Nutzung von Fax-Diensten bei sensiblen Daten unzulässig

Fax

Seit der offiziellen Einführung des Faxdienstes in Deutschland durch die damalige Deutsche Bundespost sind mehr als 40 Jahre vergangen. Der Faxdienst wird in Deutschland damit fast genauso lange genutzt, wie es Videotext (Teletext) gibt. Beide Dienste erfreuen sich in Deutschland eines Nutzerkreises in Millionenhöhe.

Geht es nach dem Willen der deutschen Datenschutz-Aufsichtsbehörden geht es einem der Dienste bald an den Kragen. Ein Hinweis darauf, dass das Ende des Faxdienstes besiegelt sein dürfte, sind die regelmäßigen kritischen Äußerungen diverser Aufsichtsbehörden. Auch wenn es so kommen sollte, wird das Fax Dienste wie De-Mail um Jahre überlebt haben.

Ansicht des BayLfD
So äußert sich der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) über den lieb gewordenen Dienst wie folgt:

„[..] Im Gegensatz zur Briefpost handelt es sich beim Telefax um eine Art offener Zustellung. Deshalb müssen bei einem Versand von personenbezogenen Daten per Fax Maßnahmen getroffen werden, die verhindern, dass bei der Übertragung diese Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können. So kommt es beispielsweise immer wieder zu Fehlübertragungen [..].“

Der BayLfD resümiert, dass „insbesondere bei der Übertragung von Telefaxen mit besonders schutzwürdigem Inhalt (sensible personenbezogenen Daten wie Sozial-, Steuer-, Personal- oder medizinische Daten) eine Fehlzustellung gravierende Folgen für den Absender, Empfänger und Betroffene haben kann. Deshalb sollte zumindest in diesen Fällen eine unverschlüsselte Datenübertragung untererbleiben.“

Ansicht der LfDI Bremen
Auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen sieht die Nutzung des Faxdienstes kritisch:
“ […] Fax-Dienste enthalten in der Regel keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet. Die Bremische Verwaltung geht davon aus, bis Ende 2022 alle Faxgeräte durch sicherere Technologien abgelöst zu haben. Bis dahin sind ihre Beschäftigten gehalten, die Faxtechnik nicht mehr für die Übermittlung personenbezogener Daten zu verwenden.“

Das Fazit der Aufsichtsbehörde aus Bremen steht auf der gleichen Linie wie die Einschätzung ihres Kollegen aus Bayern:
Zur Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der DS-GVO ist die Nutzung von Fax-Diensten unzulässig.
Für den Versand personenbezogener Daten müssen daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post genutzt werden.


Ansicht des HBfDI
Die aktuellste Warnung einer Aufsichtsbehörde zum Thema Faxnutzung kommt aus Hessen. Auch dort wird das Ende des Faxdienstes zumindest in Zusammenhang mit personenbezogen Daten im Sinne von Art. 9 DS-GVO eingeläutet:
“ [..] Insbesondere dann, wenn personenbezogene Daten einen hohen Schutzbedarf aufweisen, kann die Übermittlung per unverschlüsseltem Fax einen Verstoß gegen Art. 5 Abs. 1 lit. f und Art. 32 DS-GVO darstellen.
Die DS-GVO verpflichtet Verantwortliche daher, das Fax als Kommunikationsmittel auf den Prüfstand zu stellen und zur schnellen und datenschutzkonformen Kommunikation auf andere digitale Lösungen umzustellen.

Ausnahmen von diesem Grundsatz werden nur in Fällen akzeptiert, wenn z. B. die besondere Eilbedürftigkeit dies erforderlich macht und sichergestellt ist, dass die Sendung nur dem richtigen Empfänger zugeht (z.B. gespeicherte Zielnummern). Dann könne auch die Versendung besonders schutzbedürftiger personenbezogener Daten mittels Fax rechtmäßig sein. Dies gelte aber nur dann, wenn kein alternatives, datenschutzkonformes Kommunikationsmittel genutzt werden könne und dem Verantwortlichen insofern kein alternatives Kommunikationsmittel zur Verfügung steht.

Denkbar sei darüber hinaus auch, dass Verantwortliche auf die bestehenden Risiken beim Faxversand hinweisen und sich für etwaige Übermittlungsvorgänge eine den Anforderungen der DS-GVO entsprechende Einwilligung der hiervon betroffenen Personen einholen.

Ansicht des LfDI Meckelenburg-Vorpommern
Dass das von den Aufsichtsbehörden skizzierte Risiko nicht aus der Luft gegriffen ist, ist bspw. auch in 14. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern nachzulesen. Der Landesbeauftragte sprach in dem Berichtszeitraum gegen das OLG Rostock eine Verwarnung aus, weil dort die Datensicherheit bei der Nutzung des Telefax-Gerätes nicht eingehalten wurde. Eine Bürgerin hatte dem Landesbeauftragten mitgeteilt, dass in zwei Fällen irrtümlich Beschlüsse des OLG in Strafsachen anderer Personen auf ihrem Faxgerät angekommen waren. Es handelte sich um die vollständigen Beschlüsse in Strafvollstreckungsverfahren wegen Totschlags und anderer Delikte.

Im Gegensatz zur Briefpost handele es sich beim Telefax um eine Art offener Zustellung. Deshalb müsse bei einem Versand von personenbezogenen Daten per Fax Maßnahmen getroffen werden, die verhindern, dass bei der Übertragung dieser Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden kann. Die Verantwortlichen sollten vor dem Versand von schutzwürdigen Daten mit dem Telefax-Dienst prüfen, ob diese Versandart wirklich erforderlich ist und nicht eine andere Versandart angemessener ist, so der LfDI aus Mecklenburg-Vorpommern.

Ansicht des OVG Lüneburg
Die Aufsichtsbehörden stehen mit ihrer Kritik nicht alleine. Flankiert wird diese Ansicht auch durch Gerichtsurteile. So hat das OVG Lüneburg (11 LA 104/19) festgestellt, dass eine Behörde bei der Übermittlung von personenbezogenen Daten per Fax zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen zu treffen hat. Welches Schutzniveau dabei einzuhalten ist, richte sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand. Im vorliegenden Fall wurde die Übermittlung per Fax als rechtswidrig eingestuft.

(Foto: suksawad – stock.adobe.com)






Letztes Update:15.09.21

  • Facebook Fanpages DSFA

    Datenschutz-Folgenabschätzung für Facebook-Fanpages

    Genauso wie die lang anhaltenden Unsicherheiten bzgl. der Verwendung von Office 365 bzw. Microsoft 365, gibt es auch hinsichtlich der datenschutzkonformen Nutzbarkeit der sog. Facebook-Fanpages eine bereits beträchtlich lange Vorgeschichte. Die letzten beiden Episoden in dieser Serie, deren Hauptakteure Facebook selbst (bzw. seit Januar 2022 in Meta Platform Inc.), die Datenschutz-Aufsichtsbehörden (DSK) sowie die Verantwortlichen,

    Mehr erfahren
  • Interne Untersuchungen? – Bitte nur mit Datenschutz!

    Viele Unternehmen bekennen sich zur weltweiten Bekämpfung von Korruption in all ihren Erscheinungsformen, unterstützen nationale und internationale Anstrengungen und lehnen jegliches korruptes Verhalten ab.Wie bei allen anderen im Unternehmen anstehenden Aufgaben kann die Geschäftsleitung den Aufbau und den Betrieb eines Compliance-Management-Systems delegieren. In der Regel übernimmt diese Aufgabe ein Compliance-Officer oder je nach Ausgestaltung und

    Mehr erfahren
  • MS 365

    Microsoft 365: Datenschutzkonform nutzbar oder nicht?

    Die Frage wird, möglicherweise nicht so verwunderlich, momentan sehr unterschiedlich beantwortet. Dabei geht es leider nicht nur um Nuancen.Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder sagt in ihrer neuesten Veröffentlichung relativ deutlich und klar: “ Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der

    Mehr erfahren