Das Fax als unsicheres Kommunikationsmittel
Es ist eine aus dem Alltag vieler Behörden, Arztpraxen und Kanzlei kaum hinwegzudenkende technische Komponente: Das Faxgerät. Etwa 43 % der Unternehmen nutzen im Geschäftsjahr 2021 noch das Fax. Im Jahre 2020 waren es noch 49 %, 2018 sogar 62 %.
Dass auch das Fax ein datenschutzrelevantes Thema sein kann, ist vermutlich den wenigsten bewusst. Immerhin galt Fax bisher als zuverlässig, sicher und echt. Mit dem Wandel der Kommunikationstechnologie zu IP basierten Systemen, hat sich auch die Technologie verändert, über welche Faxe übermittelt werden.
Das Fax sieht sich zunehmend datenschutzrechtlicher Kritik ausgesetzt: Der hessische Datenschutzbeauftragte Alexander Roßnagel äußerte unlängst Bedenken und appelliert an den Austausch des Faxes sowie der Implementierung sichererer Alternativen.
Das Wichtigste in Kürze:
1. Datenübertragung und datenschutzrechtliche Besorgnis
Im Kern des datenschutzrechtlichen Problems steht "die Gegenseite", die auf das Fax wartet: Absender:innen können sich nie sicher sein, welche Technik auf der Empfangsseite eingesetzt wird. Es ist für den Absender nicht ersichtlich, ob auf der Empfangsseite die Daten so über einen datenschutzkonformen Fax-Dienst oder verschlüsselt weiterübertragen werden.
Aufgrund dieser Unberechenbarkeit und dieses Risikos hat ein Fax hinsichtlich der Vertraulichkeit in etwa das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, welche als virtuelles Gegenstück zur einsehbaren Postkarte angesehen wird, wie die Datenschutzbeauftragte Bremens, Dr. Imke Sommer, den Sicherheitsgrad des Faxes qualifiziert. Die Weiterleitung personenbezogenen Datenmaterial über das Fax sei daher "mit dem Risiko des Verlustes der Vertraulichkeit" behaftet, wie auch der Hessische Datenschutzbeauftragte Alexander Roßnagel feststellte.
Die Kommunikation zwischen Faxgeräten hatte zunächst auf einem Verbindungsaufbau per Kanal, beziehungsweise Leitungsvermittlung, gegründet. „Dabei waren Absender und Empfänger – identifiziert durch ihre jeweiligen Faxnummern – die beiden Endstellen, zwischen denen eine direkte Verbindung aufgebaut wurde." Problematisch sei aber schon immer gewesen, „dass der Absender in der Regel keine Informationen zur Empfängerseite hat".
So ist fraglich, wer letztlich Zugang zu dem Empfangsgerät habe. Mit dem Fortschritt des Internets und der generellen Technisierung würden die zu übertragenden Daten über den TCP/IP-Standard auf einzelne Pakete verteilt und "über eine Vielzahl von Verbindungen zwischen mehreren vermittelnden Punkten zwischen den Endstellen" geschickt. Die genutzten Verbindungen seien dabei wohl nicht mehr für die beiden Endstellen reserviert.
Denkbar ist es, "dass die beteiligten Zwischenpunkte weltweit verteilt sind und von verschiedensten staatlichen oder privaten Akteuren betrieben werden". Diese hätten nämlich dann auch die Möglichkeit, "auf die von ihnen vermittelten Pakete Zugriff zu nehmen". Ohne eine entsprechende Verschlüsselungstechnik (Ende-zu-Ende-Verschlüsselung) lässt sich also nicht gewährleisten, dass während der Übertragung keine Daten rechtswidrig abgezweigt werden.
Auch die bremische Datenschutzbeauftragte stuft die Nutzung des Faxes als problematisch ein: Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO geeignet.
2. Kommunikationsalternativen im Überblick
Gemäß Art. 5 DSGVO müssten persönliche Daten in einer Weise verarbeitet werden, die eine ausreichende Datensicherheit gewährleisten.
Verantwortliche haben angesichts des "Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen", um hinreichend für Datensicherheit und datenschutzkonforme Datenweiterleitungen zu sorgen.
Als alternative Kommunikationsmethode empfiehlt der hessische Datenschutzbeauftragte Alexander Roßnagel Methoden, "bei denen die Kommunikationspartner Nachrichten und Inhalte verschlüsselt abrufen und bereitstellen können". So führt dieser in etwa den Versand inhaltsverschlüsselter E-Mails (PGP oder S/MIME), die DE-Mail und Portallösungen an.
In Betracht kämen auch "bereichsspezifische digitale Kommunikationsdienste" wie die "Kommunikation im Medizinwesen" (KIM) oder die "Infrastruktur des elektronischen Rechtsverkehrs". Bei dem darin enthaltenen besonderen elektronische Anwaltspostfach (beA), ist allerdings umstritten, ob dieses hinreichend Datensicherheit gewährt, besteht doch keine Ende-zu-Ende-Verschlüsselung.
Die Sensibilität und Bedeutung der Daten, der Grad der Schutzbedürftigkeit eines Betroffenen und dem mit Sicherungsmaßnahmen verbundenen Aufwand, sind also ein Indikator dafür, ob der Versand via Fax unzulässig sein könnte.
3. Ausblick
Die Datenschutzbeauftragten Hessens und Bremens kommen also zu dem Schluss, dass das Fax insbesondere für den Versand besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO generell unzulässig ist.
Grund hierfür sind die paketvermittelten Übertragungsmethoden (Fax over IP) über Internet oder Dienste, die Faxe in unverschlüsselte E-Mails umwandeln und somit ungeschützt versenden. Sie sollten daher besonders schützenswerte Daten keinesfalls via Fax übertragen, da dieses mit dem Mangel fehlender Vertraulichkeit behaftet ist.
Möchten Sie also sicher gehen, dass bei dem Informationsaustausch datenschutzrechtliche Bestimmungen eingehalten werden, so sollten Sie auf den verschlüsselten Mail-Verkehr (Ende-zu-Ende) setzen oder gar den postalischen Weg einschlagen.
Empfehlenswert ist es auch, die in Ihrer Unternehmung verfügbaren Faxgeräte schnellstmöglich durch geeignete Kommunikationsmethoden zu ersetzen, um Datenverluste vorzubeugen.