Datenschutzbeauftragter: Grundsätzlich Finger vom Fax lassen
Nur noch in begründeten dringlichen Fällen soll nach einer datenschutzrechtlichen Risikoabschätzung gefaxt werden, betont der Thüringer Kontrolleur Lutz Hasse.
Bayerns Staatsminister für Digitales, Fabian Mehring (Freie Wähler), hat "das Faxen dicke" und will daher zumindest intern keine Kommunikation mit der Datenübertragungstechnik mehr zulassen. Auch in andern Bundesländern kocht die Debatte über den Einsatz der als veraltet geltenden Faxgeräte wieder hoch. Der Thüringer Datenschutzbeauftragte Lutz Hasse hat dies zum Anlass genommen, um die Problematik aus seiner Sicht zu beleuchten. Der Kontrolleur erachtet die Datenübermittlung per Telefax demnach prinzipiell "nicht als sicheres Transportmittel". Er mahnt: "Grundsätzlich sollte von der Nutzung eines Faxes abgesehen werden."
Eine E-Mail mit verschlüsseltem Anhang oder eine integrierte Ende-zu-Ende Verschlüsselung per PGP oder S/MIME sind laut Hasse zumindest für die Übermittlung von besonders sensiblen Daten gemäß Artikel 9 Datenschutz-Grundverordnung (DSGVO) "in jedem Falle vorzuziehen". Verantwortliche müssen laut den EU-Vorgaben generell angesichts des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein angemessenes Schutzniveau zu gewährleisten.
Sender und Empfänger von Faxnachrichten müssten laut DSGVO auch sicherstellen, dass diese "nicht in die Hände von unbefugten Dritten gelangen", führt Hasse aus. Zudem seien solche Botschaften auf dem Transportweg überhaupt nicht verschlüsselt. Allenfalls könne eine Voice-over-IP-Verbindung mit Transportverschlüsselung vermutet werden, womit viele Netzbetreiber mittlerweile analoge Telefonleitungen ersetzt haben. Sonst sei die Übermittlung "nur rechtlich durch das Telekommunikationsgesetz geschützt". Für den Datenschützer ist das Fax so "als elektronisches Kommunikationsmittel technisch aus der Zeit gefallen".
Digitale Fax-Server eröffnen neue Angriffsoptionen
Ein Fax-Server ersetze zwar ein traditionelles Gerät durch eine Software, erläutert Hasse mit Blick auf die von Mehring vorgesehene interne Behördenlösung weiter. Im Unterschied zur analogen Technik lägen die Daten so auf dem Internetrechner digital vor. Damit seien sie jedoch zugleich "ganz anderen Angriffsvektoren ausgesetzt". Der Zugriff auf den Fax-Server sei prinzipiell von überall über Netzwerke möglich. Auch das Löschen von Nachrichten müsse dort anders erfolgen als bei Papier. Die Sicherheitsmaßnahmen müssten diesen Umständen angepasst werden, "um die sehr viel umfangreicheren Angriffsmethoden wirksam zu verhindern". Nötig seien etwa Nutzerauthentifizierung, Pseudonyme, Festplattenverschlüsselung, Netzwerksegmentierung, Virenscanner und Firewalls.
In begründeten dringlichen – etwa medizinischen – Fällen könne aber "unter Zugrundelegung der datenschutzrechtlichen Risikoabschätzung" eine Übermittlung per Telefax noch genutzt werden, schreibt Hasse. "Der Schutz der Gesundheit und die Sicherung von Leib und Leben der Betroffenen überwiegen hier gegenüber dem Risiko einer potentiellen Verletzung von Rechten und Freiheiten der Betroffenen durch unbefugte Kenntnisnahme der Daten". Schon 2021 forderte etwa der hessische Datenschutzbeauftragte Alexander Roßnagel den Abschied vom gängigen Faxen, da dieses als "unsicheres Kommunikationsmittel einzustufen" und so nicht mit der DSGVO vereinbar sei.
(nie)