Fax mit personenbezogenen Daten verstößt gegen DSGVO

Dass die Übersendung eines Faxes nicht mehr zeitgemäß ist, dürfte viele nicht überraschen. Auch, dass die Nutzung eines Faxes nicht unbedingt den aktuellen Datenschutzbestimmungen entspricht, dürfte nicht für große Verwunderung sorgen. Bereits in der Vergangenheit wurde schon oftmals das Datenschutzniveau kritisiert. Das Fax mag zwar belächelt werden, dennoch findet es noch immer Anwender, die scheinbar nicht darauf verzichten können. Sei es bei sämtlichen Behörden, im Gesundheitswesen oder auch der Justiz.

Besonders Gesundheitsdaten sind gefährdet

Im Rahmen der Coronapandemie machte das Fax vor nicht allzu langer Zeit Schlagzeilen bei der Meldung der Infizierten durch die Gesundheitsbehörden. Und schon da kritisierte der Bremer Datenschutzbeauftragte, dass die Übertragung dieser sensiblen personenbezogenen Daten nicht mit der Datenschutzgrundverordnung (DSGVO) vereinbar ist. Besonders bei der Übertragung von Gesundheitsdaten entspricht die Nutzung nicht dem aktuellen datenschutzrechtlichen Stand.

Das eigentliche Problem liegt dabei nicht am Fax selbst und dass dieses offen sichtbar beim Empfänger ankommt. Technische Änderungen in den Telefonnetzen und der damit einhergehenden Möglichkeit eines Zugriffs Dritter auf die Daten stellt die wirkliche Schwierigkeit der Fax-Nutzung dar.

Ein Verbot für alle Arten von Daten

Diese Ansicht bestätigt nun auch der Hessische Datenschutzbeauftragte und geht sogar noch weiter: Ein Verbot nach der DSGVO sieht er nicht nur bei besonderen personenbezogenen Daten nach Art. 9 DSGVO, wie beispielsweise den Gesundheitsdaten, sondern er spricht im Allgemeinen von „personenbezogenen Daten, die einen besonderen Schutzbedarf aufweisen“, so berichtet es die Kanzlei Dr. Bahr auf ihrem Blog. Das Verbot könne somit für alle Arten von Daten gelten.

Hauptrisiko ist und bleibt der Zugang Dritter

In der Stellungnahme des Hessischen Datenschutzbeauftragten heißt es: „Grundsätzlich weist der Faxversand vergleichbare Risiken auf, wie diese etwa auch beim unverschlüsselten Versand von E-Mail-Nachrichten gegeben sind.“ Auch er sieht als die Hauptrisiken den möglichen unbefugten Zugang Dritter und dass der Absender des Faxes oftmals keine Kenntnis darüber hat, wo das Empfangsgerät steht und wer Zugriff auf dieses hat. Ebenso ist die unverschlüsselte und damit ungeschützte Übertragung problematisch. 

Der Hessische Datenschutzbeauftragte rät daher dazu: „Personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, sollten grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert sind.“