Das Fax und der Datenschutz: Das Fax ist auch im Jahr 2021 ein noch immer weit verbreitetes Kommunikationsmedium in Deutschland. Gerichte, Rechtsanwälte, Behörden, Banken und viele weitere Stellen nutzen noch Faxdienste, bspw. als Faxgeräte, in Multifunktionsgeräten oder als PC-Fax. Was Sie beim Versenden eines Fax aus Sicht des Datenschutzes beachten müssen, erfahren Sie hier.
Die Technische Funktionsweise von Fax-Geräten
Faxdienste – analog und digital
Als es noch analoge Telefonnetze gab, wurden die ursprünglich genutzten Faxgeräte durch leitungsmäßiges Zusammenschalten verbunden. Dadurch ist eine direkte Ende-zu-Ende-Verschlüsselung entstanden und die Informationen wurden direkt übertragen. Ein Abfangen oder Mitlesen der versendeten Daten außerhalb dieser gesicherten Verbindung war somit nicht möglich. Derartig versendete Daten und Informationen konnten so als relativ sicher angesehen werden.
Im Rahmen der Digitalisierung werden analoge Telefonnetze abgeschaltet und auf IP-basierte Anschlüsse (digitale Anschlüsse) umgestellt. Nach Schätzungen der Bundesnetzagentur gab es im Jahr 2019 noch ca. 90.000 analoge Telefonanschlüsse und 530.000 ISDN-Anschlüsse. Zum Vergleich: Zur Jahrtausendwende lag die Anzahl von analogen Telefonanschlüssen bei ca. 25 Millionen Anschlüssen und bei ISDN-Anschlüssen bei ca. 13 Millionen in Deutschland. Aktuell gibt es in Deutschland über 30 Millionen digitale Anschlüsse (Anzahl steigend), deren Datenübertragung mittels IP-Protokoll realisiert wird. Im Jahr 2022 sollen sämtliche analoge- und ISDN-Anschlüsse auf digitale IP-Anschlüsse umgestellt sein.
Datenübermittlung mittels Fax
Bei der Nutzung von Faxgeräten oder PC-Fax werden die zu übermittelnden Daten nicht mehr direkt wie bei analogen Anschlüssen übertragen. Die Inhalte werden hierbei digitalisiert (vom Gerät selbst, von zusätzlicher Hardware oder durch Software) und im Anschluss werden die Datenpakete über das Internet an den Empfänger übertragen. Die Übertragung erfolgt hierbei nicht authentifiziert und unverschlüsselt. Da diese Datenpakete während der Übertragung nicht verschlüsselt sind, besteht die Möglichkeit, dass sie auf den vielen diversen Zwischenstationen und Knotenpunkten durch das Internet auf dem Weg zum Empfänger ausgelesen werden können. Die Vertraulichkeit kann in diesem Fall nicht mehr gewährleistet werden.
Das Faxgerät könnte jedoch auch ein Fax-Dienst, wie zum Beispiel ein Cloud-Fax-Service, sein. Ein virtueller Fax-Server wandelt Eingangsfaxe in E-Mails um und leitet diese weiter. Ob und gegebenenfalls wie die E-Mails dabei verschlüsselt sind, kann die sendende Stelle nicht feststellen. Dass Nachrichten grundsätzlich verschlüsselt werden, kann von den Absendern auch nicht technisch erzwungen werden. Ob es sich bei den dabei genutzten Cloud-Diensten um DSGVO-konform betriebene europäische Clouds handelt, kann die Absenderseite ebenfalls nicht feststellen.
Die Sicherheit der Verarbeitung als Herausforderung
Jedes Unternehmen, jeder Verein oder jede sonstige Stelle ist selbst für die Sicherheit der Verarbeitung von (personenbezogenen) Daten verantwortlich und somit verpflichtet, geeignete technisch-organisatorische Maßnahmen zu ergreifen, um die Sicherheit der bei der Verarbeitung zu gewährleisten. Dies gilt auch für die Verarbeitung von (personenbezogenen) Daten durch die Nutzung von Faxgeräten oder Fax-Services. Im Rahmen der Nutzung eines Faxgeräts oder Fax-Services können eine Vielzahl von personenbezogenen Daten verarbeitet werden – je nachdem was per Fax versendet wird. Hierbei kann es unter Umständen auch vorkommen, dass sog. besondere Kategorien personenbezogener Daten (besonders schützenswerte personenbezogene Daten, vgl. Art. 9 DSGVO) verarbeitet werden.
Für die Verarbeitung derartiger Daten muss seitens der Verantwortlichen ein geeignetes Schutzniveau sichergestellt werden. Wenn, wie oben kurz herausgearbeitet, die Nutzung von Fax-Lösungen bei digitalen Anschlüssen nicht authentifiziert und unverschlüsselt erfolgt, kann nicht von einem geeigneten Sicherheitsniveau ausgegangen werden. Das hat zur Folge, dass, wenn besondere Kategorien personenbezogener Daten bei der Fax-Nutzung verarbeitet werden und die Sicherheit der Verarbeitung nicht gewährleistet werden kann, eine Verletzung des Schutzes personenbezogener Daten vorliegt und dies ggf. eine Meldepflicht bei der zuständigen Datenschutzaufsicht auslöst.
Das Fax und der Datenschutz – aktuelle Empfehlungen
Im Mai 2021 hat sich zudem die erste Landesbeauftragte für Datenschutz und Informationsfreiheit (hier Bremen) dahingehend geäußert, dass die Nutzung von Fax-Diensten, insbesondere zur Übertragung von besonderen Kategorien personenbezogener Daten, unzulässig sei. Der Landesbeauftragte in Rheinland-Pfalz hat dies ebenfalls getan, die Mittelung wurde jedoch wieder zurückgezogen.
Die Annahme, dass vor jeder Versendung eines Faxes eine Überprüfung oder Risikobewertung hinsichtlich des Inhalts und der enthaltenen Datenkategorien stattfindet, ist nicht zielführend und schlichtweg nicht umsetzbar. Gleichzeitig trägt der Verantwortliche bei jeder Versendung eines Faxes das volle Risiko einer möglichen Datenschutzverletzung, wenn die Sicherheit der Verarbeitung für die entsprechenden Datenkategorien nicht sichergestellt werden kann.
Sollten Sie in Ihrem Unternehmen noch regelmäßig ein Faxgerät oder Fax-Services verwenden, ist es an der Zeit, sich nach sicheren Alternativen umzuschauen
Autor: Robert Postler