Hessischer Datenschutzbeauftragter: Neues zum Faxgerät

News

Bereits im Juni dieses Jahres teilte der Bremer Datenschutzbeauftragte mit, dass der Einsatz des Telefaxes nicht datenschutzkonform möglich sei. Die Nutzung dieses technisch etwas in die Jahre gekommenen Geräts ist nichtsdestotrotz, insbesondere bei Behörden und Gerichten, ein weit verbreitetes technisches Mittel zur Versendung von Dokumenten. Mit seiner Stellungnahme vom 14.09.2021 äußerte sich nun auch der Hessische Datenschutzbeauftragte zur Nutzung des Faxgeräts und vertritt dabei sogar eine noch strengere datenschutzrechtliche Auffassung.

Voraussetzungen der Verarbeitung personenbezogener Daten

In Art. 5 Datenschutz-Grundverordnung finden sich die Grundsätze für die Verarbeitung personenbezogener Daten. Dabei heißt es unter anderem in Art. 5 Abs. 1 lit. f. DSGVO, dass personenbezogene Daten in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit für die Daten gewährleistet. Hierbei handelt es sich um den Grundsatz der Integrität und Vertraulichkeit. Dieser Grundsatz wird u.a. konkretisiert durch Art. 32 DSGVO. Danach haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau gewährleisten zu können. Folglich bedarf es einer Risikoabwägung, in die neben der Eintrittswahrscheinlichkeit auch das Ausmaß der Folgen einer Verletzung des Schutzes personenbezogener Daten mit einzubeziehen ist. Das Ergebnis der Risikoabwägung wird demzufolge maßgeblich auch durch die Kategorien der verarbeiteten personenbezogenen Daten mitbestimmt.

Eines der entscheidenden Kriterien im Rahmen der Risikoabwägung ist nach Ansicht des Hessischen Datenschutzbeauftragten demnach die Sensibilität des personenbezogenen Datums:

„Je sensibler die personenbezogenen Daten sind, desto größer ist auch der Schutzbedarf, der bei der Auswahl der zu treffenden Maßnahmen zugrunde zu legen ist.“

Besonders zu schützen sind demzufolge nicht nur die besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO, sondern darüber hinaus auch solche Daten, die von Berufsgeheimnisträgern verarbeitet werden und demnach ebenfalls als sensibel einzustufen sind.

Risiken bei der Übermittlung personenbezogener Daten mittels Fax

Das Risiko bei der Übermittlung personenbezogener Daten mittels Faxgeräts ist im Wesentlichen vergleichbar mit dem unverschlüsselten Versand einer E-Mail. Nach den Ausführungen des Hessischen Datenschutzbeauftragten sind dabei insbesondere die folgenden Risiken hervorzuheben:

  • Personenbezogenen Daten könnten wegen einer nicht korrekten Eingabe der Zielfaxnummer Dritten unbefugt offenbart werden.
  • Der Absender hat in der Regel keine Informationen zur Empfängerseite, z.B. wo ein etwaiges Empfangsgerät steht und wer Zugang zu diesem hat.
  • Bei der heutzutage weit überwiegend genutzten paketvermittelten Übertragungsmethode als Fax over IP (FoIP) über das Internet, oder bei der Nutzung von Diensten, die Faxe automatisiert in E-Mails umwandeln, werden die Daten in der Regel nicht verschlüsselt und damit ungeschützt übertragen. Durch die Übertragung über mehrere verteilte Zwischenstellen besteht dabei grundsätzlich eine Zugriffsmöglichkeit für unbefugte Dritte.

Die Übermittlung von personenbezogenen Daten mittels Telefax ist daher mit dem Risiko der Verletzung des Grundsatzes der Vertraulichkeit verbunden. Nach Ansicht des Hessischen Datenschutzbeauftragten sollten:

„personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, daher grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert sind.“

Als zusätzliche Schutzmaßnahme kommt dabei vor allem der Einsatz standardisierter Verschlüsselungstechnologien für den Verbindungsaufbau und die Übertragung von Daten in Betracht. Daneben besteht jedoch auch die Möglichkeit als Verantwortlicher auf die bestehenden Risiken beim Faxversand hinzuweisen und sich für etwaige Übermittlungen eine den Anforderungen der DSGVO entsprechende Einwilligung der betroffenen Personen einzuholen.

Ausnahmen und alternative Kommunikationsmittel

In Ausnahmefällen könne das Faxgerät nach Ansicht des Hessischen Datenschutzbeauftragten dennoch als Kommunikationsmittel genutzt werden. Dies gelte jedoch nur, wenn bspw. die besondere Eilbedürftigkeit der Information die Übermittlung erforderlich mache und darüber hinaus sichergestellt ist, dass die Sendung nur dem richtigen Empfänger zugeht. In diesem Fall könne sogar auch die Übersendung besonders schutzbedürftiger personenbezogener Daten mittels Fax rechtmäßig sein. Diese Ausnahme soll jedoch nur dann gelten, wenn kein alternatives, datenschutzkonformes Kommunikationsmittel zur Verfügung steht. Als alternative Kommunikationsmittel kommen u.a. die folgenden in Betracht:

  • Versand inhaltsverschlüsselter E-Mail-Nachrichten (PGP oder S/MIME)
  • DE-Mail
  • bereichsspezifische digitale Kommunikationsdienste, z. B.:
    Infrastruktur des elektronischen Rechtsverkehrs (EGVP/beA/beN/beBPo) über die Infrastruktur des Elektronischen Gerichts- und Verwaltungspostfachs (EGVP) können in den Varianten besonderes elektronisches Anwaltspostfach (beA), besonderes Notarpostfach (beN) sowie besonderes Behördenpostfach (beBPo) Nachrichten verschlüsselt und mit einer qualifizierten elektronischen Signatur versehen übertragen werden.

Auswirkungen für die Praxis

Der Hessische Datenschutzbeauftragte geht im Rahmen seiner Stellungnahme damit noch über die Ansicht des Bremer Datenschutzbeauftragten hinaus. Unzulässig ist demzufolge nicht nur die Nutzung von Fax-Diensten zur Übertragung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO. Bereits die Übermittlung sensibler personenbezogener Daten kann gegen die DSGVO verstoßen. Dies sei nur dann zu verneinen, wenn ein Ausnahmefall angenommen werden kann. Ob der erneute Hinweis auf die Gefahr der Verletzung des Schutzes personenbezogener Daten im Rahmen der Nutzung von Faxgeräten zu einem Wandel führen kann, wird sich in Zukunft zeigen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

6 Kommentare zu diesem Beitrag

  1. Ein sehr gelungener Artikel. Allerdings haben Sie bei der Auflistung die Portallösungen zum sicheren Austausch, welche mittlerweile verstärkt Anklang finden, vergessen (oder bewusst weggelassen).
    Der HBDI setzt seine kommunizierte Einschätzung zum Fax übrigens selbst konsequent um: In einer Pressemeldung vom 14.09.2021 teilt der HBDI mit, dass die hessische Aufsichtsbehörde nicht mehr per Fax erreichbar sein möchte und daher sämtliche Faxnummern von der Webseite sowie von allen Briefköpfen etc. entfernt hat (https://datenschutz.hessen.de/pressemitteilungen/faxnummern-von-der-homepage-genommen).

    • Vielen Dank für die absolut richtige Ergänzung zu den Portallösungen. Die Auflistung der möglichen Ausnahmen ist nur beispielhaft und erfasst nicht alle in Betracht kommenden alternativen Kommunikationsmittel.

  2. Den Ausfall sämtlicher Faxgeräte in einem Krankenhaus würde ich als ISB als erheblichen Sicherheitsvorfall bei der Erbringung der kritischen Dienstleistung bewerten – so viel zur Realität beim Thema Fax!

  3. Sehr informativ. Bei den alternativen Mitteln sollte zumindest in Zukunft das eBO (elektronische Bürger- und Organisationenpostfach) hinzukommen. Wie lässt sich bei einem Fax das Rubum (enthält Firmenname und/oder Nachname der Perteien) zu einem Gerichtsfall einschätzen?

  4. Ich erhalte regelmäßig, mehrfach im Jahr, von Postboten (Zustellern) falsch zugestellte, für einen Dritten (z.B. Nachbarn) bestimmte Briefsendungen in meinen Briefkasten. Sollte ich dann nicht auch auf den Postversand verzichten und stattdessen auf ‚reitende Boten‘, Brieftauben oder ähnliche Hilfsmittel zurückgreifen? ;-) Im Ernst: Wenn ich ein Fax mit schützenswerten Daten an das Fax eines Adressaten sende, auf das mehr als diese Person Zugriff hat, rufe ich vorher an und stimme den Faxversand ab. Das geht natürlich nicht in allen Fällen…

  5. Interessant es zu bemängeln aber dann keine Taten folgen zu lassen. Man nehme einen x-beliebigen Arzt, ein Krankenhaus, der gesamte Pflegebereich und schaut sich den dortigen Ablauf an. Dann viel Spaß beim böse Briefe schreiben!!!

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.