Fax & Datenschutz: geht nur sehr bedingt ...

HMDATA Datenschutz-Newsletter 06/2024, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Noch immer hält sich hartnäckig das Gerücht, mittels Fax seien datenschutzrechtlich korrekte Übertragungen möglich und vor lauter neuer scheinbar unsicherer digitaler Übertragungswege die einzig sichere Lösung.
Letztlich ist diese Sichtweise aber nur ein Relikt aus alten Zeiten, denn auch vor dem Fax hat die Digitalisierung nicht Halt gemacht und somit ist das Argument einer sicheren Übertragung (da Ende-zu-Ende) obsolet.

In einer Stellungnahme des Landesbeauftragten für Datenschutz Bremen wurde bereits 2021 für die Sicherheit bei der Datenübertragung mittels Fax eine Neubewertung vorgenommen. Hintergrund ist, dass mittlerweile dem technischen Fortschritt geschuldet davon auszugehen ist, dass der Empfänger einer Fax-Nachricht kein explizites analoges Faxgerät und damit eine vermeintlich sichere Ende-zu-Ende-Verbindung mehr verwendet, sondern im Regelfall einen Fax-Server, einen Fax-to-PDF-Dienst, einen Versand an eine E-Mail-Adresse oder einen Cloud-Faxdienst nutzt.

Daher kann seitens des Senders nicht mehr eindeutig festgestellt werden, welche natürliche Person Zugriff auf den Inhalt der Faxnachricht hat und welches Sicherheitsniveau beim Versand vorherrscht. Damit kann - insbesondere beim Übertragen besonderer personenbezogener Daten - eine Sicherheit und Integrität der Verarbeitung nach Art. 32 DSGVO nicht mehr sichergestellt werden.

Auch erlauben es mittlerweile digitale sog. Man-in-the-Middle-Attacken analoge Fax-Übertragungen (da das Anlog-Signal leicht entschlüsselt und die Übertragung sowieso unmittelbar digitalisiert wird) ein gezieltes Abhören von Faxübertragungen. Der Stellungnahme der Bremer Datenschutzbehörden haben sich letztlich auch weitere LDA angeschlossen, u.a. die Landesdatenschutzbehörden von Mecklenburg-Vorpommern, NRW und Bayern an. Ein Urteil des Oberverwaltungsgerichtes Lüneburg bestätigte die datenschutzrechtliche Auslegung.

Was heißt das nun für die tägliche Arbeit?

Eine unverschlüsselte analoge Übertragung wäre bei physischem Zugriff irgendwo in der Übertragungskette sehr leicht abzuhören, da das ursprüngliche Fax-Verfahren weder Verschlüsselung noch Authentifizierung anbietet. Da das ursprünglich analoge Fax-Signal aber umgehend digitalisiert wird, ist der Aufwand schon etwas höher und bedarf einer digitalen Abhörmöglichkeit auf der Strecke. Solange aber nicht sichergestellt ist, dass Sender und Empfänger verschlüsselt und eindeutig die betroffenen Personen kommunizieren, ist von einer Verwendung des "normalen" Faxversandes abzusehen und ein anderer, sicherer Kommunikationsweg zu wählen.

Dies ist im Einzelfall zu überprüfen und für eine sichere Übertragung zu sorgen.

Alternativen wie Scan-to-E-Mail oder Kundenportal als Cloud-Lösungen sind hier deutlich im Vorteil und bei bedarfsgerechter Installation genauso leicht zu bedienen. Bitte prüfen Sie daher Ihr aktuelles Versandverfahren und evaluieren alternative Möglichkeiten, bspw. inhaltsverschlüsselte E-Mails. Sollte ein Kunde oder Dienstleister trotzdem auf Übertragung personenbezogener Daten per (traditionellem) Fax bestehen, lassen Sie sich bitte bestätigen, dass der Empfänger versichert, dass nur er persönlich und ausschließlich Zugriff auf die per Fax übertragenen Informationen besitzt, solange keine weiteren Verfahren (bzw. Anonymisierung) eingesetzt werden.

Ansonsten ist von der Verwendung des Fax-Versandes aus datenschutzrechtlichen Gründen abzusehen.