Der Art. 32 DSGVO verpflichtet sowohl den Verantwortlichen als auch den Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau für die Verarbeitung der personenbezogenen Daten zu gewährleisten. Bei der Beurteilung des angemessenen Schutzniveaus müssen die Risiken, die mit der Verarbeitung – hier dem Versand der personenbezogenen Daten per Fax – verbunden sind, berücksichtigt werden. Die technischen und organisatorischen Maßnahmen müssen u.a. unter Berücksichtigung des Stands der Technik getroffen werden.
Noch vor einigen Jahren galt ein Faxgerät als relativ sichere Übermittlungsmethode, um auch sensible personenbezogene Daten zu versenden, da beim Versand exklusive Ende-zu-Ende-Telefonleitungen genutzt wurden. Technische Änderungen in den Telefonnetzen haben aber dazu geführt, dass die Daten mittlerweile paketweise in Netzen, die auf der Internet-Technologie beruhen, versendet werden. Ferner sind in vielen Fällen die alten Faxgeräte elektronischen Lösungen gewichen, die ankommende Faxe in eine E-Mail umwandeln und in bestimmte E-Mail-Postfächer ablegen.
Nach Meinung der Bremer Landesbeauftragten entspricht ein Fax bezüglich des Sicherheitsniveau einer unverschlüsselten E-Mail und damit mit dem Versand einer offen einsehbaren Postkarte vergleichbar. Dies entspricht nicht dem in der DSGVO geforderten Stand der Technik. Der Schutz der Vertraulichkeit der übermittelten personenbezogenen Daten wird hier nicht gewährleistet. Faxe sind daher in der Regel für die Übertragung personenbezogener Daten nicht geeignet.
Neben der unverschlüsselten Übermittlung besteht ein weiteres Risiko bezüglich der Vertraulichkeit. Bei herkömmlichen Faxgeräten ist nicht sichergestellt, dass der Empfänger der Daten direkt am Faxgerät steht und damit nur er die Daten erhält. Dies wird noch unterstützt durch eine Entscheidung des Oberverwaltungsgericht Lüneburg (Beschluss vom 22.07.2020 – Az.: 6 A 211/17), das weitere Risiken durch Adressierungsfehler oder Fehlleitungen festgestellt hat.
Für die Übertragung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO, wie z.B. Gesundheitsdaten, Befunddaten, ist laut der Bremer Landesdatenschutzbeauftragten die Nutzung von Fax-Diensten sogar unzulässig. Die besondere Schutzwürdigkeit von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO fordert ein erhöhtes Schutzniveau bei der Verarbeitung der Daten, wie z.B. eine Verschlüsselung.
Die sichere Alternative bleibt vorerst nur der klassische Brief oder eine Ende-zu-Ende verschlüsselte E-Mail.
Sie haben Fragen zur datenschutzkonformen Einsatz von Faxgeräten oder zur Ende-zu-Ende verschlüsselten E-Mail? Dann kontaktieren Sie uns gerne hier!
Unser Team – Ihr Vorteil | Hier stellen wir uns vor.
Unser Team besteht aus erfahrenen Juristen, Webspezialisten, IT-Experten, zertifizierten Datenschutz- und Informationssicherheitsbeauftragten. Mit unserer Erfahrung, Expertise und erprobten Verfahren, helfen wir Unternehmen, praxisnahe Lösungen im Bereich Datenschutz und Informationssicherheit zu finden. So helfen wir beispielsweise bei der Umsetzung der DSGVO oder der Einführung von Informationssicherheitsmanagementsystemen (ISMS).