Datenschutzkonformer Einsatz von Faxgeräten - Datenschutz - Personenbezogene Daten - DSGVO - Datenübermittlung - Personenbezogene Daten

Datenschutzbeauftragter: Gängiges Faxen nicht mit der DSGVO vereinbar!

Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen, Frau Dr. Imke Sommer, teilte in einer aktualisierten Orientierungshilfe mit, dass ein datenschutzkonformer Einsatz von Faxgeräten nicht möglich sei.

Obwohl in einer digitalisierten Welt ein Faxgerät wie ein Relikt aus einer längst vergangenen Zeit erscheint, wird es nach wie vor von vielen Unternehmen, Kanzleien und Praxen genutzt. Sei es als Kommunikationsmittel mit Gerichten und Behörden zur Wahrung von Fristen oder zum Versand von Informationen oder Befunden.

Datenschutzrechtlicher Hintergrund für die Entscheidung

Der Art. 32 DSGVO verpflichtet sowohl den Verantwortlichen als auch den Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau für die Verarbeitung der personenbezogenen Daten zu gewährleisten. Bei der Beurteilung des angemessenen Schutzniveaus müssen die Risiken, die mit der Verarbeitung – hier dem Versand der personenbezogenen Daten per Fax – verbunden sind, berücksichtigt werden. Die technischen und organisatorischen Maßnahmen müssen u.a. unter Berücksichtigung des Stands der Technik getroffen werden.

Noch vor einigen Jahren galt ein Faxgerät als relativ sichere Übermittlungsmethode, um auch sensible personenbezogene Daten zu versenden, da beim Versand exklusive Ende-zu-Ende-Telefonleitungen genutzt wurden. Technische Änderungen in den Telefonnetzen haben aber dazu geführt, dass die Daten mittlerweile paketweise in Netzen, die auf der Internet-Technologie beruhen, versendet werden. Ferner sind in vielen Fällen die alten Faxgeräte elektronischen Lösungen gewichen, die ankommende Faxe in eine E-Mail umwandeln und in bestimmte E-Mail-Postfächer ablegen.

Unverschlüsselte Übertragung via Faxgerät als Risiko im Datenschutz

Nach Meinung der Bremer Landesbeauftragten entspricht ein Fax bezüglich des Sicherheitsniveau einer unverschlüsselten E-Mail und damit mit dem Versand einer offen einsehbaren Postkarte vergleichbar. Dies entspricht nicht dem in der DSGVO geforderten Stand der Technik. Der Schutz der Vertraulichkeit der übermittelten personenbezogenen Daten wird hier nicht gewährleistet. Faxe sind daher in der Regel für die Übertragung personenbezogener Daten nicht geeignet.

Neben der unverschlüsselten Übermittlung besteht ein weiteres Risiko bezüglich der Vertraulichkeit. Bei herkömmlichen Faxgeräten ist nicht sichergestellt, dass der Empfänger der Daten direkt am Faxgerät steht und damit nur er die Daten erhält. Dies wird noch unterstützt durch eine Entscheidung des Oberverwaltungsgericht Lüneburg (Beschluss vom 22.07.2020 – Az.: 6 A 211/17), das weitere Risiken durch Adressierungsfehler oder Fehlleitungen festgestellt hat.

Für die Übertragung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO, wie z.B. Gesundheitsdaten, Befunddaten, ist laut der Bremer Landesdatenschutzbeauftragten die Nutzung von Fax-Diensten sogar unzulässig. Die besondere Schutzwürdigkeit von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO fordert ein erhöhtes Schutzniveau bei der Verarbeitung der Daten, wie z.B. eine Verschlüsselung.

Die sichere Alternative bleibt vorerst nur der klassische Brief oder eine Ende-zu-Ende verschlüsselte E-Mail.

Sie haben Fragen zur datenschutzkonformen Einsatz von Faxgeräten oder zur Ende-zu-Ende verschlüsselten E-Mail? Dann kontaktieren Sie uns gerne hier!