Die Landesbeauftragte für Datenschutz in Bremen hat mit ihrer Einschätzung, dass das klassische Fax nicht mehr Datenschutz konform ist, eine Welle losgetreten. Auf ihrer Website unter Datenschutztipps erläutert sie dies:
Galt ein Telefax noch vor einigen Jahren als relativ sichere Methode um auch sensible personenbezogene Daten zu übertragen, so hat sich diese Situation grundlegend geändert: Sowohl bei den Endgeräten als auch den Transportwegen gab es weitreichende Änderungen. Bisher wurden beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt. Technische Änderungen in den Telefonnetzen sorgen jetzt dafür, dass keine exklusiven Leitungen mehr genutzt werden, sondern die Daten paketweise in Netzen transportiert werden, die auf Internet-Technologie beruhen.
Ganz neu ist das Thema allerdings nicht. Schon im Juli 2020 hat das Oberverwaltungsgericht Lüneburg festgestellt, dass die unverschlüsselte Übersendung sensibler Informationen per Fax z.B. durch eine Behörde gegen den Datenschutz verstößt (OVG Lüneburg, Beschluss vom 22.07.2020 – 11 LA 104/19). Auch der Datenschutzbeauftragte von Nordrhein-Westfalen unterstrich, dass der Faxversand mit dem Abschicken einer offenen Postkarte vergleichbar sei. Die Gefahr von Irrläufern ist groß, jeder kann vertrauliche Daten lesen. Das gilt auch, wenn z.B. eingehende Faxe in Unternehmen automatisiert in E-Mails umgewandelt und weitergeleitet werden. Für die Lüneburger Richter sind alternative Zustellmöglichkeitenwie z.B. Post oder Bote als auch Verschlüsselungstechnologien bei sensiblen Daten einzusetzen. Die Bremer Datenschutzbeauftragte führt aus:
Zudem kann nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät existiert. Meist werden Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten.
Aufgrund dieser Umstände hat ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail (welche oftmals mit der offen einsehbaren Postkarte verglichen wird). Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet.
Für die Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der Datenschutzgrundverordnung ist die Nutzung von Fax-Diensten unzulässig.
Für den Versand personenbezogener Daten müssen daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post genutzt werden.
Fazit: Lieber kein Fax für sensible Daten verwenden!