Übermittlung personenbezogener Daten per Fax & DSGVO - was gibt es neues?
Galt ein Telefax noch vor einigen Jahren als relativ sichere Methode um auch sensible personenbezogene Daten zu übertragen, so hat sich diese Situation grundlegend geändert.
Gerade durch die veränderten Kommunikationswege im Zuge der Corona-Pademie ist eine Frage enorm in den Fokus getreten:
Dürfen personenbezogene Daten per Fax übermittelt werden?
Stellungnahme Ladesbeauftrager für Datenschutz Bremen im Mai 2021:
Kern des Problems ist „die Gegenseite“ des Faxgerätes: Absenderinnen oder Absender können sich nie sicher sein, welche Technik auf der Empfangsseite eingesetzt wird.
Das reale Faxgerät ist mittlerweile abgelöst. Ganz vereinzelt mag es sie noch geben, aber meist handelt es sich um Fotokopierer mit Fax-Funktion oder Fax-Server. Sie wandeln die eingehenden Faxe in eine E-Mail um und leiten sie an E-Mail-Postfächer weiter. Das „Faxgerät“ könnte aber auch ein Fax-Dienst, wie zum Beispiel ein Cloud-Fax-Service, sein: Ein virtueller Fax-Server, der Eingangsfaxe ebenfalls in E-Mails umsetzt und weiterleitet. Ob und gegebenenfalls wie die E-Mails dabei verschlüsselt sind, kann die sendende Stelle nicht feststellen. Dass verschlüsselt wird, kann von Absenderinnen oder Absendern auch nicht technisch „erzwungen“ werden.
Und ob es sich bei den dabei genutzten Cloud-Diensten um DSGVO-konform betriebene „europäische Clouds“ handelt, kann die Absenderseite ebenfalls nicht feststellen.
Aufgrund dieser Unwägbarkeiten hat ein Fax hinsichtlich des Schutzziels Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, die zu Recht als digitales Pendant zur offen einsehbaren Postkarte angesehen wird. Mehr nicht. Fax-Dienste enthalten in der Regel keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet. Die Bremische Verwaltung geht davon aus, bis Ende 2022 alle Faxgeräte durch sicherere Technologien abgelöst zu haben. Bis dahin sind ihre Beschäftigten gehalten, die Faxtechnik nicht mehr für die Übermittlung personenbezogener Daten zu verwenden (vergleiche hierzu Ziffer 3 des 3. Jahresbericht nach der Europäischen Datenschutzgrundverordnung, Berichtsjahr 2020 – pdf, 923.7 KB).
Zur Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der Datenschutzgrundverordnung ist die Nutzung von Fax-Diensten unzulässig.
Für den Versand personenbezogener Daten müssen daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post genutzt werden.
Was bedeutet dies in der Praxis?
Die Stellungnahmen anderen Bundesländer sind bisher nicht schriftlich erfolgt – allerdings haben schon einige die Einschätzung zumindest zum Teil mündlich bestätigt.
Werden bei Ihnen Faxe über das Internet versendet oder über das Internet empfangen, so ist ein Fax datenschutztechnisch gesehen mit einer unverschlüsselten E-Mail gleich zu setzen. Die meisten Fax-Dienste besitzen Stand heute keinerlei Sicherungsmaßnahmen, so dass vertrauliche Daten relativ offen sind.
In Bremen sind in öffentlichen Bereichen die Faxgeräte verboten.
Wie sollten die Daten alternativ übermittelt werden?
Datenschützer raten für den Versand von personenbezogenen Informationen ab sofort alternative, sichere und damit geeignete Verfahren zu nutzen. Hier sind als Beispiel E-Mails mit Ende-zu-Ende-Verschlüsselung oder – ganz schlicht – die herkömmliche Post gemeint.