Nutzung von Fax-Diensten bei sensiblen Daten unzulässig

Fax

Seit der offiziellen Einführung des Faxdienstes in Deutschland durch die damalige Deutsche Bundespost sind mehr als 40 Jahre vergangen. Der Faxdienst wird in Deutschland damit fast genauso lange genutzt, wie es Videotext (Teletext) gibt. Beide Dienste erfreuen sich in Deutschland eines Nutzerkreises in Millionenhöhe.

Geht es nach dem Willen der deutschen Datenschutz-Aufsichtsbehörden geht es einem der Dienste bald an den Kragen. Ein Hinweis darauf, dass das Ende des Faxdienstes besiegelt sein dürfte, sind die regelmäßigen kritischen Äußerungen diverser Aufsichtsbehörden. Auch wenn es so kommen sollte, wird das Fax Dienste wie De-Mail um Jahre überlebt haben.

Ansicht des BayLfD
So äußert sich der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) über den lieb gewordenen Dienst wie folgt:

„[..] Im Gegensatz zur Briefpost handelt es sich beim Telefax um eine Art offener Zustellung. Deshalb müssen bei einem Versand von personenbezogenen Daten per Fax Maßnahmen getroffen werden, die verhindern, dass bei der Übertragung diese Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können. So kommt es beispielsweise immer wieder zu Fehlübertragungen [..].“

Der BayLfD resümiert, dass „insbesondere bei der Übertragung von Telefaxen mit besonders schutzwürdigem Inhalt (sensible personenbezogenen Daten wie Sozial-, Steuer-, Personal- oder medizinische Daten) eine Fehlzustellung gravierende Folgen für den Absender, Empfänger und Betroffene haben kann. Deshalb sollte zumindest in diesen Fällen eine unverschlüsselte Datenübertragung untererbleiben.“

Ansicht der LfDI Bremen
Auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen sieht die Nutzung des Faxdienstes kritisch:
“ […] Fax-Dienste enthalten in der Regel keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet. Die Bremische Verwaltung geht davon aus, bis Ende 2022 alle Faxgeräte durch sicherere Technologien abgelöst zu haben. Bis dahin sind ihre Beschäftigten gehalten, die Faxtechnik nicht mehr für die Übermittlung personenbezogener Daten zu verwenden.“

Das Fazit der Aufsichtsbehörde aus Bremen steht auf der gleichen Linie wie die Einschätzung ihres Kollegen aus Bayern:
Zur Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der DS-GVO ist die Nutzung von Fax-Diensten unzulässig.
Für den Versand personenbezogener Daten müssen daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post genutzt werden.


Ansicht des HBfDI
Die aktuellste Warnung einer Aufsichtsbehörde zum Thema Faxnutzung kommt aus Hessen. Auch dort wird das Ende des Faxdienstes zumindest in Zusammenhang mit personenbezogen Daten im Sinne von Art. 9 DS-GVO eingeläutet:
“ [..] Insbesondere dann, wenn personenbezogene Daten einen hohen Schutzbedarf aufweisen, kann die Übermittlung per unverschlüsseltem Fax einen Verstoß gegen Art. 5 Abs. 1 lit. f und Art. 32 DS-GVO darstellen.
Die DS-GVO verpflichtet Verantwortliche daher, das Fax als Kommunikationsmittel auf den Prüfstand zu stellen und zur schnellen und datenschutzkonformen Kommunikation auf andere digitale Lösungen umzustellen.

Ausnahmen von diesem Grundsatz werden nur in Fällen akzeptiert, wenn z. B. die besondere Eilbedürftigkeit dies erforderlich macht und sichergestellt ist, dass die Sendung nur dem richtigen Empfänger zugeht (z.B. gespeicherte Zielnummern). Dann könne auch die Versendung besonders schutzbedürftiger personenbezogener Daten mittels Fax rechtmäßig sein. Dies gelte aber nur dann, wenn kein alternatives, datenschutzkonformes Kommunikationsmittel genutzt werden könne und dem Verantwortlichen insofern kein alternatives Kommunikationsmittel zur Verfügung steht.

Denkbar sei darüber hinaus auch, dass Verantwortliche auf die bestehenden Risiken beim Faxversand hinweisen und sich für etwaige Übermittlungsvorgänge eine den Anforderungen der DS-GVO entsprechende Einwilligung der hiervon betroffenen Personen einholen.

Ansicht des LfDI Meckelenburg-Vorpommern
Dass das von den Aufsichtsbehörden skizzierte Risiko nicht aus der Luft gegriffen ist, ist bspw. auch in 14. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern nachzulesen. Der Landesbeauftragte sprach in dem Berichtszeitraum gegen das OLG Rostock eine Verwarnung aus, weil dort die Datensicherheit bei der Nutzung des Telefax-Gerätes nicht eingehalten wurde. Eine Bürgerin hatte dem Landesbeauftragten mitgeteilt, dass in zwei Fällen irrtümlich Beschlüsse des OLG in Strafsachen anderer Personen auf ihrem Faxgerät angekommen waren. Es handelte sich um die vollständigen Beschlüsse in Strafvollstreckungsverfahren wegen Totschlags und anderer Delikte.

Im Gegensatz zur Briefpost handele es sich beim Telefax um eine Art offener Zustellung. Deshalb müsse bei einem Versand von personenbezogenen Daten per Fax Maßnahmen getroffen werden, die verhindern, dass bei der Übertragung dieser Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden kann. Die Verantwortlichen sollten vor dem Versand von schutzwürdigen Daten mit dem Telefax-Dienst prüfen, ob diese Versandart wirklich erforderlich ist und nicht eine andere Versandart angemessener ist, so der LfDI aus Mecklenburg-Vorpommern.

Ansicht des OVG Lüneburg
Die Aufsichtsbehörden stehen mit ihrer Kritik nicht alleine. Flankiert wird diese Ansicht auch durch Gerichtsurteile. So hat das OVG Lüneburg (11 LA 104/19) festgestellt, dass eine Behörde bei der Übermittlung von personenbezogenen Daten per Fax zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen zu treffen hat. Welches Schutzniveau dabei einzuhalten ist, richte sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand. Im vorliegenden Fall wurde die Übermittlung per Fax als rechtswidrig eingestuft.

(Foto: suksawad – stock.adobe.com)






Letztes Update:15.09.21

  • Datenschutzverletzungen richtig behandeln

    Datenschutzverletzungen richtig behandeln

    Seminar

    678.60 € Mehr erfahren
  • Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz

    Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz

    Online-Schulung

    1368.80 € Mehr erfahren
  • Datenschutz in medizinischen Einrichtungen

    Datenschutz in medizinischen Einrichtungen

    Seminar

    574.20 € Mehr erfahren
  • BayLfD informiert über Cookie-Einwilligungen

    Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) informiert unter seiner Rubrik „Aktuelle Kurz-Information“ zum Thema Cookie-Einwilligungen. Webseiten haben eine enorme Bedeutung für die Außendarstellung von Unternehmen. Zugleich bieten sie vielfältige Möglichkeiten, Daten über Nutzerinnen und Nutzer zu sammeln und zu verwerten. Die Datenschutz-Grundverordnung (DS-GVO) und die E-Privacy-Richtlinie sehen Regelungen vor, welche dabei die Rechte der

    Mehr erfahren
  • Digitaler Ersthelfer

    BSI bietet Qualifikation als Digitaler Ersthelfer

    Um die Unfallgefahr am Arbeitsplatz möglichst gering zu halten, sind die Deutsche Gesetzliche Unfallversicherung (DGUV) und ihre Träger zu Maßnahmen verpflichtet, die der Unfallprävention dienen. Im Rahmen der Arbeitsplatzsicherheit sind sie unter anderem durch § 23 Absatz 2 des Siebten Sozialgesetzbuchs (SGB VII) für die Aus- und Fortbildung betrieblicher Ersthelfer zuständig. Ersthelfer im Betrieb sind Pflicht. Ersthelfer ersetzen nicht den Arzt, sie können aber

    Mehr erfahren
  • Aufsichtsbehörde goes legal tech

    Würde eine Auszeichnung „Innovativste Deutsche Datenschutz-Aufsichtsbehörde“ existieren, stünde der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) ganz weit oben auf der Anwärter-Liste für diesen noch nicht existierenden Preis. TwitterBereits November 2017 richtete der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI), Dr. Stefan Brink, einen Twitter-Account für seine Behörde ein und twitterte mit großem

    Mehr erfahren