Bereits im Juni dieses Jahres teilte der Bremer Datenschutzbeauftragte mit, dass der Einsatz des Telefaxes nicht datenschutzkonform möglich sei. Die Nutzung dieses technisch etwas in die Jahre gekommenen Geräts ist nichtsdestotrotz, insbesondere bei Behörden und Gerichten, ein weit verbreitetes technisches Mittel zur Versendung von Dokumenten. Mit seiner Stellungnahme vom 14.09.2021 äußerte sich nun auch der Hessische Datenschutzbeauftragte zur Nutzung des Faxgeräts und vertritt dabei sogar eine noch strengere datenschutzrechtliche Auffassung.
Der Inhalt im Überblick
Voraussetzungen der Verarbeitung personenbezogener Daten
In Art. 5 Datenschutz-Grundverordnung finden sich die Grundsätze für die Verarbeitung personenbezogener Daten. Dabei heißt es unter anderem in Art. 5 Abs. 1 lit. f. DSGVO, dass personenbezogene Daten in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit für die Daten gewährleistet. Hierbei handelt es sich um den Grundsatz der Integrität und Vertraulichkeit. Dieser Grundsatz wird u.a. konkretisiert durch Art. 32 DSGVO. Danach haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau gewährleisten zu können. Folglich bedarf es einer Risikoabwägung, in die neben der Eintrittswahrscheinlichkeit auch das Ausmaß der Folgen einer Verletzung des Schutzes personenbezogener Daten mit einzubeziehen ist. Das Ergebnis der Risikoabwägung wird demzufolge maßgeblich auch durch die Kategorien der verarbeiteten personenbezogenen Daten mitbestimmt.
Eines der entscheidenden Kriterien im Rahmen der Risikoabwägung ist nach Ansicht des Hessischen Datenschutzbeauftragten demnach die Sensibilität des personenbezogenen Datums:
„Je sensibler die personenbezogenen Daten sind, desto größer ist auch der Schutzbedarf, der bei der Auswahl der zu treffenden Maßnahmen zugrunde zu legen ist.“
Besonders zu schützen sind demzufolge nicht nur die besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO, sondern darüber hinaus auch solche Daten, die von Berufsgeheimnisträgern verarbeitet werden und demnach ebenfalls als sensibel einzustufen sind.
Risiken bei der Übermittlung personenbezogener Daten mittels Fax
Das Risiko bei der Übermittlung personenbezogener Daten mittels Faxgeräts ist im Wesentlichen vergleichbar mit dem unverschlüsselten Versand einer E-Mail. Nach den Ausführungen des Hessischen Datenschutzbeauftragten sind dabei insbesondere die folgenden Risiken hervorzuheben:
- Personenbezogenen Daten könnten wegen einer nicht korrekten Eingabe der Zielfaxnummer Dritten unbefugt offenbart werden.
- Der Absender hat in der Regel keine Informationen zur Empfängerseite, z.B. wo ein etwaiges Empfangsgerät steht und wer Zugang zu diesem hat.
- Bei der heutzutage weit überwiegend genutzten paketvermittelten Übertragungsmethode als Fax over IP (FoIP) über das Internet, oder bei der Nutzung von Diensten, die Faxe automatisiert in E-Mails umwandeln, werden die Daten in der Regel nicht verschlüsselt und damit ungeschützt übertragen. Durch die Übertragung über mehrere verteilte Zwischenstellen besteht dabei grundsätzlich eine Zugriffsmöglichkeit für unbefugte Dritte.
Die Übermittlung von personenbezogenen Daten mittels Telefax ist daher mit dem Risiko der Verletzung des Grundsatzes der Vertraulichkeit verbunden. Nach Ansicht des Hessischen Datenschutzbeauftragten sollten:
„personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, daher grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert sind.“
Als zusätzliche Schutzmaßnahme kommt dabei vor allem der Einsatz standardisierter Verschlüsselungstechnologien für den Verbindungsaufbau und die Übertragung von Daten in Betracht. Daneben besteht jedoch auch die Möglichkeit als Verantwortlicher auf die bestehenden Risiken beim Faxversand hinzuweisen und sich für etwaige Übermittlungen eine den Anforderungen der DSGVO entsprechende Einwilligung der betroffenen Personen einzuholen.
Ausnahmen und alternative Kommunikationsmittel
In Ausnahmefällen könne das Faxgerät nach Ansicht des Hessischen Datenschutzbeauftragten dennoch als Kommunikationsmittel genutzt werden. Dies gelte jedoch nur, wenn bspw. die besondere Eilbedürftigkeit der Information die Übermittlung erforderlich mache und darüber hinaus sichergestellt ist, dass die Sendung nur dem richtigen Empfänger zugeht. In diesem Fall könne sogar auch die Übersendung besonders schutzbedürftiger personenbezogener Daten mittels Fax rechtmäßig sein. Diese Ausnahme soll jedoch nur dann gelten, wenn kein alternatives, datenschutzkonformes Kommunikationsmittel zur Verfügung steht. Als alternative Kommunikationsmittel kommen u.a. die folgenden in Betracht:
- Versand inhaltsverschlüsselter E-Mail-Nachrichten (PGP oder S/MIME)
- DE-Mail
- bereichsspezifische digitale Kommunikationsdienste, z. B.:
Infrastruktur des elektronischen Rechtsverkehrs (EGVP/beA/beN/beBPo) über die Infrastruktur des Elektronischen Gerichts- und Verwaltungspostfachs (EGVP) können in den Varianten besonderes elektronisches Anwaltspostfach (beA), besonderes Notarpostfach (beN) sowie besonderes Behördenpostfach (beBPo) Nachrichten verschlüsselt und mit einer qualifizierten elektronischen Signatur versehen übertragen werden.
Auswirkungen für die Praxis
Der Hessische Datenschutzbeauftragte geht im Rahmen seiner Stellungnahme damit noch über die Ansicht des Bremer Datenschutzbeauftragten hinaus. Unzulässig ist demzufolge nicht nur die Nutzung von Fax-Diensten zur Übertragung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO. Bereits die Übermittlung sensibler personenbezogener Daten kann gegen die DSGVO verstoßen. Dies sei nur dann zu verneinen, wenn ein Ausnahmefall angenommen werden kann. Ob der erneute Hinweis auf die Gefahr der Verletzung des Schutzes personenbezogener Daten im Rahmen der Nutzung von Faxgeräten zu einem Wandel führen kann, wird sich in Zukunft zeigen.
Ein sehr gelungener Artikel. Allerdings haben Sie bei der Auflistung die Portallösungen zum sicheren Austausch, welche mittlerweile verstärkt Anklang finden, vergessen (oder bewusst weggelassen).
Der HBDI setzt seine kommunizierte Einschätzung zum Fax übrigens selbst konsequent um: In einer Pressemeldung vom 14.09.2021 teilt der HBDI mit, dass die hessische Aufsichtsbehörde nicht mehr per Fax erreichbar sein möchte und daher sämtliche Faxnummern von der Webseite sowie von allen Briefköpfen etc. entfernt hat (https://datenschutz.hessen.de/pressemitteilungen/faxnummern-von-der-homepage-genommen).
Vielen Dank für die absolut richtige Ergänzung zu den Portallösungen. Die Auflistung der möglichen Ausnahmen ist nur beispielhaft und erfasst nicht alle in Betracht kommenden alternativen Kommunikationsmittel.
Den Ausfall sämtlicher Faxgeräte in einem Krankenhaus würde ich als ISB als erheblichen Sicherheitsvorfall bei der Erbringung der kritischen Dienstleistung bewerten – so viel zur Realität beim Thema Fax!
Sehr informativ. Bei den alternativen Mitteln sollte zumindest in Zukunft das eBO (elektronische Bürger- und Organisationenpostfach) hinzukommen. Wie lässt sich bei einem Fax das Rubum (enthält Firmenname und/oder Nachname der Perteien) zu einem Gerichtsfall einschätzen?
Nach den Ausführungen des Hessischen Datenschutzbeauftragten ist das entscheidende Kriterium die Sensibilität der personenbezogenen Daten, die mittels Fax übermittelt werden. Geschützt werden sollen demnach solche Datenkategorien, die bereits aufgrund des inhärenten Aussagegehalts besondere Risiken für die Betroffenen mit sich bringen. Hinsichtlich der Informationen, die dem Rubrum zu entnehmen sind, ist die besondere Sensibilität im Ergebnis wohl eher abzulehnen.
Vielen Dank für Ihre Einschätzung. :)
Ich erhalte regelmäßig, mehrfach im Jahr, von Postboten (Zustellern) falsch zugestellte, für einen Dritten (z.B. Nachbarn) bestimmte Briefsendungen in meinen Briefkasten. Sollte ich dann nicht auch auf den Postversand verzichten und stattdessen auf ‚reitende Boten‘, Brieftauben oder ähnliche Hilfsmittel zurückgreifen? ;-) Im Ernst: Wenn ich ein Fax mit schützenswerten Daten an das Fax eines Adressaten sende, auf das mehr als diese Person Zugriff hat, rufe ich vorher an und stimme den Faxversand ab. Das geht natürlich nicht in allen Fällen…
Interessant es zu bemängeln aber dann keine Taten folgen zu lassen. Man nehme einen x-beliebigen Arzt, ein Krankenhaus, der gesamte Pflegebereich und schaut sich den dortigen Ablauf an. Dann viel Spaß beim böse Briefe schreiben!!!
Sehr schöner Artikel, der die „Diversität“ unserer Aufsichtbehörden wiederspiegelt. Auf meine Nachfrage bei der Bayerischen Aufsichtsbehörde zum Thema Fax und sensible Daten erhält man die Antwort, Risko JA, aber aushaltbar, es käme ja bald das im Telematik-System angekündigte Arzt-Arzt-Austauschsystem.
Also, koletaral Schäden sind hinnehmbar, solange bis die seit über 10 Jahren anhaltende Never-ending-story zum rumgebastelteltem Telematik-System zu Ende ist.
Diese strotzende Diversität der Aufsichtsbehörden erzeugt dann Stilblüten, dass manch eifriger Datenschutzbeauftragte von anderen Arztpraxen eine Bestätigung verlangt, dass das Faxgerät nur Befugten zugänglich ist, andernfalls würde kein Befund mehr übertragen werden. Kopfschütteln über beide Seiten.