fax nicht mehr den aktuellen Stand der Technik darstellt und in vielen Behörden und Unternehmen nur noch ein Auslaufmodel ist bzw. sogar überhaupt nicht mehr genutzt wird, ist es im Laufe der Corona-Pandemie wieder zum Thema geworden. Denn viele Gesundheitsämter konnten Infektionszahlen und Gesundheitsdaten von Erkrankten teilweise nur per Fax an andere Behörden weiterübermitteln. Aus diesem Grund haben sich auch die Datenschutzaufsichtsbehörden aktuell mit dem Thema beschäftigt.

Wann soll die Nutzung von Faxen unzulässig sein?

Die Bremer Datenschutzaufsicht geht davon aus, dass besondere personenbezogene Daten gem. Art. 9 DSGVO nicht per Fax übermittelt werden dürfen. Der Hessische Datenschutzbeauftragte sieht darüber hinaus sogar die Übermittlung von personenbezogenen Daten, für die ein hohes Risiko besteht, als unzulässig an.

Der Versand von Faxen ist bezüglich des Sicherheitsniveaus mit dem unverschlüsselten Versand von E-Mails zu vergleichen. Der Hessische Datenschutzbeauftragte erkennt dabei insbesondere folgende Risiken:

  • Wird die falsche Zielfaxnummer eingegeben, werden personenbezogene Daten unbefugten Dritten offengelegt.
  • Der Absender hat keinen Einfluss und keine Informationen darüber, wie der Empfang auf Empfängerseite geregelt ist: Wo steht das Gerät und wer hat Zugriff?
  • Bei Fax over IP (FoIP) werden die Daten über das Internet übermittelt, bzw. werden die Faxe automatisiert in E-Mails umgewandelt. Dabei werden die Daten nicht verschlüsselt und ungeschützt übermittelt.

Aufgrund dessen ergibt aus der Nutzung von Faxen das Risiko des Verlustes der Vertraulichkeit von personenbezogenen Daten. Die Unzulässigkeit ist nach Ansicht des Hessischen DSB somit gegeben, insofern keine zusätzlichen Schutzmaßnahmen bei Absendern und Empfängern eingesetzt werden. Diese Maßnahmen wären der Einsatz von Verschlüsselungstechnologie für Verbindungsaufbau und Übertragung.

Ausnahmen für diese Unzulässigkeit sollen nur gelten, wenn die Datenübermittlung per Fax dringend geboten ist und keine anderen Kommunikationsmittelt zur Verfügung stehen. Außerdem muss dabei sichergestellt sein, dass das Fax nur dem korrekten Empfänger zugeht.

Grundsätzlich können Betroffene auch in die Übermittlung ihrer Daten per Fax einwilligen. Praktisch wird diese Einwilligung in vielen Fällen aber nur schwer einzuholen sein aufgrund der Menge von Einwilligungen und dem erforderlichen Aufwand.

Alternativen und Fazit

Der Hessische DSB schlägt in seiner Stellungnahme auch direkt andere Kommunikationsmittel als sichere Alternative zum Fax vor, dazu gehören:

  • Verschlüsselte E-Mail (PGP oder S/MIME)
  • Portallösungen zur Bereitstellung und zum Abruf von Daten (verschlüsselt bzw. passwortgesichert)
  • DE-Mail
  • Bereichsspezifische digitale Kommunikationsdienste: Viele Branchen haben eigene sichere Kommunikationswege entwickelt, welche genutzt werden können. Auch Behörden haben inzwischen sichere unabhängige Kommunikationswege geschaffen (z. Bsp. Kommunikation im Medizinwesen (KIM) oder für Behörden elektronische Rechtsverkehr (EGVP/beA/beN/BeBPo)

Letztlich lässt sich feststellen, dass der Hessische DSB die Übermittlung von personenbezogenen Daten per Fax noch kritischer sieht, als die Bremer Datenschutzaufsicht. Es ist nicht auszuschließen, dass zukünftig auch noch weitere Datenschutzaufsichtsbehörden dieser Auffassung folgen werden. Im Ergebnis heißt dies, dass statt dem Fax andere, sicherere und modernere Kommunikationswege eingesetzt werden sollten. Insbesondere Portallösungen zur Bereitstellung von Daten haben sich in der jüngeren Vergangenheit hierfür bewährt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kontaktieren Sie uns

Office Radebeul
+ 49 (0)351 27220880

E-Mail:
info@datarea.de

Log in