Telefax ist nicht datenschutzkonform

Telefax ist nicht datenschutzkonform

Viele Unternehmen und Einrichtungen nutzen immer noch Telefax zur Übermittlung von Informationen. Hierbei sind fast immer auch personenbezogene Daten im Spiel: Rechnungen, Lieferscheine, Gehaltsabrechnungen, Vertragsunterlagen, (medizinische) Befunde, Patientenakten, …

Doch garantiert das Telefax überhaupt die datenschutzrechtlich geforderten Sicherheiten?

Ist dies nicht der Fall, können für Verantwortliche hohe Bußgelder und Schadensersatzklagen drohen.

Technische Entwicklung

Lange Zeit galt das Telefax als sehr sichere Übermittlungsmethode. Es wurde eine exklusive Telefonleitung benutzt, die eine hohe Sicherheit garantierte. Doch heute ist das nicht mehr so: Statt über eine exklusive Leitung mit Ende-zu-Ende-Verschlüsselung wird ein Telefax heute in einzelnen Paketen über das Internet verschickt. Zudem kann nicht mehr davon ausgegangen werden, dass der Empfänger auch ein reales Faxgerät nutzt, das die entsprechende Sicherheit gewährleisten würde. Stattdessen ist es heutzutage üblich, ein eingehendes Fax automatisch in eine E-Mail umwandeln zu lassen, die dann an das entsprechende E-Mail-Postfach weitergeleitet wird.

Alternativen

Es muss also eine Alternative zum Telefax her. Hier bieten sich verschlüsselte Emails, Cloudlösungen oder die klassische Briefpost. Doch bei ersteren gilt es auch wieder einiges zu beachten.

Verschlüsselte E-Mail

E-Mails müssen unbedingt verschlüsselt werden. Ansonsten sind sie genauso einsehbar wie Postkarten. Das BDSG empfiehlt zwar eine Verschlüsselung (und die DSGVO bringt dahingehend keine großen Neuerungen), doch existieren hier bekanntlich zwei Möglichkeiten: Die Inhalts- und die Transportverschlüsselung.

Inhalts- und Transportverschlüsselung

Die Inhaltsverschlüsselung (auch als Ende-zu-Ende-Verschlüsselung bekannt) verschlüsselt wie der Name schon sagt den Inhalt der E-Mail. Allein die Metadaten sind weiterhin lesbar.

Bei der Transportverschlüsselung hingegen ist nur der Transport verschlüsselt, während die E-Mail beim Sender als auch beim Empfänger unverschlüsselt vorliegt. Eine Transportverschlüsselung ist in jedem Fall notwendig, um Daten zu schützen, ersetzt aber in keinem Fall eine Inhaltsverschlüsselung.

Richtige Umsetzung

Wichtig ist, dass eine Verschlüsselung auch immer korrekt durchgeführt wird. Schließlich bezieht sich die Rechenschaftspflicht aus Art. 5 II DSGVO auch auf die Verschlüsselung. Passiert eine sogenannte „Datenpanne“ müssen alle Betroffenen schnellstmöglich informiert werden. Dies schadet dem Ruf des Verantwortlichen erheblich.

Zur effektiven Verschlüsselung gibt es verschiedene Möglichkeiten. Es empfiehlt sich auf Standardlösungen wie PGP, RMS oder TLS-Verschlüsselung zurückzugreifen.

Wichtig ist, dass auf eine richtige Konfiguration geachtet wird. Durch die aufwändige Konfiguration im Vorfeld ist diese Lösung für den B2C-Verkehr meist nicht zu realisieren, denn hier geht es um spontane und wechselnde Kommunikationspartner. Hier sollte man sich eher auf ein passwortbasiertes Verfahren verlassen.

Richtet ein Unternehmen eine Verschlüsselung ein, muss beachtet werden, dass das Verfahren mit allen gängigen Clients kompatibel ist. Es muss z.B. für Angestellte auch möglich sein, verschlüsselte E-Mails vom Handy aus senden zu können. Auch muss beachtet werden, dass auch automatisierte E-Mails verschlüsselt werden.

Cloudlösungen

Vorstellbar ist auch ein Datenaustausch über Cloudlösungen. Auch diese muss aber durch entsprechende Verschlüsselung gesichert sein.

Problematisch ist bei einer Cloudlösung meist, dass der Service-Provider prinzipiell Zugriff auf die Daten nehmen könnte, da diese dort meist in unverschlüsselter Form vorliegen. Hier bietet sich wieder eine Ende-zu-Ende-Verschlüsselung an, solange der zugrunde liegende Geschäftsprozess dies zulässt.

Voraussetzung für diese Lösung ist neben der Verschlüsselung also immer auch ein vertrauenswürdiger Provider.

Besondere Kategorien personenbezogener Daten

Die DSGVO teilt einige personenbezogene Daten in die „besondere Kategorie“ ein. Diese werden in Art. 9 I DSGVO aufgezählt. Neben weltanschaulicher Überzeugung, sexueller Orientierung und Gewerkschaftszugehörigkeit handelt es sich hier vor allem um genetische und biometrische Daten, sowie Gesundheitsdaten natürlicher Personen. In der Praxis werden diese im medizinischen Sektor gerade sehr häufig per Telefax von einer Arztpraxis an die andere oder an ein Krankenhaus übermittelt.

Bei der Verarbeitung dieser Daten, zu der auch die Übermittlung gehört, ist vor allem § 22 BDSG (der den Vorgaben der Art. 9 II lit. b, g und i DSGVO Rechnung trägt) zu beachten, der hierfür „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person“ vorschreibt. Dies stellt eine rechtliche Verpflichtung dar.

Die Übermittlung solcher Daten über Telefax ist aufgrund der erläuterten technischen Änderungen allerdings unzulässig. Dies stellte auch die Bremer Landesbeauftragte für Datenschutz und Informationsfreiheit Imke Sommer klar.

Auch hier muss auf die oben aufgeführten Alternativen zurückgegriffen werden. Bis sich hier eine (technische) Umstellung ergibt, werden aber noch einige Jahre vergehen müssen.

Fazit

Jede Lösung hält viele datenschutzrechtliche sowie technische Tücken bereit. Je mehr Daten und je häufiger Daten der besonderen Kategorie verarbeitet oder übermittelt werden, desto größer sind die Risiken, die aufgrund der Komplexität eingegangen werden. Fachliche und einzelfallbezogene Beratung wird hierbei unerlässlich.

Stellungnahmen der Aufsichtsbehörden

Zahlreiche Datenschutz-Aufsichtsbehörden haben sich in den letzten Jahren eindeutig zur datenschutzrechtlichen Problematik des Telefax positioniert. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen stellte bereits 2020 klar, dass die Übermittlung personenbezogener Daten per Telefax nicht mehr als sicher angesehen werden kann. Diese Einschätzung wurde von weiteren Aufsichtsbehörden, darunter die Landesbeauftragten in Hessen und Bayern, geteilt.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in ihrem Beschluss festgehalten, dass Telefax hinsichtlich der Vertraulichkeit mit einer unverschlüsselten E-Mail vergleichbar ist. Beide Kommunikationswege bieten keinen ausreichenden Schutz für die Übermittlung sensibler personenbezogener Daten.

Besonders im Gesundheitswesen hat diese Einschätzung weitreichende Konsequenzen. Arztpraxen, Krankenhäuser und Labore, die bisher routinemäßig Befunde und Patientendaten per Telefax übermittelt haben, müssen auf sichere Alternativen umsteigen. Die Kassenärztliche Bundesvereinigung empfiehlt den Einsatz des sicheren Kommunikationsdienstes KIM (Kommunikation im Medizinwesen) als Alternative zum Telefax.

Rechtliche Konsequenzen bei Verstößen

Die Übermittlung personenbezogener Daten per Telefax kann als Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO (Grundsatz der Integrität und Vertraulichkeit) und Art. 32 DSGVO (Sicherheit der Verarbeitung) gewertet werden. Die möglichen Konsequenzen sind erheblich.

Nach Art. 83 Abs. 4 DSGVO können Verstöße gegen die Pflicht zur Umsetzung angemessener technisch-organisatorischer Maßnahmen mit Bußgeldern von bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Jahresumsatzes geahndet werden. Außerdem können betroffene Personen nach Art. 82 DSGVO Schadensersatzansprüche geltend machen, wenn ihnen durch die unsichere Übermittlung ihrer Daten ein materieller oder immaterieller Schaden entstanden ist.

In der Praxis wurden bereits Bußgelder verhängt, weil Gesundheitsdaten per unverschlüsseltem Fax an falsche Empfänger gesendet wurden. Solche Fehlsendungen sind beim Telefax besonders häufig, da eine falsch eingetippte Nummer genügt, um hochsensible Daten an einen unbefugten Empfänger zu senden. Anders als bei einer E-Mail gibt es beim Fax keine Möglichkeit, eine versendete Nachricht zurückzurufen.

Sichere Alternativen im Überblick

De-Mail: De-Mail bietet eine rechtssichere und vertrauliche elektronische Kommunikation. Die Nachrichten werden verschlüsselt übermittelt und der Empfang wird rechtsverbindlich bestätigt. Allerdings hat sich De-Mail in der Praxis nicht flächendeckend durchgesetzt, sodass nicht alle Kommunikationspartner über einen De-Mail-Zugang verfügen.

Verschlüsselte Dateiübertragung: Für den Austausch größerer Datenmengen oder besonders sensibler Dokumente eignen sich verschlüsselte Dateiübertragungsdienste. Lösungen wie Cryptshare, FTAPI oder Tresorit ermöglichen eine Ende-zu-Ende-verschlüsselte Übertragung von Dateien. Der Empfänger erhält einen Link und ein separates Passwort zum Herunterladen der Dateien.

Berufsständische Lösungen: Für bestimmte Berufsgruppen gibt es spezielle sichere Kommunikationslösungen. Im Gesundheitswesen steht KIM (Kommunikation im Medizinwesen) zur Verfügung, für Rechtsanwälte das besondere elektronische Anwaltspostfach (beA) und für Steuerberater die DATEV-Plattform mit integrierter sicherer Kommunikation.

Sichere Messenger: Für die schnelle Kommunikation können DSGVO-konforme Messenger wie Threema Work oder Wire eingesetzt werden. Diese bieten eine Ende-zu-Ende-Verschlüsselung und werden auf europäischen Servern betrieben. Für den Austausch von Dokumenten sind sie jedoch nur bedingt geeignet.

Umstellung in der Praxis

Die Umstellung vom Telefax auf sichere Kommunikationsalternativen erfordert eine sorgfältige Planung. Zunächst sollte eine Bestandsaufnahme durchgeführt werden: Welche Prozesse nutzen aktuell das Telefax? Welche personenbezogenen Daten werden dabei übermittelt? Wer sind die regelmäßigen Kommunikationspartner?

Anschließend wird für jeden identifizierten Prozess die geeignete Alternative ausgewählt. Dabei müssen die technischen Möglichkeiten der Kommunikationspartner berücksichtigt werden. Eine schrittweise Umstellung mit Schulung der betroffenen Mitarbeiter hat sich in der Praxis bewährt.

Ein externer Datenschutzbeauftragter kann Sie bei der Analyse Ihrer Kommunikationsprozesse unterstützen und die optimale Lösung für Ihr Unternehmen empfehlen. Er kennt die Anforderungen der Aufsichtsbehörden und sorgt dafür, dass die Umstellung rechtssicher erfolgt.