Das Fax im Datenschutz
11. Juni 2021 | von Jakob Schlag
Dürfen Telefax-Dienste für die Übertragung personenbezogener Daten genutzt werden? Dieser Frage geht Justus Brandt in seinem Artikel vom 11. Mai 2021 im Blog Dr. Datenschutz nach.
Mit „Telefax-Diensten“ sind dabei klassische, physische Faxgeräte gemeint, wie sie vor allem in den frühen 90ern Verbreitung fanden und noch heute in nahezu jeder Behörde und vielen Unternehmen zu finden sind.
Der Autor beschreibt, dass früher Faxgeräte eine direkte Ende-zu-Ende Kommunikation über eine dedizierte Telefonleitung ermöglichten. Durch inzwischen fast flächendeckend erfolgte Umstellung der Telefonanschlüsse auf IP-Telefonie, werden inzwischen jedoch auch die Faxe alter Geräte faktisch über das Internet versandt. Mangels Verschlüsselung sind die Inhalte wie unverschlüsselte E-Mails für jeden lesbar, der physischen Zugang zur genutzten Leitung hat. Man dürfe zudem nicht mehr davon ausgehen, dass der Empfänger ein physisches Faxgerät vorhalte, da Fax-to-Mail-Systeme inzwischen weit verbreitet sind. Bei diesen Geräten wird jedoch das Fax in eine E-Mail umgewandelt, die dann – oft unverschlüsselt – an das Empfängerpostfach gesandt wird.
Eine kleine Anfrage der SPD in Bremen zeige zudem, dass zumindest im dortigen Bremer Ressort für Justiz und Verfassung, die Fehlerrate von Faxen ganze 10 % beträgt.
Daher sieht Brandt die Nutzung von Faxen für den Versand von personenbezogenen Daten als unzulässig an und verweist auch auf ein entsprechendes Urteil des OVG Lüneburg (11 LA 104/19).
Auch der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) warnt vor der unbedarften Nutzung von Telefax-Diensten.
Aber wie kann eine datenschutzgerechte Nutzung eines Faxgeräts aussehen? Der Bayerische Landesbeauftragte für den Datenschutz beschreibt dazu folgende Vorgehensweise:
1. Vor der Faxnutzung ist zu prüfen, ob es eine angemessenere Versandart gibt und die Faxkommunikation erforderlich ist.
2. Vor dem Versand muss geprüft werden, ob das Dokument den Empfänger unmittelbar erreichen muss, oder eine mittelbare Zustellung, wie beispielsweise über eine Poststelle möglich ist.
3. Die Faxnummer muss mit angemessener Sorgfalt eingetippt werden. Vor dem finalen Versand muss die am Display des physischen Faxes erscheinende Nummer mit der gewünschten Empfängernummer nochmals abgeglichen werden.
4. Technische Hilfsmittel zur Fehlerreduktion sind zu nutzen, sofern sie vorhanden sind. Bietet das Telefax die Möglichkeit zur Zielnummernspeicherung, kann dies genutzt werden, um Tippfehler zu vermeiden. Soweit die eigene Faxnummer ausgewählt werden kann, sollte darauf geachtet werden, dass sie anderen, bestehenden Nummern nicht ähnelt. Bei einem regelmäßigen Faxaustausch zwischen zwei bestimmten Stellen, kann es zudem lohnend sein, physische Ver- und Entschlüsselungskomponenten an den Faxgeräten anzubringen. Der BayLfD geht davon aus, dass „derartige Vorrichtungen bei einem Fax-Versand mittels PC“ nicht existieren, weshalb ein Versand sensibler personenbezogener Daten grundsätzlich nicht auf diesem Wege erfolgen dürfe.
5. Als zusätzliche Sicherheitsmaßnahme können identifizierende personenbezogene Merkmale durch ein Pseudonym ersetzt werden. Die Zuordnungstabelle zwischen Pseudonymen und personenbezogenen Daten muss in diesem Fall über ein anderes Medium, z.B. Telefon erfolgen.
6. Zudem sollte ein Deckblatt mitgefaxt werden, welches den Absender, die Empfängeranschrift und die Seitenzahl enthält.
7. Übertragungsprotokolle sollten – unabhängig von ihrer fehlenden Beweiskraft vor Gericht – für mindestens ein Jahr aufbewahrt werden.
8. Der Aufstellungsort der Telefax-Geräte ist so zu wählen, dass nur Befugte eingehende Nachrichten an sich nehmen können. Bei Bedarf können auch Vorrichtungen angebracht werden, mit denen die Faxausgabe abgedeckt bzw. abgeschlossen werden kann.
9. Bei der Rückgabe von Leasinggeräten ist zu kontrollieren, ob alle internen Speicher des Geräts gelöscht sind.
Als allgemeine Richtschnur empfiehlt der BayLfD, keine Informationen zu faxen, die auch am Telefon nicht gesagt werden dürften. Zumindest bei sensiblen personenbezogenen Daten, wie Sozial-, Steuer-, Personal-, oder medizinischen Daten dürfe das Faxgerät nicht genutzt werden.
Quellen:
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD): Datensicherheit beim Telefax-Dienst.
Oberverwaltungsgericht Lüneburg: Beschluss vom 22.07.2020 – 11 LA 104/19.
