Möglicher DSGVO-Verstoß Datenschutzbeauftragte warnt vor unsicheren Fax-Diensten
Wer sensible Daten verschicken will, sollte
Die Digitalisierung hat Faxgeräte vor allem im Privatgebrauch weitgehend überflüssig gemacht. In vielen Behörden, Gesundheitseinrichtungen und Unternehmen sind sie aber immer noch im Einsatz. Das Verschicken von personenbezogenen Daten per Fax könnte nach Einschätzung der Bremer Landesdatenschutzbeauftragten inzwischen allerdings unter Umständen gegen das Gesetz verstoßen.
Das jedenfalls geht aus den aktuellen Orientierungshilfen und Handlungsempfehlungen der Behörde hervor, auf die unter anderem der IT-Jurist Sebastian Dosch auf Twitter hinweist.
"Sowohl bei den Endgeräten als auch den Transportwegen gab es weitreichende Änderungen", heißt es in der Stellungnahme. Die Digitalisierung habe dazu geführt, dass Faxe heutzutage nicht mehr ausschließlich über exklusive Ende-zu-Ende-Telefonleitungen verschickt werden, sondern zusammen mit anderen Datenpaketen über das Internet. Statt eines physischen Faxgeräts steht auf Empfängerseite zudem oft eine Web-Anwendung, die beispielsweise ankommende Dokumente automatisch in E-Mails umwandelt.
Vertraulichkeit bei Fax-Diensten nicht gewährleistet
"Aufgrund dieser Umstände hat ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail (welche oftmals mit der offen einsehbaren Postkarte verglichen wird)", heißt es auf der Webseite der Landesdatenschutzbeauftragten. Insofern seien Fax-Dienste "in der Regel" nicht für die Übertragung von personenbezogenen Daten geeignet und bei besonders sensiblen Daten sogar unzulässig, urteilt die Bremer Behörde.
Darunter fallen laut Artikel 9, Absatz 1 der DSGVO "Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person".
Kein generelles Fax-Verbot
Bisher steht die Bremer Landesdatenschutzbeauftragte mit dieser Einschätzung noch alleine da. Die anderen Landesbehörden haben sich zu dem Thema nicht geäußert.
Von einem grundsätzlichen "Fax-Verbot" kann jedenfalls noch keine Rede sein. Sofern eine sichere Datenübertragung gewährleistet ist – etwa durch Verschlüsselung oder eine speziell geschützte Verbindung – dürfte auch weiterhin nichts gegen die Nutzung von Faxgeräten sprechen. Wo Fax-Dienste über das Internet genutzt werden, sollte man bei sensiblen Daten jedoch im Zweifel besser auf verschlüsselte E-Mails oder Briefe ausweichen, so die Empfehlung der Datenschutzbehörde.
Seit 2018 müssen Behörden und Unternehmen die europäische Datenschutzgrundverordnung (DSGVO) umsetzen. Mit der Reform wollte die EU einheitliche Regeln schaffen, die auch in Zeiten der Digitalisierung das Recht der Bürger auf Privatsphäre schützen. Bei der Auslegung der Datenschutzverordnung gibt es jedoch zahlreiche Unklarheiten. Die Landesbehörden und Gerichte kommen oft zu unterschiedlichen und zum Teil widersprüchlichen Einschätzungen, was die Regeln in der praktischen Umsetzung bedeuten.
- Landesbeauftragte für Datenschutz in Bremen: "Telefax ist nicht Datenschutz konform"
- golem.de: "Fax ist nicht mehr datenschutzkonform"