Der Thüringer Landesdatenschutzbeauftragte (TLfDI) setzte sich in einer Pressemitteilung vom 20. Februar 2024 intensiv mit der Datenübermittlung per Telefax auseinander. Laut des TLfDI gilt das Telefax grundsätzlich nicht als sicheres Transportmittel. In diesem Artikel gehen wir näher auf diese Einschätzung und die umfangreiche Diskussion rund um das Faxgerät ein.
Der Inhalt im Überblick
- Das Ende der Fax-Ära in der öffentlichen Verwaltung?
- Der Thüringer Datenschutzbeauftragte: Faxnutzung nur in Ausnahmefällen vertretbar
- Risiken der Faxkommunikation
- Was haben deutsche Aufsichtsbehörden dazu gesagt?
- Ein differenzierter Blick auf das Fax
- Anforderungen an Faxgeräte und Faxserver nach BSI
- Sichere Alternativen ist zu empfehlen
Das Ende der Fax-Ära in der öffentlichen Verwaltung?
Angestoßen wurde die Diskussion erneut durch Äußerungen aus Bayern, speziell von Fabian Mehring, dem bayerischen Staatsminister für Digitales. Mehring forderte im Dezember 2023 lautstark ein Verbot von Faxgeräten in der öffentlichen Verwaltung und verkündete, dass er „das Faxen dicke“ habe. Ein grober Zeitplan für den Übergang wurde vor ein paar Tagen vorgestellt, doch detaillierte Maßnahmen und ein ausführlicher Zeitplan bleiben noch abzuwarten.
Der Thüringer Datenschutzbeauftragte: Faxnutzung nur in Ausnahmefällen vertretbar
Lutz Hasse, der bis zum 1. März 2024 amtierende Thüringer Datenschutzbeauftragte, der dann von Tino Melzer abgelöst wurde, sieht die Datenübermittlung per Telefax grundsätzlich als unsicher an.
Die Datenschutzbehörde begründet ihre Haltung damit, dass der Schutz der Daten auf dem Übertragungsweg nicht garantiert werden kann. Besonders problematisch ist die fehlende Verschlüsselung von Faxen auf ihrem Weg sowie die Gefahr der falschen Adressierung und des Zugriffs durch Unbefugte.
„Die Verantwortlichen des Senders und des Empfängers von Telefaxnachrichten müssen gemäß Art. 32 Abs. 1 DS-GVO i. V. m. Art. 5 Abs. 1 Buchst. f) DS-GVO sicherstellen, dass nur befugte Personen die Faxe versenden und gesendete Faxnachrichten entgegennehmen, d. h. der Verantwortliche muss sicherstellen, dass verwendete und empfangene Faxnachrichten nicht in die Hände von unbefugten Dritten gelangen (bspw. durch falsche Adressierung und/oder Zugang unbefugter Personen zum Faxgerät). Zudem sind Faxe auf dem Transportweg überhaupt nicht verschlüsselt.“
Ausnahmen sieht die Aufsichtsbehörde insbesondere bei Dringlichkeit und wenn der Schutz der Gesundheit und die Sicherung von Leib und Leben der Betroffenen das Risiko einer möglichen Datenschutzverletzung überwiegen.
Risiken der Faxkommunikation
Der Bayerische Landesbeauftragte für den Datenschutz hebt in einem Arbeitspapier mehrere Risiken der Faxkommunikation hervor:
Versand an falsche Empfänger
Die Möglichkeit eines Fehlversands durch Eingabe einer falschen Faxnummer ist ein bekanntes Risiko. Dies kann durch einfaches Vertippen oder die Verwendung veralteter bzw. fehlerhaft hinterlegter Rufnummern verursacht werden, was zur unbeabsichtigten Übermittlung sensibler Informationen an die falschen Empfänger führen kann.
Unbefugtes Mitlesen auf dem Übertragungsweg
Mit der Umstellung vieler Telefonverbindungen auf VoIP-Technologie erhöht sich das Risiko, dass Faxdaten über das öffentliche Internet und möglicherweise unverschlüsselt übertragen werden. Dies ermöglicht es Hackern, die Daten während der Übertragung abzufangen. Selbst wenn die Übertragung ausschließlich über die Netze des Telefonanbieters erfolgt, besteht bei einer unverschlüsselten Übertragung die Möglichkeit, dass der Anbieter selbst auf die Inhalte zugreifen kann.
Unbefugter Zugriff auf ausgedrucktes Fax
Faxgeräte oder Multifunktionsgeräte, die in Büros oder Haushalten eingehende Faxe sofort ausdrucken, sind oft frei zugänglich platziert. Dies erhöht das Risiko, dass Personen ohne Berechtigung Zugriff auf die ausgedruckten Informationen erhalten. Dieses Risiko besteht besonders in Umgebungen, in denen mehrere Mitarbeiter oder Haushaltsmitglieder Zugang zu dem Gerät haben.
Was haben deutsche Aufsichtsbehörden dazu gesagt?
Mehrere Datenschutzaufsichtsbehörden haben sich mittlerweile gegen die Nutzung von Faxgeräten aus Datenschutzgründen ausgesprochen, da diese nicht DSGVO-konform sei.
Bereits im Juni 2021 teile die Bremer Datenschutzbeauftragte mit, dass der Einsatz des Telefaxes nicht datenschutzkonform möglich sei. Kern des Problems ist, dass Fotokopierer mit Fax-Funktion oder Fax-Server reale Faxgerät mittlerweile abgelöst hätten. Diese wandeln die eingehenden Faxe in eine E-Mail um. Dabei hat der Absender keine Kontrolle darüber, ob und wie diese E-Mails auf der Empfangsseite verschlüsselt werden. Die Verschlüsselung kann von den Absendern nicht erzwungen werden, was bedeutet, dass die Vertraulichkeit der übertragenen Daten nicht gewährleistet ist. Die Übermittlung per Fax sei vergleichbar mit der unverschlüsselten E-Mail. Die Bremer Verwaltung plante daraufhin, bis Ende 2022 alle Faxgeräte durch sicherere Technologien zu ersetzen, wobei heute nur noch etwa 250 Geräte für Notfälle im Einsatz sind.
In einer Stellungnahme teilte die hessische Datenschutzaufsicht mit, dass die Übermittlung personenbezogener Daten per unverschlüsseltem Fax gegen die Artikel 5 Abs. 1 lit. f und 32 der DSGVO verstoßen kann, da dies zu einem Verlust der Vertraulichkeit führen könnte.
Diese Sichtweise ist kein isoliertes Phänomen. Datenschutzaufsichtsbehörden anderer Bundesländer wie Mecklenburg-Vorpommern, NRW und BayLfD haben sich ähnlich positioniert, was die grundsätzliche Kritik an der Sicherheit der Faxkommunikation betrifft. Im Wesentlichen hat sich die Kritik trotz Einführung der DSGVO nicht verändert.
Ein differenzierter Blick auf das Fax
Die Gleichsetzung des Telefax mit einer unverschlüsselten E-Mail wird von einigen Behörden vorgenommen, jedoch sieht die Kirchliche Datenschutzaufsicht-Ost (KDSA-Ost) wesentliche Unterschiede zwischen diesen beiden Datenübertragungsmethoden, insbesondere hinsichtlich der Übertragungswege und Speicherorte der Daten.
Im Gegensatz dazu durchqueren E-Mails auf ihrem Weg mehrere Zwischenstationen, darunter verschiedene Server, was die Risiken in Bezug auf die Datensicherheit erhöht. Dies unterstreicht die Notwendigkeit einer Verschlüsselung bei der Übermittlung sensibler Inhalte per E-Mail, um den Datenschutz zu gewährleisten. Während Faxe als Klartext und somit als „Original-Kopie“ beim Empfänger ankommen, erlauben E-Mail-Protokolle die Verschlüsselung der Inhalte, sodass nur autorisierte Empfänger Zugang zum tatsächlichen Inhalt haben (Tätigkeitsbericht von 2020 S. 85 ff.)
Vor diesem Hintergrund sieht die KDSA-Ost das Telefax, trotz seiner technologischen Grenzen und der Unmöglichkeit zur Verschlüsselung, als ein unter bestimmten Umständen sicheres Übertragungsmittel an, insbesondere wenn fortschrittliche Protokolle wie T.38 mit ECM zur Anwendung kommen. Die Behörde lehnt daher die allgemeine Aussage ab, dass der Versand von Telefaxen grundsätzlich datenschutzrechtlich unzulässig sei.
Anforderungen an Faxgeräte und Faxserver nach BSI
In ihrer jüngsten Pressemitteilung weist die TLfDI darauf hin, die Hinweise des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bezüglich der Nutzung von Faxgeräten und Faxservern zu beachten.
Basis-Anforderungen
Nach BSI müssen die Basis-Anforderungen für den Baustein NET.4.3 Faxgeräte und Faxserver vorrangig erfüllt werden:
- Aufstellung von Faxgeräten:
Faxgeräte sind so zu positionieren, dass unbefugte Personen keinen Einblick in oder Zugriff auf eingehende Faxsendungen haben. - Informationen für Mitarbeitende über die Faxnutzung:
Alle Mitarbeiter müssen über die spezifischen Risiken und Verfahrensweisen der Faxkommunikation informiert werden. - Sicherer Betrieb eines Faxservers:
Eine Testphase vor der Inbetriebnahme eines Faxservers ist unerlässlich, ebenso die Dokumentation aller Konfigurationen. Der Umgang mit Faxdaten muss eindeutig geregelt, regelmäßige Funktionstests der Verbindung zum Telefonnetz durchgeführt, und der Faxserver ausschließlich für Fax-Dienste genutzt werden. Unnötige Funktionen und Zugänge sind zu deaktivieren.
Zusätzlich zu den Basis-Anforderungen definiert das BSI weitere Empfehlungen, die dem aktuellen Stand der Technik entsprechen und grundsätzlich umgesetzt werden sollten:
- Sicherheitsrichtlinien für Faxnutzung:
Erstellung einer Richtlinie, die den sicheren Umgang mit Faxgeräten und -servern regelt. - Bewertung vor Anschaffung:
Vor dem Kauf von Faxgeräten oder -servern sollte eine Liste mit technischen und sicherheitsrelevanten Anforderungen erstellt und potenzielle Systeme oder Komponenten daraufhin bewertet werden. - Kenntlichmachung ausgehender Faxsendungen:
Jede ausgehende Faxsendung sollte klar den Absender und den intendierten Empfänger ausweisen. - Entsorgung:
Für Fax-Verbrauchsmaterialien und -Ersatzteile sollten geeignete Entsorgungsverfahren etabliert werden. - Protokollierung:
Die Übertragungsvorgänge aller ein- und ausgehenden Faxsendungen sollten erfasst werden. - Überprüfung programmierbarer Tasten:
Kurzwahltasten und gespeicherte Zieladressen sollten regelmäßig auf ihre Aktualität und Korrektheit hin überprüft werden.
Sichere Alternativen ist zu empfehlen
Die Nutzung des Faxgeräts kann lediglich in Notfällen vertretbar angesehen werden und sollte stets nach sorgfältiger Abwägung der damit verbundenen Datenschutzrisiken sowie unter Berücksichtigung der spezifischen Umstände jedes einzelnen Falls erfolgen. In diesem Zusammenhang sind die Anforderungen der BSI zu beachten. Generell wird empfohlen, vom Gebrauch des Faxgeräts abzusehen und stattdessen sicherere Kommunikationsmittel wie den verschlüsselten E-Mail-Verkehr (mit Ende-zu-Ende-Verschlüsselung) oder den postalischen Weg, der das Briefgeheimnis gewährleistet, zu nutzen.
„Anforderungen an Faxgeräte und Faxserver nach BIS“ ist hier „BIS“ richtig oder meinen sie BSI? Das BIS wird innerhalb ihres Artikels noch mehrfach erwähnt.
Danke für den Hinweis. Haben wir korrigiert.
Häufig gilt: Fax = (unverschlüsselte) E-Mail! Weil richtige Faxgeräte am Telefonanschluss selten werden.
Oft werden schon auf der Absenderseite Faxe als E-Mail eingesammelt, z. B. als Mail an Faxdienste geschickt, mit der Empfänger-Faxnummer im Betreff. Manchmal an externe Faxdienste. Mit schwacher Transportverschlüsselung.
Faxe werden auf Telefonleitungen übertragen, die inzwischen mit SIP über Internetverbindungen laufen. Sichere Übertragungsprotokolle werden nur verwendet, wenn Absender- und Empfängerfax richtig eingestellt sind.
Bei den Empfängern könnten keine Faxgeräte stehen, sondern Faxserver die Faxe annehmen. Faxe ausdrucken, oder über ein spezielles Protokoll am Computer anzeigen, oder in E-Mails umwandeln. Manchmal wieder auf dem Umweg über einen externen Diennst. Nicht unbedingt verschlüsselt.
Sichere Faxe nutzen eher „zufällig“ ein gutes Protokoll und werden nur vom richtigen Empfänger gelesen. Im schlimmsten Fall laufen sie bis zu 3 x als unverschlüsselte Mails über externe Dienste. Wenn die nichts kosten, ist damit zu rechnen, dass sie sich für die Metadaten und den Inhalt interessieren.
D., der keine Faxnummer mehr hat.
Wo liegt das Problem?
Und wo der Unterschied zu einem Email- Versand?
Dieser ist ebenfalls nicht verschlüsselt und hat gleichen „Probleme“ bei der Sendeperson, als auch der Empfangsperson.
Ebenso der Datenverkehr über Telefone.
Die Gründe sind unplausibel und wohl dem Umstand geschuldet, dass diese Posten mit links-grünen Parteisoldaten besetzt sind, die sich wichtig machen wollen.
Ich denke darum geht es den Datenschutzbehörden durch die Veröffentlichungen: Darauf hinzuweisen, dass Telefon und Fax endgültig nicht mehr analog sind und eine ehemals auf diesen Umstand gestützte Privilegierung bei der Datensicherheit somit nicht mehr zu halten ist. Vielmehr richten sich die Anforderungen auch hier genauso wie bei der E-Mail nach Art. 32 DSGVO (Siehe dazu auch die Vorgaben der DSK beim E-Mail-Versand). Anstatt auf Biegen und Brechen zu versuchen, die Faxübertragung abzusichern, empfiehlt man lieber gleich die E-Mail einzusetzen. Ein Blick in die Tätigkeitsberichte der Aufsichtsbehörden zeigt zudem, dass der Fehlversand – egal, ob von Faxen, E-Mails oder Post – jedes Jahr zu den am häufigsten gemeldeten Datenpannen zählt. Daher wohl der Hinweis darauf. Übrigens der BayLfD wurde von der FDP vorgeschlagen und seitdem von der CSU wieder aufgestellt, der hessische Datenschutzbeauftragte wurde unter einer CDU geführten Regierung entgegen den Stimmen der SPD gewählt und der Thüringer LfDI mit Stimmen der CDU in der ersten und Stimmen der AfD in der zweiten Amtszeit gewählt. So viel zu Ihrer Theorie mit dem Parteibuch.
Da geht mir fast der Hut hoch wenn ich soetwas lese.
Wer so argumentiert wie hier die vermeidlich „Schlauen“ und „Allwissenden“, die hier auch genannt werden,
wundert es mich nicht, dass wir in Deutschland nicht mit der Digitalisierung voran kommen,
Denn wer soviel Kompetenz besitzt und dann noch in solch hohen Äntern seinen Mittagsschlaf halten kann…
Denn mit solchen oberflächlichen Argumenten sind alle Übertragungsmedien „UNSICHER“,
Warum sind dann alle Übertragungsarten Unsicher?
– Na wenn man die Sicherheit eben nicht nutzt die es gibt, nur weil man sie nicht kennt, dann kann es eben nur Unsicher sein:
Beispiele gefällig?
Versand an falsche Empfänger
Kann vermieden werden wenn
1. der Sicherheitsbeauftragte regelmäßig die Adressbücher auf dem laufenden hält und die Menschen 2 mal die Nummer prüfen.
2. Die Faxgeräte so eingestellt werden das Faxe nur an Empfänger übertragen werden deren Kennung (das ist die Fax Nummer) auch der gesendeten Fax Nummer entspricht.
3. oder das nur Faxnummer gewählt werden dürfen die im Telefonbuch des Fax gespeichert sind
4. …
Unbefugtes Mitlesen auf dem Übertragungsweg
1. wer hat denn die Telekon privatisiert und dazu beigetragen das es nur noch VoIP gibt?
Hätte man für Faxgeräte die Telefonleitungen beibehalten, gäbe es noch einen echten Notruf und Direktverbindungen die nicht ohne weiteres abgehört werden konnten, naja, zumindest solange wie niemand in die Verteilerschränke kam…
2. Aber es gibt auch für Fax Vorschaltgeräte, die Verschlüsseln können. Die Botschaften hattes soetwas oft.
Unbefugter Zugriff auf ausgedrucktes Fax
1. Ein Fax kann durchaus mit einem Passwort versehen werden das erst eingegeben werden muss bevor es ausgedruckt wird.
2. Ein Fax kann auch im Speicher des Fax gehalten werden bis eine befugte Person den Ausdruck ermöglicht – mit Zugangscode
3. Ein Fax kann in eine Private Box im Fax versendet werden, sodass ausschließlich die Person mit Zugang zur Box das Fax drucken kann.
Und man sollte auch nicht vergessen, man hat seit Jahrzehnten keinen Cent mehr in Fax investiert um es den Anforderungen der DSGVO anzupassen, was auch nicht wirklich nötig war wie oben beschrieben, wenn man es jedoch für wichtig gehalten hätte Sicherheit im Fax zu bewirken, hätte es die zum Teil gegeben und wenn gewollt hätte auch implementieren können. Auf Fax Server und Fax Seite…
Man sieht also es ist nicht perfekt, doch es gibt zumindest einige „uralt“ Ansätze um einer DSGVO zu entsprechen, doch wenn man das alles nicht kennt und dann per se unwissentlich behauptet das Fax unsicher ist, weil alt,
dann frage ich mal, wie sicher ist denn der Google oder Apple account bei diesen Menschen für die Privaten accounts gesichert?
Und wenn selbst Menschen die eigentlich Tag täglich sich mit Sicherheit umgeben und nutzen solche einfachen Funktionen nicht kennen oder nicht nutzen nur um ein altes Medium schlecht zu machen, dann sträuben sich mir die Haare.
Denn wenn Taurus Informationen über eine nicht gesicherte Telefonleitung fast wissentlich veröffentlicht werden, dann wundert mich fast nichts mehr.
Einer der selbst seit langem kein Fax mehr versendet hat,
aber sich selbst zu den „eher“ wissenden und wissbegierigen zählt.
Ich bin für das „Faxen“!
Warum? Solange immer noch der Transportweg als unsicheres Medium dargestellt wird und wir immer noch fröhlich und ungezwungen telefonieren, kann das Faxen gar nicht unsicher sein.
Warum? Weil beim Faxen die gleiche Technik zur Übertragung genutzt wird, wie beim Telefonieren.
Wenn die Thüringer Aufsichtsbehörde ihr Telefonnummern abschaltet, dann denke ich darüber nach, keine Faxe mehr zu versenden.
Bitte bedenken sie diesen Umstand, wenn Sie über das Thema Faxen nachdenken.