Erst vor wenigen Monaten hatte die Landesdatenschutzbeauftragte aus Bremen erhebliche Bedenken gegen die Nutzung von Faxgeräten geäußert. Nun rät auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit vor der Technik ab, die kein ausreichendes Sicherheitsniveau mehr bietet.
Auch aufgrund der stockenden Digitalisierung werden hierzulande in vielen Bereichen, von Behörden über die Justiz bis zum Gesundheitswesen aber auch in vielen Unternehmen, immer noch Faxgeräte zur Übermittlung von Dokumenten verwendet. Immer mehr Datenschutzbeauftragte aus mehreren Bundesländern stufen den Faxversand jedoch als nicht konform zur DSGVO bzw. zumindest problematisch ein und raten daher vom Einsatz der Technik ab. Erst im Juni hatte sich beispielsweise die Landesbeauftragte aus Bremen kritisch mit dem Faxversand auseinandergesetzt, und mittlerweile kommt auch die Datenschutzbehörde in Hessen zu einer negativen Einschätzung.
Früher kam exklusive Ende-zu-Ende-Telefonleitung zum Einsatz
In ihren Ausführungen zum Telefax weist die hessische Datenschutzbeauftragte darauf hin, dass die früher als relativ sicher geltende Datenübertragung per Telefax mittlerweile nicht mehr den Sicherheitsanforderungen entspricht. Dies sei im Wesentlichen auf zwei Änderungen zurückzuführen. Während früher bei der Nutzung der Faxgeräte üblicherweise eine exklusive Ende-zu-Ende-Telefonleitung zum Einsatz kam, die einen hohen Schutz gegen Abhörangriffe bot, haben die Netzbetreiber mittlerweile die Übertragungstechnik flächendeckend geändert und die IP-Technik eingeführt.
Dadurch erfolgt auch die Übertragung von Faxen nicht mehr auf exklusiven Leitungen, sondern es kommt die auf den üblichen Internet-Standards basierende Paket-Technik zum Einsatz. Damit ist jedoch ohne weitere Schutzmaßnahmen ein einfaches Mitlesen der Daten auf dem Übertragungsweg möglich.
Empfangs- und Versandgeräte haben sich zum Nachteil der Datensicherheit geändert
Zum anderen haben sich aber auch die Geräte zum Empfangen und Versenden von Faxen geändert. Häufig werden etwa bei Fax-Empfängern anstelle der spezialisierten Faxgeräte spezielle Gateways genutzt, die die eingehenden Faxe automatisch in E-Mails umwandeln und diese anschließend an bestimmte E-Mail-Postfächer weiterleiten, wodurch die Inhalte auf diesem Abschnitt des Übertragungswegs ebenfalls mitgelesen werden können.
Faxe mittlerweile so unsicher wie eine unverschlüsselte E-Mail
Insgesamt bietet ein Fax nach Ansicht der Datenschutzbeauftragten damit hinsichtlich der Vertraulichkeit ein ebenso unzureichendes Sicherheitsniveau wie eine unverschlüsselte E-Mail, die ihrerseits im Hinblick auf die Vertraulichkeit üblicherweise mit einer Postkarte verglichen werde. Da Faxe zudem keinerlei optionalen Sicherungsmaßnahmen bieten, seien sie daher „in der Regel nicht für die Übertragung personenbezogener Daten geeignet“.
Für besonders schutzwürdige Daten ungeeignet
Zur Übertragung besonderer Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 DSGVO ist die Nutzung von Fax-Diensten daher nach Ansicht der Behörde unzulässig. Zu diesen besonders schutzwürdigen Daten gehören etwa:
- Angaben wie zur ethnischen Herkunft,
- zu politischen Meinungen,
- religiösen oder weltanschaulichen Überzeugungen
- oder einer Gewerkschaftszugehörigkeit.
Ebenso fallen darunter Gesundheitsdaten, biometrische Daten, genetische Daten oder Angaben zur sexuellen Orientierung einer Person.
Hessischer Datenschutzbeauftragter sieht erhebliche Probleme
In einer Stellungnahme kommt der hessische Landesbeauftragte für Datenschutz und Informationsfreiheit zu ähnlichen Schlussfolgerungen.
So führt er ebenfalls das Risiko der paketvermittelten, unverschlüsselten Übertragungen über das Internet an, erwähnt zusätzlich aber auch noch weitere Gefahrenquellen der Faxübertragung, wenn etwa nach einer fehlerhaften Eingabe der Faxnummer Dokumente mit sensiblen Daten versehentlich an Dritte gesendet werden und dort direkt einsehbar sind. Ebenso hat der Absender des Faxes keine Kenntnis oder Kontrolle darüber, welche Personen beispielsweise Zugang zum Faxgerät beim Empfänger haben und somit die übermittelten Informationen einsehen können.
Er kommt daher zu dem Schluss, dass zumindest Dokumente mit personenbezogenen Daten, die einen besonderen Schutzbedarf aufweisen, grundsätzlich nicht per Fax übertragen werden sollten, sofern nicht zusätzliche Schutzmaßnahmen bei Sendern und Empfängern ergriffen werden.
Faxen nur noch als Notlösung
Komplett ausschließen möchte der Hessische Datenschutzbeauftragte die Nutzung von Faxgeräten dennoch nicht. So soll es etwa Ausnahmen geben, wenn etwa eine besondere Eilbedürftigkeit vorliegt, die eine Faxübertragung erforderlich macht und dabei durch zusätzliche Maßnahmen sichergestellt ist, dass die Übertragung ausschließlich den richtigen Empfänger erreicht und zudem kein anderes datenschutzkonformes Kommunikationsmittel zur Verfügung steht.
Verschlüsselte E-Mails oder Briefversand als Optionen
Als sichere Versandmethode für personenbezogene Daten stuft die Datenschutzbeauftragte in ihren Ausführungen die Ende-zu-Ende verschlüsselte E-Mail ein, im Zweifelsfall müsse ansonsten der klassische Postversand anstelle des Faxversands gewählt werden.