Es ist ein altbewährter, nahezu prähistorischer, aber dennoch fest integrierter Bestandteil der Büroausstattung vieler Behörden, Gerichte, Kanzleien und Praxen: Das Faxgerät. Obwohl sich die digitale Kommunikation angesichts neuer Cloud-Technologien und größerer Speicherkapazität zunehmend beschleunigt, halten viele Institutionen weiterhin an der klassischen Methode der Kommunikation fest.
Dies hat auch seine Gründe, denn das Fax galt lange als mit datenschutzrechtlichen Bestimmungen vereinbar. Hierfür bürgte die Ende-zu-Ende-Verschlüsselung über Telefonleitungen.
Neuerdings werden Stimmen lauter, die den Rückzug des Geräts fordern. Technische Neuerungen sowie die steten Verschärfungen des Datenschutzrechts enttarnen zunehmend Defizite der Faxgeräte hinsichtlich der Datensicherheit. Jüngst äußerte der hessische Datenschutzbeauftragte Alexander Roßnagel Besorgnis bei Nutzung des Faxgeräts und forderte eine Prüfung und Implementierung anderer Kommunikationswege.
Das Fax – ein Auslaufmodell?
Das Wichtigste in Kürze
- Landesweit fordern Datenschutzbeauftragte den Abzug von Faxgeräten aus dem Alltag und die Implementierung geeigneter Kommunikationsmedien
- Eine sichere Übertragung kann durch das Fax mangels Kenntnis des Absenders von der Technologie auf Empfängerseite und der zumeist fehlenden Ende-zu-Ende-Verschlüsselung nicht gewährleistet werden
- Für den Versand besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO ist die Nutzung von Faxgeräten generell unzulässig
- Aus gegebenem Anlass ist es ratsam, auf inhaltsverschlüsselte E-Mails, Portallösungen, DE-Mail-Nutzung oder Briefverkehr zurückzugreifen
Datenschutzrechtliche Bedenken bei einem Fax
Galt ein Telefax noch vor einigen Jahren als sichere Methode, um sensible personenbezogene Daten zu übertragen, so änderte sich nun die Situation grundlegend. Der Digitalverband bitkom stellte dazu jüngst die Ergebnisse einer neuen Umfrage vor.
Danach nutzen im Jahr 2021 immer noch 43 Prozent der Unternehmen das Fax. Zwar ist hier im Vergleich zu den Vorjahren – 2020 waren es 49 Prozent, 2018 sogar noch 62 Prozent – ein stetiger Rückgang zu verzeichnen. Dennoch bemüht fast die Hälfte aller Unternehmen in Deutschland weiterhin das Fax als gängigste Kommunikationsmethode.
Im Zentrum der datenschutzrechtlichen Problematik steht „die Gegenseite“, die am anderen Ende auf das jeweilige Fax wartet. Absender:innen können sich nämlich nicht sicher sein, welche Technologie auf der Empfangsseite verwendet wird. Handelt es sich noch um ein normales, reales Faxgerät?
Oder kommen hier bereits Telefax-Dienste zur Anwendung, die die Informationen z. B. in eine E-Mail umwandeln und weiterversenden oder auf einen Server oder in eine Cloud hochladen? Gerade das kann zu einem erheblichen Problem werden: Der Absender kann indes nicht wissen, ob die Daten so über einen datenschutzkonformen Fax-Dienst oder verschlüsselt weiterübertragen werden.
Aufgrund dieser Unwägbarkeiten hat ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie etwa eine unverschlüsselte E-Mail. Diese wird als digitales Pendant zur einsehbaren Postkarte angesehen, wie die Datenschutzbeauftragte Bremens, Dr. Imke Sommer, den Sicherheitsgrad eines Faxes kommentiert.
Fax-Dienste enthalten in der Regel keine, oder wenn, nur unzureichende Sicherungsmaßnahmen um die Vertraulichkeit der Daten und die generelle Datensicherheit zu gewährleisten. Sie sind demzufolge grundsätzlich nicht für die Übertragung personenbezogener Daten geeignet. Die Übermittlung personenbezogener Daten über dieses Medium sei daher „mit dem Risiko des Verlustes der Vertraulichkeit“ behaftet wie der Hessische Datenschutzbeauftragte Roßnagel feststellte.
Auch die Bremische Verwaltung geht davon aus, bis Ende 2022 alle Faxgeräte durch sicherere Technologien abgelöst zu haben. So auch das Urteil der Datenschutzbeauftragten des Landes Bremen, die die Nutzung von Fax-Diensten zur Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der DSGVO als vollkommen unzulässig erachtet.
Funktionsweise der Datenübertragung via Fax
Wie der Datenschutzbeauftragte Hessens ausführt, habe die Kommunikation zwischen Faxgeräten zuvor auf einem Verbindungsaufbau per Kanal, eher gesagt Leitungsvermittlung, basiert. „Dabei waren Absender und Empfänger – identifiziert durch ihre jeweiligen Faxnummern – die beiden Endstellen, zwischen denen eine direkte Verbindung aufgebaut wurde.“ Großes Defizit sei aber schon immer gewesen, „dass der Absender in der Regel keine Informationen zur Empfängerseite hat“.
So habe etwa in Frage gestanden, wer letztlich Zugang zu einem Empfangsgerät habe. Mit der Errungenschaft des Internets würden die zu übertragenden Daten über den TCP/IP-Standard auf einzelne Pakete verteilt und „über eine Vielzahl von Verbindungen zwischen mehreren vermittelnden Punkten zwischen den Endstellen“ geschickt, legt der Datenschutzbeauftragte Roßnagel weiter dar. Die genutzten Verbindungen seien dabei nicht mehr für die beiden Endstellen reserviert.
So sei es denkbar, „dass die beteiligten Zwischenpunkte weltweit verteilt sind und von verschiedensten staatlichen oder privaten Akteuren betrieben werden“. Diese hätten so tatsächlich auch die Möglichkeit, „auf die von ihnen vermittelten Pakete Zugriff zu nehmen“.
Ohne eine entsprechende Verschlüsselungstechnik – beispielsweise der Ende-zu-Ende-Verschlüsselung – beim Absender als auch beim Empfänger, lässt sich also nicht gewährleisten, dass während der Übertragung keine Daten abgegriffen werden. So urteilte ebenfalls die Bremische Landesbeauftragte für Datenschutz.
Grund für die datenschutzrechtliche Besorgnis sind eben die geänderten technischen Bedingungen, unter denen das Faxen heute stattfindet: „Sowohl bei den Endgeräten als auch den Transportwegen gab es weitreichende Änderungen. Bisher wurden beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt.
Technische Änderungen in den Telefonnetzen sorgen jetzt dafür, dass keine exklusiven Leitungen mehr genutzt werden, sondern die Daten paketweise in Netzen transportiert werden, die auf Internet-Technologie beruhen“. Vielmehr würden heutzutage vorwiegend Systeme genutzt (FoIP – „Fax over IP“), die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten.
Das Fazit der Datenschutzbeauftragten ist daher ebenfalls vernichtend: „Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet“.
Es gibt aber trotzdem eine Möglichkeit, wie das Fax und der Datenschutz miteinander vereinbar sein können. Dies ist dann der Fall, wenn der Absender des Faxes absolut sicher sein kann, dass eine ausreichende Verschlüsselung auf Absender- und Empfängerseite sowie auf dem sonstigen Übertragungswege besteht.
In Frage kommen würde beispielsweise das sogenannte Session Initiation Protocol kombiniert mit Transport Layer Security. Jedoch steht die ganze Angelegenheit unter dem Vorbehalt, dass der Absender sich explizit versichern muss, dass die technischen Erfordernisse auf der Seite des Empfängers ebenfalls stimmen. Dabei sind zwei wichtige Fragen zu klären:
- Sind die über FoiP („fax over IP“ – Fax über Internet, virtuelles Fax) Inhalte auf dem gesamten Übertragungsweg und auch beim Empfänger sicher verschlüsselt?
- Sodann: Sind die Systeme, die Faxe in E-Mails umwandeln, sicher und weisen keine Sicherheitslücken auf?
Je sensibler die personenbezogenen Daten, desto größer ist auch der Schutzbedarf, der bei der Auswahl der zu treffenden Maßnahme zugrunde zu legen ist. Hierauf ist bei der Übermittlung sensibler Daten zu achten.
Alternative Kommunikationsmedien
Das Fax ist demnach als unsicheres Kommunikationsmedium nach datenschutzrechtlichen Standards zu qualifizieren. Gerade durch die Versendung personenbezogener Daten mittels Faxgeräte entstünden „neue Probleme, die man mit einem Anruf und der Bitte, sich neben das Faxgerät zu stellen, nicht lösen kann“, gibt der Datenschutzbeauftragte zu bedenken.
Gemäß Art. 5 DSGVO müssten ja persönliche Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleisten.
Verantwortliche hätten angesichts des „Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen“, um ausreichend für Datensicherheit und datenschutzkonforme Datenweiterleitungen zu sorgen.
Als optionales, sichereres Kommunikationsmedium empfiehlt der Datenschutzbeauftragte Roßnagel den Versand inhaltsverschlüsselter E-Mails (PGP oder S/MIME), die DE-Mail und Portallösungen, „bei denen die Kommunikationspartner Nachrichten und Inhalte verschlüsselt abrufen und bereitstellen können“. In Frage kämen auch „bereichsspezifische digitale Kommunikationsdienste“ wie die „Kommunikation im Medizinwesen“ (KIM) sowie die „Infrastruktur des elektronischen Rechtsverkehrs“.
Bei dem darin enthaltenen besonderen elektronische Anwaltspostfach (beA), für den Verkehr zwischen Anwält:innen und den Gerichten etwa, ist jedoch umstritten, ob dies ausreichend Sicherheit gewährleistet, da keine Ende-zu-Ende-Verschlüsselung erfolgt.
Um datenschutzkonformes Verhalten zu demonstrieren, führt zum Beispiel die hessische Datenschutzbehörde Faxnummern nicht mehr auf ihrer Homepage, dem Briefkopf, Visitenkarten oder sonstigen Mails an. Hiermit will der Datenschutzbeauftragte Roßnagel „auf die technischen Probleme aufmerksam machen, vorerst jedoch ohne Aufsichtsmaßnahmen zu ergreifen“.
In Ausnahmefällen, beispielsweise wenn die besondere Eilbedürftigkeit dies erforderlich mache und sichergestellt sei, dass die Sendung nur dem richtigen Empfänger zugeht (beispielsweise gespeicherte Zielnummern), könne auch die Versendung besonders schutzbedürftiger personenbezogener Daten mittels Fax rechtmäßig sein.
Dies gelte aber nur dann, wenn kein alternatives, datenschutzkonformes Kommunikationsmittel genutzt werden könne und dem Verantwortlichen insofern kein alternatives Kommunikationsmittel zur Verfügung stehe. Denkbar sei darüber hinaus auch, dass Verantwortliche auf die bestehenden Risiken beim Faxversand hinweisen und sich für etwaige Übermittlungsvorgänge eine den Anforderungen der DSGVO entsprechende Einwilligung der hiervon betroffenen Personen einholen.
Ausblick
Das Telefax lässt sich also nicht mit der DSGVO vereinen. Dies liegt daran, dass bei der heutzutage weit überwiegend genutzten paketvermittelten Übertragungsmethode als Fax over IP (FoIP) über das Internet, oder bei der Nutzung von Diensten, die Faxe automatisiert in E-Mails umwandeln, die Daten in der Regel nicht verschlüsselt und damit ungeschützt übertragen werden.
Im Ergebnis sei die Übermittlung von personenbezogenen Daten per Fax daher mit dem Risiko des Verlustes der Vertraulichkeit der übermittelten Daten behaftet. Personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, sollten daher grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert seien, so die zuständige Behörde.
Wollen Sie beim Versenden personenbezogener Daten sichergehen, dass der Datenschutz eingehalten wird, sollten Sie aufgrund der bestehenden, dargestellten Unsicherheiten besser auf den verschlüsselten E-Mail-Verkehr (Ende-zu-Ende-Verschlüsselung) oder den postalischen Weg (Briefgeheimnis) zurückgreifen. Insbesondere sollte von der Übersendung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO, wie etwa Gesundheitsdaten oder genetische und biometrische Daten, die der eindeutigen Identifizierung dienen, Abstand genommen werden und das altbewährte Fax besser durch genannte Alternativen ersetzt werden.
