Datenschutzbeauftragter: Fax-Nutzung stellt einen Verstoß gegen die DSGVO dar!
Die Fax-Nutzung ist nach wie vor in vielen Büros und auch in der Behördenpraxis nicht wegzudenken. Allerdings werden die kritischen Stimmen in Bezug auf die Fax-Nutzung immer lauter. So hat erst jüngst der Hessische Beauftragte für Datenschutz und Informationsfreiheit die Fax-Verwendung als unsicheres Kommunikationsmittel eingestuft.
Technische Hintergründe zur Fax-Nutzung
Der Hessische Datenschutzbeauftragte erläutert in seiner Stellungnahme zunächst die technischen Hintergründe zur Fax-Nutzung.
Hierbei beruhte die Kommunikation früher ausschließlich zwischen einzelnen Faxgeräten auf einem Verbindungsaufbau mittels Kanal- beziehungsweise Leitungsvermittlung. Die Übermittlung der Daten erfolgte von der absendenden Stelle an die empfangende Stelle, zwischen beiden Endstellen wurde eine direkte Verbindung aufgebaut. Die Übermittlung der Datenströme erfolgte früher ausschließlich zwischen den beiden Endstellung.
Aufgrund der technologischen Weiterentwicklung im Bereich der Übertragungstechnik kam es in der zeitlichen Folge dazu, dass eine so genannte "Paketvermittlung" in der Datenübertragung verwendet wurde:
"Dabei werden die zu übertragenden Daten mittels des TCP/IP-Standards auf sogenannte „Pakete“ aufgeteilt und über eine Vielzahl von Verbindungen zwischen mehreren vermittelnden Punkten zwischen den Endstellen übertragen. Die genutzten Verbindungen und Punkte sind dabei - im Gegensatz zur früheren Leitungsvermittlung - nicht für die beiden Endstellen reserviert."
Im Falle einer Fax-Nutzung kommt noch die Tatsache erschwerend hinzu, dass der Versand der Datenpakete standardmäßig unverschlüsselt erfolgt.
Vorgaben der DSGVO im Rahmen der Fax-Nutzung
Nach dem in Art. 5 Abs. 1 lit. f DSGVO enthaltenen Grundsatz der "Integrität und Vertraulichkeit" muss der datenschutzrechtlich Verantwortliche das Nachstehende befolgen: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
Art. 32 DSGVO stellt eine Konkretisierung des in Art. 5 Abs. 1 lit. f DSGVO enthaltenen Grundsatzes dar. Nach Art. 32 DSGVO haben Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein, dem Risiko angemessenes Schutzniveau, zu gewährleisten.
"Da bei der Risikoabwägung neben der Eintrittswahrscheinlichkeit auch das Ausmaß der Folgen einer Schutzverletzung personenbezogener Daten betrachtet werden muss, wird die Abwägung maßgeblich von den Kategorien der verarbeiteten personenbezogenen Daten beeinflusst, die per Fax übermittelt werden.
Besonders hervorzuheben ist in diesem Zusammenhang die Sensibilität des personenbezogenen Datums, das verarbeitet werden soll: Je sensibler die personenbezogenen Daten sind, desto größer ist auch der Schutzbedarf, der bei der Auswahl der zu treffenden Maßnahmen zugrunde zu legen ist. Dies gilt insbesondere für die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DS-GVO sowie für Daten, die von Berufsgeheimnisträgern verarbeitet werden."
Das Risiko im Zusammenhang mit der Fax-Nutzung
Angesichts der Sicherheitsbedenken des Hessischen Datenschutzbeauftragten kommt dieser in seiner Stellungnahme zu dem Schluss, dass einem Fax in Bezug auf das Schutzziel Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail zukomme.
Insbesondere werden die nachstehenden Risiken im Falle des Fax-Nutzung benannt:
- personenbezogenen Daten könnten wegen einer nicht korrekten Eingabe der Zielfaxnummer Dritten unbefugt offenbart werden.
- Der Absender hat in der Regel keine Informationen zur Empfängerseite, z.B. wo ein etwaiges Empfangsgerät steht und wer Zugang zu diesem hat.
- Bei der heutzutage weit überwiegend genutzten paketvermittelten Übertragungsmethode als Fax over IP (FoIP) über das Internet, oder bei der Nutzung von Diensten, die Faxe automatisiert in E-Mails umwandeln, werden die Daten in der Regel nicht verschlüsselt und damit ungeschützt übertragen. Durch die Übertragung über mehrere verteilte Zwischenstellen besteht dabei grundsätzlich eine Zugriffsmöglichkeit für unbefugte Dritte.
Des Weiteren folgert der Hessische Datenschutzbeauftragte:
"Im Ergebnis ist die Übermittlung von personenbezogenen Daten per Fax daher mit dem Risiko des Verlustes der Vertraulichkeit der übermittelten Daten behaftet. Personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, sollten daher grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert sind."
Als zusätzliche Schutzmaßnahmen komme der Einsatz standardisierter Verschlüsselungstechnologie für den Fax-Verbindungsaufbau und die Fax-Übertragung von Daten als Möglichkeit in Betracht.
Fax-Nutzung zumindest bei besonderen personenbezogenen Daten auch nach Ansicht der Bremer Datenschutzbeauftragten kritisch:
Nach der Bremer Landesbeauftragten für Datenschutz und Informationsfreiheit stellt auf jeden Fall die Übertragung sog. besonderer personenbezogener Daten per Fax einen DSGVO-Verstoß dar. Nicht geklärt ist nach der Stellungnahme aus Bremen allerdings, ob sich diese Auffassung auf den speziellen Fall der Übermittlung von in Art. 9 DSGVO erwähnten besonderen personenbezogenen Daten (z.B. Gesundheitsdaten) beschränkt oder jede Fax-Nutzung unzulässig sein soll, welche personenbezogene Daten zum Gegenstand hat.
Fazit
Nach Auffassung des Hessischen Datenschutzbeauftragten kann die unverschlüsselte Übermittlung per Fax einen Verstoß gegen Art. 5 Abs. 1 lit. f und Art. 32 DSGVO darstellen, wenn personenbezogene Daten einen hohen Schutzbedarf aufweisen.
Der Hessische Datenschutzbeauftragte sieht die datenschutzrechtlich Verantwortlichen in der Pflicht, das Fax als Kommunikationsmittel auf den Prüfstand zu stellen und zur schnellen und datenschutzkonformen Kommunikation auf andere digitale Lösungen umzustellen.
Sie möchten sorgenfrei rechtssicher im Internet auftreten und wünschen sich bei den rechtlichen Dingen professionelle, anwaltliche Unterstützung? Werfen Sie einen Blick auf die Schutzpakete der IT-Recht Kanzlei.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
Beiträge zum Thema
3 Kommentare
In Deutschland wird der Datenschutz übertrieben und führt eher zu Nachteilen, als zu Vorteilen.
Zum Fax: siehe hier nur ein Beispiel Bundesverfassungsgericht (BVerfG)
https://www.bundesverfassungsgericht.de/DE/Verfahren/Wichtige-Verfahrensarten/Verfassungsbeschwerde/verfassungsbeschwerde_node.html#:~:text=Sie%20muss%20schriftlich%20eingereicht%20werden,nicht%20aber%20per%20E-Mail.
Die Verfassungsbeschwerde unterliegt strengen Anforderungen an die Begründung. Sie muss schriftlich eingereicht werden. Die Einreichung per Telefax ist zulässig, nicht aber per E-Mail.
https://www.bundesverfassungsgericht.de/DE/Service/Impressum/impressum_node.html
Zur Verbesserung der Erreichbarkeit des Bundesverfassungsgerichts wurden weitere Faxanschlüsse eingerichtet, die Sie bei Übertragungsproblemen alternativ nutzen können: +49 (30) 18 10 9101 382 und +49 (30) 18 10 9101 383. Bei der Zusendung über diese Faxnummern ist darauf zu achten, dass der Umfang eines einzelnen Faxes 100 Seiten nicht übersteigt. Andernfalls besteht das Risiko, dass das Fax aus technischen Gründen nicht (vollständig) beim Bundesverfassungsgericht eingeht.
zweites Beispiel: eine Kündigung eines Mobilfunkvertrages ist per Fax rechtsverbindlich und nachweisbar. Per Email ist die Kündigung nicht nachweisbar und nicht rechtsverbindlich.