In der Praxis ist das Fax – etwa bei Behörden, Gerichten, Rechtsanwälten und im Gesundheitswesen – nach wie vor weit verbreitet. Mittlerweile ist jedoch der Faxversand durch diverse technische Veränderungen informationstechnisch als unsicheres Kommunikationsmittel einzustufen. Im Interesse der Datensicherheit und vor dem Hintergrund der fortschreitenden Digitalisierung sollten Verantwortliche daher zeitnah alternative Kommunikationsmittel zum Fax prüfen und implementieren.
I. Technische Hintergründe zur Faxnutzung
Die Kommunikation zwischen Faxgeräten basierte ursprünglich auf einem Verbindungsaufbau mittels sogenannter Kanal- bzw. Leitungsvermittlung. Dabei waren Absender und Empfänger – identifiziert durch ihre jeweiligen Faxnummern – die beiden Endstellen, zwischen denen eine direkte Verbindung aufgebaut wurde. Diese Verbindung wurde dann vom einen zum anderen Ende zur Übermittlung der Datenströme, die das Fax repräsentierten, genutzt. Die Verbindung war für die beiden Endstellen reserviert und wurde für die Dauer der Kommunikation exklusiv von diesen Endstellen genutzt. Diese Art der Vermittlung und Übertragung war bis einschließlich der Nutzung der ISDN-Technologie üblich.
Technologische Weiterentwicklungen im Bereich der Übertragungstechnik haben dazu geführt, dass seit einiger Zeit überwiegend die sogenannte Paketvermittlung als Grundlage der Datenübertragung auch beim Fax zum Einsatz kommt. Dabei werden die zu übertragenden Daten mittels des TCP/IP-Standards auf sogenannte „Pakete“ aufgeteilt und über eine Vielzahl von Verbindungen zwischen mehreren vermittelnden Punkten zwischen den Endstellen übertragen. Die genutzten Verbindungen und Punkte sind dabei - im Gegensatz zur früheren Leitungsvermittlung - nicht für die beiden Endstellen reserviert. Heutzutage ist es denkbar, dass die beteiligten Zwischenpunkte weltweit verteilt sind und von verschiedensten staatlichen oder privaten Akteuren betrieben werden. Diese Akteure haben hierbei grundsätzlich die Möglichkeit, auf die von ihnen vermittelten Pakete Zugriff zu nehmen. Dies wird insbesondere dann problematisch, wenn die beiden Endstellen die von ihnen versandten Pakete nicht verschlüsseln. Eine solche kommt üblicherweise nicht zum Einsatz.
II. Anforderungen an die Verarbeitung personenbezogener Daten nach der DS-GVO
Gemäß Art. 5 Abs. 1 lit. f der Datenschutz-Grundverordnung (DS-GVO) müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet („Integrität und Vertraulichkeit“). Der Grundsatz des Art. 5 Abs. lit. f DS-GVO wird u.a. durch Art. 32 DS-GVO näher konkretisiert. Nach der Vorschrift haben Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher PersonenÖffnet sich in einem neuen Fenster Öffnet sich in einem neuen Fenstergeeignete technische und organisatorische Maßnahmen zu treffen, um ein, dem Risiko angemessenes Schutzniveau, zu gewährleisten. Da bei der Risikoabwägung neben der Eintrittswahrscheinlichkeit auch das Ausmaß der Folgen einer Schutzverletzung personenbezogener Daten betrachtet werden muss, wird die Abwägung maßgeblich von den Kategorien der verarbeiteten personenbezogenen Daten beeinflusst, die per Fax übermittelt werden.
Besonders hervorzuheben ist in diesem Zusammenhang die Sensibilität des personenbezogenen Datums, das verarbeitet werden soll: Je sensibler die personenbezogenen Daten sind, desto größer ist auch der Schutzbedarf, der bei der Auswahl der zu treffenden Maßnahmen zugrunde zu legen ist. Dies gilt insbesondere für die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DS-GVOÖffnet sich in einem neuen Fenster sowie für Daten, die von Berufsgeheimnisträgern genannten Berufsgruppen (siehe § 203 Abs. 1 StGB) verarbeitet werden.
III. Risiko des Verlustes der Vertraulichkeit bei der Übermittlung personenbezogener Daten mittels Fax
Grundsätzlich weist der Faxversand vergleichbare Risiken auf, wie diese etwa auch beim unverschlüsselten Versand von E-Mail-NachrichtenÖffnet sich in einem neuen Fenster gegeben sind. Hervorzuheben sind insbesondere die folgenden Risiken (Vgl. auch BSI IT-Grundschutz Baustein NET 4.3 Faxgeräte und FaxserverÖffnet sich in einem neuen Fenster):
- personenbezogenen Daten könnten wegen einer nicht korrekten Eingabe der Zielfaxnummer Dritten unbefugt offenbart werden.
- Der Absender hat in der Regel keine Informationen zur Empfängerseite, z.B. wo ein etwaiges Empfangsgerät steht und wer Zugang zu diesem hat.
- Bei der heutzutage weit überwiegend genutzten paketvermittelten Übertragungsmethode als Fax over IP (FoIP) über das Internet, oder bei der Nutzung von Diensten, die Faxe automatisiert in E-Mails umwandeln, werden die Daten in der Regel nicht verschlüsselt und damit ungeschützt übertragen. (Bis 2022 soll deutschlandweit die analoge Telefonie und die Nutzungsmöglichkeit von ISDN-Anschlüssen vollständig abgeschaltet werden, so dass nur noch FoIP als Übertragungsmethode für Faxe verbleibt.) Durch die Übertragung über mehrere verteilte Zwischenstellen besteht dabei grundsätzlich eine Zugriffsmöglichkeit für unbefugte Dritte.
Im Ergebnis ist die Übermittlung von personenbezogenen Daten per Fax daher mit dem Risiko des Verlustes der Vertraulichkeit der übermittelten Daten behaftet.
Personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, sollten daher grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert sind.
In Betracht kommt insoweit insbesondere der Einsatz standardisierter Verschlüsselungstechnologie für den Verbindungsaufbau und die Übertragung von Daten. Hierbei ist darauf zu achten, dass von einer sicheren Voice-over-IP-Verbindung (VoIP) nicht automatisch auf eine sichere Faxübertragung geschlossen werden kann, da für die beiden Anwendungsszenarien verschiedene technische Protokolle mit unterschiedlichen Voraussetzungen für eine Verschlüsselung zum Einsatz kommen. Vielmehr muss die korrekte Auswahl und Kompatibilität der verwendeten Protokolle für die Faxübertragung geprüft werden.
IV. Ausnahmen und Einwilligung
In Ausnahmefällen, z. B. wenn die besondere Eilbedürftigkeit dies erforderlich macht und sichergestellt ist, dass die Sendung nur dem richtigen Empfänger zugeht (z.B. gespeicherte Zielnummern), kann auch die Versendung besonders schutzbedürftiger personenbezogener Daten mittels Fax rechtmäßig sein. Dies gilt aber nur dann, wenn kein alternatives, datenschutzkonformes Kommunikationsmittel genutzt werden kann und dem Verantwortlichen insofern kein alternatives Kommunikationsmittel zur Verfügung steht.
Denkbar ist auch, dass betroffene Personen ausdrücklich und eigeninitiativ einem unverschlüsselten Faxversand zustimmen, nachdem sie von dem Verantwortlichen auf die hierbei bestehenden Risiken hingewiesen wurden. Dies kann aber nicht standardmäßig die Übermittlung personenbezogener Daten per unverschlüsseltem Fax legitimieren, sondern ist auf besonders zu dokumentierende EinzelfälleÖffnet sich in einem neuen Fenster beschränkt.
Übermitteln die Verantwortlichen unter den oben genannten Voraussetzungen weiterhin personenbezogene Daten per Fax, so sind sie verpflichtet, ihre Beschäftigten zu sensibilisieren und zu überprüfen, ob eine entsprechende Verfahrensanweisung zu erstellen bzw. zu aktualisieren ist.
Bei dieser Prüfung sind folgende Punkte zu berücksichtigen:
- Kann eine Verschlüsselung implementiert werden (insb. bei regelmäßigen Kommunikationspartnern)?
- Kann die Faxnutzung auf einzelne Beschäftigte eingeschränkt werden?
- Kann die Faxnutzung auf einzelne Sachverhalte eingeschränkt werden?
- Können Alternativen in die Verfahrensanweisung aufgenommen werden?
- Kann es zum Thema Faxnutzung in gewissen Abständen eine Bestandsaufnahme geben?
V. Alternative Kommunikationsmittel
Verantwortliche sollten prüfen, welche alternativen, sicheren Kommunikationsmittel an die Stelle des Faxversandes treten können. In Betracht kommen insbesondere:
- Versand inhaltsverschlüsselter E-Mail-Nachrichten (PGP oder S/MIME),
- Portallösungen, bei denen die Kommunikationspartner Nachrichten und Inhalte verschlüsselt abrufen und bereitstellen können,
- DE-Mail,
- bereichsspezifische digitale Kommunikationsdienste, z. B.:
- Kommunikation im Medizinwesen (KIM)
Durch den Kommunikationsdienst KIM Öffnet sich in einem neuen Fensterkönnen Nachrichten und Dokumente (Arztbriefe, Befunde etc.) über die Telematik-Infrastruktur per Ende-zu-Ende verschlüsselter E-Mail-Nachricht übermittelt werden. KIM wird von der Gesellschaft für Telematik aufgrund eines gesetzlichen Auftrags im SGB V betrieben. Über ein zentrales Adressbuch können die verschiedenen Akteure im Gesundheitswesen (Arztpraxen, Krankenhäuser, Apotheken, Kassenärztliche Vereinigungen, Krankenkassen) sicher erreicht werden. Es kann sukzessive von einer flächendeckenden Anbindung der Arztpraxen ausgegangen werden, da ab dem 01.10.2021 alle Arbeitsunfähigkeits-Bescheinigungen (AU) per KIM an die jeweilige Krankenkasse gesendet werden müssen. - Infrastruktur des elektronischen Rechtsverkehrs (EGVP/beA/beN/beBPo)
Über die Infrastruktur des Elektronischen Gerichts- und Verwaltungspostfachs (EGVP) können in den Varianten besonderes elektronisches Anwaltspostfach (beA), besonderes Notarpostfach (beN) sowie besonderes Behördenpostfach (beBPo) Nachrichten verschlüsselt und mit einer qualifizierten elektronischen Signatur versehen übertragen werden. Seit 01.01.2018 besteht für Rechtsanwälte eine passive Nutzungspflicht gemäß § 31a Bundesrechtsanwaltsordnung. Gleiches gilt für die Notare gemäß § 78n Bundesnotarordnung. Auch wenn die EGVP-Infrastruktur keine vollständige Ende-zu-Ende-Verschlüsselung bietet, ist das Sicherheitsniveau gegenüber dem Faxversand als deutlich höher anzusehen und daher aus datenschutzrechtlicher Sicht vorzugswürdig.
- Kommunikation im Medizinwesen (KIM)
VI. Besonderheiten für Kommunikationsvorgänge innerhalb der Hessischen Landesverwaltung
Die Dienststellen des Landes Hessen können heute bereits auf eine Lösung zurückgreifen, die das zentrale Risiko bei der paketvermittelten Datenübertragung mittels Faxgerät reduzieren kann: Sofern eine Dienststelle an den HessenVoice-Dienst der Hessischen Zentrale für Datenverarbeitung (HZD) angeschlossen ist, erfolgt die Faxübermittelung zu anderen Dienststellen des Landes, die ebenfalls HessenVoice nutzen, zwischen den jeweiligen Hausanschlüssen verschlüsselt. Verantwortliche Stellen müssen sich vorab vergewissern, dass der jeweilige interne Kommunikationspartner auch tatsächlich an HessenVoice angebunden ist. Die Kommunikation mit externen Stellen wird dadurch allerdings nicht geschützt.
Das Festhalten am Fax kann daher auch für die öffentlichen Stellen des Landes nur noch eine vorübergehende Lösung sein. Viele dieser Stellen werden sich in naher Zukunft durch das Onlinezugangsgesetz bereits der Herausforderung gegenübersehen, Bürgerinnen und Bürgern den Zugang zu Informationen mit datenschutzrechtskonformen Kommunikationsmitteln zu ermöglichen. Sie sind daher aufgefordert, sich auf den Weg zu machen und diesen Transformationsprozess zu beschreiten. Für die Dienststellen besteht beispielsweise die Möglichkeit, das sichere elektronische Einreichen von Schriftstücken mittels einer Upload-Portal-Lösung anzubieten. Ein Beispiel für eine solche Lösung stellt der HessenDrive-Dienst der HZD dar, der für verschiedene Anwendungsszenarien und Schutzbedarfe geeignet sein kann. Das besondere Behördenpostfach kann darüber hinaus eingerichtet werden um mit anderen Stellen, welche die Infrastruktur des Elektronischen Gerichts- und Verwaltungspostfachs (EGVP) nutzen, sicher und datenschutzkonform zu kommunizieren.
VII. Fazit
Insbesondere dann, wenn personenbezogene Daten einen hohen Schutzbedarf aufweisen, kann die Übermittlung per unverschlüsseltem Fax einen Verstoß gegen Art. 5 Abs. 1 lit. f und Art. 32 DS-GVO darstellen.
Die DS-GVO verpflichtet Verantwortliche daher, das Fax als Kommunikationsmittel auf den Prüfstand zu stellen und zur schnellen und datenschutzkonformen Kommunikation auf andere digitale Lösungen umzustellen.
Wie sich an dem Beispiel der Übermittlung personenbezogener Daten mittels Faxgeräten zeigt, steht die Beachtung der Grundsätze des Datenschutzes dem Voranschreiten der Digitalisierung nicht im Wege, sondern leistet einen Beitrag, diese weiter zu unterstützen.
Stand: 22.02.2022