Datenschutzrechtliche Vorgaben
Insbesondere dann, wenn personenbezogene Daten einen hohen Schutzbedarf aufweisen, könne die Übermittlung per unverschlüsseltem Fax einen Verstoß gegen Art. 5 Abs. 1 lit. f und Art. 32 DS-GVO darstellen, betont die Behörde. Die DS-GVO verpflichte Verantwortliche daher, das Fax als Kommunikationsmittel auf den Prüfstand zu stellen und zur schnellen und datenschutzkonformen Kommunikation auf andere digitale Lösungen umzustellen.
Vertraulichkeits-Verlust droht
Technisch gesehen weise der Faxversand vergleichbare Risiken auf wie diese etwa auch beim unverschlüsselten Versand von E-Mail-Nachrichten gegeben seien. Personenbezogene Daten könnten wegen einer nicht korrekten Eingabe der Zielfaxnummer Dritten unbefugt offenbart werden. Der Absender habe in der Regel keine Informationen zur Empfängerseite, beispielsweise wo ein etwaiges Empfangsgerät steht und wer Zugang zu diesem hat. Bei der heutzutage weit überwiegend genutzten paketvermittelten Übertragungsmethode als Fax over IP (FoIP) über das Internet, oder bei der Nutzung von Diensten, die Faxe automatisiert in E-Mails umwandeln, würden die Daten in der Regel nicht verschlüsselt und damit ungeschützt übertragen. Im Ergebnis sei die Übermittlung von personenbezogenen Daten per Fax daher mit dem Risiko des Verlustes der Vertraulichkeit der übermittelten Daten behaftet. Personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, sollten daher grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert seien, so die Behörde.
Ausnahmen und Einwilligung
In Ausnahmefällen, beispielsweise wenn die besondere Eilbedürftigkeit dies erforderlich mache und sichergestellt sei, dass die Sendung nur dem richtigen Empfänger zugeht (beispielsweise gespeicherte Zielnummern), könne auch die Versendung besonders schutzbedürftiger personenbezogener Daten mittels Fax rechtmäßig sein. Dies gelte aber nur dann, wenn kein alternatives, datenschutzkonformes Kommunikationsmittel genutzt werden könne und dem Verantwortlichen insofern kein alternatives Kommunikationsmittel zur Verfügung stehe. Denkbar sei darüber hinaus auch, dass Verantwortliche auf die bestehenden Risiken beim Faxversand hinweisen und sich für etwaige Übermittlungsvorgänge eine den Anforderungen der DS-GVO entsprechende Einwilligung der hiervon betroffenen Personen einholen.