© Creatas, Photo Images

Ist Faxen datenschutzkonform möglich?

Zuletzt aktualisiert am 29. April 2024

Bei Datenübertragung werden wohl die wenigsten von uns noch ans Faxen denken. Aber gerade in Kanzleien, Behörden und im Gesundheitsbereich werden Faxe noch sehr regelmäßig eingesetzt.

Das Problem: In punkto Faxen und Datenschutzkonformität gehen die Meinungen auseinander. Die Landesbeauftrage für Datenschutz und Informationsfreiheit Bremen (LfDI) beispielsweise hat das Faxen für Behörden in Bremen sogar verboten.

Problematisch ist vor allem, dass in den Bereichen, in denen das Fax noch eingesetzt wird, besonders sensible personenbezogene Daten verarbeitet werden, da dies zu Zeiten der alten analogen Telefonie noch als sehr sicher galt. Ein entsprechendes Sicherheitsniveau ist aber heute im Zeitalter der digitalen Übertragungen kritisch.

Ist Faxen denn nun datenschutzkonform möglich? Die Antwort lautet – wie nur allzu oft im Datenschutz: Es kommt darauf an. Worauf genau, das zeigen wir Ihnen in diesem Beitrag. 

Wann Faxen nicht datenschutzkonform ist

Die LfDI Bremen sieht das Problem beim Faxen vor allem auf der empfangenden Seite. Denn Sie können sich nicht sicher sein, welche Technik auf der Empfangsseite eingesetzt werden. Mittlerweile gibt es kaum noch physische Faxgeräte. Fotokopierer mit Faxfunktion, Faxserver oder Cloud-Fax-Services, die eigehende Faxe an E-Mail-Postfächer weiterleiten, sind zur Regel geworden.

Die meisten Fax-Dienste enthalten jedoch keine Sicherungsmaßnahmen, die die Vertraulichkeit personenbezogener Daten gewährleisten könnten. Sie können sich also nicht sicher sein, ob Ihr Gegenüber geeignete Verschlüsselungen einsetzt. Außerdem können Unbefugte an der Empfangsseite unter Umständen Inhalte einsehen, wenn das Faxgerät nicht entsprechend aufgestellt ist und dazu kommt es immer wieder zu Fehlsendungen. Die schnell vertippte Kurzwahltaste ist hier die häufigste Ursache.

In Bremen wird deshalb die Ansicht vertreten, dass Faxe das gleiche Sicherheitsniveau haben wie unverschlüsselte E-Mails. Und das ist nicht besonders hoch. Nicht ohne Grund werden unverschlüsselte E-Mails auch als digitale Postkarten bezeichnet. Daher stuft die LfDI Bremen Fax-Dienste zur Übertragung besonderer Kategorien personenbezogener Daten, wie z. B. Gesundheitsdaten, als unzulässig ein.

Auch der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) hat sich der Meinung Bremens angeschlossen und sieht die Datenübermittlung per Telefax grundsätzlich nicht als sicheres Transportmittel an. 

Welche Sicherungsmaßnahmen Sie ergreifen können

Gemäß Art. 32 DSGVO sind Verantwortliche verpflichtet, angemessene technische und organisatorische Maßnahmen zur Risikosenkung zu implementieren. Wie genau diese Maßnahmen aussehen, hängt stark vom Einzelfall und dem jeweiligen Risiko ab. Daher sollten Sie zunächst eine Risikoabwägung vornehmen, indem Sie neben der Eintrittswahrscheinlichkeit auch das Ausmaß der Folgen einer Schutzverletzung personenbezogener Daten betrachten. Auf Basis dessen können Sie konkrete Maßnahmen ableiten.

Eine mögliche Maßnahme ist die technische Absicherung, beispielsweise durch den Einsatz einer Transportverschlüsselung inklusive verschlüsseltem Schlüsselaustausch. Das funktioniert in der Regel aber nur in der selbst administrierten Umgebung gut, also beispielsweise intern innerhalb einer Organisation. Fax-Server können etwa durch Rollenkonzepte, Festplattenverschlüsselung, Firewalls, Virenscanner, Netzwerksegmentierung etc. geschützt werden. Alle nicht benötigten Leistungsmerkmale und Zugänge sollten Sie dabei deaktivieren.

Bleibt die Gegenseite. Hier wird es schon etwas kniffliger. Nur weil Sie Ihre Daten verschlüsselt versenden, heißt das nicht, dass sie auch verschlüsselt empfangen werden. Im Verbindungsaufbau gleichen sich beide Seiten auf eine gemeinsame Sicherheit ab. Das wird meist dann aber unsicher sein. 

Die Lösung: Miteinander reden. Vor allem wenn Sie regelmäßig Daten an bestimmte Empfänger:innen faxen möchten, können die jeweiligen IT-Verantwortlichen die Rahmenbedingungen abstecken und eine entsprechende Verschlüsselung sicherstellen – auch bei einer etwaigen Weiterleitung per Mail. Können Sie keine Einigung erzielen, sollten Sie auf andere Kommunikationswege ausweichen.

Hinzu kommt die menschliche Komponente. Faxgeräte sollten daher so aufgestellt werden, dass Unberechtigte keine eingegangenen Faxe einsehen oder entnehmen können. Außerdem sollten Mitarbeitende auf die Besonderheiten der Datenübermittlung per Fax hingewiesen werden – dazu gehört auch eine Anweisung zur korrekten Faxnutzung und eine Sicherheitsrichtlinie. Hier sollte auch geregelt sein, wann welche Arten von Daten an wen gefaxt werden dürfen. Das ist in der Regel auch deutlich effizienter als eine Verschlüsselung zu versuchen, da dies mit der Gegenseite meist nicht funktioniert. Wichtige Faxsendungen sollten zudem angekündigt werden und Mitarbeitende sollten sich den Empfang bestätigen lassen.

Unsere Empfehlung: Prüfen Sie genau, ob Sie weiterhin Faxe einsetzen möchten und vor allem müssen. Wenn möglich, sollten Sie auf datenschutzkonforme Alternativen zurückgreifen, wie etwa Ende-zu-Ende verschlüsselte E-Mails, der verschlüsselter Datenaustausch per Cloud oder – zur Not – die herkömmliche Post. Das gilt vor allem bei besonderen Kategorien personenbezogener Daten und sehr sensiblen Informationen. 

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unseren Fachartikel zur datenschutzkonformen Umsetzung des Hinweisgeberschutzgesetzes.

Online-Formular wird hier erscheinen

Wann es zur Einzelfallentscheidung wird

So problematisch die Datenübermittlung per Fax ist – in manchen Fällen stehen keine gleich schnellen, datenschutzkonformen Alternativen zur Verfügung. In begründeten dringlichen (z. B. medizinischen) Fällen kann das Fax ggf. dennoch genutzt werden. Basis dafür sollte aber immer eine datenschutzrechtliche Risikoabschätzung sein. In bestimmten Fällen überwiegen der Schutz der Gesundheit und die Sicherung von Leib und Leben der Betroffenen das Risiko einer potenziellen Verletzung ihrer Rechte und Freiheiten. Derartige Einzelfallentscheidungen inklusive Risikoabschätzung sollten aber immer entsprechend dokumentiert werden.

Fazit

Im Endeffekt kommt es für die datenschutzrechtliche Beurteilung immer auf die Umstände des Einzelfalls an. Der TLfDI rät wegen des hohen Risikos grundsätzlich von der Nutzung eines Faxes ab. Ist dies nicht möglich, können und müssen entsprechende technische und organisatorische Sicherheitsvorkehrungen getroffen werden. Die Datenschutzkonformität ist somit immer eine Einzelfallentscheidung.
Fraglich ist allerdings, ob das Fax im Rahmen der fortschreitenden Digitalisierung überhaupt eine Zukunft hat.  

Person sitzt mit einer Zeitung auf einer Bank

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unseren Fachartikel zur datenschutzkonformen Umsetzung des Hinweisgeberschutzgesetzes.

Newsletter Anmeldung

Quellen

Bundesamt für Sicherheit in der Informationstechnik (2023): „NET.4.3 Faxgeräte und Faxserver“, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/09_NET_Netze_und_Kommunikation/NET_4_3_Faxgeraete_und_Faxserver_Edition_2023.pdf?__blob=publicationFile&v=4, letzter Zugriff am 27. März 2024.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (2022): „Handreichung: Übermittlung personenbezogener Daten per Fax“, 22. Februar 2022, https://datenschutz.hessen.de/datenschutz/it-und-datenschutz/uebermittlung-personenbezogener-daten-per-fax, letzter Zugriff am 27. März 2024.

Ertel, Sebastian Dr. (2021): „Ist das Fax wirklich nicht datenschutzkonform?“, datenschutz notizen, https://www.datenschutz-notizen.de/ist-das-fax-wirklich-nicht-datenschutzkonform-0529975/, letzter Zugriff am 02. Juni 2021.

Freie Hansestadt Bremen (2021): „Telefax ist nicht Datenschutz konform“, die Landesbeauftragte für Datenschutz, Mai 2021, https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen/telefax_ist_nicht_datenschutz_konform-16111, letzter Zugriff am 02. Juni 2021.

 Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (2024): „Pressemitteilung. FAX: kein Klacks!“, 20. Februar 2024, https://www.tlfdi.de/fileadmin/tlfdi/presse/Pressemitteilungen_2024/240220_PM__Fax_.pdf, letzter Zugriff am 27. März 2024. 

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Alle akzeptieren Alle ablehnen Einstellungen ändern
Cookies