Trotz des digitalen Wandels und in einer Welt, die von E-Mails dominiert wird, ist das Fax in vielen Branchen immer noch weit verbreitet. Insbesondere im Gesundheitswesen, bei Ämtern und Behörden, in der Rechtsbranche und im Finanzsektor wird das Fax regelmäßig genutzt. In Zeiten der analogen Telefonnetze galt das Faxgerät auch als ein relativ sicheres Kommunikationsmedium, da die Nachrichten über eigene Leitungen Ende-zu-Ende-verschlüsselt wurden. Durch die Digitalisierung haben sich die technischen Funktionen der Fax-Geräte jedoch geändert und der datenschutzkonforme Betrieb kann nicht mehr in jedem Fall sichergestellt werden.
Sicherheit von Fax-Nachrichten
Im Rahmen der Digitalisierung werden analoge Telefonnetze abgeschaltet und auf IP-basierte Anschlüsse (digitale Anschlüsse) umgestellt. Die Inhalte werden hierbei digitalisiert (vom Gerät selbst, von zusätzlicher Hardware oder durch Software).
- Fehlende Verschlüsselung und Authentifizierung: Die Datenpakete werden bei den IP-basierten Anschlüssen über das Internet an den Empfänger übertragen. Die Übertragung ist weder verschlüsselt noch authentifiziert. Dies birgt das Risiko, dass unbefugte Personen die Daten auf den vielen diversen Zwischenstationen und Knotenpunkten durch das Internet auf dem Weg zum Empfänger auslesen können.
- Absender und Empfänger müssen eine datenschutzkonforme Übermittlung sicherstellen: Selbst wenn der Absender noch einen analogen Anschluss verwendet, kann er nicht sicher sein, ob der Empfänger auch einen analogen Anschluss oder doch einen IP-basierten Anschluss verwendet.
- Cloud-Fax-Service: Ein virtueller Fax-Server wandelt Eingangsfaxe in E-Mails um und leitet diese weiter. Ob und gegebenenfalls wie die E-Mails dabei verschlüsselt sind, kann die sendende Stelle nicht feststellen. Dass Nachrichten grundsätzlich verschlüsselt werden, kann von den Absendern auch nicht technisch erzwungen werden. Ob es sich bei den dabei genutzten Cloud-Diensten um DSGVO-konform betriebene europäische Clouds handelt, kann die Absenderseite ebenfalls nicht feststellen.
Beim Einsatz von Fax-Geräten werden verschiedene und eine Vielzahl von Daten übermittelt. Insbesondere wenn besondere Kategorien personenbezogener Daten (besonders schützenswerte personenbezogene Daten, vgl. Art. 9 DSGVO) verarbeitet werden, müssen die Unternehmen mit geeigneten technischen und organisatorischen Maßnahmen für eine sichere Übermittlung der Daten sorgen.
Gemäß einer Pressemitteilung des Thüringer Datenschutzbeauftragten Lutz Hasse vom 20.02.2024 soll nur noch in begründeten dringlichen Fällen nach einer datenschutzrechtlichen Risikoabschätzung gefaxt werden.
Demnach kann sogar in begründeten dringlichen Situationen, insbesondere in medizinischen Fällen, nach einer datenschutzrechtliche Risikoabschätzung eine Übermittlung der Daten mit einem Fax-Gerät erfolgen. Denn „der Schutz der Gesundheit und Sicherung von Leib und Leben der Betroffenen überwiegen hier gegenüber dem Risiko einer potentiellen Verletzung von Rechten und Freiheiten der Betroffenen durch unbefugte Kenntnisnahme der Daten“.
Fazit
In Anbetracht der Unsicherheiten bezüglich der Sicherheit von Faxgeräten und der undurchführbaren, kontinuierlichen Risikoabschätzung ist es ratsam, dass Unternehmen nach Alternativen Ausschau halten. Bis auf die absolute Ausnahme in begründeten dringlichen Fällen wie von dem Thüringer Datenschutzbeauftragten betont (siehe oben) ist der Einsatz von Faxgeräten nicht zu empfehlen.