Datenschutzbeauftragter: Gängiges Faxen nicht mit der DSGVO vereinbar

Der Faxversand sei "durch diverse technische Veränderungen informationstechnisch als unsicheres Kommunikationsmittel einzustufen", heißt es in Hessen.

In Pocket speichern vorlesen Druckansicht 499 Kommentare lesen

(Bild: pook_jun/Shutterstock.com)

Lesezeit: 3 Min.

Der hessische Datenschutzbeauftragte Alexander Roßnagel fordert den Abschied vom Fax, das momentan etwa bei Behörden, Gerichten, Rechtsanwälten und im Gesundheitswesen noch weit verbreitet ist. Der Kontrolleur stuft aufgrund diverser technischer Veränderungen in der Kommunikationswelt den Faxversand "als unsicheres Kommunikationsmittel" ein. Er rät daher, "im Interesse der Datensicherheit und vor dem Hintergrund der fortschreitenden Digitalisierung" zeitnah andere Wege zu prüfen und zu implementieren.

"Grundsätzlich weist der Faxversand vergleichbare Risiken auf, wie diese etwa auch beim unverschlüsselten Versand von E-Mail-Nachrichten gegeben sind", schreibt Roßnagel in einer Notiz mit Stand vom Dienstag. Die Übermittlung personenbezogener Daten über dieses Medium sei daher "mit dem Risiko des Verlustes der Vertraulichkeit" behaftet. Personenbezogene Informationen, die einen besonderen Schutzbedarf aufweisen, sollten daher "grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert sind".

Die Kommunikation zwischen Faxgeräten habe ursprünglich auf einem Verbindungsaufbau per Kanal- beziehungsweise Leitungsvermittlung basiert, führt der Behördenchef aus. "Dabei waren Absender und Empfänger – identifiziert durch ihre jeweiligen Faxnummern – die beiden Endstellen, zwischen denen eine direkte Verbindung aufgebaut wurde." Großes Manko sei aber schon immer gewesen, "dass der Absender in der Regel keine Informationen zur Empfängerseite hat". So habe etwa in Frage gestanden, wer Zugang zu einem Empfangsgerät habe.

Mit dem Siegeszug des Internets würden die zu übertragenden Daten über den TCP/IP-Standard auf einzelne Pakete verteilt und "über eine Vielzahl von Verbindungen zwischen mehreren vermittelnden Punkten zwischen den Endstellen" geschickt, legt Roßnagel weiter dar. Die genutzten Verbindungen seien dabei nicht mehr für die beiden Endstellen reserviert. So sei es denkbar, "dass die beteiligten Zwischenpunkte weltweit verteilt sind und von verschiedensten staatlichen oder privaten Akteuren betrieben werden". Diese hätten so grundsätzlich die Möglichkeit, "auf die von ihnen vermittelten Pakete Zugriff zu nehmen".

Es entstünden "neue Probleme, die man mit einem Anruf und der Bitte, sich neben das Faxgerät zu stellen, nicht lösen kann", gibt der Jurist zu bedenken. Gemäß Datenschutz-Grundverordnung (DSGVO) müssten persönliche Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleiste. Verantwortliche hätten angesichts des "Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen", um ein angemessenes Schutzniveau zu gewährleisten.

Als alternative, sicherere Kommunikationsmittel empfiehlt Roßnagel insbesondere den Versand inhaltsverschlüsselter E-Mails (PGP oder S/MIME), die wenig genutzte DE-Mail und Portallösungen, "bei denen die Kommunikationspartner Nachrichten und Inhalte verschlüsselt abrufen und bereitstellen können". Infrage kämen auch "bereichsspezifische digitale Kommunikationsdienste" wie die "Kommunikation im Medizinwesen" (KIM) oder die "Infrastruktur des elektronischen Rechtsverkehrs". Das darin enthaltene besondere elektronische Anwaltspostfach (beA) ist aber umstritten, da keine Ende-zu-Ende-Verschlüsselung erfolgt.

Um mit gutem Beispiel voranzugehen, führt die hessische Datenschutzbehörde Faxnummern seit Kurzem nicht mehr auf ihrer Homepage, dem Briefkopf, Visitenkarten sowie in E-Mails an. Damit will Roßnagel nach eigenen Angaben "auf die technischen Probleme aufmerksam machen, vorerst jedoch ohne Aufsichtsmaßnahmen zu ergreifen".

(bme)