Übermittlung personenbezogener Daten per Fax

Der hessische Beauftragte für Datenschutz und Informationsfreiheit sieht in der Nutzung des Fax-Gerätes zur Übermittlung personenbezogener Daten eine grundlegende DSGVO Problematik. So führt seine Behörde in einer Pressemitteilung aus:

In der Praxis ist das Fax – etwa bei Behörden, Gerichten, Rechtsanwälten und im Gesundheitswesen – nach wie vor weit verbreitet. Mittlerweile ist jedoch der Faxversand durch diverse technische Veränderungen informationstechnisch als unsicheres Kommunikationsmittel einzustufen. Im Interesse der Datensicherheit und vor dem Hintergrund der fortschreitenden Digitalisierung sollten Verantwortliche daher zeitnah alternative Kommunikationsmittel zum Fax prüfen und implementieren.

Technische Hintergründe zur Faxnutzung

Die Kommunikation zwischen Faxgeräten basierte ursprünglich auf einem Verbindungsaufbau mittels sogenannter Kanal- bzw. Leitungsvermittlung. Dabei waren Absender und Empfänger – identifiziert durch ihre jeweiligen Faxnummern – die beiden Endstellen, zwischen denen eine direkte Verbindung aufgebaut wurde. Diese Verbindung wurde dann vom einen zum anderen Ende zur Übermittlung der Datenströme, die das Fax repräsentierten, genutzt. Die Verbindung war für die beiden Endstellen reserviert und wurde für die Dauer der Kommunikation exklusiv von diesen Endstellen genutzt. Diese Art der Vermittlung und Übertragung war bis einschließlich der Nutzung der ISDN-Technologie üblich.

Technologische Weiterentwicklungen im Bereich der Übertragungstechnik haben dazu geführt, dass seit einiger Zeit überwiegend die sogenannte Paketvermittlung als Grundlage der Datenübertragung auch beim Fax zum Einsatz kommt. Dabei werden die zu übertragenden Daten mittels des TCP/IP-Standards auf sogenannte „Pakete“ aufgeteilt und über eine Vielzahl von Verbindungen zwischen mehreren vermittelnden Punkten zwischen den Endstellen übertragen. Die genutzten Verbindungen und Punkte sind dabei – im Gegensatz zur früheren Leitungsvermittlung – nicht für die beiden Endstellen reserviert. Heutzutage ist es denkbar, dass die beteiligten Zwischenpunkte weltweit verteilt sind und von verschiedensten staatlichen oder privaten Akteuren betrieben werden. Diese Akteure haben hierbei grundsätzlich die Möglichkeit, auf die von ihnen vermittelten Pakete Zugriff zu nehmen. Dies wird insbesondere dann problematisch, wenn die beiden Endstellen die von ihnen versandten Pakete nicht verschlüsseln. Eine solche kommt üblicherweise nicht zum Einsatz.
 

Anforderungen an die Verarbeitung personenbezogener Daten nach der DS-GVO

Gemäß Art. 5 Abs. 1 lit. f der Datenschutz-Grundverordnung (DS-GVO) müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet („Integrität und Vertraulichkeit“). Der Grundsatz des Art. 5 Abs. lit. f DS-GVO wird u.a. durch Art. 32 DS-GVO näher konkretisiert. Nach der Vorschrift haben Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein, dem Risiko angemessenes Schutzniveau, zu gewährleisten. Da bei der Risikoabwägung neben der Eintrittswahrscheinlichkeit auch das Ausmaß der Folgen einer Schutzverletzung personenbezogener Daten betrachtet werden muss, wird die Abwägung maßgeblich von den Kategorien der verarbeiteten personenbezogenen Daten beeinflusst, die per Fax übermittelt werden.

Besonders hervorzuheben ist in diesem Zusammenhang die Sensibilität des personenbezogenen Datums, das verarbeitet werden soll: Je sensibler die personenbezogenen Daten sind, desto größer ist auch der Schutzbedarf, der bei der Auswahl der zu treffenden Maßnahmen zugrunde zu legen ist. Dies gilt insbesondere für die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DS-GVO sowie für Daten, die von Berufsgeheimnisträgern verarbeitet werden.

Risiko des Verlustes der Vertraulichkeit bei der Übermittlung personenbezogener Daten mittels Fax

Grundsätzlich weist der Faxversand vergleichbare Risiken auf, wie diese etwa auch beim unverschlüsselten Versand von E-Mail-Nachrichten gegeben sind. Hervorzuheben sind insbesondere die folgenden Risiken:

• personenbezogenen Daten könnten wegen einer nicht korrekten Eingabe der Zielfaxnummer Dritten unbefugt offenbart werden.
• Der Absender hat in der Regel keine Informationen zur Empfängerseite, z.B. wo ein etwaiges Empfangsgerät steht und wer Zugang zu diesem hat.
• Bei der heutzutage weit überwiegend genutzten paketvermittelten Übertragungsmethode als Fax over IP (FoIP) über das Internet, oder bei der Nutzung von Diensten, die Faxe automatisiert in E-Mails umwandeln, werden die Daten in der Regel nicht verschlüsselt und damit ungeschützt übertragen. Durch die Übertragung über mehrere verteilte Zwischenstellen besteht dabei grundsätzlich eine Zugriffsmöglichkeit für unbefugte Dritte.

Im Ergebnis ist die Übermittlung von personenbezogenen Daten per Fax daher mit dem Risiko des Verlustes der Vertraulichkeit der übermittelten Daten behaftet.

Personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, sollten daher grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert sind.

Dazu auch die Landesdatenschutzbeautragte in Bremen:

Aufgrund dieser Unwägbarkeiten hat ein Fax hinsichtlich des Schutzziels Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, die zu Recht als digitales Pendant zur offen einsehbaren Postkarte angesehen wird. Mehr nicht. Fax-Dienste enthalten in der Regel keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet. Die Bremische Verwaltung geht davon aus, bis Ende 2022 alle Faxgeräte durch sicherere Technologien abgelöst zu haben. Bis dahin sind ihre Beschäftigten gehalten, die Faxtechnik nicht mehr für die Übermittlung personenbezogener Daten zu verwenden (vergleiche hierzu Ziffer 3 des 3. Jahresbericht nach der Europäischen Datenschutzgrundverordnung, Berichtsjahr 2020) (pdf, 923.7 KB).

Zur Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der Datenschutzgrundverordnung ist die Nutzung von Fax-Diensten unzulässig.

Quelle: https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen-und-handlungshilfen/telefax-ist-nicht-datenschutz-konform-16111#:~:text=Fax%2DDienste%20enthalten%20in%20der,die%20%C3%9Cbertragung%20personenbezogener%20Daten%20geeignet.

In Betracht kommt insoweit insbesondere der Einsatz standardisierter Verschlüsselungstechnologie für den Verbindungsaufbau und die Übertragung von Daten. Hierbei ist darauf zu achten, dass von einer sicheren Voice-over-IP-Verbindung (VoIP) nicht automatisch auf eine sichere Faxübertragung geschlossen werden kann, da für die beiden Anwendungsszenarien verschiedene technische Protokolle mit unterschiedlichen Voraussetzungen für eine Verschlüsselung zum Einsatz kommen. Vielmehr muss die korrekte Auswahl und Kompatibilität der verwendeten Protokolle für die Faxübertragung geprüft werden.

Ausnahmen und Einwilligung

In Ausnahmefällen, z. B. wenn die besondere Eilbedürftigkeit dies erforderlich macht und sichergestellt ist, dass die Sendung nur dem richtigen Empfänger zugeht (z.B. gespeicherte Zielnummern), kann auch die Versendung besonders schutzbedürftiger personenbezogener Daten mittels Fax rechtmäßig sein. Dies gilt aber nur dann, wenn kein alternatives, datenschutzkonformes Kommunikationsmittel genutzt werden kann und dem Verantwortlichen insofern kein alternatives Kommunikationsmittel zur Verfügung steht.

Denkbar ist darüber hinaus auch, dass Verantwortliche auf die bestehenden Risiken beim Faxversand hinweisen und sich für etwaige Übermittlungsvorgänge eine den Anforderungen der DS-GVO entsprechende Einwilligung der hiervon betroffenen Personen einholen.

Quelle: Pressemitteilung der Behörde; beachten Sie dazu auch die Ausführungen bei Haufe

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.

Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)

• Urlaubsberechnung bei Überschneidung von Krankheit und Kurzarbeit „null“ - 30. April 2024
• Schwierige Beweislage und deren Darstellung in Gerichtsurteilen - 30. April 2024
• Urteil des Europäischen Gerichtshofs zur Nutzung von EncroChat-Daten - 30. April 2024