Sind Telefaxe datenschutzkonform?
Aufgrund der Corona-Pandemie wurde die Datenschutzkonformität „neuer“ Technologien häufig thematisiert. Im Mai 2021 sorgte die Berliner Landesbeauftragte für Datenschutz und Informationsfreiheit mit ihren Aussagen in der Veröffentlichung „Telefax ist nicht Datenschutz konform“ für Aufsehen.
Darin vertritt sie die Ansicht, die Nutzung des Telefaxes sei nicht datenschutzkonform. Für den Versand personenbezogener Daten müssen nach ihrer Ansicht alternative, sicherere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder im Zweifel auch die herkömmliche Post genutzt werden.
Anlass für die ihre Beurteilung ist nicht die Übertragung des Telefaxes von einem Endgerät auf ein anderes Endgerät, auf dem das Telefax sofort ausgedruckt wird. Die Landesbeauftragte für Datenschutz und Informationsfreiheit geht vielmehr vom zunehmend zu beobachtenden Einsatz von Fotokopierern mit Fax-Funktion oder Fax-Server oder vom Einsatz eines Fax-Dienstes in Form eines virtuellen Fax-Servers aus und führt aus:
„Kern des Problems ist „die Gegenseite“: Absenderinnen oder Absender können sich nie sicher sein, welche Technik auf der Empfangsseite eingesetzt wird.
Das reale Faxgerät ist mittlerweile abgelöst. Ganz vereinzelt mag es sie noch geben, aber meist handelt es sich um Fotokopierer mit Fax-Funktion oder Fax-Server. Sie wandeln die eingehenden Faxe in eine E-Mail um und leiten sie an E-Mail-Postfächer weiter. Das „Faxgerät“ könnte aber auch ein Fax-Dienst, wie zum Beispiel ein Cloud-Fax-Service, sein: Ein virtueller Fax-Server, der Eingangsfaxe ebenfalls in E-Mails umsetzt und weiterleitet. Ob und gegebenenfalls wie die E-Mails dabei verschlüsselt sind, kann die sendende Stelle nicht feststellen. Dass verschlüsselt wird, kann von Absenderinnen oder Absendern auch nicht technisch „erzwungen“ werden. Und ob es sich bei den dabei genutzten Cloud-Diensten um DSGVO-konform betriebene „europäische Clouds“ handelt, kann die Absenderseite ebenfalls nicht feststellen.
Aufgrund dieser Unwägbarkeiten hat ein Fax hinsichtlich des Schutzziels Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, die zu Recht als digitales Pendant zur offen einsehbaren Postkarte angesehen wird. Fax-Dienste enthalten in der Regel keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet. Zur Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der DSGVO (Datenschutzgrundverordnung) ist die Nutzung von Fax-Diensten unzulässig.
Für den Versand personenbezogener Daten müssen daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post genutzt werden.“
Setzt sich diese Ansicht durch? Werden sich andere Datenschutzbehörden dieser Sichtweise anschließen?
All das muss vor allem deshalb abgewartet werden, weil die Forderung, dass „im Zweifel auch die herkömmliche Post genutzt werden soll“ mit der Forderung nach zunehmender Digitalisierung nicht konform zu gehen scheint. Es ist auch fraglich, ob sich die Forderung nach Ende-zu-Ende verschlüsselten E-Mails durchsetzen wird.
Jedenfalls wird es spannend, die weiteren Entwicklungen zu beobachten.
Sind Telefaxe datenschutzkonform?
Aufgrund der Corona-Pandemie wurde die Datenschutzkonformität „neuer“ Technologien häufig thematisiert. Im Mai 2021 sorgte die Berliner Landesbeauftragte für Datenschutz und Informationsfreiheit mit ihren Aussagen in der Veröffentlichung „Telefax ist nicht Datenschutz konform“ für Aufsehen.
Darin vertritt sie die Ansicht, die Nutzung des Telefaxes sei nicht datenschutzkonform. Für den Versand personenbezogener Daten müssen nach ihrer Ansicht alternative, sicherere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder im Zweifel auch die herkömmliche Post genutzt werden.
Anlass für die ihre Beurteilung ist nicht die Übertragung des Telefaxes von einem Endgerät auf ein anderes Endgerät, auf dem das Telefax sofort ausgedruckt wird. Die Landesbeauftragte für Datenschutz und Informationsfreiheit geht vielmehr vom zunehmend zu beobachtenden Einsatz von Fotokopierern mit Fax-Funktion oder Fax-Server oder vom Einsatz eines Fax-Dienstes in Form eines virtuellen Fax-Servers aus und führt aus:
„Kern des Problems ist „die Gegenseite“: Absenderinnen oder Absender können sich nie sicher sein, welche Technik auf der Empfangsseite eingesetzt wird.
Das reale Faxgerät ist mittlerweile abgelöst. Ganz vereinzelt mag es sie noch geben, aber meist handelt es sich um Fotokopierer mit Fax-Funktion oder Fax-Server. Sie wandeln die eingehenden Faxe in eine E-Mail um und leiten sie an E-Mail-Postfächer weiter. Das „Faxgerät“ könnte aber auch ein Fax-Dienst, wie zum Beispiel ein Cloud-Fax-Service, sein: Ein virtueller Fax-Server, der Eingangsfaxe ebenfalls in E-Mails umsetzt und weiterleitet. Ob und gegebenenfalls wie die E-Mails dabei verschlüsselt sind, kann die sendende Stelle nicht feststellen. Dass verschlüsselt wird, kann von Absenderinnen oder Absendern auch nicht technisch „erzwungen“ werden. Und ob es sich bei den dabei genutzten Cloud-Diensten um DSGVO-konform betriebene „europäische Clouds“ handelt, kann die Absenderseite ebenfalls nicht feststellen.
Aufgrund dieser Unwägbarkeiten hat ein Fax hinsichtlich des Schutzziels Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, die zu Recht als digitales Pendant zur offen einsehbaren Postkarte angesehen wird. Fax-Dienste enthalten in der Regel keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet. Zur Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der DSGVO (Datenschutzgrundverordnung) ist die Nutzung von Fax-Diensten unzulässig.
Für den Versand personenbezogener Daten müssen daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post genutzt werden.“
Setzt sich diese Ansicht durch? Werden sich andere Datenschutzbehörden dieser Sichtweise anschließen?
All das muss vor allem deshalb abgewartet werden, weil die Forderung, dass „im Zweifel auch die herkömmliche Post genutzt werden soll“ mit der Forderung nach zunehmender Digitalisierung nicht konform zu gehen scheint. Es ist auch fraglich, ob sich die Forderung nach Ende-zu-Ende verschlüsselten E-Mails durchsetzen wird.
Jedenfalls wird es spannend, die weiteren Entwicklungen zu beobachten.