Datenschutzrechtliche Risiken beim Fax

Die Behörde ginge davon aus, dass bis Ende 2022 alle Faxgeräte durch sicherere Technologien abgelöst seien. Bis dahin wäre die Nutzung eines Faxgerätes zur Übermittlung personenbezogener Daten nicht mehr zulässig.

Der Bedenken sind nicht ganz unberechtigt. Das Problem ist dabei nicht der herkömmliche – immer noch recht sichere – Übermittlungsweg zwischen zwei realen Faxgeräten. Die Wirklichkeit sieht dagegen so aus, dass die meisten Faxgeräte Faxsystemen gewichen sind, die eingehende Faxe automatisch in unverschlüsselte E-Mails umwandeln und weiterleiten. Die Ende-zu-Ende-Verschlüsselung über die Telefonleitung ist damit nicht mehr gegeben.

Zwar gibt es nach wie vor Möglichkeiten, auch ein modernes Fax datenschutzkonform zu gestalten, diese erfordern aber ein vertieftes technisches Verständnis und die Mitwirkung, sowohl auf Absender-, als auch Empfängerseite (Stichwort SLI-TLS). Die Etablierung solcher Sicherheitsmechanismen sollte IT-Spezialisten überlassen werden und ist ohnehin nur für die Anwendungsszenarien zu empfehlen, bei denen die Personen auf Absender- und Empfängerseite immer dieselben sind.

Fazit:  Aus der Kurzmitteilung der Bremer Datenschutzbehörde ergibt sich nicht zweifelsfrei, ob sie die Übermittlung personenbezogener Daten mittels Fax grundsätzlich für unzulässig erachtet oder eine Differenzierung zwischen personenbezogenen und besonderen personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO unternimmt und lediglich bei der Übermittlung besonderer personenbezogener Daten die Unzulässigkeit annimmt. Im Hinblick auf besondere personenbezogene Daten wäre ihr jedenfalls zuzustimmen. Im Übrigen dürfte es aber bei der Übermittlung (einfacher) personenbezogener Daten auf den Einzelfall ankommen.