Von den einen als wirksame Wache zum Schutz persönlicher Intimität gepriesen, von den anderen als kostenintensives bürokratisches Hindernis geschmäht, hat die DSGVO Einfluss genommen auf viele Lebensbereiche.
Die Verbraucher und Patienten merken es, weil sie seit drei Jahren ständig irgendwelchen Erklärungen zustimmen müssen, bevor es in der Sache los gehen kann. Manch einer wünscht sich die gute alte Zeit zurück.
Faxen – aus der Mode, aber noch möglich
Apropos: gute alte Zeit. In dieser stand in jedem Büro ein klobiges Faxgerät, dass mehr oder weniger geräuschvoll Nachrichten ausspuckte. Heute ist das Telefax längst durch elektronische Nachrichten, die direkt auf dem Bildschirm erscheinen, ersetzt – E-Mail-Provider und Kurznachrichtendienste machen das Faxgerät überflüssig. Dennoch ist es weiterhin möglich, ein Fax zu schicken, das dann oftmals nicht mehr ausgedruckt, sondern in Form einer E-Mail ausgegeben wird.
Internet-Technologie – unverschlüsselt und unsicher
Fax und Mail nutzen dafür dieselben Übermittlungsmethoden. Die Übertragung ist im Normalfall unverschlüsselt. Und hier liegt nun wiederum das datenschutzrechtliche Problem: Werden per Fax personenbezogene Daten übermittelt, ist das nicht DSGVO-konform. Es liegt ein Verstoß gegen Artikel 9, Absatz 1 DSGVO vor. Darauf wies die Bremische Landesbeauftragte für Datenschutz hin. Grund sind eben jene geänderten technischen Bedingungen, unter denen das Faxen heute stattfindet: „Galt ein Telefax noch vor einigen Jahren als relativ sichere Methode um auch sensible personenbezogene Daten zu übertragen, so hat sich diese Situation grundlegend geändert: Sowohl bei den Endgeräten als auch den Transportwegen gab es weitreichende Änderungen. Bisher wurden beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt. Technische Änderungen in den Telefonnetzen sorgen jetzt dafür, dass keine exklusiven Leitungen mehr genutzt werden, sondern die Daten paketweise in Netzen transportiert werden, die auf Internet-Technologie beruhen“.
Fax-Dienste ungeeignet
Am anderen Ende kommt dann oft nun eine unverschlüsselte E-Mail an – laut dem Papier der Datenschutzbeauftragten vergleichbar mit einer „offen einsehbaren Postkarte“ – , die den hohen Anforderungen der DSGVO nicht entspricht. Das Fazit der Bremischen Landesbeauftragten für Datenschutz:
„Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet“.
Ergo: Finger weg vom Fax.
Der Beitrag stammt von unserem freien Autor Josef Bordat. Er ist Teil unserer Reihe “Berichte aus der Parallelwelt”. Dort werfen Autoren aus anderen Fachbereichen einen Blick auf die Rechtswissenschaft in Theorie und Praxis. Die Beiträge betrachten, anders als unsere sonstigen Fachbeiträge Begebenheiten und Rechtsfälle daher auch nicht juristisch, sondern aus einem völlig anderen Blickwinkel. Aus welchem, das soll der Beurteilung der Leser überlassen bleiben. Interessant wird es, wie wir meinen, allemal.
Nach wie vor ist das Telefax (oder Fax) in einigen Branchen ein häufig genutztes Werkzeug zur Datenübertragung. Und das selbst in Zeiten des Internets und des digitalen Wandels.
Nun hat die Landesbeauftragte für Datenschutz der Freien Hansestadt Bremen (LfD Bremen) in einer Orientierungshilfe ihre Auffassung bezüglich der Nutzung des Telefax veröffentlicht.
Diese dürfte viele Verantwortliche verunsichert haben, denn in der Presse war zuweilen sogar zu lesen, dass die LfD Bremen den Fax-Versand verboten hätte. Dabei wies die Aufsichtsbehörde in einer Orientierungshilfe lediglich auf ihre Rechtsauffassung hin.
Darin äußert sich die LfD Bremen hinsichtlich des Fax-Versands dahingehend, dass ihrer Ansicht nach im Zuge der technischen Änderungen bei Transportwegen in den Telefonnetzen die Telefaxe mit einer unverschlüsselten E-Mail gleichzusetzen wären. Die LfD Bremen stellt in diesem Zusammenhang fest, dass das Fax zum sicheren Versand personenbezogener Daten in der Regel nicht geeignet sei. Nicht geeignet bedeutet in diesem Zusammenhang, dass der Fax-Versand aus Sicht der LfD Bremen keine geeignete technische Maßnahme zum sicheren Datentransport im Sinne des Art. 32 DSGVO darstellt. Im Rahmen der Übermittlung der personenbezogenen Daten, die gemäß Art. 9 DSGVO zu besonderen Kategorien personenbezogener Daten gehören, wäre die Datenübermittlung per Fax nach Auffassung der LfD Bremen generell unzulässig.
Zudem könne nach Ansicht der LfD Bremen nicht mehr davon ausgegangen werden, dass im Rahmen des Fax-Versands immer ein reales Fax-Gerät eingesetzt wird. Mittlerweile nimmt die Verbreitung von Systemen, die Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten, stark zu.
Folgt man den Ausführungen der Orientierungshilfe, dann läuft es gemäß der LfD Bremen auf ein Ende des Faxes hinaus. In ihrer Orientierungshilfe rät die LfD Bremen (im Sinne eines MUSS) ausdrücklich Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post zu nutzen.
Bewertung der einzelnen Kritikpunkte der LfD Bremen
Soweit die Aufsichtsbehörde die unverschlüsselte Übermittlung per Fax bemängelt, so ist ihr insofern zuzustimmen, als dass die Änderungen bei den Transportwegen in den Telefonnetzen in der Tat dazu geführt haben, dass die beim Versand von Faxen gegenüber früher exklusiv genutzte Ende-zu-Ende-Telefonleitung nicht (mehr) eingesetzt wird. Die Daten werden stattdessen paketweise im Internet transportiert. Die Datenübermittlung findet dabei unter Umständen unverschlüsselt statt, so dass sich in diesem Zusammenhang die gleichen Fragen stellen, die im Zusammenhang mit dem unverschlüsselten Versand von E-Mails relevant sind.
Damit hat sich z.B. das BayLDA im Rahmen der Beantwortung einer Anfrage des Erfa-Kreises Coburg befasst und auf die Frage hin, ob ein verschlüsselter Versand bei jeder Art von Kommunikation (z.B. auch beim Austausch von Kontaktdaten) gewährleistet werden muss, folgende Antwort gegeben:
„Da die E-Mail-Provider inzwischen regelmäßig Transportverschlüsselung für E-Mails einsetzen, können E-Mails mit „normalem“ geschäftlichem Inhalt aus unserer Sicht ohne Ende-zu-Ende-Verschlüsselung (Inhaltsverschlüsselung) versandt werden. Nur bei sensiblen Daten (z. B. Gesundheitsdaten beim Arzt oder Krankenhaus) fordern wir eine Inhaltsverschlüsselung).“
(hierzu vgl. Informationen der Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.).
Und genau dieser Aspekt wird durch die LfD Bremen unseres Erachtens nicht beachtet, denn in der Orientierungshilfe der LfD Bremen wird unseres Erachtens zu pauschal gesagt, dass die Datenübertragung per Fax in der Regel nicht geeignet sein wird, um sicher per Fax zu kommunizieren. Dabei sind verschlüsselte Verbindungen zum eigenen Provider aktuell bereits sehr verbreitet, so dass in diesem Abschnitt der Kommunikation eine Transportverschlüsselung greift. Insofern ist die Auffassung der LfD Bremen zu pauschal und berücksichtigt die in der Praxis umgesetzten Sicherheitsmaßnahmen nicht ausreichend. Sofern Empfänger und Sender sicherstellen, dass die Übertragung auf dem gesamten Weg vom Sender zum Provider des Senders, von dort zum Provider des Empfängers und von dort zum Empfänger verschlüsselt erfolgt, sollte ein Faxversand selbst bei sensiblen Daten möglich sein. Gerade bei Kommunikationspartnern, die häufig untereinander per Fax kommunizieren möchten, kann es also durchaus sinnvoll sein, sich den Übertragungsweg einmal genauer anzuschauen.
Auch die Weiterleitung der Faxe per E-Mail wäre, da die E-Mails regelmäßig per TLS verschlüsselt werden, in der Regel eher unproblematisch, so wie es vom BayLDA zutreffend ausgeführt wird. Nur wenn besondere Kategorien personenbezogener Daten übermittelt werden, wäre die Transportverschlüsselung gegebenenfalls nicht ausreichend und es müssten weitere Maßnahmen getroffen werden. Eine Möglichkeit wäre beispielsweise die Einholung einer wirksamen Einwilligung in den unverschlüsselten Datentransfer (hierzu vgl. unseren Beitrag vom 16.04.21).
Die Entscheidung, ob die Übermittlung personenbezogener Daten per Fax ein Problem darstellt oder nicht, sollte daher nie pauschal, sondern stets für den Einzelfall nach Art. 32 DSGVO getroffen werden. Dabei ist abzuwägen, ob diese Versandmethode ein ausreichendes Schutzniveau bietet.
Bei sehr sensiblen Daten, die per Fax versandt werden, nimmt die Rechtsprechung, z.B. das OVG Lüneburg (Urteil vom 22.07.2020 – AZ.: 11 LA 104/19) zurecht an, dass sensible personenbezogene Daten nicht ohne Sicherungen (z.B. Verschlüsselungsgeräte) gefaxt werden dürfen. Dabei stellt das Gericht bzgl. des angemessenen Schutzniveaus zutreffend fest, das Schutzniveau richte sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potenziellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit der betroffenen Personen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand. Die meisten dieser Gesichtspunkte lässt die LfD Bremen in ihrer Orientierungshilfe leider unberücksichtigt.
Fazit
Die Orientierungshilfe der LfD Bremen wirft unseres Erachtens leider mehr Fragen auf, als sie beantwortet. Anstatt den Verantwortlichen im Rahmen der Sicherstellung der Vorgaben des Datenschutzes praxisorientiert Hilfe zu leisten, führt die Orientierungshilfe eher dazu, dass die Verantwortlichen verunsichert sind. Dies kann dazu führen, dass Geschäftsprozesse, für die der Fax-Versand geeignet und ausreichend sicher wäre, dennoch mit hohem Kostenaufwand umgestellt werden, um ein Bußgeld- oder Schadensersatzrisiko auszuschließen. Darunter fallen dann ggf. auch Geschäftsprozesse, die aus datenschutzrechtlicher Sicht nicht zu beanstanden gewesen wären, soweit eine einzelfallbezogene Prüfung und Abwägung stattgefunden hätte.
Die Datenübermittlung per Fax wird in der Praxis vermutlich auch nach der Stellungnahme der LfD Bremen noch einige Zeit existieren. Die Frage, inwiefern die Verantwortlichen, die in Bremen Fax-Versand zur Datenübermittlung einsetzen, mit Sanktionen rechnen müssen, kann jedoch nur die LfD Bremen sicher beantworten. Ob die LfD Bremen mit ihrer strengen Auffassung richtig liegt wird dann gegebenenfalls ein Gericht entscheiden. Zumindest in Nordrhein-Westfalen scheint das Gericht mit dem Faxversand übrigens noch keine datenschutzrechtlichen Probleme zu haben, denn auf der Seite des Ministeriums der Justiz des Landes Nordrhein-Westfalen ist bzgl. der Klageerhebung per Fax aktuell folgender Hinweis zu lesen:
„Die Klage kann auch fernschriftlich, mittels Fax (Telekopie, Fernkopie) und per Computerfax mit eingescannter Unterschrift erfolgen. Die Klageerhebung per Computerfax ist nur dann ordnungsgemäß, wenn der Schriftsatz unmittelbar aus dem Computer versendet wird. Wird der mit dem Computer erstellte und mit einer eingescannten Unterschrift versehene Schriftsatz ausgedruckt und mit einem normalen Faxgerät versandt, muss der Schriftsatz vor der Versendung handschriftlich unterschrieben werden.“
Es wird sich nun zeigen müssen, ob das Fax trotz des Abgesangs aus Bremen weiterlebt oder ob solche Texte, wie man sie auf der Webseite des Justiz-Portals (noch) lesen kann, bald der Vergangenheit angehören werden.
Führen Sie Verarbeitungen durch, bei denen Sie sich im Hinblick auf Ihre Datenschutz-Compliance unsicher sind? Kontaktieren Sie uns, wir helfen Ihnen gerne!