Fachbücher zu Daten­schutz und IT-Sicher­heit finden Sie hier.
  1. Home
  2. News
  3. Datenschutz per Fax
  • Infobrief 06/2022

Datenschutz per Fax

Derzeit wird vermehrt diskutiert, ob das Fax noch datenschutzkonform eingesetzt werden kann.

Insbesondere die Datenschutzbehörden in Bremen und Hessen sehen den Einsatz des Fax als kritisch ein.
(https://datenschutz.hessen.de/datenschutz/it-und-datenschutz/zur-%C3%BCbermittlung-personenbezogener-daten-per-fax,
https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen-und-handlungshilfen/telefax-ist-nicht-datenschutz-konform-161119)

Die Behörden gehen davon aus, dass in vielen Fällen durch Nutzung von Faxgeräten der datenschutzrechtliche Grundsatz der Vertraulichkeit nicht mehr gewahrt werden kann.

Rechtliche Anforderungen
Die Vertraulichkeit stellt einen der wichtigsten Grundsätze in der DSGVO dar. Darunter versteht man, dass personenbezogene Daten nur von denjenigen eingesehen werden dürfen, die auch dazu berechtigt sind (Artikel 5 Absatz 1 f DSGVO). Die für die Datenverarbeitung verantwortliche Stelle (z.B. Unternehmen, Verein, Behörde) hat sicherzustellen, dass die Vertraulichkeit der Daten durch angemessene Maßnahmen auch gewährleistet wird (Artikel 5 Absatz 1 f DSGVO, Artikel 32 DSGVO).

Die Vertraulichkeit muss auch bei der Übertragung von Daten sichergestellt werden, z.B. beim Versand einer E-Mail, per Post. Oder eben auch per Fax.

Beim Versand von Daten per Fax kann die Vertraulichkeit z.B. in den folgenden Fällen verletzt werden:

  • Es wird versehentlich die falsche Zielfaxnummer eingegeben, sodass die Daten bei einer unbefugten Person landen.
  • Eine unbefugte Person nimmt Einsicht in die übermittelten Daten per Fax, da jeder Zugang zu dem Empfängergerät hat, was der Absender nicht wissen kann.

Technik
Das Fax galt früher als besonders datenschutzkonforme Methode, da die Daten über die Telefonleitung Ende-zu-Ende- übermittelt wurden. Das ist heute in der Regel nicht mehr der Fall, da die meisten Faxgeräte auf Internet-Technologie beruhen.

Die hessische Datenschutzbehörde stellt das Problem wie folgt dar:

Technologische Weiterentwicklungen im Bereich der Übertragungstechnik haben dazu geführt, dass seit einiger Zeit überwiegend die sogenannte Paketvermittlung als Grundlage der Datenübertragung auch beim Fax zum Einsatz kommt. Dabei werden die zu übertragenden Daten mittels des TCP/IP-Standards auf sogenannte „Pakete“ aufgeteilt und über eine Vielzahl von Verbindungen zwischen mehreren vermittelnden Punkten zwischen den Endstellen übertragen. Die genutzten Verbindungen und Punkte sind dabei – im Gegensatz zur früheren Leitungsvermittlung – nicht für die beiden Endstellen reserviert. Heutzutage ist es denkbar, dass die beteiligten Zwischenpunkte weltweit verteilt sind und von verschiedensten staatlichen oder privaten Akteuren betrieben werden. Diese Akteure haben hierbei grundsätzlich die Möglichkeit, auf die von ihnen vermittelten Pakete Zugriff zu nehmen. Dies wird insbesondere dann problematisch, wenn die beiden Endstellen die von ihnen versandten Pakete nicht verschlüsseln. Eine solche kommt üblicherweise nicht zum Einsatz.

Mit „nicht verschlüsselt“ meint die Behörde wohl, dass der Versand nicht Ende-zu-Ende-verschlüsselt erfolgt, da die sogenannte Transportverschlüsselung auch beim Fax zum Standard gehört.

Unter Transportverschlüsselung versteht man das unverschlüsselte Senden von Daten über einen verschlüsselten Kanal. Bei der Ende-zu-Ende- Verschlüsselung wird dagegen auch der Inhalt verschlüsselt, sodass nur der Berechtigte den Inhalt entschlüsseln und lesen kann.

Anforderungen an die Sicherheit
Wie beim Versand einer E-Mail müssen auch beim Fax geeignete Maßnahmen getroffen werden, um das Risiko zu minimieren, dass unbefugte Personen den Inhalt einsehen können. Es kommt dabei auf die Art der Daten an, die verschickt werden sollen.

Soweit keine sensiblen personenbezogenen Daten (z.B. Bankdaten, Finanzinformationen) oder personenbezogene Daten nach Art. 9 DSGVO (z.B. Gesundheitsdaten, politische Meinungen, religiöse Ansichten) an den Empfänger übermittelt werden oder andere sensible Daten (z.B. personenbezogene Daten zu Schulden, Pfändungen, Höhe des Einkommens, Sozialleistungen), reicht die Transportverschlüsselung aus. Diese bietet einen Basisschutz und gilt als Mindestanforderung zur Sicherung der Vertraulichkeit personenbezogener Daten und sensibler Informationen.

Bei der Versendung von sensiblen Daten ist zusätzlich eine Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung) nach Art. 32 DSGVO verpflichtend, um das Risiko zu minimieren, dass eine unbefugte Person mitliest. Man kann als Absender jedoch nicht sicher sein, dass die Daten auch inhaltlich verschlüsselt ankommen, da man in der Regel nicht weiß, welche Technik der Empfänger nutzt und ob diese auch kompatibel ist.

Alternativen
Bei Versand von sensiblen Daten gelten der postalische Versand und die inhaltlich verschlüsselte Mail als datenschutzkonform. Besteht man dennoch auf die Nutzung des Fax, sollte man auf Ende-zu-Ende-Verschlüsselung setzen und mit dem Absender absprechen, ob eine geeignete und mit der eigenen Technik kompatible Verschlüsselung eingesetzt wird.

In bestimmten Situationen kann auch der Versand nicht inhaltlich verschlüsselter sensibler Daten per Fax rechtskonform sein, wenn es besonders wichtig und dringend ist, dass der Empfänger die Informationen enthält und keine geeignete Alternative zur Verfügung steht.

Auch das Fax kann noch datenschutzkonform eingesetzt werden, wenn die erforderlichen Verschlüsselungsmethoden eingesetzt werden.

Max Macht (Volljurist)

Zurück
© 2011–2024 GINDAT GmbH

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo