Das Faxgerät wurde im Jahr 1843 erfunden. Es handelt sich daher um ein wahres Technik-Urgestein. Mehrere Landes-Datenschutzbeauftragte haben nun den Faxgeräten die DSGVO-Konformität abgesprochen. Wir haben uns daher abermals die Frage gestellt, ob die Nutzung von Faxgeräten auch noch in Zeiten der DSGVO zu empfehlen bzw. überhaupt zulässig ist.
Faxgeräte nach wie vor relevant
Ein jeder kennt die Frustration: es wählt, blinkt und klingelt, ist wahnsinnig kompliziert und am Ende hat die Übertragung des Schreibens mit drei Anhängen mit Hilfe des Faxgeräts wieder nicht geklappt. Das allein sollte schon Anlass genug sein, auf die Nutzung des Faxgeräts zu verzichten. Daneben gibt es noch eine Reihe an datenschutzrechtlichen Problemen, die wir heute beleuchten möchten. Nichtsdestotrotz ist das Faxgerät nach wie vor fester Bestandteil einiger Unternehmen.
Das Fax war für eine lange Zeit das Mittel der Wahl, wenn Dokumente schnell und rechtssicher sowie datenschutzkonform an einen Empfänger übermittelt werden sollten. Briefpost dauerte oft zu lang, wenn Eile geboten war und E-Mail-Korrespondenz war oft nicht möglich. Auch aus datenschutzrechtlicher Sicht galt da Fax für lange Zeit als sicher.
Daneben wurde dem Fax immer eine gewisse Rechtsicherheit im Hinblick auf den Zugang des Dokuments nachgesagt. Dem ist jedoch nicht so, denn selbst ein Sendebericht beweist nicht zweifelsfrei, dass der richtige Empfänger das Fax erhalten hat, insbesondere wenn viele Personen Zugang zu einem Faxgerät haben.
Dennoch kommt auch heute noch das Fax in bestimmten Unternehmen regelmäßig zum Einsatz, wenn Dokumente an Behörden wie z.B. Gerichte schnell versendet werden müssen. Die Kommunikation per E-Mail ist hier eher die Ausnahme, da sie oft nicht möglich ist.
Was sagen die Datenschutz-Aufsichtsbehörden zur Faxnutzung?
Sowohl die Landesdatenschutzbeauftragte von Bremen als auch der Hessische Landesdatenschutzbeauftragte äußerten sich zuletzt kritisch gegenüber der Nutzung von Faxgeräten und raten hiervon ausdrücklich ab. Hauptbestandteil Ihrer Kritik ist der Umstand, dass die Übertragung der Nachrichten über das Faxgerät nicht sicher erfolgt.
Im Gegensatz zu früher werden die Nachrichten per Fax unverschlüsselt übertragen. Während in der Vergangenheit eine exklusive Ende-zu-Ende-Telefonleitung für Schutz vor Zugriffen von außen bot, erfolgt die Faxübertragung über die heute gängige IP-Technik vollkommen unverschlüsselt. Dies ist gleichzusetzen mit einer unverschlüsselten E-Mail oder einer Postkarte. Hiervon sollte bei einer Übermittlung von personenbezogenen Daten oder gar besonders sensiblen personenbezogenen Daten gem. Art. 9 DSGVO (wie Gesundheitsdaten etc.) in jedem Fall abgesehen werden.
Als Sender einer Nachricht, die solche personenbezogenen Daten enthält, ist der Verantwortliche in der Pflicht, eine sichere Übertragung dieser Daten zu gewährleisten. Für die sichere Datenverarbeitung muss er gem. Art. 32 DSGVO sog. technische und organisatorische Maßnahmen bereitstellen. Eine sichere Datenverarbeitung ist beim Einsatz eines Faxes jedoch nicht möglich. Denn ohne Verschlüsselung oder sonstige Sicherheitsmaßnahmen, wie z.B. Pseudonymisierung der Daten, ist ein ungewollter Datenzugriff durch Dritte denkbar. Diese Gefahr wiegt umso schwerer, je mehr Daten übermittelt werden oder je sensibler und damit schützenswerter diese sind.
Seit geraumer Zeit besteht ebenfalls die Möglichkeit ein Fax als sog. Elektronisches-Fax zu erhalten. Hierbei können ankommende Faxe statt auf einem herkömmlichen Faxgerät per E-Mail empfangen werden. Aus datenschutzrechtlicher Sicht erhöht diese Technik jedoch aufgrund der zusätzlichen E-Mail-Übertragung die Gefahr von Fremdzugriffen auf die übermittelten Daten.
Daneben sieht der hessische Datenschutzbeauftragte ein erhöhtes Risiko durch die Zugriffsmöglichkeiten von unbefugten Dritten. Denn durch eine falsche Faxnummerneingabe besteht die Gefahr, dass ein ungewollter Dritter das Fax erhält. Dieses Risiko besteht nicht nur aufgrund falscher Nummerneingabe, sondern bereits dann, wenn mehrere Personen Zugang zu einem Faxgerät haben. Sie sehen also, dass die Vertraulichkeit personenbezogener Daten bei der Versendung von Dokumenten mittels Fax nicht sichergestellt werden kann.
Eine Übertragung von besonders sensiblen personenbezogenen Daten mittels Fax ist daher unzulässig. Auch bei der Versendung von „normalen“ personenbezogenen Daten raten wir dringend von der Faxnutzung ab. Auch die Behörden reagieren auf diese Gefahr. So ist z. B. Rechtsanwälten seit Januar 2022 die Übermittlung von Unterlagen an das Gericht untersagt. Diese dürfen hierfür nur noch das besondere elektronische Anwaltspostfach nutzen. Es bleibt nur abzuwarten, dass sich noch weitere Aufsichtsbehörden ähnlich positionieren, wie die Landesdatenschutzbeauftragte von Bremen und der hessische Landesdatenschutzbeauftragte.
Was müssen Sie nun tun?
Das Faxgerät sollte bei der Versendung von Dokumenten nicht mehr zum Einsatz kommen. Sie, als Verantwortlicher müssen sicherstellen, dass die Übertragung von personenbezogenen Daten sicher erfolgt und für unbefugte Dritte keine Zugriffsmöglichkeiten bestehen. Dies ist bei einem unverschlüsselten Fax, ähnlich wie bei einer gänzlich unverschlüsselten E-Mail nicht möglich.
Wir empfehlen unseren Kunden daher, personenbezogene Daten nur verschlüsselt per E-Mail bzw. als Brief zu versenden. Welche Verschlüsselungstechnik zu wählen ist, kommt maßgeblich auch auf die Art der Daten an. Besonders sensible Daten sollten nur unter Einsatz einer Ende-zu-Ende-Verschlüsselung übertragen werden. Alternativ kann auch über den Einsatz einer Cloud nachgedacht werden, auf die der beabsichtigte Empfänger des Dokuments zugreifen kann. Hierbei muss auf die richtige Auswahl des Cloudanbieters geachtet sowie weitere datenschutzrechtlichen Sicherheitsmaßnahmen ergriffen werden.
Sie haben noch Fragen in diesem Bereich, benötigen einen Datenschutzbeauftragten oder datenschutzrechtliche Beratung, kontaktieren Sie uns gerne unter 0931-780 877-0 oder info@sidit.de.
Kein Kommentar