Wo ist das Problem?
Werden personenbezogene Daten übermittelt, müssen Verantwortliche geeignete Maßnahmen treffen, um die Vertraulichkeit und Integrität dieser Daten zu sichern. Dabei ist also so prüfen, ob die genutzte Technik einen angemessenen Schutz bietet. Diese Angemessenheitsprüfung beinhaltet, dass neben den Implementierungskosten dieser Maßnahmen auch Art und Umfang der Datenverarbeitung und die Eintrittswahrscheinlichkeit von Risiken zueinander ins Verhältnis gesetzt werden müssen.
Bezogen auf die Datenübermittlung per Fax ist hierbei insbesondere an das Risiko des unbefugten Zugangs zu den versendeten Daten zu denken.
Als datenschutzrechtlich weitestgehend sicher wird die Übermittlung durch klassische Telefonnetze (PSTN – Public Switched Telephone Network, analog und ISDN) angesehen. Hierbei werden die Endgeräte durch leitungsmäßiges Zusammenschalten verbunden (direkte Ende-zu-Ende-Verbindung). Die Informationen werden also auf direktem Wege übertragen und ein Abfangen oder Mitlesen der Daten ist nur innerhalb dieser Verbindung möglich.
Im Gegensatz dazu gibt es inzwischen in Deutschland ca. 30 Millionen digitale Anschlüsse, bei denen die Datenübertragung über das IP-Protokoll, also das Internet, realisiert wird. Hierzu wurde die gesamte Analog- bzw. ISDN-Technik auf „All-IP“ umgestellt – dazu gehört neben „Voice over IP“ (VoIP) zum Beispiel auch „Fax over IP“ (FoIP). Diese Art der Übermittlung ist technisch gesehen identisch zum Versand einer E-Mail. Bei unverschlüsselt versendeten Daten ist es also möglich, dass Datenpakete an jeder Zwischenstation auf dem Verbindungsweg ausgelesen werden.
Was sagen die Landesbehörden dazu?
„Aufgrund dieser Unwägbarkeiten hat ein Fax hinsichtlich des Schutzziels Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, die zu Recht als digitales Pendant zur offen einsehbaren Postkarte angesehen wird. Mehr nicht. Fax-Dienste enthalten in der Regel keinerlei Sicherungsmaßnahmen, um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet.“ LfDI Bremen
„Im Interesse der Datensicherheit und vor dem Hintergrund der fortschreitenden Digitalisierung sollten Verantwortliche daher zeitnah alternative Kommunikationsmittel zum Fax prüfen und implementieren.“
„Personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, sollten daher grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert sind.“ LfDI Hessen
Wie sieht die Lösung aus?
Aufgrund dieser Erwägungen ist von der Übermittlung von Daten per Fax, insbesondere bei der Übertragung von sensiblen Daten, Abstand zu nehmen. Die Übermittlung ist nur in Einzelfällen datenschutzrechtskonform, nämlich bei besonderer Eilbedürftigkeit und im Rahmen einer Einwilligungslösung der betroffenen Person (ausdrücklich und eigeninitiativ).
Letztlich stellen nur inhaltsverschlüsselte E-Mails, sogenannte Portallösungen oder bereichsspezifische digitale Kommunikationsdienste eine sichere und vor allem datenschutzrechtliche Alternative dar, eine risikoträchtige Datenübertragung zu verhindern.