FAX: kein Klacks!

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) vom 20.02.2024

Derzeit gibt es in einigen Bundesländern erneut die Diskussion, ob man Faxgeräte in den Behörden abschaffen sollte oder nicht. Dabei wird zum Teil nicht aus Datenschutzgründen argumentiert, sondern weil es sich um eine veraltete Technik handelt.

Der TLfDI möchte dies zum Anlass nehmen, die Problematik des Einsatzes aus datenschutzrechtlicher Sicht zu beleuchten:

Der TLfDI sieht die Datenübermittlung per Telefax grundsätzlich nicht als sicheres Transportmittel an; eine E-Mail mit verschlüsseltem Anhang oder eine integrierte Ende-zu-Ende Verschlüsselung sind für die Übermittlung von sensiblen Daten gemäß Art. 9 Datenschutz-Grundverordnung (DS-GVO) in jedem Falle vorzuziehen. In diesem Zusammenhang sind auch die jeweils aktuellen Hinweise des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu beachten:

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/NET/NET_4_3_Faxger%C3%A4te_und_Faxserver.html .

Es kommt für die datenschutzrechtliche Beurteilung allerdings immer auf die Umstände des Einzelfalls an.

Die Verantwortlichen des Senders und des Empfängers von Telefaxnachrichten müssen gemäß Art. 32 Abs. 1 DS-GVO i. V. m. Art. 5 Abs. 1 Buchst. f) DS-GVO sicherstellen, dass nur befugte Personen die Faxe versenden und gesendete Faxnachrichten entgegennehmen, d. h. der Verantwortliche muss sicherstellen, dass verwendete und empfangene Faxnachrichten nicht in die Hände von unbefugten Dritten gelangen (bspw. durch falsche Adressierung und/oder Zugang unbefugter Personen zum Faxgerät). Zudem sind Faxe auf dem Transportweg überhaupt nicht verschlüsselt. Mit Glück kann eine Voice-over-IP Verbindung mit Transportverschlüsselung vermutet werden, welche die analoge Telefonleitung ersetzt. Sonst ist die Übermittlung nur rechtlich durch das Telekommunikationsgesetz geschützt, aber nicht durch technische Maßnahmen. Daher ist das Fax als elektronisches Kommunikationsmittel technisch aus der Zeit gefallen. Aufgrund des rechtlichen Schutzes durch das Fernmeldegeheimnis nach Artikel 10 Grundgesetz gilt – analog zum Briefgeheimnis – aber dennoch: bei Papierfaxen ist das unberechtigte Kopieren, Zur-Kenntnis-Nehmen oder Entwenden aufgrund mangelnder Zugriffsbeschränkungen vor Ort die primäre Gefahrenquelle.

Ein Fax-Server ersetzt ein „althergebrachtes“ Faxgerät durch eine Software, welche ein echtes Faxgerät simuliert. Damit können über ein analoges Faxgerät gesendete Dokumente z.B. als pdf-Datei auf einem PC empfangen werden.

Umgekehrt kann von dem betreffenden PC ein pdf-Dokument über die Faxnummer an ein analoges Faxgerät gesendet werden. Der Faxserver kann zentralisiert werden, d. h. es können mehrere PCs die Faxsoftware gemeinsam nutzten und unabhängig voneinander gleichzeitig mehrere Faxe an verschiedene analoge Faxgeräte versenden und auch Dokumente von analogen Faxgeräten empfangen. Mit einem analogen Faxgerät kann jeweils immer nur ein Dokument zu einem bestimmten Zeitpunkt versendet werden.

Im Unterschied zum analogen Fax liegen die Daten auf dem Server digital vor und sind damit ganz anderen Angriffsvektoren ausgesetzt. Der Zugriff auf den Fax-Server ist prinzipiell von überall über Netzwerke möglich. Auch die Löschung von Faxen auf dem Server muss anders erfolgen als bei Papierfaxen. Die Sicherheitsmaßnahmen müssen diesen Umständen entsprechend angepasst werden, um die sehr viel umfangreicheren Angriffsmethoden wirksam zu verhindern (z. B. Nutzerauthentifizierung, verschiedene Nutzerrollen, Festplattenverschlüsselung, sicheres Löschen, Netzwerksegmentierung, Virenscanner, Firewalls usw.).

Fazit: Grundsätzlich sollte von der Nutzung eines Faxes abgesehen werden. Ungeachtet hiervon kann selbstverständlich in begründeten dringlichen (z.B. medizinischen Fällen) unter Zugrundelegung der datenschutzrechtlichen Risikoabschätzung die Datenübermittlung per Telefax genutzt werden. Der Schutz der Gesundheit und die Sicherung von Leib und Leben der Betroffenen überwiegen hier gegenüber dem Risiko einer potentiellen Verletzung von Rechten und Freiheiten der Betroffenen durch unbefugte Kenntnisnahme der Daten bei der unverschlüsselten Faxübermittlung. Da die Wahrscheinlichkeit, dass bei unverschlüsselter Datenübermittlung per Telefax per Voice-over-IP personenbezogene Informationen durch unbefugte Dritte mitgelesen werden, sehr klein ist, ist die Datenübermittlung per Telefax zum Schutz von Leib und Leben der Betroffenen in dringenden Einzelfällen auch aus Sicht des Datenschutzes legitim.

Das Gesagte gilt natürlich auch für Faxe von/für Unternehmen.