Es geht darum, dass personenbezogene Daten die per Fax übermittelt werden, nach Ansicht des LfDI Hessen einen Verstoß gegen Art. 5 Abs. 1 lit. f und Art. 32 DSGVO darstellen. Die Sicherheit personenbezogener Daten muss bei der Übertragung gewährleistet werden.
Betrachtet man allerdings die derzeitige technische Situation der Faxübertragung bei aktueller VoIP (Voice over IP) bzw. FoIP (Fax over IP) Technik, genauso wie auch die Telefonie, wäre die Übermittlung eines unverschlüsselten Faxes vergleichbar mit der Übermittlung personenbezogener Daten per unverschlüsselter E-Mail. Allerdings ist auch die Kommunikation per Telefon unverschlüsselt und die Übertragung erfolgt in allen Fällen über mehrere Server. Die Daten könnten daher auf dem Transportweg abgegriffen werden.
Nach alter Technik - bei der klassischen Telefonie - wurde die Verbindung direkt zwischen den Endgeräten aufgebaut, dies ist mittlerweile jedoch nicht mehr der Fall.
Weiterhin besteht bei Falscheingabe der Zielrufnummer die Gefahr, dass unbefugte Dritte das Fax erhalten und an die Daten gelangen. Dies ist jedoch ein bekanntes Problem.
Ebenfalls ist beim Versand nicht erkennbar, an welcher Position im Gebäude (bspw. im internen Bürobereich oder zentral im Flur der Etagen) die empfangenden Geräte aufgestellt sind. Auch diese Problematik ist nicht neu und hat nichts mit der geänderten Technologie und Umstellung auf IP zu tun.
Darüber hinaus ergibt sich noch die Problematik, dass Faxe in vielen Fällen von einem Faxserver angenommen und anschließend an ein E-Mail-Postfach überstellt werden. Auch an der Stelle sind also entsprechende Vorkehrungen zu treffen und die Faxe dürften nicht als unverschlüsselte Datei - wie es bei einigen Mailserversystemen der Fall ist - auf der Festplatte liegen. Hat jemand unberechtigten Zugriff auf den Server, könnte er auch vertrauliche unverschlüsselte Faxe einsehen.
Daraus ergibt sich, dass personenbezogene Daten mit hohem Schutzbedarf nicht mehr per Fax übermittelt werden sollten. Die Übermittlung darf jedoch dennoch ausnahmsweise stattfinden, wenn die Empfangsnummer gesichert ist und darüber hinaus besondere Eile geboten ist, sofern kein anderes datenschutzkonformes Kommunikationsmittel verfügbar ist. Auch eine Information der Parteien und Einholung einer Einwilligung wäre möglich.
So lautet zumindest die aktuelle Stellungnahme der Aufsichtsbehörden.
Das bedeutet, dass in Bereichen, in denen noch per Fax kommuniziert wird, noch einmal genauer geprüft werden muss. Die unverschlüsselte Kommunikation aufgrund der vielen Knoten und nicht mehr existierenden Direktverbindung zwischen den Geräten, stellt aus datenschutzrechtlicher Sicht Probleme dar. Es müssen zusätzliche Schutzmaßnahmen - wie z.B. eine Verschlüsselung - getroffen werden. Besonders kritisch betrachtet werden sollten dabei die übertragenen Daten, besonders wenn es um Gesundheits- oder Sozialdaten geht, die an einigen Stellen übertragen und verarbeitet werden.
Der unverschlüsselte Faxversand birgt ähnliche Risiken wie der unverschlüsselte Versand personenbezogener Daten per E-Mail.
Die Problematik der Falscheingabe der Empfängernummer oder die unbefugte Offenlegung stellt dabei ebenfalls ein Risiko dar, allerdings ist dieses nicht neu, sondern auch in der Vergangenheit bereist problematisch gewesen und musste auch bisher schon berücksichtigt werden.
Der Standpunkt des Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) ist dementsprechend deutlich:
„Personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, sollten daher grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert sind.“
Die Empfehlung des HBDI lautet:
Man sollte den Einsatz einer alternativen Kommunikation prüfen, z.B. die Kommunikation per verschlüsselter E-Mail mit PGP oder S/MIME. Sofern möglich kommen auch interne Portallösungen in Frage, deren Inhalte dann verschlüsselt sind. Für das Medizinwesen gibt es z.B. bereichsspezifische Kommunikationsdienste, z.B. Kommunikation im Medizinwesen (KIM) oder die Infrastruktur des elektronischen Rechtsverkehrs (EGVP/beA/beN/beBPo), die ebenfalls eingesetzt werden könnten.
Insbesondere öffentliche Stellen und Behörden müssten sich mit datenschutzkonformen Kommunikationslösungen für Bürgerinnen und Bürger auseinandersetzen und hier einen einfachen einheitlichen Standard schaffen.
Erste Verstöße und Prüfungen der Behörden zeigen, dass - unabhängig vom jeweiligen Bundesland - eine Auseinandersetzung mit dem Thema notwendig ist und datenschutzkonforme Alternativen geprüft und langfristig implementiert werden müssten.
