Datenschutzaufsichtsbehörden warnen nicht nur vor den Risiken durch ungeschützten Mail-Versand, sondern auch vor dem guten, altem Fax-Gerät. Dabei sollten die virtuellen Fax-Geräte nicht vergessen werden.
Viele deutsche Unternehmen faxen noch
Per E-Mail, im Chat oder in der Cloud, mittlerweile gibt es viele digitale Wege, Dokumente zu verschicken. Trotzdem halten die deutschen Unternehmen weiterhin auch an einem Klassiker der analogen Kommunikation fest, dem Faxgerät, so der Digitalverband Bitkom.
Aus Sicht des Datenschutzes ist der Fax-Versand aber nicht unkritisch: Personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, wie zum Beispiel Diagnosedaten oder Sozialdaten, dürfen grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert sind, wie der Hessische Beauftragte für Datenschutz und Informationsfreiheit erklärte.
In der Praxis aber findet man auch in sensiblen Bereichen wie Krankenhaus und andere Gesundheitseinrichtungen noch viele Fax-Nachrichten. Auch in anderen Branchen haben Fax-Sendungen noch nicht ausgedient, wie zum Bei-spiel im Einkauf und im Lager so mancher Handelsunternehmen.
Kennen Sie die Risiken durch den Fax-Versand?
Die Lösungen finden Sie am Ende des Beitrags.
Frage 1: Der Fax-Versand kann nicht abgehört werden, die Inhalte bleiben vertraulich, wenn der Fax-Ausdruck nicht abhandenkommt. Stimmt das?
- Nein, der Fax-Versand ist unverschlüsselt und kann deshalb durch Dritte abgefangen und belauscht werden.
- Ja, nur Sender und Empfänger haben Zugang zu den Fax-Inhalten wie bei verschlüsselten E-Mails.
Frage 2: Wenn es eilig ist, kann man auf alle Fälle einen Brief per Fax verschicken. Stimmt das?
- Ja, in solchen Ausnahmefällen hat der schnelle Versand Vorrang.
- Nein, man kann nur eine Ausnahme machen, wenn es wirklich dringend ist und kein alternatives, datenschutz-konformes Kommunikationsmittel genutzt werden kann.
Datenschützer sehen klassisches Fax kritisch
„Ein Ziel der Digitalisierung sollte immer bleiben, unkomplizierte, verlässliche und datenschutzoptimierte Kommunikationsinstrumente bereitzustellen, welche das ‚Faxen‘ möglichst bald überflüssig machen“, so zum Beispiel der Bayerische Landesbeauftragte für den Datenschutz. Doch den Aufsichtsbehörden ist bewusst, warum viele Unternehmen bei aller Digitalisierung noch nicht auf das klassische Fax verzichten wollen: Eine schnelle, schriftliche Kommunikation bleibt im Grundsatz möglich, auch wenn IT-Systeme des Absenders oder des Empfängers gerade nicht einsatzfähig sind.
Grundsätzlich sollte aber von der Nutzung eines Faxes abgesehen werden. Ungeachtet hiervon kann selbstverständlich in begründeten dringlichen (wie medizinischen Fällen) unter Zugrundelegung der datenschutzrechtlichen Risikoabschätzung die Datenübermittlung per Telefax genutzt werden, wie der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit klarstellte. Der Schutz der Gesundheit und die Sicherung von Leib und Leben der Betroffenen überwiegen hier gegenüber dem Risiko einer potentiellen Verletzung von Rechten und Freiheiten der Betroffenen durch unbefugte Kenntnisnahme der Daten bei der unverschlüsselten Fax-Übermittlung.
Die Lösung kann das „digitale“ Fax sein
Die Aufsichtsbehörden haben einen weiteren, wichtigen Hinweis: Es gibt nicht nur klassische, physische Fax-Geräte. Ein Fax-Server ersetzt ein „althergebrachtes“ Faxgerät durch eine Software, welche ein echtes Faxgerät simuliert. Damit können über ein analoges Faxgerät gesendete Dokumente als PDF-Datei auf einem PC empfangen werden. Umgekehrt kann von dem betreffenden PC ein PDF-Dokument über die Faxnummer an ein analoges Faxgerät gesendet werden.
Auch das Senden eines „digitalen“ Faxes von Fax-Server zu Fax-Server ist möglich. Damit sind die Datenrisiken des Faxes nicht verschwunden, aber es stehen Schutzmöglichkeiten zur Verfügung, die ein Unternehmen bereits für den E-Mail-Versand verfügbar haben müsste. Dazu gehören insbesondere Verschlüsselung, Nutzerauthentifizierung, verschiedene Nutzerrollen, Festplattenverschlüsselung, sicheres Löschen, Netzwerksegmentierung, Virenscanner und Firewalls.
Dann aber wird das Fax wirklich digitalisiert. Für den Bayerischen Landesbeauftragten für den Datenschutz ist klar: Wenn das Versenden verschlüsselter E-Mails so unkompliziert möglich ist wie das Versenden eines Faxes, und wenn in die Stabilität der dafür benötigten IT-Systeme so vertraut werden kann wie in die Verfügbarkeit von Telefax-Diensten, wird das klassische Fax auch das Ende seines Lebenszyklus erreicht haben.
Es zeigt sich: Mit der digitalen Seite des Faxes kommen zunehmend die bereits vorhandenen digitalen Kommunikationsverfahren wie E-Mails zum Zuge, das Fax wird zur Mail mit Anhang. Aber auch dieses „digitale Fax“ brauchen den richtigen Schutz. Nicht das Fax ist also das Risiko, sondern das Fehlen von Schutzmaßnahmen.
Und hier die Lösungen für die Quizfragen:
Lösung Frage 1: Die Antwort 1. ist richtig. Das klassische Fax ist unverschlüsselt. Eine Verschlüsselung ist aber möglich, wenn Fax-Server genutzt und entsprechend abgesichert werden. Dann aber wandelt sich das Fax in Richtung E-Mail mit PDF-Anhang.
Lösung Frage 2: Die Antwort 2. ist richtig. In bestimmten Ausnahmefällen, wenn die besondere Eilbedürftigkeit dies erforderlich macht und sichergestellt ist, dass die Sendung nur dem richtigen Empfänger zugeht, kann auch die Versendung besonders schutzbedürftiger personenbezogener Daten mittels Fax rechtmäßig sein. Dies gilt aber nur dann, wenn kein alternatives, datenschutzkonformes Kommunikationsmittel genutzt werden kann und dem Verantwortlichen insofern kein alternatives Kommunikationsmittel zur Verfügung steht.