Datenschutz News

LDI Bremen: Telefaxe sind nicht datenschutzkonform

Die Datenschutzkonformität „neuer“ Technologien, z. B. der  Videokonferenztechnik, ist, insbesondere aufgrund der Corona-Pandemie, zuletzt häufiger thematisiert worden. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit vertritt diesbezüglich, zumindest im Hinblick auf Videokonferenztechniken von US-Anbietern, eine eher zurückhaltende Ansicht zur Datenschutzkonformität (siehe Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten vom 18.02.2021).

Zuletzt sorgte jedoch im Mai 2021 eine Orientierungshilfe / Handlungshilfe der Bremer Landesbeauftragten für Datenschutz des Landesdatenschutzbeauftragten zur Telefax-Technik für „Aufregung“. Diese vertritt die Ansicht, dass die Nutzung des Telefaxes nicht datenschutzkonform sei. Für den Versand personenbezogener Daten müssen nach ihrer Ansicht alternative, sicherere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post genutzt werden. Vor dem Hintergrund, dass das Telefax bislang als relativ sicherere Methode zur Übertragung von personenbezogenen Daten galt, überrascht die Ansicht der Bremer Landesdatenschutzbeauftragten.

Anlass für ihre Beurteilung ist nicht die Übertragung des Telefaxes von einem Endgerät auf ein anderes Endgerät, sofern das Telefax dort unmittelbar ausgedruckt wird. Vielmehr geht sie von dem zunehmend zu beobachtenden Einsatz von Fotokopierern mit Fax-Funktion oder Fax-sowie oder dem Einsatz eines Fax-Dienstes in Form eines virtuellen Fax-Servers aus. Sie führt diesbezüglich in ihrer Orientierungshilfe aus:

„Das reale Faxgerät ist mittlerweile abgelöst. Ganz vereinzelt mag es sie noch geben, aber meist handelt es sich um Fotokopierer mit Fax-Funktion oder Fax-Server. Sie wandeln die eingehenden Faxe in eine E-Mail um und leiten sie an E-Mail-Postfächer weiter. Das „Faxgerät“ könnte aber auch ein Fax-Dienst, wie zum Beispiel ein Cloud-Fax-Service, sein: Ein virtueller Fax-Server, der Eingangsfaxe ebenfalls in E-Mails umsetzt und weiterleitet. Ob und gegebenenfalls wie die E-Mails dabei verschlüsselt sind, kann die sendende Stelle nicht feststellen. Dass verschlüsselt wird, kann von Absenderinnen oder Absendern auch nicht technisch „erzwungen“ werden. Und ob es sich bei den dabei genutzten Cloud-Diensten um DSGVO-konform betriebene „europäische Clouds“ handelt, kann die Absenderseite ebenfalls nicht feststellen.

Aufgrund dieser Unwägbarkeiten hat ein Fax hinsichtlich des Schutzziels Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, die zu Recht als digitales Pendant zur offen einsehbaren Postkarte angesehen wird. Mehr nicht. Fax-Dienste enthalten in der Regel keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet. Die Bremische Verwaltung geht davon aus, bis Ende 2022 alle Faxgeräte durch sicherere Technologien abgelöst zu haben. Bis dahin sind ihre Beschäftigten gehalten, die Faxtechnik nicht mehr für die Übermittlung personenbezogener Daten zu verwenden.“

Es bleibt abzuwarten, ob sich andere Landesdatenschutzbehörden dieser Sichtweise anschließen werden. Die Forderung, dass „im Zweifel“ auch die herkömmliche Post genutzt werden solle, mag mit der Forderung nach zunehmender Digitalisierung nicht konform zu gehen. Ob sich ferner die Forderung nach Ende-zu-Ende verschlüsselten E-Mails durchsetzen wird, ist auch fraglich. Man wird insofern die weiteren Entwicklungen beobachten müssen.