Ist Faxen datenschutzkonform möglich?

Bei Datenübertragung werden wohl die wenigsten von uns noch ans Faxen denken. Aber gerade in Kanzleien, Behörden und im Gesundheitsbereich werden Faxe noch sehr regelmäßig eingesetzt.

Das Problem: In punkto Faxen und Datenschutzkonformität gehen die Meinungen auseinander. Die Landesbeauftrage für Datenschutz und Informationsfreiheit Bremen (LfDI) beispielsweise hat das Faxen für Behörden in Bremen sogar verboten.

Problematisch ist vor allem, dass in den Bereichen, in denen das Fax noch eingesetzt wird, besonders sensible personenbezogene Daten verarbeitet werden, da dies zu Zeiten der alten analogen Telefonie noch als sehr sicher galt. Ein entsprechendes Sicherheitsniveau ist aber heute im Zeitalter der digitalen Übertragungen kritisch.

Ist Faxen denn nun datenschutzkonform möglich? Die Antwort lautet – wie nur allzu oft im Datenschutz: Es kommt darauf an. Worauf genau, das zeigen wir Ihnen in diesem Beitrag. 

Die LfDI Bremen sieht das Problem beim Faxen vor allem auf der empfangenden Seite. Denn Sie können sich nicht sicher sein, welche Technik auf der Empfangsseite eingesetzt werden. Mittlerweile gibt es kaum noch physische Faxgeräte. Fotokopierer mit Faxfunktion, Faxserver oder Cloud-Fax-Services, die eigehende Faxe an E-Mail-Postfächer weiterleiten, sind zur Regel geworden.

Die meisten Fax-Dienste enthalten jedoch keine Sicherungsmaßnahmen, die die Vertraulichkeit personenbezogener Daten gewährleisten könnten. Sie können sich also nicht sicher sein, ob Ihr Gegenüber geeignete Verschlüsselungen einsetzt. Außerdem können Unbefugte an der Empfangsseite unter Umständen Inhalte einsehen, wenn das Faxgerät nicht entsprechend aufgestellt ist und dazu kommt es immer wieder zu Fehlsendungen. Die schnell vertippte Kurzwahltaste ist hier die häufigste Ursache.

In Bremen wird deshalb die Ansicht vertreten, dass Faxe das gleiche Sicherheitsniveau haben wie unverschlüsselte E-Mails. Und das ist nicht besonders hoch. Nicht ohne Grund werden unverschlüsselte E-Mails auch als digitale Postkarten bezeichnet. Daher stuft die LfDI Bremen Fax-Dienste zur Übertragung besonderer Kategorien personenbezogener Daten, wie z. B. Gesundheitsdaten, als unzulässig ein.

Auch der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) hat sich der Meinung Bremens angeschlossen und sieht die Datenübermittlung per Telefax grundsätzlich nicht als sicheres Transportmittel an. 

Gemäß Art. 32 DSGVO sind Verantwortliche verpflichtet, angemessene technische und organisatorische Maßnahmen zur Risikosenkung zu implementieren. Wie genau diese Maßnahmen aussehen, hängt stark vom Einzelfall und dem jeweiligen Risiko ab. Daher sollten Sie zunächst eine Risikoabwägung vornehmen, indem Sie neben der Eintrittswahrscheinlichkeit auch das Ausmaß der Folgen einer Schutzverletzung personenbezogener Daten betrachten. Auf Basis dessen können Sie konkrete Maßnahmen ableiten.

Eine mögliche Maßnahme ist die technische Absicherung, beispielsweise durch den Einsatz einer Transportverschlüsselung inklusive verschlüsseltem Schlüsselaustausch. Das funktioniert in der Regel aber nur in der selbst administrierten Umgebung gut, also beispielsweise intern innerhalb einer Organisation. Fax-Server können etwa durch Rollenkonzepte, Festplattenverschlüsselung, Firewalls, Virenscanner, Netzwerksegmentierung etc. geschützt werden. Alle nicht benötigten Leistungsmerkmale und Zugänge sollten Sie dabei deaktivieren.

Bleibt die Gegenseite. Hier wird es schon etwas kniffliger. Nur weil Sie Ihre Daten verschlüsselt versenden, heißt das nicht, dass sie auch verschlüsselt empfangen werden. Im Verbindungsaufbau gleichen sich beide Seiten auf eine gemeinsame Sicherheit ab. Das wird meist dann aber unsicher sein. 

Die Lösung: Miteinander reden. Vor allem wenn Sie regelmäßig Daten an bestimmte Empfänger:innen faxen möchten, können die jeweiligen IT-Verantwortlichen die Rahmenbedingungen abstecken und eine entsprechende Verschlüsselung sicherstellen – auch bei einer etwaigen Weiterleitung per Mail. Können Sie keine Einigung erzielen, sollten Sie auf andere Kommunikationswege ausweichen.

Hinzu kommt die menschliche Komponente. Faxgeräte sollten daher so aufgestellt werden, dass Unberechtigte keine eingegangenen Faxe einsehen oder entnehmen können. Außerdem sollten Mitarbeitende auf die Besonderheiten der Datenübermittlung per Fax hingewiesen werden – dazu gehört auch eine Anweisung zur korrekten Faxnutzung und eine Sicherheitsrichtlinie. Hier sollte auch geregelt sein, wann welche Arten von Daten an wen gefaxt werden dürfen. Das ist in der Regel auch deutlich effizienter als eine Verschlüsselung zu versuchen, da dies mit der Gegenseite meist nicht funktioniert. Wichtige Faxsendungen sollten zudem angekündigt werden und Mitarbeitende sollten sich den Empfang bestätigen lassen.

Unsere Empfehlung: Prüfen Sie genau, ob Sie weiterhin Faxe einsetzen möchten und vor allem müssen. Wenn möglich, sollten Sie auf datenschutzkonforme Alternativen zurückgreifen, wie etwa Ende-zu-Ende verschlüsselte E-Mails, der verschlüsselter Datenaustausch per Cloud oder – zur Not – die herkömmliche Post. Das gilt vor allem bei besonderen Kategorien personenbezogener Daten und sehr sensiblen Informationen. 

So problematisch die Datenübermittlung per Fax ist – in manchen Fällen stehen keine gleich schnellen, datenschutzkonformen Alternativen zur Verfügung. In begründeten dringlichen (z. B. medizinischen) Fällen kann das Fax ggf. dennoch genutzt werden. Basis dafür sollte aber immer eine datenschutzrechtliche Risikoabschätzung sein. In bestimmten Fällen überwiegen der Schutz der Gesundheit und die Sicherung von Leib und Leben der Betroffenen das Risiko einer potenziellen Verletzung ihrer Rechte und Freiheiten. Derartige Einzelfallentscheidungen inklusive Risikoabschätzung sollten aber immer entsprechend dokumentiert werden.

Im Endeffekt kommt es für die datenschutzrechtliche Beurteilung immer auf die Umstände des Einzelfalls an. Der TLfDI rät wegen des hohen Risikos grundsätzlich von der Nutzung eines Faxes ab. Ist dies nicht möglich, können und müssen entsprechende technische und organisatorische Sicherheitsvorkehrungen getroffen werden. Die Datenschutzkonformität ist somit immer eine Einzelfallentscheidung.
Fraglich ist allerdings, ob das Fax im Rahmen der fortschreitenden Digitalisierung überhaupt eine Zukunft hat.  

Bundesamt für Sicherheit in der Informationstechnik (2023): „NET.4.3 Faxgeräte und Faxserver“, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/09_NET_Netze_und_Kommunikation/NET_4_3_Faxgeraete_und_Faxserver_Edition_2023.pdf?__blob=publicationFile&v=4, letzter Zugriff am 27. März 2024.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (2022): „Handreichung: Übermittlung personenbezogener Daten per Fax“, 22. Februar 2022, https://datenschutz.hessen.de/datenschutz/it-und-datenschutz/uebermittlung-personenbezogener-daten-per-fax, letzter Zugriff am 27. März 2024.

Ertel, Sebastian Dr. (2021): „Ist das Fax wirklich nicht datenschutzkonform?“, datenschutz notizen, https://www.datenschutz-notizen.de/ist-das-fax-wirklich-nicht-datenschutzkonform-0529975/, letzter Zugriff am 02. Juni 2021.

Freie Hansestadt Bremen (2021): „Telefax ist nicht Datenschutz konform“, die Landesbeauftragte für Datenschutz, Mai 2021, https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen/telefax_ist_nicht_datenschutz_konform-16111, letzter Zugriff am 02. Juni 2021.

 Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (2024): „Pressemitteilung. FAX: kein Klacks!“, 20. Februar 2024, https://www.tlfdi.de/fileadmin/tlfdi/presse/Pressemitteilungen_2024/240220_PM__Fax_.pdf, letzter Zugriff am 27. März 2024.