Hessischer Datenschutzbeauftragter: Fax-Nutzung verstößt gegen DSGVO

Die Übermittlung von personenbezogenen Daten per Fax kann gegen die DSGVO verstoßen, so der Hessischer Datenschutzbeauftragter in einer aktuellen Stellungnahme. Dies gilt zumindest dann, wenn es sich um personenbezogene Daten mit einem besonderen Schutzbedarf handelt. 

In der Stellungnahme heißt es:

"Grundsätzlich weist der Faxversand vergleichbare Risiken auf, wie diese etwa auch beim unverschlüsselten Versand von E-Mail-Nachrichten gegeben sind. Hervorzuheben sind insbesondere die folgenden Risiken:

- personenbezogenen Daten könnten wegen einer nicht korrekten Eingabe der Zielfaxnummer Dritten unbefugt offenbart werden.
- Der Absender hat in der Regel keine Informationen zur Empfängerseite, z.B. wo ein etwaiges Empfangsgerät steht und wer Zugang zu diesem hat.
- Bei der heutzutage weit überwiegend genutzten paketvermittelten Übertragungsmethode als Fax over IP (FoIP) über das Internet, oder bei der Nutzung von Diensten, die Faxe automatisiert in E-Mails umwandeln, werden die Daten in der Regel nicht verschlüsselt und damit ungeschützt übertragen. Durch die Übertragung über mehrere verteilte Zwischenstellen besteht dabei grundsätzlich eine Zugriffsmöglichkeit für unbefugte Dritte.

Im Ergebnis ist die Übermittlung von personenbezogenen Daten per Fax daher mit dem Risiko des Verlustes der Vertraulichkeit der übermittelten Daten behaftet."

Als Ergebnis hält der Datenschutzbeauftragte schließlich fest:

"Personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, sollten daher grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert sind.

In Betracht kommt insoweit insbesondere der Einsatz standardisierter Verschlüsselungstechnologie für den Verbindungsaufbau und die Übertragung von Daten.

Hierbei ist darauf zu achten, dass von einer sicheren Voice-over-IP-Verbindung (VoIP) nicht automatisch auf eine sichere Faxübertragung geschlossen werden kann, da für die beiden Anwendungsszenarien verschiedene technische Protokolle mit unterschiedlichen Voraussetzungen für eine Verschlüsselung zum Einsatz kommen. Vielmehr muss die korrekte Auswahl und Kompatibilität der verwendeten Protokolle für die Faxübertragung geprüft werden."

Anmerkung von RA Dr. Bahr:
Die Stellungnahme entspricht der Ansicht der Bremischen Datenschutzbeauftragten, vgl. unsere Kanzlei-News v. 14.05.2021.

Anders als seine Bremer Kollegin beschränkt der Hessische Datenschutzbeauftragte das Verbot nicht nur auf besondere personenbezogene Daten nach Art. 9 DSGVO (z.B. Gesundheitsdaten), sondern spricht ganz allgemein von "personenbezogenen Daten, die einen besonderen Schutzbedarf aufweisen". Die Untersagung kann somit für alle Arten von Daten gelten.