Telefax ist nicht datenschutzkonform

Viele Unternehmen und Einrichtungen nutzen immer noch Telefax zur Übermittlung von Informationen. Hierbei sind fast immer auch personenbezogene Daten im Spiel: Rechnungen, Lieferscheine, Gehaltsabrechnungen, Vertragsunterlagen, (medizinische) Befunde, Patientenakten, …

Doch garantiert das Telefax überhaupt die datenschutzrechtlich geforderten Sicherheiten?

Ist dies nicht der Fall, können für Verantwortliche hohe Bußgelder und Schadensersatzklagen drohen.

Technische Entwicklung

Lange Zeit galt das Telefax als sehr sichere Übermittlungsmethode. Es wurde eine exklusive Telefonleitung benutzt, die eine hohe Sicherheit garantierte. Doch heute ist das nicht mehr so: Statt über eine exklusive Leitung mit Ende-zu-Ende-Verschlüsselung wird ein Telefax heute in einzelnen Paketen über das Internet verschickt. Zudem kann nicht mehr davon ausgegangen werden, dass der Empfänger auch ein reales Faxgerät nutzt, das die entsprechende Sicherheit gewährleisten würde. Stattdessen ist es heutzutage üblich, ein eingehendes Fax automatisch in eine E-Mail umwandeln zu lassen, die dann an das entsprechende E-Mail-Postfach weitergeleitet wird.

Alternativen

Es muss also eine Alternative zum Telefax her. Hier bieten sich verschlüsselte Emails, Cloudlösungen oder die klassische Briefpost. Doch bei ersteren gilt es auch wieder einiges zu beachten.

Verschlüsselte E-Mail

E-Mails müssen unbedingt verschlüsselt werden. Ansonsten sind sie genauso einsehbar wie Postkarten. Das BDSG empfiehlt zwar eine Verschlüsselung (und die DSGVO bringt dahingehend keine großen Neuerungen), doch existieren hier bekanntlich zwei Möglichkeiten: Die Inhalts- und die Transportverschlüsselung.

Inhalts- und Transportverschlüsselung

Die Inhaltsverschlüsselung (auch als Ende-zu-Ende-Verschlüsselung bekannt) verschlüsselt wie der Name schon sagt den Inhalt der E-Mail. Allein die Metadaten sind weiterhin lesbar.

Bei der Transportverschlüsselung hingegen ist nur der Transport verschlüsselt, während die E-Mail beim Sender als auch beim Empfänger unverschlüsselt vorliegt. Eine Transportverschlüsselung ist in jedem Fall notwendig, um Daten zu schützen, ersetzt aber in keinem Fall eine Inhaltsverschlüsselung.

Richtige Umsetzung

Wichtig ist, dass eine Verschlüsselung auch immer korrekt durchgeführt wird. Schließlich bezieht sich die Rechenschaftspflicht aus Art. 5 II DSGVO auch auf die Verschlüsselung. Passiert eine sogenannte „Datenpanne“ müssen alle Betroffenen schnellstmöglich informiert werden. Dies schadet dem Ruf des Verantwortlichen erheblich.

Zur effektiven Verschlüsselung gibt es verschiedene Möglichkeiten. Es empfiehlt sich auf Standardlösungen wie PGP, RMS oder TLS-Verschlüsselung zurückzugreifen.

Wichtig ist, dass auf eine richtige Konfiguration geachtet wird. Durch die aufwändige Konfiguration im Vorfeld ist diese Lösung für den B2C-Verkehr meist nicht zu realisieren, denn hier geht es um spontane und wechselnde Kommunikationspartner. Hier sollte man sich eher auf ein passwortbasiertes Verfahren verlassen.

Richtet ein Unternehmen eine Verschlüsselung ein, muss beachtet werden, dass das Verfahren mit allen gängigen Clients kompatibel ist. Es muss z.B. für Angestellte auch möglich sein, verschlüsselte E-Mails vom Handy aus senden zu können. Auch muss beachtet werden, dass auch automatisierte E-Mails verschlüsselt werden.

Cloudlösungen

Vorstellbar ist auch ein Datenaustausch über Cloudlösungen. Auch diese muss aber durch entsprechende Verschlüsselung gesichert sein.

Problematisch ist bei einer Cloudlösung meist, dass der Service-Provider prinzipiell Zugriff auf die Daten nehmen könnte, da diese dort meist in unverschlüsselter Form vorliegen. Hier bietet sich wieder eine Ende-zu-Ende-Verschlüsselung an, solange der zugrunde liegende Geschäftsprozess dies zulässt.

Voraussetzung für diese Lösung ist neben der Verschlüsselung also immer auch ein vertrauenswürdiger Provider.

Besondere Kategorien personenbezogener Daten

Die DSGVO teilt einige personenbezogene Daten in die „besondere Kategorie“ ein. Diese werden in Art. 9 I DSGVO aufgezählt. Neben weltanschaulicher Überzeugung, sexueller Orientierung und Gewerkschaftszugehörigkeit handelt es sich hier vor allem um genetische und biometrische Daten, sowie Gesundheitsdaten natürlicher Personen. In der Praxis werden diese im medizinischen Sektor gerade sehr häufig per Telefax von einer Arztpraxis an die andere oder an ein Krankenhaus übermittelt.

Bei der Verarbeitung dieser Daten, zu der auch die Übermittlung gehört, ist vor allem § 22 BDSG (der den Vorgaben der Art. 9 II lit. b, g und i DSGVO Rechnung trägt) zu beachten, der hierfür „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person“ vorschreibt. Dies stellt eine rechtliche Verpflichtung dar.

Die Übermittlung solcher Daten über Telefax ist aufgrund der erläuterten technischen Änderungen allerdings unzulässig. Dies stellte auch die Bremer Landesbeauftragte für Datenschutz und Informationsfreiheit Imke Sommer klar.

Auch hier muss auf die oben aufgeführten Alternativen zurückgegriffen werden. Bis sich hier eine (technische) Umstellung ergibt, werden aber noch einige Jahre vergehen müssen.

Fazit

Jede Lösung hält viele datenschutzrechtliche sowie technische Tücken bereit. Je mehr Daten und je häufiger Daten der besonderen Kategorie verarbeitet oder übermittelt werden, desto größer sind die Risiken, die aufgrund der Komplexität eingegangen werden. Fachliche und einzelfallbezogene Beratung wird hierbei unerlässlich.