… nicht erst seit gestern und nicht nur wegen der DSGVO!
In den sozialen Medien verbreiten sich aktuell wieder vermehrt Nachrichten, dass die Landesbeauftragte für den Datenschutz in Bremen eine Information veröffentlicht hat, wonach die Nutzung von Telefax nicht datenschutzkonform möglich ist.
Tatsächlich entspricht dies auch schon immer unserer Auffassung, dass die Nutzung von Faxgeräten zumindest bei sensiblen Daten mit Vorsicht zu genießen ist. Dementsprechend beraten wir auch unsere Mandanten. Auch für die Landesbeauftragte aus Bremen ist dies keine neue Erkenntnis. Der Artikel ist auf der Webseite der Landesbeauftragten seit mindestens August 2020 zu finden.[1]
Auch wenn wir bisher eigentlich davon ausgegangen sind, dass unsere Mandanten diese Information bereits haben: Wenn das Thema scheinbar gerade wieder aktuell und interessant ist, kann eine Auffrischung nicht schaden…
Die Meinung der Aufsichtsbehörden
Auch das LDI NRW hat sich bereits früher mit dem Versand von Faxnachrichten auseinandergesetzt und kam zu folgendem Schluss:[2]
„Die Informationen werden grundsätzlich „offen“ (unverschlüsselt) übertragen. Eine Telefaxübersendung kann deshalb mit dem Versand einer offenen Postkarte verglichen werden.“
Die Landesbeauftragte in Bremen ergänzt dazu:
„Technische Änderungen in den Telefonnetzen sorgen jetzt dafür, dass keine exklusiven Leitungen mehr genutzt werden, sondern die Daten paketweise in Netzen transportiert werden…“
Auf Grund dieser technischen Anpassung ist ein Fax hinsichtlich der Vertraulichkeit daher nur noch einer unverschlüsselten E-Mail gleichzusetzen.
Daher wundert es nicht weiter, dass die Landesbeauftragten zu einem gemeinsamen und unmissverständlichen Fazit kommen, so steht in der Veröffentlichung aus Bremen:
„Für die Übertragung besonderer Kategorien personenbezogener Daten (Art. 9, Abs. 1 Datenschutzgrundverordnung [DSGVO]) sei die Nutzung von Fax-Diensten daher unzulässig.“
Im Übrigen kommt auch der BayLfD, also der Landesbeauftragte für den Datenschutz im öffentlichen Bereich in Bayern zu einem ähnlichen Ergebnis:[3]
„Insbesondere bei der Übertragung von Telefaxen mit besonders schutzwürdigem Inhalt (sensible personenbezogenen Daten wie Sozial-, Steuer-, Personal- oder medizinische Daten) kann eine Fehlzustellung gravierende Folgen für den Absender, Empfänger und Betroffene haben. Deshalb sollte zumindest in diesen Fällen eine unverschlüsselte Datenübertragung untererbleiben.“
Ein bekanntes Urteil auf Grundlage der gefassten Meinungen
Bei so einhelligen und eindeutigen Meinungen wundert es dann auch nicht weiter, dass diese Auffassung auch bereits gerichtlich bestätigt wurde. So wurde am 22.07.2020 vom OVG Lüneburg festgestellt, dass eine Behörde rechtswidrig personenbezogene Daten per Telefax übermittelt hatte.[4]
Bei der Urteilsfindung wurde in diesem Fall auf die Veröffentlichung des LDI NRW zurückgegriffen.
Was bedeutet dies aber nun in der täglichen Praxis?
Für die meisten Unternehmen im Bereich Handel und Industrie wird die Auffassung der Aufsichtsbehörden und das oben genannte Urteil nur eine untergeordnete Rolle spielen. Angebote, Geschäftsbriefe und andere Kommunikationen, die nur Kontaktdaten als personenbezogene Daten enthalten, werden regelmäßig auch weiterhin per Telefax unproblematisch sein.
Anders sieht dies aus, wenn beispielsweise Informationen mit der externen Lohnbuchhaltung oder anderen Stellen ausgetauscht werden, wo eine Übermittlung von besonderen Kategorien personenbezogener Daten benötigt wird. Krankmeldungen sind Gesundheitsdaten und dürfen daher nicht ohne weitere Sicherheitsmaßnahmen per Telefax übermittelt werden.
Kritisch ist es jedoch für Ärzte, Rechtsanwälte, Steuerberater und andere Berufsgruppen, die einer berufsrechtlichen Verschwiegenheitspflicht unterliegen. Geraten die per Telefax übermittelten Daten an einen falschen Empfänger, liegt nicht nur ein Datenschutzverstoß vor, sondern zudem ein Verstoß gegen die Verschwiegenheitspflicht, welcher gem. §203 StGB strafbar ist und auch berufsrechtliche Sanktionen auslösen kann.
Neben dem Datenschutz auch die Informationssicherheit betrachten
Nicht nur aus der Sicht des Datenschutzes sollte die Nutzung von Faxgeräten zumindest hinterfragt werden. Auch Vorgaben der Informationssicherheit könnten ein weiterer Sargnagel für das Telefax sein. Spätestens bei der Übermittlung von Geschäftsgeheimnissen sieht das Gesetz zum Schutz von Geschäftsgeheimnissen („GeschGehG“) vor, dass ein Geschäftsgeheimnis durch angemessene Geheimhaltungsmaßnahmen zu schützen ist.[5] Der Versand von Geschäftsgeheimnissen auf einer Postkarte, um die vorherige Argumentation nochmals aufzugreifen, dürfte wahrscheinlich nicht als angemessene Geheimhaltungsmaßnahme zu betrachten sein.
Fazit
Oft genug beschwerten sich die Anwender darüber, dass das Faxen über Voice over IP an Stabilität und Zuverlässigkeit verloren hat. Aber selbst wenn man das Fax reanimiert hat und an die Begebenheiten der neuen Telefonnetze angepasst hat, die Themen Datenschutz und Informationssicherheit zwingen dazu, sich mit dem Thema nochmals zu beschäftigen.
Unser Fazit lautet daher: Das geliebte Fax stirbt. Nicht heute, nicht morgen, aber ganz sicher irgendwann…
Quellen:
[1] Meinung der Landesdatenschutzbeauftragten aus Bremen mit Stand vom 06.08.2020 über Archive.org
[2] Meinung der Landesdatenschutzbeauftragten aus NRW mit Stand vom 06.08.2020 über Archive.org , zuletzt online gesehen: 06.08.2020
[3] Meinung des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD)
[4] OVG Lüneburg 11. Senat, Beschluss vom 22.07.2020, 11 LA 104/19
[5] §2 Abs. 1 lit. b GeschGehG
Wir aktualisieren regelmäßig unsere Beratungskonzepte.
Seit dem letzten Informationsschreiben haben sich die nachfolgenden Änderungen ergeben:
20210303 – BK2 – UPDATE: Richtlinie: Meldung von Sicherheitsvorfällen (2.5)
20210428 – BK5 – NEU: div. Dokumente der DSK und öffentliche Informationen
20210505 – BK5 – UPDATE: Orientierungshilfe zur Auftragsverarbeitung
20210505 – BK3 – NEU: Checkliste zur Bewertung von AV-Verträgen
20210510 – BK2 – NEU: Richtlinie zur Öffnung von Postsendungen (2.10)
20210510 – BK2 – NEU: Richtlinie zum Zugriff auf E-Mail-Postfächer (2.11)
