Nicht erst seit dem Beschluss des OVG Lüneburg vom 22. Juli 2020 wird über die Vertraulichkeit des Telefaxdienstes diskutiert. Das OVG stellt fest, dass die Übermittlung personenbezogener Daten per unverschlüsseltem Fax als Datenschutzverstoß einzuordnen ist. 

Bereits seit längerem wird diskutiert, ob für bestimmte Bereiche Telefax noch ein geeigneter Kommunikationsdienst ist. Dies ist insbesondere darauf zurückzuführen, dass der zu Zeiten rein analoger Faxübermittlung genutzte exklusive und direkte Übertragungskanal aufgrund der Umstellung auf Voice over IP (VoIP) bzw. Fax over IP (FoIP) quasi nicht mehr existent ist. Dadurch gleicht die nun in Datenpaketen durchgeführte Übermittlung eines Faxes über das Internet der einer unverschlüsselten E-Mail und ist in Sachen Vertraulichkeit wie diese zunächst ebenfalls mit einer Postkarte zu vergleichen.

Dass Übermittlungen per unverschlüsseltem Fax generell datenschutzwidrig seien, ist jedoch auch dem Urteil des OVG nicht zu entnehmen. Sie sind es jedenfalls dann, wenn das Risiko der Verarbeitung ein höheres Schutzniveau erfordert. Denn zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen muss der Verantwortliche Sicherungsvorkehrungen treffen. Welches Schutzniveau dabei einzuhalten ist, richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand.

Als risikoreiche Verarbeitungen ist insbesondere die Verarbeitung besonderer Kategorien von Daten nach Art. 9 DS-GVO anzusehen (z.B. Gesundheitsdaten), außerdem Verarbeitungen durch Berufsgeheimnisträger und Verarbeitungen, die sich aufgrund der Umstände des Einzelfalls als besonders risikobehaftet darstellen.

Daraus folgt jedoch nicht, dass dort, wo der Telefaxdienst noch eingesetzt wird, die Faxgeräte abgeschaltet werden müssten. Die Praxis kennt differenzierte Szenarien, die nicht pauschal bewertet werden können. Ausschlaggebend ist letztlich der Schutzbedarf der betroffenen Daten und die möglichen Risiken für die Betroffenen.

Obwohl technisch veraltet, spielt der Telefaxdienst noch in vielen Bereichen eine Rolle, in denen das Risiko der Verarbeitung kein höheres Schutzniveau erfordert. Gleichwohl empfiehlt der LfDI andere Kommunikationsmöglichkeiten zu nutzen, die eine größere Vertraulichkeit bieten. Hierfür kommen bspw. in Frage:

• E-Mail über Provider, die (auf beiden Seiten) eine generelle Transportverschlüsselung (TLS) unterstützen
• E-Mail mit Ende-zu-Ende-Verschlüsselung (per PGP oder auch verschlüsselter Dateianhänge)
• gesicherter Up-/Download

Die Bedingungen, unter denen Telefaxe übermittelt werden, sind von den Nutzenden nur bedingt zu beeinflussen. Zwar ist es denkbar und wird in neuralgischen Bereichen auch praktiziert, dass durch die Nutzung geeigneter (Zusatz-)Endgeräte die Telefaxkommunikation verschlüsselt wird, aber dies beschränkt sich auf wenige Einsatzbereiche, in denen i.d.R. festgelegte Kommunikationspartner miteinander kommunizieren. Für wechselnde Kommunikationspartner ist dies keine Lösung. Vergleichbar zur Transportverschlüsselung einer E-Mail durch die beteiligten Provider, kann ggf. auch bei der Nutzung von Fax over IP eine Kommunikation etwa über das Session Initiation Protocol mit Transport Layer Security (SIPS) erfolgen. Allerdings kann es im Einzelfall schwierig sein sicherzustellen, dass diese bei allen an der Kommunikation beteiligten Stellen zum Einsatz kommt. Für festgelegte Kommunikationspartner stellt dies dennoch eine Möglichkeit zur vertraulichen Kommunikation per Telefax dar.

Kann eine dem Schutzbedarf angemessene Vertraulichkeit der Kommunikation per Telefax nicht gewährleistet werden, rät der LfDI dazu, auf alternative Formen der Kommunikation umzusteigen (s.o.). Bitte beachten Sie hierbei die ggf. benötigte Erforderlichkeit der Schriftform.