Kategorien
Datenschutzrecht

Übermittlung personenbezogener Daten per Fax

Anwaltskanzlei Ferner Alsdorf: 02404 92100

Der hessische Beauftragte für Datenschutz und Informationsfreiheit sieht in der Nutzung des Fax-Gerätes zur Übermittlung personenbezogener Daten eine grundlegende DSGVO Problematik. So führt seine Behörde in einer Pressemitteilung aus:

In der Praxis ist das Fax – etwa bei Behörden, Gerichten, Rechtsanwälten und im Gesundheitswesen – nach wie vor weit verbreitet. Mittlerweile ist jedoch der Faxversand durch diverse technische Veränderungen informationstechnisch als unsicheres Kommunikationsmittel einzustufen. Im Interesse der Datensicherheit und vor dem Hintergrund der fortschreitenden Digitalisierung sollten Verantwortliche daher zeitnah alternative Kommunikationsmittel zum Fax prüfen und implementieren.

Technische Hintergründe zur Faxnutzung

Die Kommunikation zwischen Faxgeräten basierte ursprünglich auf einem Verbindungsaufbau mittels sogenannter Kanal- bzw. Leitungsvermittlung. Dabei waren Absender und Empfänger – identifiziert durch ihre jeweiligen Faxnummern – die beiden Endstellen, zwischen denen eine direkte Verbindung aufgebaut wurde. Diese Verbindung wurde dann vom einen zum anderen Ende zur Übermittlung der Datenströme, die das Fax repräsentierten, genutzt. Die Verbindung war für die beiden Endstellen reserviert und wurde für die Dauer der Kommunikation exklusiv von diesen Endstellen genutzt. Diese Art der Vermittlung und Übertragung war bis einschließlich der Nutzung der ISDN-Technologie üblich.

Technologische Weiterentwicklungen im Bereich der Übertragungstechnik haben dazu geführt, dass seit einiger Zeit überwiegend die sogenannte Paketvermittlung als Grundlage der Datenübertragung auch beim Fax zum Einsatz kommt. Dabei werden die zu übertragenden Daten mittels des TCP/IP-Standards auf sogenannte „Pakete“ aufgeteilt und über eine Vielzahl von Verbindungen zwischen mehreren vermittelnden Punkten zwischen den Endstellen übertragen. Die genutzten Verbindungen und Punkte sind dabei – im Gegensatz zur früheren Leitungsvermittlung – nicht für die beiden Endstellen reserviert. Heutzutage ist es denkbar, dass die beteiligten Zwischenpunkte weltweit verteilt sind und von verschiedensten staatlichen oder privaten Akteuren betrieben werden. Diese Akteure haben hierbei grundsätzlich die Möglichkeit, auf die von ihnen vermittelten Pakete Zugriff zu nehmen. Dies wird insbesondere dann problematisch, wenn die beiden Endstellen die von ihnen versandten Pakete nicht verschlüsseln. Eine solche kommt üblicherweise nicht zum Einsatz.
 

Anforderungen an die Verarbeitung personenbezogener Daten nach der DS-GVO

Gemäß Art. 5 Abs. 1 lit. f der Datenschutz-Grundverordnung (DS-GVO) müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet („Integrität und Vertraulichkeit“). Der Grundsatz des Art. 5 Abs. lit. f DS-GVO wird u.a. durch Art. 32 DS-GVO näher konkretisiert. Nach der Vorschrift haben Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein, dem Risiko angemessenes Schutzniveau, zu gewährleisten. Da bei der Risikoabwägung neben der Eintrittswahrscheinlichkeit auch das Ausmaß der Folgen einer Schutzverletzung personenbezogener Daten betrachtet werden muss, wird die Abwägung maßgeblich von den Kategorien der verarbeiteten personenbezogenen Daten beeinflusst, die per Fax übermittelt werden.

Besonders hervorzuheben ist in diesem Zusammenhang die Sensibilität des personenbezogenen Datums, das verarbeitet werden soll: Je sensibler die personenbezogenen Daten sind, desto größer ist auch der Schutzbedarf, der bei der Auswahl der zu treffenden Maßnahmen zugrunde zu legen ist. Dies gilt insbesondere für die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DS-GVO sowie für Daten, die von Berufsgeheimnisträgern verarbeitet werden.

Risiko des Verlustes der Vertraulichkeit bei der Übermittlung personenbezogener Daten mittels Fax

Grundsätzlich weist der Faxversand vergleichbare Risiken auf, wie diese etwa auch beim unverschlüsselten Versand von E-Mail-Nachrichten gegeben sind. Hervorzuheben sind insbesondere die folgenden Risiken:

  • personenbezogenen Daten könnten wegen einer nicht korrekten Eingabe der Zielfaxnummer Dritten unbefugt offenbart werden.
  • Der Absender hat in der Regel keine Informationen zur Empfängerseite, z.B. wo ein etwaiges Empfangsgerät steht und wer Zugang zu diesem hat.
  • Bei der heutzutage weit überwiegend genutzten paketvermittelten Übertragungsmethode als Fax over IP (FoIP) über das Internet, oder bei der Nutzung von Diensten, die Faxe automatisiert in E-Mails umwandeln, werden die Daten in der Regel nicht verschlüsselt und damit ungeschützt übertragen. Durch die Übertragung über mehrere verteilte Zwischenstellen besteht dabei grundsätzlich eine Zugriffsmöglichkeit für unbefugte Dritte.

Im Ergebnis ist die Übermittlung von personenbezogenen Daten per Fax daher mit dem Risiko des Verlustes der Vertraulichkeit der übermittelten Daten behaftet.

Personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, sollten daher grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert sind.

In Betracht kommt insoweit insbesondere der Einsatz standardisierter Verschlüsselungstechnologie für den Verbindungsaufbau und die Übertragung von Daten. Hierbei ist darauf zu achten, dass von einer sicheren Voice-over-IP-Verbindung (VoIP) nicht automatisch auf eine sichere Faxübertragung geschlossen werden kann, da für die beiden Anwendungsszenarien verschiedene technische Protokolle mit unterschiedlichen Voraussetzungen für eine Verschlüsselung zum Einsatz kommen. Vielmehr muss die korrekte Auswahl und Kompatibilität der verwendeten Protokolle für die Faxübertragung geprüft werden.

Ausnahmen und Einwilligung

In Ausnahmefällen, z. B. wenn die besondere Eilbedürftigkeit dies erforderlich macht und sichergestellt ist, dass die Sendung nur dem richtigen Empfänger zugeht (z.B. gespeicherte Zielnummern), kann auch die Versendung besonders schutzbedürftiger personenbezogener Daten mittels Fax rechtmäßig sein. Dies gilt aber nur dann, wenn kein alternatives, datenschutzkonformes Kommunikationsmittel genutzt werden kann und dem Verantwortlichen insofern kein alternatives Kommunikationsmittel zur Verfügung steht.

Denkbar ist darüber hinaus auch, dass Verantwortliche auf die bestehenden Risiken beim Faxversand hinweisen und sich für etwaige Übermittlungsvorgänge eine den Anforderungen der DS-GVO entsprechende Einwilligung der hiervon betroffenen Personen einholen.

Quelle: Pressemitteilung der Behörde

Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für IT-Recht & Strafverteidiger)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT-Recht & Strafverteidiger)

Rechtsanwalt Jens Ferner ist Strafverteidiger und Fachanwalt für IT-Recht. Spezialgebiete von RA JF: Cybercrime, IT-Sicherheit, Softwarerecht, BTM-Strafrecht, Jugendstrafrecht und Wirtschaftsstrafrecht. Er ist Autor und hält Fach-Vorträge als Dozent zu den Themen Cybercrime, Strafprozessrecht, DSGVO, Cybersecurity und digitale Beweismittel inkl. Darknet- und Encrochat.

Unsere Rechtsanwälte sind spezialisiert auf Strafverteidigung im gesamten Strafrecht und IT-Recht, speziell bei Softwarerecht, DSGVO & IT-Vertragsrecht - mit ergänzender Tätigkeit im Arbeitsrecht sowie im digitalen gewerblichen Rechtsschutz.

Sie möchten unseren News folgen:  Wir bieten einen Telegram Kanal sowie ein LinkedIn-Profil.