Bereits zu Beginn dieses Jahres hatte die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Bremen (LfDI Bremen) die Nutzung des Telefaxes als nicht datenschutzkonform bewertet (wir berichteten hier). Ein Fax sei aufgrund eines zu geringen Sicherheitsniveaus und somit im Hinblick auf das Schutzziel „Vertraulichkeit“ i. d. R. nicht für die Übertragung personenbezogener Daten geeignet.

Nun hat sich auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Herr Prof. Dr. Alexander Roßnagel, zu dieser Thematik geäußert: Zwar sei das Fax vielerorts, vor allem in der Kommunikation zwischen Gerichten und Rechtsanwälten, bei Behörden und im Gesundheitswesen nach wie vor noch im Einsatz, sollte aber aufgrund der Sicherheitsmängel und fortschreitenden Digitalisierung durch andere Kommunikationsmittel (wie z. B. die E-Mail) ersetzt werden.

Die Problematik hinter dem Fax

Als wesentlichen Mangel hebt der HBDI die Übertragungstechnik hervor: Wo früher beim Versand eines Faxes eine direkte und exklusive Verbindung zwischen den Endstellen und somit zwischen den durch ihre Faxnummer identifizierten Absendern und Empfängern aufgebaut wurde, erfolgt heute eine Datenübertragung i. d. R. über eine Vielzahl von nicht exklusiven Verbindungen zwischen mehreren vermittelnden Punkten zwischen den beteiligten Endstellen. Sofern hierbei keine Verschlüsselung erfolgt, besteht das Risiko, dass die Betreiber der (auch global verteilten) Zwischenpunkte auf die übertragenen Daten Zugriff nehmen. Die Details zu der hinter dem Faxversand stehenden Technik haben wir bereits in einem früheren Blogartikel dargestellt.

Datenschutzrechtliche Konsequenzen

Diese übliche (unverschlüsselte) Übertragung eines Faxes kann jedoch zu einem Verstoß gegen den Datenschutzgrundsatz der „Vertraulichkeit und Integrität“ gemäß Art. 5 Abs. 1 lit. f DSGVO in Verbindung mit Art. 32 DSGVO führen, wenn personenbezogene Daten derart verarbeitet werden, dass eine angemessene Sicherheit der personenbezogenen Daten nicht mehr gewährleistet werden kann und die ergriffenen technischen und organisatorischen Maßnahmen nicht entsprechend dem Risiko für die Rechte und Freiheiten betroffener Personen ausgestaltet sind und folglich insgesamt kein angemessenes Schutzniveau gewährleistet werden kann. Der HBDI betont hierbei den besonders hohen Schutzbedarf für die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO – zumeist Gesundheits- und Sozialdaten – und solchen, die von Berufsgeheimnisträgern verarbeitet werden. Der Faxversand berge nämlich vergleichbare Risiken, wie das Versenden einer unverschlüsselten E-Mail: Von der unbefugten Offenlegung aufgrund einer Falscheingabe der Empfängernummer über die Unkenntnisse über die Beschaffenheit des Empfängergerätes (Wer kann darauf zugreifen?) bis zur grundsätzlichen Gefahr des Drittzugriffs mangels Verschlüsselung.

Der Standpunkt des HBDI ist dementsprechend deutlich:

Personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, sollten daher grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert sind.

Ausnahmen seien z. B. bei einer besonderen Eilbedürftigkeit möglich, sofern eine Übertragung an den richtigen Empfänger sichergestellt werden könne und keine datenschutzkonforme Alternative zur Verfügung stünde. Darüber hinaus könne eine Datenübermittlung mittels Fax auf Grundlage einer vom Empfänger zuvor eindeutig und freiwillig erklärten Einwilligung rechtmäßig sein. Sinnvoll und ggf. auch erforderlich kann dies z. B. im Gesundheitswesen sein, wenn in dringenden Notfällen Gesundheitsdaten an ein Krankenhaus oder an ärztliches Fachpersonal übermittelt werden.

Empfehlung des HBDI

Verantwortliche sollten daher nach Meinung des HBDI den Einsatz alternativer, sicherer bzw. vorzugswürdiger Kommunikationsmittel, wie inhaltsverschlüsselte E-Mails (PGP oder S/MIME), Portallösungen (inhaltsverschlüsseltes Bereitstellen und Abrufen von Daten), die DE-Mail oder bereichsspezifische digitale Kommunikationsdienste, z. B. Kommunikation im Medizinwesen (KIM) oder die Infrastruktur des elektronischen Rechtsverkehrs (EGVP/beA/beN/beBPo), prüfen, um die risikoträchtige Datenübertragung mittels Fax zu reduzieren bzw. langfristig damit zu ersetzen. Vor allem die öffentlichen Stellen müssten sich aufgrund des Onlinezugangsgesetzes (OZE) ohnehin mit einem Zugang zu Informationen mit datenschutzrechtskonformen Kommunikationsmitteln für Bürgerinnen und Bürger auseinandersetzen.

Die Vorstöße der LfDI Bremen und des HBDI zeigen die zunehmende Gewichtung dieser Thematik, weshalb sich Verantwortliche – unabhängig vom jeweiligen Bundesland – mit der Situation auseinandersetzen und datenschutzkonforme Alternativen zum Fax prüfen bzw. langfristig einsetzen sollten.