Bereits im vergangenen Jahr war das OVG Lüneburg in seinem Beschluss vom 22.07.2020 der Ansicht, dass die Übermittlung personenbezogener Daten per Fax nicht Datenschutz-konform sei. Die Landesbeauftragte für Datenschutz Bremen, Frau Dr. Imke Sommer, vertritt dieselbe Ansicht und hat diese nun im Rahmen einer Orientierungs- und Handlungshilfe zum Ausdruck gebracht.
Unwägbarkeiten auf Empfangsseite
Kern des Problems sei die Empfangsseite, da für die Absenderinnen und Absender nicht ersichtlich sei, welche Technik von der Gegenseite eingesetzt wird. Auch würden reale Faxgeräte mittlerweile kaum noch verwendet. Meist handele es sich um Fotokopierer mit Fax-Funktion oder Fax-Server. Diese wandeln die eingehenden Faxe in eine E-Mail um und leiten sie an E-Mail-Postfächer weiter. Das „Faxgerät“ könne aber auch ein Fax-Dienst, wie zum Beispiel ein Cloud-Fax-Service, sein: Ein virtueller Fax-Server, der Eingangsfaxe ebenfalls in E-Mails umsetzt und weiterleitet. Ob und gegebenenfalls wie die E-Mails dabei verschlüsselt sind, könne die sendende Stelle deshalb nicht feststellen. Eine Verschlüsselung könne von Absenderinnen oder Absendern darüber hinaus auch nicht technisch „erzwungen“ werden. Schließlich könne die Absenderseite ebenfalls nicht feststellen, ob es sich bei den dabei genutzten Cloud-Diensten um DSGVO-konform betriebene „europäische Clouds“ handelt.
Vor diesem Hintergrund schätzt die Landesbeauftragte das Sicherheitsniveau eines Faxes ähnlich einer unverschlüsselten E-Mail ein, die zu Recht als digitales Pendant zur offen einsehbaren Postkarte angesehen werde. Da Fax-Dienste in der Regel keinerlei Sicherungsmaßnahmen enthielten, um die Vertraulichkeit der Daten zu gewährleisten, seien sie nach Ansicht der Behörde in der Regel nicht für die Übertragung personenbezogener Daten geeignet. Die Übertragung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Absatz 1 DSGVO mittels Fax-Diensten sei demnach unzulässig.
Folgen für die Praxis
Da nach Ansicht der Behörde die Übermittlung personenbezogener Daten per Fax nicht Datenschutz-konform ist, sollte hierfür zwingend auf Fax-Dienste verzichtet werden. Unternehmen sollten vielmehr auf sichere und damit geeignete Verfahren zurückgreifen, wie Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post.
Stand: 26.05.2021
Weiterer interessanter Artikel: BAG zum Recht auf Datenkopie gekündigter Arbeitnehmer