Die Bremer Landesdatenschutzbeauftragte teilte in einer aktualisierten Orientierungshilfe mit, dass der Einsatz des Telefaxes nicht datenschutzkonform möglich sei. Lesen Sie hier mehr zur aktuellen Entwicklung beim Datenschutz und Fax.
Der Inhalt im Überblick
Die unendliche Geschichte des Telefaxes
Das Telefax ist ein Überbleibsel aus längst vergangenen Tagen. Es hat jedoch bis zum heutigen Tag seinen Platz in unserem Alltag und insbesondere in der juristischen Welt. Viele Anwälte, aber auch Unternehmen, nutzen das Fax als Kommunikationsmittel mit Gerichten oder Behörden, insbesondere um Fristen zu wahren. Auch Behörden greifen noch vielfach auf das Telefax zu. Gehört dies bald der Vergangenheit an?
Vorgaben der Datensicherheit auch beim Fax zu beachten
Bereits im ersten Jahresbericht der Landesbeauftragten für Datenschutz nach der DSGVO fand sich unter dem Punkt der Gewährleistung der Sicherheit der Verarbeitung bei Fax und E-Mail die Auffassung, dass die Übermittlung per Fax inzwischen wie eine unverschlüsselte E-Mail bewertet werden müsse, da beide Verfahren IP-basierte Telekommunikationsnetze nutzen. Zudem sei auch beim Fax gem. Art. 32 Abs. 1 DSGVO vorab der Schutzbedarf der Daten zu ermitteln, eine Analyse der Risiken der Verarbeitung durchzuführen und ggf. entsprechende Sicherheitsmaßnahmen zu ergreifen. Seitdem hatte die LfDI vermehrte Anfragen zu dem Thema von Verantwortlichen erhalten, sodass man sich damit intensiver beschäftigte. Im zweiten Jahresbericht nach der DSGVO im Berichtsjahr 2019 teilte die Bremer Landesdatenschutzbeauftragte ihre aktuelle Einschätzung bezüglich der Sicherheit des Faxes mit, welche es auch als Orientierungshilfe auf die Website schaffte.
Das Fax als „offene Postkarte“
So seien lange für Faxgeräte exklusive Ende-zu-Ende-Telefonleitungen genutzt worden. Technische Änderungen hätten hier zu einem Wandel geführt. Es könne nicht mehr davon ausgegangen werden, dass auch tatsächlich physische Faxgeräte eingesetzt werden. Viele Unternehmen sowie Anwälte setzen auf elektronische Lösungen und bekommen Faxe in ihre E-Mail-Postfächer. Hierzu stellt die Bremer Landesdatenschutzbeauftragte fest, dass die Sicherheit gerade für sensible Daten im Sinne des Art. 9 DSGVO (wie z.B. Gesundheitsdaten) nicht gewährleistet sei.
„Aufgrund dieser Umstände hat ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail (welche oftmals mit der offen einsehbaren Postkarte verglichen wird). Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet.
Für die Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der Datenschutzgrundverordnung ist die Nutzung von Fax-Diensten unzulässig.“
Das Ende der alleinstehenden Faxleitung und der Beginn von sog. „All-IP“-Anschlüssen hat auch noch andere Folgen. Das Fax wird nicht mehr nicht komplett, sondern in Paketen übertragen. Dies birgt die Gefahr, dass einzelne Pakete nicht ankommen und es dadurch zu Übertragungsfehlern kommt. So ist auch die lang angepriesene Zuverlässigkeit dahin. Auf eine kleine Anfrage der SPD meldete Bremen eine Fehlerrate von 10% im Ressort der Senatorin für Justiz und Verfassung. Zudem gehe auch der Bremer Senat davon aus, dass das Gefährdungspotenzial bei der Fax-Kommunikation über Internet zunimmt und der Gebrauch nicht mehr zeitgemäß sei.
Verstoß gegen die Datensicherheit kann geahndet werden
Fälle bei denen ein Verstoß gegen die Datensicherheit durch einen Faxversand geltend gemacht werden, landen in letzter Zeit vermehrt bei den Aufsichtsbehörden und Gerichten. So äußerte sich das Oberverwaltungsgericht Lüneburg (11 LA 104/19) jüngst zu den Gefahren für personenbezogene Daten durch das Versenden von Telefaxen. Am 22.07.2020 urteilte das OVG, dass Faxe nicht gesichert seien und die Informationen offen mitgeteilt würden.
„Die Informationen werden „offen“ (unverschlüsselt) übertragen. Eine Telefaxübersendung sei deshalb mit dem Versand einer offenen Postkarte vergleichbar. Der Datenschutzbeauftragte der Bekl. kommt in seiner Auskunft an den Kl. vom 11.4.2017 zu einer vergleichbaren Bewertung. Seiner Ansicht nach dürfen sensible personenbezogene Daten nicht ohne Sicherungen (zB Verschlüsselungsgeräte) gefaxt werden. Er merkt an, dass sensible personenbezogene Daten bei der Bekl. ausschließlich per Post zu versenden sind. Danach bestand bei der unverschlüsselten Übermittlung des Bescheides vom 3.2.2017 per Fax die Gefahr der Wahrnehmung von personenbezogenen Daten des Kl. durch unbefugte Dritte.“
Nach Ansicht des Gerichts war die unverschlüsselte Übersendung eines Faxes mit Name, Adresse, Fahrzeugidentifikationsnummer und das amtliche Kennzeichen des Klägers in diesem Fall rechtswidrig, da er besonders schutzbedürftig sei. Der Kläger geht berufsbedingt mit explosionsgefährlichen Sprengstoffen um. Er sei daher einem erhöhten Angriffsrisiko durch Straftaten ausgesetzt, die darauf abzielen, die verbotenen Stoffe in Besitz zu bringen.
In einem anderen Fall verwarnte der LfDI Mecklenburg Vorpommern das OLG Rostock (S.46), weil dort die Datensicherheit bei der Faxnutzung nicht eingehalten wurden. Dadurch wurden zwei Beschlüsse in Strafsachen an einen unbefugten Dritten versandt.
Welche Bedeutung hat dies für die Zukunft und die Anwender?
Findet endlich ein Wandel statt? Dies wird die Zeit zeigen. Das Fax behält hartnäckig seinen Platz in der Rechts- und Geschäftswelt. Alternativen scheitern häufig an Sicherheit oder Zuverlässigkeit. Es bedarf hier neuer Ideen sowie weiterer Maßnahmen durch die Politik, um die Digitalisierung weiter voranzutreiben.
Der jeweilige Anwender sollte sich bewusst sein, dass das Fax kein sicheres Kommunikationsmittel (mehr) ist. Viele Aufsichtsbehörden haben sich entsprechend bereits vor der Datenschutz-Grundverodnung zum Datenschutz beim Telefax positioniert, so etwa Mecklenburg-Vorpommern, NRW oder der BayLfD. Im Kern hat sich an der Kritik nichts geändert.
Der Versand von personenbezogenen Daten per Fax ist damit aber wohl nicht immer unzulässig (vgl. die Argumentation des VG Mainz zur E-Mail). Vielmehr muss im Einzelfall nach Art. 32 DSGVO abgewogen werden, ob diese Versandmethode ein ausreichendes Schutzniveau bietet. Gerade bei besonders sensible Daten nach Art. 9, Art. 10 DSGVO sollten Verantwortliche Abstand davon nehmen, diese per Fax zu versenden, ohne weitere Sicherheitsmaßnahmen zu treffen. Die sichere Alternative bleibt hier vorerst nur der klassische Brief oder eine Ende-zu-Ende verschlüsselte E-Mail. Daneben lässt sich darüber nachdenken, ob der Betroffene in den unsicheren Versand diese Daten per Fax ähnlich wie bei der E-Mail einwilligen könnte.
Es besteht jedoch Nachbesserungsbedarf, nicht nur für einzelne Unternehmen oder Behörden, sondern für die Bundesregierung. Nur übergreifende neue Systeme können hier langfristig die digitale Zukunft sichern. Es braucht eine einfache, zuverlässige und sichere Alternative, die die jeweiligen Schwächen von Fax, E-Mail und herkömmlichen Brief ausgleichen können.
In den Medien wird das Telefax häufig mit einer unverschlüsselten E-Mail verglichen. Tatsächlich sind die beiden Datenübertragungsverfahren Telefax und E-Mail aber zu unterschiedlich um sie miteinander vergleichen zu können.
Die kirchliche Datenschutzaufsicht-Ost (KDSA-Ost) ist eine spezifische Aufsicht im Sinne des Artikels 91 Abs. 2 DS-GVO. Unsere Behörde lehnt die generelle Aussage, Telefaxe seien datenschutzrechtlich unzulässig, ab. Zur Begründung verweisen wir auf unsere ausführlichen Darstellungen in unseren Tätigkeitsberichten aus den Jahren 2020 -dort ab Seite 85- sowie 2019 – dort ab Seite 45.
kdsa-ost.de/kdsa/taetigkeitsberichte.html