Das Telefax ist in Deutschland ein viel benutztes Werkzeug, sei es bei Gerichten, Rechtsanwälten bis hin zu Gesundheitsämtern. Diese in Jahre 1843 von Alexander Bain als Kopiertelegraph erfundene Technologie wird bis heute eingesetzt und Anbieter bringen immer neue Faxgeräte heraus. Bisher galt das Fax als sichere und datenschutzkonforme Methode Schriftsätze zu Gericht fristgerecht abzugeben oder auch kritische Daten zu versenden ohne die Zustellungszeit eines Briefes über den Postweg in Kauf nehmen zu müssen; inklusive 3 Tagesfiktion.
Meinungen der Aufsichtsbehörden
In Folgendem betrachten wir die Meinungen der Aufsichtsbehörden:
Landesdatenschutz Bremen
Das Fax ist nicht datenschutzkonform!
Dies begründet der LDSB Bremen mit den technischen Änderungen in den Telefonnetzen und damit dem Wegfall von Ende-zu-Ende-Verbindungen. Dazu kommt, dass meist Systeme genutzt werden, um Faxe direkt zu digitalisieren oder umzuleiten und so kein Faxgerät mehr auf der anderen Seite als Empfänger steht. Das Fax sei dementsprechend wie eine ungesicherte Email oder Postkarte zu bewerten und da es eine Maßnahmen zur Sicherung bei Faxgeräten gäbe, ist das Fax nicht mehr datenschutzkonform.
Text:
“Galt ein Telefax noch vor einigen Jahren als relativ sichere Methode um auch sensible personenbezogene Daten zu übertragen, so hat sich diese Situation grundlegend geändert: Sowohl bei den Endgeräten als auch den Transportwegen gab es weitreichende Änderungen. Bisher wurden beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt. Technische Änderungen in den Telefonnetzen sorgen jetzt dafür, dass keine exklusiven Leitungen mehr genutzt werden, sondern die Daten paketweise in Netzen transportiert werden, die auf Internet-Technologie beruhen.
Zudem kann nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät existiert. Meist werden Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten.
Aufgrund dieser Umstände hat ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail (welche oftmals mit der offen einsehbaren Postkarte verglichen wird). Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet.
Für die Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der Datenschutzgrundverordnung ist die Nutzung von Fax-Diensten unzulässig.
Für den Versand personenbezogener Daten müssen daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post genutzt werden.“
Die Landesbeauftragte für Datenschutz – Telefax ist nicht Datenschutz konform (bremen.de)
Landesdatenschutz Baden-Württemberg
Der LDSB BW erlaubt die Nutzung des Faxes (2019) auch für die Versendung von Artikel 9 Daten, wie Gesundheitsdaten nur dann, wenn sichergestellt ist, dass nur der Empfänger oder ein ausdrücklich ermächtigter Dritte Kenntnis erlangt.
Wie sich Stefan Brink 2021 zum Thema Fax äußert, ist aktuell nicht aufzufinden.
“5. Dürfen Gesundheitsdaten von Patienten per Fax oder per E-Mail verschickt werden?
Gesundheitsdaten von Patienten sollten am besten per Briefpost oder mit verschlüsselter E-Mail verschickt werden.
Bei der Versendung von Patientendaten per Fax ist besondere Vorsicht geboten. Faxfehlversand durch Wählfehler und Irrläufer sind im Zweifel meldepflichtige Datenpannen. Soweit die Versendung mittels Fax aus organisatorischen Gründen geboten ist und im Einzelfall Patientendaten gefaxt werden sollen, muss beim Versenden sichergestellt sein, dass nur der Empfänger selbst oder ein ausdrücklich dazu ermächtigter Dritter Kenntnis vom Inhalt des Schreibens erhält. Dies gilt insbesondere dann, wenn ärztliche Mitteilungen an den Patienten selbst gefaxt werden.
Diese Sicherung kann zum Beispiel durch Abstimmung der Übersendung mit dem Empfänger sowie regelmäßige Überprüfung der gespeicherten Rufnummern erreicht werden. Anfragen von Dritten sowie Auskünfte an Krankenkassen, die nicht auf den vereinbarten Vordrucken erteilt werden, dürfen nur mit schriftlicher Einwilligung des Patienten per Fax übersandt werden. Es ist dabei sicherzustellen, dass beim Empfänger der Daten nur der Auskunftsberechtigte Kenntnis von den Daten nehmen kann. Bei Absendung ist deshalb ggf. eine entsprechende telefonische Rückversicherung beim Empfänger notwendig. Sende- und Empfangsprotokolle sind zwecks Dokumentation gesichert aufzubewahren (Fernmeldegeheimnis).
Jeder Sendung sollte ein Vorblatt vorangestellt werden, welches den Absender, dessen Telefax- und Telefonnummer sowie die Anzahl der insgesamt gesendeten Seiten ausweist, sowie die deutliche Bitte, das ggf. fehlgeleitete Fax beim Absender umgehend anzuzeigen und zu vernichten, sofern man nicht der berechtigte Empfänger ist.
Welche Wege eine E-Mail im Internet nimmt und wer diese Kommunikation dabei zu Kenntnis nehmen kann, ist weder vom Absender noch vom Empfänger beeinflussbar. Vertrauliche Informationen wie Arztbriefe, Befunde etc. dürfen deshalb über das Internet per E-Mail nur versandt werden, wenn Maßnahmen zum Schutz vor unbefugter Kenntnisnahme ergriffen werden. Eine geeignete technische Maßnahme ist hier die Verschlüsselung. Diese ist bei Kommunikation mit externen Dritten notwendig und sollte auch bei Kontaktformularen im Internet bedacht werden. Gesundheitsdaten dürfen nicht beim Provider im Klartext vorliegen.
Idealerweise wird dies mittels eines über die bloße Transportverschlüsselung hinausgehenden Schutzes, also einer Ende-zu-Ende-Verschlüsselung zwischen Absender und Empfänger über die Standards GPG oder S/MIME realisiert.
Beispiel: Sofern die Möglichkeit der Erreichbarkeit des Empfängers durch sog. E-POST mit der Deutschen Post als Dienstleister besteht, müsste der Absender ebenfalls bei diesem Dienst angemeldet sein. Wobei bei vertraulichen Inhalten nur der voll-elektronische Versandweg genutzt werden darf (nicht der sog. Hybridbrief). Beim Versand von Daten mit besonders hohem Schutzbedarf (bspw. Gesundheitsdaten) sind diese als eigens verschlüsselter Anhang zum E-Postbrief zu versenden. Eine separate Verschlüsselung des Mailinhalts kann bspw. mit Hilfe eines geeigneten Packprogramms erfolgen. Das dazugehörige Passwort ist dann auf einem anderen sicheren Kommunikationsweg zu übermitteln”
FAQ-Datenschutz-in-der-Arztpraxis-Stand-18.07.2018.pdf
Beitrag
Fax schlägt E-Mail | Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg -> Daniel Mack on Twitter: “🇩🇪, 2019. 🤦♂️ https://t.co/daHxazHsrd” / Twitter
Landesdatenschutz Bayern
Der LDSB Bayern sieht die Nutzung des Faxes als Übertragungsmethode ebenfalls für besonders schützenswürdige Inhalte nicht als datenschutzkonform an. Dazu solle man das Fax dem Telefonat gleichsetzen und von der Möglichkeit des Abhörens ausgehen.
Text:
“Im Gegensatz zur Briefpost handelt es sich beim Telefax um eine Art offener Zustellung. Deshalb müssen bei einem Versand von personenbezogenen Daten per Fax Maßnahmen getroffen werden, die verhindern, dass bei der Übertragung diese Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können. So kommt es beispielsweise immer wieder zu Fehlübertragungen. Als häufigste Ursache dafür ist meist menschliches Versagen verantwortlich, etwa nicht erkannte Tippfehler bei der Eingabe der Zielnummer.
Vorsicht ist insbesondere überall dort geboten, wo ein Fax-Gerät mit einer eigenen Amtsnummer an einer Nebenstellenanlage hängt. Hier muss, um ins Netz zu gelangen, eine “0” vorgewählt werden. Wird das unterlassen, kommt es in manchen Fällen zu Fehlleitungen, nämlich dann, wenn die verkürzte Nummer einen Fax-Anschluss darstellt.
Mit der Zunahme der Telefax-Teilnehmer hat sich auch die Fluktuation erhöht. Das hat wiederum eine Zunahme der Irrläufer zur Folge. Wenn ein Fax-Teilnehmer, etwa wegen Umzugs, seinen Fax-Anschluss kündigt, vergibt die Telekom diese Fax-Nummer bereits wieder nach wenigen Wochen an einen anderen, neu hinzugekommenen Teilnehmer.
Um dem Risiko eines Fehlversands zu begegnen, sollte sich der Absender deshalb, dort wo Zweifel angebracht sind, vor dem Versand durch einen Anruf vergewissern, ob er mit der ihm bekannten Fax-Nummer auch den richtigen Adressaten erreicht.
Sicherheitsmaßnahmen
Alle verantwortlichen Stellen sind aufgerufen, in ihrem unmittelbaren Bereich darauf hinzuwirken,
- dass vor Versand von schutzwürdigen Daten mit dem Telefax-Dienst geprüft wird, ob diese Versandart wirklich erforderlich und nicht eine andere Versandart angemessener ist,
- dass ein Absender vor dem Absenden eines Dokuments überprüft, ob das Dokument den Empfänger direkt erreichen muss oder über Dritte, etwa eine zentrale Poststelle, zugestellt werden kann und
- dass bei Benutzung eines Telefax-Gerätes die den zu übertragenden Informationen angemessene Sorgfalt bei der Eingabe der jeweiligen Zielnummer aufgebracht wird. Vor dem Absenden eines Telefaxes hat der Absender zu prüfen, ob er die richtige Zielnummer gewählt hat. Die Zielnummer erscheint vor dem Absenden im Display des eigenen Gerätes.
Soweit technische Hilfsmittel dafür vorhanden sind, ist von ihnen Gebrauch zu machen. Dazu einige Beispiele:
- Um Fehler bei der Zielnummerneingabe zu vermeiden, können die Zielnummern eingespeichert werden.
- Ist der Fax-Anschluss an eine Nebenstellenanlage angeschlossen, kann eine Nebenstellennummer verwendet werden, die möglichst wenig Spielraum für Fehleingaben durch den Absender zulässt (Vermeidung ähnlicher Fax-Nummern bei anderen Stellen, soweit das bekannt ist).
- Zum Schutze gegen unbefugte Kenntnisnahme auf dem Übertragungsweg oder im Falle einer Fehlleitung kann das Fax durch den Einsatz von Zusatzkomponenten am Fax-Gerät verschlüsselt werden. Eine Entschlüsselung ist dann nur dem rechtmäßigen Empfänger möglich. Dies setzt aber voraus, dass der Empfänger über entsprechende Vorrichtungen verfügt, die es ihm gestatten, den Text wieder zu entschlüsseln. Hierzu sind entsprechende, nicht ganz billige Zusatzeinrichtungen bei Absender und Empfänger erforderlich. Diese Investitionen lohnen sich damit nur bei einem regelmäßigen Fax-Austausch zwischen zwei bestimmten Stellen.
Da derartige Vorrichtungen bei einem Fax-Versand mittels PC aufgrund des verwendeten Protokolls derzeit nicht zur Verfügung stehen, muss – außer wenn dadurch in einem Notfall eine nicht zumutbare Zeitverzögerung entstehen würde – ein Versand sensibler personenbezogener Daten online per Fax unterbleiben.
Als weitere Möglichkeit zur Gewährleistung der Sicherheit bei der Datenübertragung könnten identifizierende personenbezogene Merkmale durch ein Pseudonym ersetzt und die Zusammenführung von Pseudonymen und personenbezogene Daten auf einem getrennten Weg (z. B. mittels Telefon) durchgeführt werden. Dies stellt allerdings einen erheblichen organisatorischen Aufwand dar.
Für eine ordnungsgemäße Abwicklung des Telefax-Dienstes empfiehlt es sich, zusätzlich folgende technische und organisatorische Maßnahmen einzuhalten:
- Das Deckblatt eines Telefaxes muss den Absender, die genaue Anschrift des Empfängers sowie die Anzahl der zu übertragenden Seiten enthalten.
- Die Übertragungsprotokolle sind für interne Beweissicherungszwecke über einen bestimmten Zeitraum (zumindest 1 Jahr) aufzubewahren. Wegen mangelhafter Manipulationssicherheit haben sie vor Gericht allerdings keine Beweiskraft (siehe Urteil des OLG München vom 16.12.1992).
- Die Telefax-Geräte sind so aufzustellen, dass nur Befugte ankommende Dokumente an sich nehmen und vom Inhalt auslaufender Dokumente Kenntnis erhalten können. Gegebenenfalls sind Geräte zu verwenden, die durch mechanische Vorrichtungen (z.B. Hauben o.ä.) verhindern, dass Unbefugte Zugriff auf angekommene Telefaxe erhalten.
- Bei Rückgabe geliehener oder geleaster Geräte ist zu kontrollieren, ob alle Speicher (Faxe, Sendeprotokolle, Kurzwahlnummern) gelöscht wurden, damit keine behördenspezifischen Informationen an den nächsten Benutzer weitergegeben werden.
Fernmeldegeheimnis
Im Bereich der Telekom unterliegt das Telefax dem Fernmeldegeheimnis. Der Inhalt des Telefaxes wird bei der Telekom auf dem Übertragungswege im Regelfall nicht zwischengespeichert. Das Fernmeldegeheimnis endet, sobald ein Dokument dem Adressaten zugestellt wurde.
Fazit
Es gibt Behörden, die auf den Einsatz des Telefax-Dienstes ganz verzichten, wenn nicht in jedem Fall sichergestellt ist, dass ein Dokument den Adressaten direkt erreicht oder wenn Gefahr besteht, dass der Inhalt des übermittelten Dokuments unzuständigen Personen zugänglich wird. Viele sind der Meinung: Was am Telefon nicht gesagt werden darf, sollte wegen der Abhörmöglichkeiten auf dem Transportweg auch nicht gefaxt werden. Diese Auffassung kann nur ausdrücklich unterstützt werden.
Insbesondere bei der Übertragung von Telefaxen mit besonders schutzwürdigem Inhalt (sensible personenbezogenen Daten wie Sozial-, Steuer-, Personal- oder medizinische Daten) kann eine Fehlzustellung gravierende Folgen für den Absender, Empfänger und Betroffene haben. Deshalb sollte zumindest in diesen Fällen eine unverschlüsselte Datenübertragung untererbleiben.”
BayLfD: Datensicherheit beim Telefax-Dienst (datenschutz-bayern.de)