Datenschutzkonform faxen - noch möglich?

Datenschutz

von Christian Klande

Bis vor einigen Jahren wurde das Fax und der Versand über analoge Datenübertragungswege (z.B. ISDN) als sichere Alternative im Vergleich zu einer E-Mail angesehen. Auch die Übermittlung sensibler Daten (z.B. Gesundheitsdaten) galt als unbedenklich. Spätestens mit der Umstellung auf die digitale Vermittlungstechnik (Voice over IP (VoIP), Fax over IP (FoIP)) hat sich diese Meinung aus Sicht der Aufsichtsbehörden grundlegend geändert. Sie sind der Meinung, dass der Versand per Fax genauso unsicher ist wie eine E-Mail. Eine regel- und standardmäßige Übersendung per Fax, insbesondere bei sensiblen Daten, sei weder dem Stand der Technik entsprechend noch im Allgemeinen dem Risiko angemessen. Allenfalls für Notfälle dürfe das Fax noch benutzt werden unter engen Voraussetzungen.

Handlungsoptionen in Einklang mit der Meinung der Datenschutzbehörden

Folgt man als Verantwortlicher der Sichtweise der Behörden (z.B., weil man sich der Argumentation anschließen kann), gibt es zwei denkbare Optionen:

  1. Das Fax ganz aus dem eigenen Verantwortungsbereich entfernen und auf sicherere Übertragungswege ausweichen (z.B. verschlüsselte E-Mail, Portallösungen, Brief).
  2. Nur noch als Empfängergerät nutzen, solange unter anderem sichergestellt ist, dass nur Berechtigte Zugriff auf das Fax haben. Ein Senden personenbezogener Daten (pD), insbesondere sensibler pD nur im Ausnahmefall. Hierzu empfehlen die Behörden beim Vorliegen sensibler Daten folgende Vorgehensweise:

Es muss sichergestellt sein, dass das Einverständnis der Betroffenen vorliegt. Liegt dies vor und ist der Nutzen der Datenübermittlung mittels Fax höher als das datenschutzrechtliche Risiko, ist der Fax-Versand besonders sensitiver Daten ohne weitergehende technische Sicherungsmaßnahmen (Verschlüsselung) maximal im Ausnahmefall hinnehmbar. In diesen Fällen müssen dann zwingend organisatorische Datenschutzmaßnahmen getroffen werden (Kontrolle der Fax-Nummer, vorherige Unterrichtung, kein Zugriff durch Dritte auf das Faxgerät etc).

Handlungsoptionen aufgrund abweichender Meinung bzw. eigener Risikoentscheidung

Habe ich als Verantwortlicher eine andere Meinung, dann ist das durchaus legitim. Entscheidend wird die Rechtsprechung der Gerichte sein. Zurzeit bestehen zwangsläufig Regelungslücken, die entsprechend interpretiert werden müssen. Handel ich als Verantwortlicher entgegen der Meinung der Behörden, muss ich unter Umständen Diskussionen mit ihnen führen. Was spricht gegen ihre Argumentation?

Die Datenübermittlung über IP-Technik (VoIP und FoIP) erfolgt grundsätzlich verschlüsselt – über eigene Backbones der Betreiber – und die Betreiber unterliegen entsprechenden Gesetzen und werden von den Behörden kontrolliert – zumindest in Deutschland. Bei analogem oder ISDN-Faxversand war eine Verschlüsselung technisch nicht möglich, trotzdem wurde das Fax früher als sichereres Medium angesehen. Insofern stellt der heutige Faxversand eine große Verbesserung aufgrund der standardmäßigen Verschlüsselung dar. Das unbefugte lesen, kopieren und entfernen wird verhindert.

In einer Stellungnahme hat die Aufsichtsbehörde für Datenschutz (ULD) in Schleswig-Holstein erklärt, dass keine Erkenntnisse vorliegen, dass es bedingt durch die Umstellung auf paketvermittelte Technik auf Providerseite zu Datenschutzverstößen gekommen ist. Wenn man der Argumentation folgt, dass die VoIP-Technik unzureichend wäre, dürfte man auch keine (sensiblen) personen-bezogenen Daten mehr über das Telefon austauschen, doch noch ist das Telefon im Tagesgeschäft zulässig. Nach Aussage der Behörden ist es zulässig mit der Begründung, dass eine Ende-zu-Ende-Ver-schlüsselung noch nicht einen solchen Reifegrad hat, dass ihre Umsetzung im gesamten Telefon-system als Stand der Technik rechtlich gefordert werden kann. Wieso sollte es beim Fax anders sein?

  1. Diese Option wäre für den Verantwortlichen interessant, der das Fax im Tagesgeschäft (noch) benötigt, weil der Gegenüber die Benutzung als selbstverständlich und üblich ansieht. Ein Verzicht (Option 1) oder Einschränkung der Nutzung (Option 2) würde nach eigener Einschätzung zu Umsatzeinbußen oder unverhältnismäßig hohen Kosten oder betrieblich nicht zu rechtfertigenden Einengungen führen. In jedem Fall ist sicherzustellen, dass unberechtigte Dritte beim Verantwortlichen keinen Zugriff auf das Faxgerät haben. Zusätzlich empfehlen wir bei Versand, dass die Faxnummer dem Empfänger direkt zuzuordnen ist sowie ein Faxvorblatt mit Angaben zum Absender, Empfänger, dessen Fax- und Telefonnummer sowie Gesamtzahl der gesendeten Seiten verwendet wird. Das Sendeprotokoll sollte dokumentiert werden. Optional kann die Einwilligung des Betroffenen für den Faxversand eingeholt werden.

Da bei Datenübermittlung ins Ausland mögliche Betreiber nicht den deutschen Gesetzen oder Kontrollen unterliegen, könnte hier eine Kontrolllücke gegeben sein. Gleiches ergibt sich auch bei der Zwischenspeicherung auf Knotenpunkten oder auf Servern beteiligter Betreiber. Daher würde man in diesem Fall von einer Verwendung des Faxes, insbesondere bei sensiblen Daten, abraten müssen.

Fazit

Das Fax bleibt auch weiterhin für viele Verantwortliche unverzichtbar. Allerdings gilt es genauer hinzuschauen, geeignete Sicherheitsmaßnahmen zu treffen und abzuwägen. Ihr Datenschutzbeauftragter von Althammer & Kill steht Ihnen hierbei gerne zur Verfügung!

 

Zusätzliche Informationen:

https://lfd.niedersachsen.de/startseite/datenschutzreform/dsgvo/faq/ds-gvo-im-gesundheitsbereich-166950.html#Frage24

https://datenschutz-hamburg.de/assets/pdf/25._Taetigkeitsbericht_Datenschutz_2014-2015_HmbBfDI_01.pdf

S. 161

Zurück