Datentransfer per Fax

Beschluss des niedersächsischen OVG – 11 LA 104/19

Mit dem Beschluss vom 22. Juli hat das niedersächsische OVG die Bedeutung des Datenschutzes bei der Übermittlung von personenbezogenen Daten per Telefax hervorgehoben. In der Feststellungsklage ersuchte der Kläger zu wissen, ob die Übermittlung eines Bescheides, der personenbezogene Daten enthält, durch die Behörde per Fax rechtswidrig war.

Im vorliegenden Fall entschied das Gericht wie folgt:

„Bei der Übermittlung von personenbezogenen Daten per Fax muss die Behörde zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen. Welches Schutzniveau dabei einzuhalten ist, richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand.“

„Angesichts der besonderen Schutzbedürftigkeit des Klägers und seiner personenbezogenen Daten ist bei der hier vorliegenden Verarbeitung mit Hilfe einer Datenverarbeitungsanlage ein erhöhtes Schutzniveau einzuhalten. Eine unverschlüsselte Übermittlung von personenbezogenen Daten des Klägers per Fax unterschreitet das einzuhaltende Schutzniveau. Das Verwaltungsgericht weist zu Recht darauf hin, dass bei einer Übermittlung per Fax kein Hindernis für die Wahrnehmung der Daten durch Unbefugte besteht.“[1]

 

Datensicherheit beim Telefaxverkehr

Die meisten Telefaxgeräte bedienen sich beim Versenden von Informationen des Telefonnetzes. Diese Art der Übertragung ist mit dem Verschicken einer Postkarte zu vergleichen, wonach es jedem möglich ist, Einsicht in die Informationen zu erhalten. Aus diesem Grund ist es besonders wichtig, beim Versenden von personenbezogenen Daten die entsprechenden technischen und organisatorischen Mittel einzusetzen, um einen sicheren Datentransfer zu gewährleisten.

Manchmal ist es auch menschliches Versagen, wie Tippfehler oder Zahlendreher, wodurch personenbezogene Daten in falsche Hände geraten.

 

Risiken des Telefaxverkehrs

Die Risiken des Telefaxverkehrs ergeben sich aus fehlenden Datensicherheitsmaßnahmen. Die Grundlage des Telefaxverkehrs auf Basis des Telefonnetzes und der eingeschränkten Endgeräte offenbart die große Schwäche dieser Informationsübermittlung. Wie bei einem Telefongespräch werden die Informationen grundsätzlich unverschlüsselt übermittelt und bedienen sich keiner weiteren Sicherheitsmaßnahmen, die es Dritten verhindert die Informationen einzusehen, zu verändern oder zu löschen. Ein weiteres Merkmal des Telefaxverkehrs ist die Adressierung und dessen Anfälligkeit für Fehlsendungen durch Tippfehler. Die Adressierung durch eine Zahlenfolge bzw. der Telefaxnummer eröffnet im Gegensatz zu mehrgliedrigen Anschriften oder E-Mail-Adressen ein vermehrtes Fehlerrisiko durch menschliches Versagen.

Ein weiteres Risiko sind die Telefaxendgeräte. Diese verfügen in der Regel über keine Passwort- und Authentifizierungsmaßnahmen für eingehende Faxe und ermöglichen somit die offene Einsicht in personenbezogene Daten. Es besteht demnach die Möglichkeit, dass nicht autorisierte Personen die eingegangenen Faxdokumente ohne Kontrolle ausdrücken können. Des Weiteren kann nicht sichergestellt werden, ob die Gegenstelle ebenfalls ein Faxgerät verwendet. Ist dies nicht der Fall, werden die Dokumente meistens an ein bestimmtes E-Mail-Postfach oder einen E-Mail-Verteiler weitergeleitet.

Einige neuere Telefaxgeräte besitzen darüber hinaus eine Fernwartungsfunktion, die unter bestimmten Umständen ein Sicherheitsrisiko darstellen kann. Durch die Fernwartungsfunktion kann ohne Kenntnis des Besitzers auf die gespeicherten Daten zugegriffen werden. Ein weiteres Problem können Rufumleitungen sein, wodurch Telefaxgeräte zeitweise auf andere Anschlüsse geschaltet sind und somit ein Risiko für die versendeten personenbezogenen Daten darstellen.

 

Grundsätze und Maßnahmen zum datenschutzgerechten Umgang mit Telefaxen

Der Telefaxverkehr ist dem Telefonverkehr durch die Verwendung des gleichen Netzes sehr ähnlich, wodurch dessen Verwendung datenschutzrechtlich gleich betrachtet werden kann. Der Verantwortliche hat demnach zu überprüfen, ob der Versand von schutzwürdigen Daten mit dem Telefax als Versandart erforderlich und angemessen ist. Eine Übermittlung insbesondere von sensiblen personenbezogenen Daten sollte nur im Ausnahmefall und unter ausführlichen Sicherheitsvorkehrungen durchgeführt werden. Es ist zu prüfen, ob das Dokument den Empfänger direkt erreichen muss oder auch über Dritte zugestellt werden kann. Schließlich ist auch darauf hinzuwirken, dass bei der Eingabe der Zielnummern und der Verwendung des Telefaxgerätes die angemessene Sorgfalt aufgebracht wird.[2]

Im Rahmen der technischen und organisatorischen Maßnahmen ist darauf zu achten, dass die Telefaxgeräte so aufgestellt werden, dass keine Unbefugten Kenntnis vom Inhalt der Informationen erhalten können. Des Weiteren sollten die Telefaxgeräte nur durch das zuständige Personal bedient werden. Im Falle von sensiblen Daten sollte ein genauer Sendezeitpunkt und das Empfangsgerät mit dem Empfänger abgestimmt werden, um die Einsichtnahme Dritter zu verhindern. Diese Absprachen schützen vor allem vor Fehlleitungen, veralteten Anschlussnummern oder Rufumleitungen.

Zur Wahrung des Fernmeldegeheimnisses sind auch die Dokumentationspflichten einzuhalten, wodurch aussagekräftige Vorblätter und Sende-/Empfangsprotokolle aufbewahrt und vertraulich abgelegt werden sollten.

Viele neue Faxgeräte bieten bereits Sicherheitsmaßnahmen zum Schutz der Übermittlung von personenbezogenen Daten an und sollten auch verwendet werden. Diese beinhalten zum Beispiel die Anzeige der störungsfreien Übertragung, eine gesicherte Zwischenspeicherung, Abruf nach Passwort und Sperrung der Fernwartungsmöglichkeit. Ebenso sollte darauf geachtet werden, dass nach endgültiger Benutzung des Gerätes alle gespeicherten Daten gelöscht werden. Durch eine Zwischenspeicherung von regelmäßig verwendeten Fax- bzw. Zielnummern können Fehlübermittlungen ebenfalls reduziert werden. Ebenso ist es möglich, bestimmte Zusatzkomponenten am Faxgerät einzusetzen, um die versendeten Informationen zu verschlüsseln. Eine Entschlüsselung ist dann nur beim rechtmäßigen Empfänger möglich. Dies setzt jedoch voraus, dass der Empfänger über die entsprechenden Komponenten verfügt. Es ist also notwendig, dass sowohl Sender als auch Empfänger die Komponenten zur Verschlüsselung der Dokumente besitzen. Schließlich sollte ein Deckblatt des Faxes Informationen über den Absender, die genaue Adresse des Empfängers sowie die übertragenen Seiten enthalten.

Zusammengefasst ist bei der datenschutzgerechten Verwendung des Telefaxes also Folgendes zu beachten:

  • Erforderlichkeit und Angemessenheit des Versendens per Fax prüfen
  • Äußere organisatorische Maßnahmen zur Anwendung des Faxgerätes beachten
  • Interne technische Sicherheitsmaßnahmen des Faxgerätes verwenden
  • Falls notwendig, Verschlüsselungsmechanismen einsetzen

 

[1] https://openjur.de/u/2263419.html.

[2] https://www.datenschutz-bayern.de/technik/orient/telefax.htm.

Ihr Ansprechpartner:

Erdem Durmus

Externer Datenschutzbeauftragter

CIPP/E
ISO 27001
Basiszertifikat Projektmanagement von der GPM
Fachkundenachweise zum Datenschutzbeauftragten