Keine Faxen mehr dank DSGVO?

Der Datenschutz beschäftigt sich nicht nur mit modernen Digitaltechniken wie Blockchain -Anwendungen, sondern auch mit gewöhnlichen Abläufen wie der Standard-Bürokommunikation über Telefonanlagen und Fax.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Bremen stellt in einer Pressemitteilung fest:

Telefax ist nicht datenschutzkonform

Die Nachricht aus Bremen erzeugte Reaktionen im Netz von Verwunderung, Ärger bis hin zu Spott über die Rückständigkeit deutscher Behörden. Auch der inzwischen reflexartige Ruf nach der Abschaffung der DSGVO war wieder zu hören, obwohl die meisten weder die Pressemittelung gelesen, noch die Gründe reflektiert hatten.

Warum soll das gute alte, etwas verstaubte Fax plötzlich nicht mehr datenschutzkonform sein?

Fax ist für viele die vermeintlich rechtmäßige Rückfall-Option, wenn eine Übermittlung personenbezogener Daten auf anderem Wege für DSGVO-widrig angesehen wurde.

Zurück zu Brief und Brieftaube?

E-Mail ist bekanntermaßen problematisch, was Sicherheit und Integrität betrifft. Aber jetzt auch noch Fax? Die Ursprünge der Technik einer elektrischen, später elektronischen Übertragung von Bild- und Schriftzeichen über Fernmeldeleitungen stammt bereits aus dem 19. Jahrhundert.

Im „Hightech-Standort“ Deutschland des neuen Jahrtausends wird immer noch erstaunlich häufig gefaxt. In jeder Anwaltskanzlei existiert trotz E-Mail und beA (besonderes elektronisches Anwaltspostfach) eines und auch so mancher Arzt kommuniziert mit seinen Kollegen über Fax. Sofern hierbei vertrauliche, besonders schützenswerte Daten übertragen werden, ist das allerdings bei einer nüchternen Betrachtung schon immer höchst kritisch zu sehen, nicht erst seit der Einschätzung der Bremer Landesdatenschutzbeauftragten.

Heute läuft Telefax zumeist wie IP-Telefonie (VoIP) über Fax oder FoIP, selten noch über Modem und auch ISDN ist inzwischen Geschichte. In vielen Büros haben separate wie All-In-One Geräte allerdings längst ausgedient. Es wird über PC-Lösungen komplett digital gefaxt, also über Web to Fax/Fax to Mail per Softwarelösung, Fax-Gateway oder über Online/ Cloud-Dienstleister. Die Kommunikation kann somit parallel zu Mails verwaltet und archiviert werden.

Allerdings sind die Probleme und Risiken hinsichtlich der Vertraulichkeit der Daten, insbesondere bei sensiblen personenbezogenen Daten nach den Kategorien des Art. 9 DSGVO beim Fax wie bei unverschlüsselten E-Mails gegeben – durch eine technische Annäherung der Kommunikationsmittel noch mehr.

Art. 5 I lit f) DSGVO schreibt als Grundsatz für die Verarbeitung personenbezogener Daten vor:

Personenbezogene Daten müssen […] in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Die Bremer Landesdatenschutzbeauftragte meint, dass die Technik keine Sicherungsmaßnahmen zur Gewährleistung der Vertraulichkeit bietet. Soweit hierdurch sensible personenbezogene Daten betroffen sind, kann einer fehlenden Datenschutzkonformität demnach auch durchaus zugestimmt werden.

Zur Übermittlung besonders sen­si­bler In­for­ma­tio­nen per Fax stellte schon das OVG Lüneburg in seinem Beschluss vom 22.07.2020; 11 LA 104/19 fest, dass dies unzulässig sei, da diese Übermittlungsform unverschlüsselt wie eine offene Postkarte sei. Die Gefahr einer Offenbarung an unbefugte Dritte sei zu hoch und verletzt das Recht auf informationelle Selbstbestimmung der betroffenen Person und die Vorgaben der DSGVO.

Fax und Mail – offen wie eine Postkarte?

Das oft zitierte Vergleichsbeispiel mit einer offen einsehbaren Postkarte hinkt in einem wesentlichen Punkt – der Inhalt einer Postkarte ist jederzeit, bzw. bei jedem Kontakt mit Menschen auf dem Weg zum Empfänger wahrnehmbar. Vom Verfasser über die Postmitarbeiter bis hin zu allen, die die Karte in die Hand nehmen – jeder kann den Inhalt lesen. Bei einer E-Mail findet die Übertragung mit einer Transportverschlüsselung per TLS statt- zumindest sollte das so sein! Die Metadaten und der Inhalt sind also verschlüsselt, zumindest auf dem Weg über die Mailserver. Auf dem Server des Empfängers ist die E-Mail dann wieder unverschlüsselt und im Klartext wahrnehmbar, inklusive der Exchange-Postfächer.

Technisch gesehen lässt sich beim Vergleich von Faxservern mit Mailservern und den diversen Hybridformen und ablaufvarianten bei der Versendung vieles diskutieren. Dass eine End-to-End verschlüsselte Kommunikation sicherer ist und eine Kompromittierung oder Kenntnisnahme sen­si­bler In­for­ma­tio­nen adäquat nach Stand der Technik erheblich besser schützt, steht aber gleichwohl außer Frage.

Ein Fax, auf dem sensible Gesundheitsdaten stehen, möchte man auch in einer Arztpraxis nicht herumfliegen sehen, genauso wenig wie in einem Unternehmen auf dem Multifunktionsdrucker im Flur, der allen zugänglich ist… allerdings gilt das auch für offene, d.h. unverschlüsselte E-Mails, die munter über die Exchange-Postfächer eines Konzerns wandern!

Warum überhaupt noch Faxen?

Gute Frage. Es muss keiner zur Post, aber auch die Geräte und Software kosten… Fax kann zumindest einen Anscheinsbeweis für eine erfolgte Übermittlung an den Empfänger liefern. Der Sendevermerk “OK” auf dem Sendebericht wird allerdings von den Gerichten nur als Nachweis einer Verbindung gewertet und eben nicht als Zustellungsnachweis! Viel spricht also nicht mehr für die verstaubte Technik.

Was soll man nun tun?

Verwenden Sie immer diejenigen Kommunikationsmittel, die optimal geeignet sind, die zu übermittelnden personenbezogenen Daten bestmöglich zu schützen. Das kann unter Umständen auch ein Brief sein (wenn der Post misstraut wird, sogar per Bote…) oder eine verschlüsselte E-Mail oder eine Lösung über virtuelle, kryptografisch gesicherte Datenräume.

Der Schutzbedarf der im Einzelfall übertragenen Daten gibt vor, welches Level an Sicherheit hierfür erforderlich ist. Somit ist nicht die Übertragung von Informationen per Fax oder Mail per se unzulässig, sondern nur dann, wenn dadurch der erforderliche Schutz personenbezogener Daten gefährdet wird.

Personenbezogene Daten iSv. Art. 9 Abs. 1 DSGVO dürfen nur adäquat gesichert übermittelt werden – per Fax ist das ebenso unzulässig wie per einfacher, unverschlüsselter E-Mail.

Falls also ausnahmsweise die grundsätzlich untersagte Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person gerechtfertigt sein sollte – dann nur unter Beachtung besonderer Schutzmaßnahmen.

Geeignete technische und organisatorische Maßnahmen

Um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, müssen also diejenigen Maßnahmen ergriffen werden, die nach Art. 32 DSGVO notwendig sind, um die Sicherheit der Verarbeitung sicherzustellen. Geeignete Verschlüsselungstechniken gibt es seit Jahrzehnten, auch wenn sie mitunter unpraktisch oder mit zusätzlichem, auch finanziellem Aufwand verbunden sind. PGP oder S/MIME -gestützte Anwendungen schützen darüber hinaus auch vor Datenspionage wichtiger Unternehmensdaten  und Manipulation. (Stichwort Geheimnisschutz.)

Sie können also weiterhin Faxe versenden, wenn Sie das möchten. Sensible, vertrauliche Daten sind hierbei aber ebenso tabu wie bei einer unverschlüsselten E-Mail. Nicht nur Ärzte, Anwälte und andere Berufsgeheimnisträger sollten das wissen und beachten.d