Rechtlicher Hintergrund

Werden personenbezogene Daten übermittelt, müssen Verantwortliche geeignete Maßnahmen treffen, um unter anderem die Vertraulichkeit und Integrität dieser Daten sicherzustellen. Im Rahmen der sog. „Transportkontrolle“ ist dabei zu prüfen, ob die genutzte Technik einen angemessenen Schutz bietet. Dabei sind unter anderem die Implementierungskosten von Maßnahmen, Art und Umfang der Datenverarbeitung und die Eintrittswahrscheinlichkeit von Risiken zueinander ins Verhältnis zu setzen. Insbesondere die Gefahr, dass ein unbefugter Zugang zu den per Fax versendeten Daten erfolgt, soll hier näher beleuchtet werden.

 

Wie läuft die Übermittlung der Faxdaten technisch ab?

Die Eingangsfrage, wie sicher der Versand personenbezogener Daten per Fax ist, müsste tatsächlich ergänzt werden, um den Halbsatz „…im Jahr 2020“.

In den klassischen Telefonnetzen (PSTN – Public Switched Telephone Network, analog und ISDN), werden genutzte Endgeräte durch leitungsmäßiges Zusammenschalten verbunden und es entsteht eine direkte Ende-zu-Ende-Verbindung. Die Informationen werden also auf direktem Wege übertragen und ein Abfangen oder Mitlesen der Daten ist nur innerhalb dieser Verbindung möglich. Ein derart verschicktes Fax kann damit als relativ sicher angesehen werden.

Derartige direkte Verbindungen finden im Jahr 2020 jedoch so gut wie nicht mehr statt. Nach Schätzung der Bundesnetzagentur verfügten im Jahr 2019 noch ca. 90.000 Haushalte über einen analogen und ca. 530.000 über einen ISDN-Anschluss (siehe hier).

Im Gegensatz dazu gibt es inzwischen in Deutschland ca. 30 Millionen digitale Anschlüsse, bei denen die Datenübertragung über das IP-Protokoll, also das Internet realisiert wird. Spätestens 2022 soll die gesamte Analog- bzw. ISDN-Technik auf All-IP – dazu gehört neben „Fax over IP“ (FoIP) z. B auch „Voice over IP“ (VoIP), umgestellt sein.

Bei IP-basierten Diensten werden Daten dabei nicht über definierte Wege verschickt, sondern als Datenpakete durch das Internet, wobei sie viele Zwischenstationen passieren können. Diese Art der Übermittlung ist technisch identisch zum Versand einer E-Mail oder von Webseitendaten.

Wenn die über einen IP-basierten Dienst versendeten Daten dabei nicht verschlüsselt werden, ist es aus technischer Sicht möglich, dass Datenpakete an jeder passierten Zwischenstation ausgelesen werden. Die Vertraulichkeit der verschickten Daten ist dann also nicht sicher gewahrt.

 

Wie positionieren sich Datenschutzbehörden und Gerichte?

Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen vertritt (ohne dies näher auszuführen, aber wohl aus den o.g. Gründen) in ihrem „1. Jahresbericht nach der Europäischen Datenschutzgrundverordnung (Berichtsjahr 2018)“ (abrufbar hier), „dass die Übermittlung per Fax inzwischen wie die Übermittlung durch eine unverschlüsselte E-Mail bewertet werden muss“.

Auch die Landesbeauftrage für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) sieht den Versand vertraulicher Informationen per Fax als „riskant“ an, denn dieser Dienst enthalte „grundsätzlich keine Datensicherheitsmaßnahmen“ (siehe Veröffentlichung).

Der genannten Ansicht der LDI NRW hat sich kürzlich auch das OVG Lüneburg (Beschluss vom 22.07.2020, 11 LA 104/19) angeschlossen und direkt auf diese Veröffentlichung verwiesen. Je nach Sensibilität und Bedeutung von zu übermittelnden Daten, dem Grad der Schutzbedürftigkeit eines Betroffenen und dem mit Sicherungsmaßnahmen verbundenen Aufwand, könne der Versand personenbezogener Daten per Fax aus datenschutzrechtlichen Gründen unzulässig sein.

 

Fazit

Somit lautet die Antwort auf die Frage, wie sicher der Versand personenbezogener Daten per Fax im Jahr 2020 ist: Häufig nicht sicher genug.

Dass Faxe heutzutage noch zwischen zwei „klassischen“ Anschlüssen ausgetauscht werden, ist aufgrund der aktuellen Zahlen einigermaßen unwahrscheinlich. Somit sollte ein Faxversender zunächst davon ausgehen, dass das verschickte Fax über das Internet verschickt wird.

Telefon und Fax sind nur noch insofern besonders, als dass sie bei Beauftragung von “üblichen” Telekommunikationsanbietern zumindest in Deutschland noch der entsprechenden Regulierung und Gesetzgebung (insbesondere Telekommunikationsgesetz – TKG) unterliegen. Auch wenn dadurch ggf. ein Mindestmaß an Vertrauen geschaffen werden kann, macht diese Regulierung aus technischer Sicht keinen Unterschied, zumal nicht transparent ist, wann ein Datenpaket die Gestaltungshoheit eines Anbieters verlässt und welche Unterauftragnehmer eigentlich die Daten für einen Telekommunikationsanbieter tatsächlich transportieren.

Somit muss der Faxversender sich als nächstes Gedanken darüber machen, welche Daten er an wen versenden möchte. Befinden sich unter den zu versendenden Daten z. B. besonders sensible Daten, wie Gesundheitsdaten, führt das dazu, dass weitere Maßnahmen ergriffen werden sollten, um den Versand sicher(er) zu gestalten. Hier kommen etwa spezielle Verfahren zur Verschlüsselung in Betracht, was jedoch regelmäßig mit gewissem Aufwand verbunden ist.

Nach Abwägung der Vor- und Nachteile des Faxversands kann es dann ggf. sogar vorzugswürdig sein, Daten per E-Mail zu versenden. Diese ist in den überwiegenden Fällen nämlich tatsächlich nicht mit einer „Postkarte“ zu vergleichen, sondern bietet durchaus einen gewissen Schutz (nachzulesen in diesem Blogartikel). Auch eine Inhaltsverschlüsselung lässt sich für E-Mails relativ einfach umsetzen.

Verantwortliche, die weiterhin Daten per Fax versenden möchten, sollten sich also mit den technischen Besonderheiten vertraut machen und evaluieren, ob für sie geeignetere Kommunikationswege zur Verfügung stehen.