Praxisleitfaden: Datenschutz bei der Übermittlung von Daten mittels Fax

 

Auch Faxe sind datenschutzrechtlich relevant

Beklagte war eine Behörde, die personenbezogene Daten des Klägers in einem anderen Rechtsstreit ohne ausreichende Sicherheitsvorkehrungen an den Rechtsanwalt des Klägers übermittelte. Die Daten des Klägers waren in diesem Fall besonders sensibel, da er Inhaber einer Firma ist, die vornehmlich explosionsgefährliche Stoffe vertreibt. Insbesondere wurden in dem Fax auch die Kennzeichen und Identifikationsnummern der Fahrzeuge des Klägers benannt, obwohl für den Kläger berufsbedingt ein deutlich höheres Angriffsrisiko zur Ermöglichung eines illegalen Zugriffs auf „seine“ Sprengstoffe bestehe.

In diesem Fall gab das Oberverwaltungsgericht dem Kläger Recht, dass das erforderliche Sicherheitsniveau für den Schutz der Datenübermittlung hier unterschritten wurde. Welche Risiken bestehen und unter welchen Voraussetzungen ein Fax datenschutzkonform versendet werden kann, möchten wir Ihnen nachfolgend aufzeigen.

Welche datenschutzrechtlichen Risiken bestehen bei der Nutzung eines Faxgeräts?

Unverschlüsselte Übertragung

Die Daten werden über die Telefonleitung unverschlüsselt übermittelt und können – theoretisch – wie Telefongespräche von Dritten abgehört werden. Die Datenschutzbehörden vergleichen den Versand eines Faxes daher mit dem Versand einer Postkarte.

Rufumleitung oder falsche Nummer

Ohne dass es der Absender bemerkt, besteht bei Faxen das Risiko, dass der Empfänger eine Rufumleitung für das Faxgerät eingerichtet hat und die Daten damit an einen Dritten übermittelt werden. Außerdem besteht bei der Eingabe von Faxnummern ein höheres Risiko, dass sich der Absender bei der Eingabe der Faxnummer vertippt.

Zugriff auf Faxgerät

Der Absender hat keinen Einfluss darauf, wer das Fax aus dem Faxgerät entnimmt. Anders als bei einem E-Mail-Postfach, auf das sich in der Regel nur der Empfänger selbst mit seinem Passwort Zugriff verschaffen kann. Liegt das Fax offen im Faxgerät und können es verschiedene Personen entnehmen..

Schnittstelle für die (Fern-)Wartung

Faxgeräte haben häufig Schnittstellen, über die die Wartung läuft. Es ist darauf zu achten, dass über solche Schnittstellen keine Daten an Dritte übertragen werden. Insbesondere bei einer Schnittstelle für die Fernwartung ist dies in der Regel nicht ohne weiteres von außen an dem Gerät, sondern nur in den Softwareeinstellungen erkennbar. Der Zugriff wird häufig nur mit einem Standardpasswort gesichert.

Interne Festplatten

Auf internen Festplatten können empfangene und gesendete Faxe gespeichert sein. Häufig ist der Zugriff nur mit einem Standardpasswort gesichert. Personenbezogene Daten könnten auf diesen Festplatten versehentlich länger gespeichert sein, als dies datenschutzrechtlich zulässig ist.

Empfehlungen der Datenschutzbehörden

Die Datenschutzbehörde NRW gibt auf ihrer Webseite folgende Hinweise:

  • Kontaktieren Sie vor der Übermittlung sensibler Daten per Fax den Empfänger, um den Sendezeitpunkt und das Empfangsgerät abzustimmen. Auf diese Weise verhindern Sie, dass Dritte sich Zugriff auf das Fax verschaffen können oder die Daten an die falsche Nummer versendet werden.
  • Geheimhaltungsbedürftige Daten sollten Sie nur mit zusätzlichen Sicherungsmaßnahmen, wie Verschlüsselungsgeräten faxen.
  • Stellen Sie die Faxgeräte so auf, dass Dritte keine Kenntnis von den übertragenen oder empfangenen Faxen erhalten können.
  • Erstellen Sie für die Verwendung der Faxgeräte eine Arbeitsanweisung und lassen Sie nur eingewiesenes Personal die Geräte benutzen.
  • Dokumentieren Sie den Versand und den Empfang von Faxen mit einem Sende- oder Empfangsprotokoll. Behandeln Sie diese Protokolle vertraulich.
  • Alle von den Telefaxgeräten angebotenen Sicherheitsmaßnahmen (beispielsweise Anzeige der störungsfreien Übertragung, gesicherte Zwischenspeicherung, Abruf nach Passwortabfrage, Sperrung der Fernwartungsmöglichkeit) sollten genutzt werden. Die eingestellten technischen Parameter und Speicherinhalte sind regelmäßig insbesondere nach durchgeführten Wartungen zu überprüfen, um Fehleinstellungen oder Manipulationsversuche frühzeitig erkennen und verhindern zu können.
  • Stellen Sie vor Verkauf, Weitergabe oder Aussortierung von Telefaxgeräten sicher, dass alle im Gerät gespeicherten Daten (Textinhalte, Verbindungsdaten, Kurzwahlziele usw.) gelöscht sind.

Die Datenschutzbehörde Brandenburg empfiehlt in ihrem Datenschutzbericht im Gesundheitsbereich grundsätzlich auf den Einsatz von Faxgeräten zur Übermittlung und zum Empfang von Patientendaten zu verzichten. Nur im absoluten Ausnahmefall (z.B. unmittelbar drohende Gesundheitsgefahren für den Patienten oder eingeschränkte Erreichbarkeit im Ausland) soll eine Übermittlung/der Empfang rechtmäßig möglich sein, wenn zusätzliche Maßnahmen zur Sicherung getroffen werden. Als Beispiele für solche Maßnahmen nennt sie folgende:

  • Das Faxgerät so aufstellen und benutzen, dass Unbefugte medizinische Daten nicht zur Kenntnis nehmen können,
  • die Zielnummer bzw. -adresse vorab speichern und vor dem Versand nochmals sorgfältig abzugleichen, um Fehlversendungen auszuschließen,
  • auf telefonischem Weg sowohl der Empfängerin bzw. dem Empfänger die unmittelbar bevorstehende Kommunikation ankündigen oder der Absenderin bzw. dem Absender den erfolgreichen Abschluss der Übertragung bestätigen und
  •  vorhandene geräte- bzw. softwarespezifische Sicherheitsfunktionen nutzen (z.B. Abruf des Faxes nur nach Eingabe eines Passworts, Kontrolle von Sende- und Empfangsprotokollen, Verschlüsselung des internen Gerätespeichers, Verzicht auf Fernwartungsfunktionen).

Grundsatz: So wenig Faxe wie möglich

Es bleibt somit festzuhalten, dass die Behörden die Verwendung der Faxe datenschutzrechtlich kritisch bewerten. Dies ist zunächst insofern beachtlich, als dass Rechtsanwaltskammern Faxe traditionell als gängiges und geeignetes Kommunikationsmittel ansehen.

Insgesamt bleibt abzuwarten, welche Kommunikationsmittel künftig, unter Berücksichtigung des Sicherheitsniveaus, das Standardkommunikationsmittel darstellen. Im Anwaltsbereich wird dies das besondere elektronische Anwaltspostfach (beA) sein.

Grundsätzlich sollten Sie Faxe also nur in Ausnahmefällen verwenden. Versenden Sie personenbezogene Daten daher besser per Brief oder verschlüsselter E-Mail. E-Mails sind mindestens mit einer Transportverschlüsselung und bei besonders sensiblen Daten mit einer Ende-zu-Ende-Verschlüsselung zu versehen.

Wir beraten Sie gerne in Bezug auf den datenschutzkonformen Versand von personenbezogenen Daten und anderen vertraulichen Informationen.

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

Alexandra Hecht

Rechtsanwältin, Fachanwältin für Arbeitsrecht

Zum Profil von Alexandra Hecht

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink