Praxisleitfaden: Datenschutz bei der Übermittlung von Daten mittels Fax
Auch Faxe sind datenschutzrechtlich relevant
Beklagte war eine Behörde, die personenbezogene Daten des Klägers in einem anderen Rechtsstreit ohne ausreichende Sicherheitsvorkehrungen an den Rechtsanwalt des Klägers übermittelte. Die Daten des Klägers waren in diesem Fall besonders sensibel, da er Inhaber einer Firma ist, die vornehmlich explosionsgefährliche Stoffe vertreibt. Insbesondere wurden in dem Fax auch die Kennzeichen und Identifikationsnummern der Fahrzeuge des Klägers benannt, obwohl für den Kläger berufsbedingt ein deutlich höheres Angriffsrisiko zur Ermöglichung eines illegalen Zugriffs auf „seine“ Sprengstoffe bestehe.
In diesem Fall gab das Oberverwaltungsgericht dem Kläger Recht, dass das erforderliche Sicherheitsniveau für den Schutz der Datenübermittlung hier unterschritten wurde. Welche Risiken bestehen und unter welchen Voraussetzungen ein Fax datenschutzkonform versendet werden kann, möchten wir Ihnen nachfolgend aufzeigen.
Welche datenschutzrechtlichen Risiken bestehen bei der Nutzung eines Faxgeräts?
Unverschlüsselte Übertragung
Die Daten werden über die Telefonleitung unverschlüsselt übermittelt und können – theoretisch – wie Telefongespräche von Dritten abgehört werden. Die Datenschutzbehörden vergleichen den Versand eines Faxes daher mit dem Versand einer Postkarte.
Rufumleitung oder falsche Nummer
Ohne dass es der Absender bemerkt, besteht bei Faxen das Risiko, dass der Empfänger eine Rufumleitung für das Faxgerät eingerichtet hat und die Daten damit an einen Dritten übermittelt werden. Außerdem besteht bei der Eingabe von Faxnummern ein höheres Risiko, dass sich der Absender bei der Eingabe der Faxnummer vertippt.
Zugriff auf Faxgerät
Der Absender hat keinen Einfluss darauf, wer das Fax aus dem Faxgerät entnimmt. Anders als bei einem E-Mail-Postfach, auf das sich in der Regel nur der Empfänger selbst mit seinem Passwort Zugriff verschaffen kann. Liegt das Fax offen im Faxgerät und können es verschiedene Personen entnehmen..
Schnittstelle für die (Fern-)Wartung
Faxgeräte haben häufig Schnittstellen, über die die Wartung läuft. Es ist darauf zu achten, dass über solche Schnittstellen keine Daten an Dritte übertragen werden. Insbesondere bei einer Schnittstelle für die Fernwartung ist dies in der Regel nicht ohne weiteres von außen an dem Gerät, sondern nur in den Softwareeinstellungen erkennbar. Der Zugriff wird häufig nur mit einem Standardpasswort gesichert.
Interne Festplatten
Auf internen Festplatten können empfangene und gesendete Faxe gespeichert sein. Häufig ist der Zugriff nur mit einem Standardpasswort gesichert. Personenbezogene Daten könnten auf diesen Festplatten versehentlich länger gespeichert sein, als dies datenschutzrechtlich zulässig ist.
Empfehlungen der Datenschutzbehörden
Die Datenschutzbehörde NRW gibt auf ihrer Webseite folgende Hinweise:
- Kontaktieren Sie vor der Übermittlung sensibler Daten per Fax den Empfänger, um den Sendezeitpunkt und das Empfangsgerät abzustimmen. Auf diese Weise verhindern Sie, dass Dritte sich Zugriff auf das Fax verschaffen können oder die Daten an die falsche Nummer versendet werden.
- Geheimhaltungsbedürftige Daten sollten Sie nur mit zusätzlichen Sicherungsmaßnahmen, wie Verschlüsselungsgeräten faxen.
- Stellen Sie die Faxgeräte so auf, dass Dritte keine Kenntnis von den übertragenen oder empfangenen Faxen erhalten können.
- Erstellen Sie für die Verwendung der Faxgeräte eine Arbeitsanweisung und lassen Sie nur eingewiesenes Personal die Geräte benutzen.
- Dokumentieren Sie den Versand und den Empfang von Faxen mit einem Sende- oder Empfangsprotokoll. Behandeln Sie diese Protokolle vertraulich.
- Alle von den Telefaxgeräten angebotenen Sicherheitsmaßnahmen (beispielsweise Anzeige der störungsfreien Übertragung, gesicherte Zwischenspeicherung, Abruf nach Passwortabfrage, Sperrung der Fernwartungsmöglichkeit) sollten genutzt werden. Die eingestellten technischen Parameter und Speicherinhalte sind regelmäßig insbesondere nach durchgeführten Wartungen zu überprüfen, um Fehleinstellungen oder Manipulationsversuche frühzeitig erkennen und verhindern zu können.
- Stellen Sie vor Verkauf, Weitergabe oder Aussortierung von Telefaxgeräten sicher, dass alle im Gerät gespeicherten Daten (Textinhalte, Verbindungsdaten, Kurzwahlziele usw.) gelöscht sind.
Die Datenschutzbehörde Brandenburg empfiehlt in ihrem Datenschutzbericht im Gesundheitsbereich grundsätzlich auf den Einsatz von Faxgeräten zur Übermittlung und zum Empfang von Patientendaten zu verzichten. Nur im absoluten Ausnahmefall (z.B. unmittelbar drohende Gesundheitsgefahren für den Patienten oder eingeschränkte Erreichbarkeit im Ausland) soll eine Übermittlung/der Empfang rechtmäßig möglich sein, wenn zusätzliche Maßnahmen zur Sicherung getroffen werden. Als Beispiele für solche Maßnahmen nennt sie folgende:
- Das Faxgerät so aufstellen und benutzen, dass Unbefugte medizinische Daten nicht zur Kenntnis nehmen können,
- die Zielnummer bzw. -adresse vorab speichern und vor dem Versand nochmals sorgfältig abzugleichen, um Fehlversendungen auszuschließen,
- auf telefonischem Weg sowohl der Empfängerin bzw. dem Empfänger die unmittelbar bevorstehende Kommunikation ankündigen oder der Absenderin bzw. dem Absender den erfolgreichen Abschluss der Übertragung bestätigen und
- vorhandene geräte- bzw. softwarespezifische Sicherheitsfunktionen nutzen (z.B. Abruf des Faxes nur nach Eingabe eines Passworts, Kontrolle von Sende- und Empfangsprotokollen, Verschlüsselung des internen Gerätespeichers, Verzicht auf Fernwartungsfunktionen).
Grundsatz: So wenig Faxe wie möglich
Es bleibt somit festzuhalten, dass die Behörden die Verwendung der Faxe datenschutzrechtlich kritisch bewerten. Dies ist zunächst insofern beachtlich, als dass Rechtsanwaltskammern Faxe traditionell als gängiges und geeignetes Kommunikationsmittel ansehen.
Insgesamt bleibt abzuwarten, welche Kommunikationsmittel künftig, unter Berücksichtigung des Sicherheitsniveaus, das Standardkommunikationsmittel darstellen. Im Anwaltsbereich wird dies das besondere elektronische Anwaltspostfach (beA) sein.
Grundsätzlich sollten Sie Faxe also nur in Ausnahmefällen verwenden. Versenden Sie personenbezogene Daten daher besser per Brief oder verschlüsselter E-Mail. E-Mails sind mindestens mit einer Transportverschlüsselung und bei besonders sensiblen Daten mit einer Ende-zu-Ende-Verschlüsselung zu versehen.
Wir beraten Sie gerne in Bezug auf den datenschutzkonformen Versand von personenbezogenen Daten und anderen vertraulichen Informationen.