Datenübermittlung per Fax problematisch

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit weist darauf hin, dass Faxversand durch diverse technische Veränderungen informationstechnisch als unsicher einzustufen ist. Im Interesse der Datensicherheit und vor dem Hintergrund der Digitalisierung sollten Verantwortliche daher zeitnah alternative Kommunikationsmittel zum Fax prüfen und implementieren, heißt es in einer Veröffentlichung auf der Behörden-Website.

Datenschutzrechtliche Vorgaben

Insbesondere dann, wenn personenbezogene Daten einen hohen Schutzbedarf aufweisen, könne die Übermittlung per unverschlüsseltem Fax einen Verstoß gegen Art. 5 Abs. 1 lit. f und Art. 32 DS-GVO darstellen, betont die Behörde. Die DS-GVO verpflichte Verantwortliche daher, das Fax als Kommunikationsmittel auf den Prüfstand zu stellen und zur schnellen und datenschutzkonformen Kommunikation auf andere digitale Lösungen umzustellen.

Vertraulichkeits-Verlust droht

Technisch gesehen weise der Faxversand vergleichbare Risiken auf wie diese etwa auch beim unverschlüsselten Versand von E-Mail-Nachrichten gegeben seien. Personenbezogene Daten könnten wegen einer nicht korrekten Eingabe der Zielfaxnummer Dritten unbefugt offenbart werden. Der Absender habe in der Regel keine Informationen zur Empfängerseite, beispielsweise wo ein etwaiges Empfangsgerät steht und wer Zugang zu diesem hat. Bei der heutzutage weit überwiegend genutzten paketvermittelten Übertragungsmethode als Fax over IP (FoIP) über das Internet, oder bei der Nutzung von Diensten, die Faxe automatisiert in E-Mails umwandeln, würden die Daten in der Regel nicht verschlüsselt und damit ungeschützt übertragen. Im Ergebnis sei die Übermittlung von personenbezogenen Daten per Fax daher mit dem Risiko des Verlustes der Vertraulichkeit der übermittelten Daten behaftet. Personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, sollten daher grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert seien, so die Behörde.

Ausnahmen und Einwilligung

In Ausnahmefällen, beispielsweise wenn die besondere Eilbedürftigkeit dies erforderlich mache und sichergestellt sei, dass die Sendung nur dem richtigen Empfänger zugeht (beispielsweise gespeicherte Zielnummern), könne auch die Versendung besonders schutzbedürftiger personenbezogener Daten mittels Fax rechtmäßig sein. Dies gelte aber nur dann, wenn kein alternatives, datenschutzkonformes Kommunikationsmittel genutzt werden könne und dem Verantwortlichen insofern kein alternatives Kommunikationsmittel zur Verfügung stehe. Denkbar sei darüber hinaus auch, dass Verantwortliche auf die bestehenden Risiken beim Faxversand hinweisen und sich für etwaige Übermittlungsvorgänge eine den Anforderungen der DS-GVO entsprechende Einwilligung der hiervon betroffenen Personen einholen.

Redaktion beck-aktuell, 17. Sep 2021.