Telefax und Datenschutz galten als relativ kompatibel. Auch wir haben in der Vergangenheit empfohlen, im Zweifel das „gute alte“ Telefax einer nicht verschlüsselten Email vorzuziehen, wenn es um die schnelle und sichere Übermittlung personenbezogener Daten geht. Unter Beachtung einiger einfacher Sicherheitsmerkmale, wie die Prüfung der Empfängernummer und ggf. das vorherige Kontaktieren des Empfängers um diesen auf den bevorstehenden Erhalt einer Nachricht mit personenbezogenen Inhalten hinzuweisen, hatte genügt.
Telefax gilt nicht länger als sicherer Übertragungsweg für personenbezogene Daten!
Das ändert sich nun mit einer neuen „Handlungshilfe“ der Bremer Aufsichtsbehörde, die praktisch eher einem Handlungsverbot gleichkommt. Die Behörde sieht aufgrund der geänderten technischen Rahmenbedingungen das Telefax generell als für die Übertragung personenbezogener Daten „nicht geeignet“ an. Bezüglich der Übermittlung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO), sieht sie sogar ein Übermittlungsverbot per Fax.
Was hat die Behörde zu diesem Paradigmenwechsel motiviert?
Wie bereits erwähnt, sieht die Behörde einen Wandel in den technischen Rahmenbedingungen des Faxversandes:
- Früher wurden hierfür separate, exklusive Telefonleitungen genutzt, heute werden Faxinhalte digitalisiert und in Datenpaketen in Netzen versendet, die auf Internettechnologien beruhen;
- Empfängerseitig befindet sich vielfach kein analoges Faxgerät, sondern ein Wandler, der die Faxinhalte in Email-Inhalte umwandelt und an ein vom Empfänger benanntes Email-Postfach versendet.
Damit hätte ein Telefax heutzutage das Sicherheitsniveau einer nicht verschlüsselten Email, die bekanntlich gerne einer offenen Postkarte gleichgesetzt wird.
Bedeutung für Unternehmen
Der betriebliche Datenschutzbeauftragte sollte prüfen, ob und in welchem Zusammenhang im Unternehmen Telefax genutzt wird. Werden damit personenbezogene Daten übermittelt, ist das zumindest bedenklich, bei besonderen Datenkategorien sogar verboten. Einen wirklichen Handlungshinweis hatte die Behörde dann auch noch: wenn eine Emailverschlüsselung nicht zur Verfügung steht, die entsprechenden Inhalte notfalls per Briefpost versenden…
Die Handlungshilfe der Bremer Aufsichtsbehörde finden Sie hier (externer Link): https://www.datenschutz.bremen.de/sixcms/detail.php?gsid=bremen236.c.16111.de