Mit der Änderung der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) wird eine lange erwartete Konsequenz offiziell: Die Nutzung des Faxgeräts zur schnellen Übermittlung personenbezogener Daten ist, von absoluten Ausnahmefällen abgesehen, nicht mehr zulässig.
Angesichts der fortschreitenden Digitalisierung und der gestiegenen Anforderungen an den Schutz personenbezogener Daten war die Faxnutzung seit Jahren Gegenstand datenschutzrechtlicher Diskussionen. Die Novellierung schafft nun endlich klare Verhältnisse.
Der neue § 25 KDG-DVO formuliert:
„Die Übermittlung personenbezogener Daten per Fax ist grundsätzlich unzulässig. In spezifischen Bestimmungen können Ausnahmen, insbesondere Übergangsbestimmungen, vorgesehen werden; dabei sind die Vorschriften der §§ 5 ff. und die jeweils aktuellen Sicherheitsstandards zu beachten.“
Was steckt hinter diesem Verbot?
Das Problem: Der Faxversand ist datenschutzrechtlich riskant, weil die Übertragung heute häufig paketvermittelt, d. h. über ein IP‑Netz (z. B. Internet, VoIP, statt klassisch über eine leitungsvermittelte Telefonleitung), und teilweise unverschlüsselt erfolgt, sodass Unbefugte Zugriff auf den Faxinhalt erlangen können. Auf der Empfängerseite wird ein Fax zudem oft automatisiert in eine unverschlüsselte E‑Mail umgewandelt, wodurch die Vertraulichkeit des Inhalts nicht gewahrt werden kann. Insofern bieten Fax‑Dienste keine angemessenen technischen Schutzmaßnahmen, und erfüllen dadurch regelmäßig nicht die Anforderung von KDG bzw. DSGVO. Besonders kritisch ist dies bei sensiblen oder besonderen Kategorien personenbezogener Daten, deren Übermittlung per Fax bereits zuvor als unzulässig galt (vgl. OVG Lüneburg, Urteil vom 22.07.2020 – 11 LA 104/19). Mit der Novellierung hat man sich deshalb konsequent dafür entschieden, den Faxversand vollständig auszuschließen – auch für weniger sensible Daten. Diese Entscheidung ist folgerichtig, wenn ein hohes Schutzniveau gewährleistet werden soll.
Gibt es Ausnahmen?
Eine Ausnahme von dem Verbot lässt der neue § 25 KDG-DVO zu. So soll ein Faxversand an staatliche Einrichtungen, etwa Behörden oder Gerichte, möglich sein, wenn diese eine Übersendung per Fax „verlangen“. Da staatliche Stellen nicht an das KDG gebunden sind, können kirchliche Einrichtungen in solchen Fällen das Fax weiterhin einsetzen. Der konkrete Fall ist jedoch detailliert zu dokumentieren.
Eine in diesem Zusammenhang häufig gestellte Frage lautet: Können Betroffene in die Übermittlung ihrer personenbezogenen Daten per Fax einwilligen?
Eine solche Einwilligung dürfte nicht rechtswirksam sein. Betroffene können nicht über mindere Sicherheitsstandards bei der Verarbeitung ihrer personenbezogenen Daten disponieren. Nach § 27 KDG obliegt dem Verantwortlichen die Pflicht, jederzeit geeignete technische und organisatorische Maßnahmen zu treffen, die ein angemessenes Schutzniveau für die zu verarbeitenden personenbezogenen Daten gewährleisten. Mit der Einholung einer Einwilligung würde sich der Verantwortliche über seine Pflicht hinwegsetzen. Das ist vom Gesetzgeber offensichtlich nicht vorgesehen.
Rückgriff auf bereits bekannte Alternativen
Eine zwar altmodische, aber weiterhin sichere Alternative ist der Postversand. Dieser ist in dringenden Fällen unter Umständen allerdings wenig praktikabel.
In der Regel dürfte der Versand per E‑Mail daher die sinnvollste Lösung darstellen. Insbesondere bei besonders sensiblen Daten ist jedoch zu beachten, dass diese zusätzlich verschlüsselt werden (Inhaltsverschlüsselung). Dies kann etwa durch die Verschlüsselung des Dokuments selbst oder das Verpacken mehrerer Dateien in eine passwortgeschützte ZIP-Datei erfolgen. Das zugehörige Passwort sollte über einen separaten Kommunikationsweg (z. B. Anruf, SMS) übermittelt werden. Einrichtungen im Gesundheitswesen – also z. B. Arzt- und Zahnarztpraxen, Apotheken, Krankenhäuser, Pflegeeinrichtungen, Psychotherapeuten und Heilmittelerbringer – müssen an die Telematikinfrastruktur angeschlossen sein und können KIM („Kommunikation im Medizinwesen“) nutzen. KIM ist ein sicheres E-Mail-Verfahren, mit dem medizinische Dokumente elektronisch und mit einer hardwarebasierten Ende-zu-Ende-Verschlüsselung übermittelt werden.
Fazit
Das neue Faxverbot in der KDG-DVO ist unumgänglich und lässt nur sehr eng begrenzte Ausnahmen zu. Wählen Sie stattdessen die sich bereits in der Vergangenheit bewährte Methode, (sensible) personenbezogene Daten per (gesondert) verschlüsselter E-Mail zu versenden.
Sehen Sie darüber hinaus davon ab, Ihre Pflicht für angemessene Sicherheitsstandards sowie die gesetzliche Regelung in Form des § 25 KDG-DVO dadurch umgehen zu wollen, eine Einwilligung der betroffenen Personen in die Datenübermittlung per Fax einzuholen.
27. Februar 2026 @ 15:15
Woher kommt die angeführte Ausnahme, wenn Behörden Übermittlung per Fax „verlangen“? Die Anführungszeichen deuten ein Zitat an, eine solche Ausnahme findet sich aber nicht im Normtext. Da steht – wie zitiert – nur, dass Ausnahmen über „spezifische Bestimmungen“ vorab gerechtfertigt werden müssen, eine nachlaufende Dokumentationspflicht findet sich dort nicht.
Nicht überzeugend finde ich diese Aussage: „Da staatliche Stellen nicht an das KDG gebunden sind, können kirchliche Einrichtungen in solchen Fällen das Fax weiterhin einsetzen.“ Wie soll das begründet werden? Die Verarbeitung fällt ja in die Verantwortung der kirchlichen Stelle, die dem kirchlichen Datenschutzrecht unterfällt, auch wenn Daten an eine nichtkirchliche Stelle übermittelt werden. Diskutieren könnte man lediglich, ob der verwendete Begriff „übermitteln“ auch den Empfang einschließt, also ggf. Faxe von nichtkirchlichen Stellen an kirchliche Stellen nicht von § 25 KDG-DVO erfasst sind.
Bei der Einwilligung in den Fax-Versand sehe ich das nicht so pauschal als unmöglich; die Konferenz der Diözesandatenschutzbeauftragten vertritt seit 2022 die Position, dass eine Einwilligung in schlechtere ToMs unter engen Voraussetzungen möglich ist (Beschluss der Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland, Sitzung vom 15. 6. 2022, Dispositionsrecht zur Einwilligung in die Nichtanwendung von technischen und organisatorischen Maßnahmen).
2. März 2026 @ 12:56
Sehr geehrter Herr Neumann,
vielen Dank für Ihren Kommentar. Das Fax spielt (leider) auch 2026 in vielen Bereichen eine beachtliche Rolle, insbesondere, wenn staatliche Einrichtungen beteiligt sind. Aus dem Beratungsalltag sind uns viele Fälle bekannt, in denen die Kommunikation von der Behörde an die kirchliche Einrichtung ausschließlich über Fax erfolgt. Exemplarisch sollen hier kurzfristige Inobhutnahmen durch Einrichtungen der Kinder- und Jugendhilfe genannt werden. In diesen Fällen erfolgt die Bereitstellung der Akte grundsätzlich per Fax. Hier setzt unser Beitrag an, denn § 25 KDG-DVO sieht nur die Übermittlung personenbezogener Daten per Fax als grundsätzlich unzulässig an, wenn der Absender die kirchliche Einrichtung ist. Der Empfang von Faxen ist hingegen nicht untersagt. Insoweit haben wir den Artikel bewusst weit formuliert.
Wir haben allerdings auch regelmäßig die Situation, dass Behörden die Bereitstellung von Dokumenten ausschließlich per Mail akzeptieren. Das führt gerade in den niederschwelligen Beratungsangeboten der kirchlichen Beratungsstellen regelmäßig zu erheblichen Problemen, zumal die Ratsuchenden in den entsprechenden Situationen auf schnelle Hilfen angewiesen sind. Hier wären tatsächlich spezifische Bestimmungen geboten, zumal die Einwilligung in schlechtere TOMs zwar teilweise vertreten wird, aber, so auch der Beschluss der Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland vom 15.06.2022, informiert erfolgen muss. Dies setzt wiederum voraus, dass die einwilligende Person die Tragweite und möglichen Folgen ihrer Erklärung hinreichend versteht. Das ist gerade im niederschwelligen Beratungskotext nicht durchgängig der Fall.
Mit freundlichen Grüßen
Ihre Blog-Redaktion