Wer personenbezogene Daten per Fax versendet, muss geeignete technische sowie organisatorische Maßnahmen treffen, um die Vertraulichkeit und Integrität der Daten sicherzustellen
(Grundsätze der Datenverarbeitung Art. 5 DSGVO).
Diese Maßnahmen sollen die Daten bei der Übertragung vor unbefugtem Lesen, Kopieren, Verändern oder Löschen schützen.
Das Versenden vertraulicher Informationen per Fax ist ziemlich riskant. Im Gegensatz zur Post handelt es sich hierbei grundsätzlich um eine „offene Zustellung“ (unverschlüsselt).
Warum ist der Telefaxverkehr riskant?
Nahezu jedes Unternehmen hat ein Faxgerät im Büro stehen.
Vor allem die
Arztpraxen nutzen dieses Gerät tagtäglich, um personenbezogene Daten auf dem schnellsten Wege zu übermitteln.
Die Risiken sind einem allerdings oft nicht bewusst.
- Der Telefaxverkehr ist wie ein Telefonat abhörbar
- Durch eine fehlerhafte Durchwahl kann das Fax an der falschen Adresse landen
- Das Fax kann in die Hände von Unbefugten gelangen
- Durch Rufumleitung können Faxgeräte zeitweise auf andere Anschlüsse geschaltet werden
- Faxe, die eine Fernwartungsfunktion haben, können unter Umständen einen Zugriff auf gespeicherte Daten ermöglichen
Sicherheitsmaßnahmen:
Wer trotz den oben genannten Risiken nicht auf die Kommunikation per Fax verzichten möchte, sollte sich
mit den technischen und organisatorischen Maßnahmen vertraut machen.
- Um einen Fehlversand vorzubeugen, sollte sich der Absender, vor dem Versand durch einen Anruf vergewissern, ob er auch den richtigen Adressaten erreicht
- Vor Versand von besonders schützenswerten Daten sollte geprüft werden, ob der Versand per Fax tatsächlich erforderlich ist. (Vielleicht gibt es eine andere Versandart, die angemessener ist?)
- Die Zielnummer sollte geprüft werden
- Häufig verwendete Zielnummern können gespeichert werden, um Tippfehler zu vermeiden
- Geräte sollten so aufgestellt werden, dass Unbefugte keine Kenntnisse vom Inhalt erhalten können
- Dokumentationspflicht muss eingehalten werden (Aufbewahrung der Sende- und Empfangsprotokolle, Fehlmeldungen)
- Vor Verkauf oder Weitergabe vom Faxgerät müssen alle gespeicherten Daten gelöscht werden (Textinhalte, Verbindungsdaten)
Fazit:
Die Maßnahmen sind lediglich nur Beispiele, jedes Unternehmen sollte selbst für sich die passenden Maßnahmen einführen.
Die Datenübertragung per Fax ist sehr riskant und somit
nicht empfehlenswert.
Vor allem bei der Übertragung von sensiblen Daten (Gesundheitsdaten, Sozial, - Steuer, - Personaldaten) kann eine Fehlzustellung gravierende Folgen für den Absender und Empfänger haben.
Merksatz:
Was am Telefon aus Geheimhaltungsgründen nicht gesagt wird, darf auch nicht gefaxt werden!
Schon gesehen? Vom Fax-Zeitalter in die digitale Zukunft
//eduodo.de/news/vom-fax-zeitalter-die-digitale-zukunft
Quelle: //www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/Kommunikation/Inhalt/070402_Datensicherheit_beim_Telefaxverkehr/Datensicherheit_beim_Telefaxverkehr.ph
‹ Zurück
Erst vor wenigen Monaten hatte die Landesdatenschutzbeauftragte aus Bremen erhebliche Bedenken gegen die Nutzung von Faxgeräten geäußert. Nun rät auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit vor der Technik ab, die kein ausreichendes Sicherheitsniveau mehr bietet.
Auch aufgrund der stockenden Digitalisierung werden hierzulande in vielen Bereichen, von Behörden über die Justiz bis zum Gesundheitswesen aber auch in vielen Unternehmen, immer noch Faxgeräte zur Übermittlung von Dokumenten verwendet. Immer mehr Datenschutzbeauftragte aus mehreren Bundesländern stufen den Faxversand jedoch als nicht konform zur DSGVO bzw. zumindest problematisch ein und raten daher vom Einsatz der Technik ab. Erst im Juni hatte sich beispielsweise die Landesbeauftragte aus Bremen kritisch mit dem Faxversand auseinandergesetzt, und mittlerweile kommt auch die Datenschutzbehörde in Hessen zu einer negativen Einschätzung.
Früher kam exklusive Ende-zu-Ende-Telefonleitung zum Einsatz
In ihren Ausführungen zum Telefax weist die hessische Datenschutzbeauftragte darauf hin, dass die früher als relativ sicher geltende Datenübertragung per Telefax mittlerweile nicht mehr den Sicherheitsanforderungen entspricht. Dies sei im Wesentlichen auf zwei Änderungen zurückzuführen. Während früher bei der Nutzung der Faxgeräte üblicherweise eine exklusive Ende-zu-Ende-Telefonleitung zum Einsatz kam, die einen hohen Schutz gegen Abhörangriffe bot, haben die Netzbetreiber mittlerweile die Übertragungstechnik flächendeckend geändert und die IP-Technik eingeführt.
Dadurch erfolgt auch die Übertragung von Faxen nicht mehr auf exklusiven Leitungen, sondern es kommt die auf den üblichen Internet-Standards basierende Paket-Technik zum Einsatz. Damit ist jedoch ohne weitere Schutzmaßnahmen ein einfaches Mitlesen der Daten auf dem Übertragungsweg möglich.
Empfangs- und Versandgeräte haben sich zum Nachteil der Datensicherheit geändert
Zum anderen haben sich aber auch die Geräte zum Empfangen und Versenden von Faxen geändert. Häufig werden etwa bei Fax-Empfängern anstelle der spezialisierten Faxgeräte spezielle Gateways genutzt, die die eingehenden Faxe automatisch in E-Mails umwandeln und diese anschließend an bestimmte E-Mail-Postfächer weiterleiten, wodurch die Inhalte auf diesem Abschnitt des Übertragungswegs ebenfalls mitgelesen werden können.
Faxe mittlerweile so unsicher wie eine unverschlüsselte E-Mail
Insgesamt bietet ein Fax nach Ansicht der Datenschutzbeauftragten damit hinsichtlich der Vertraulichkeit ein ebenso unzureichendes Sicherheitsniveau wie eine unverschlüsselte E-Mail, die ihrerseits im Hinblick auf die Vertraulichkeit üblicherweise mit einer Postkarte verglichen werde. Da Faxe zudem keinerlei optionalen Sicherungsmaßnahmen bieten, seien sie daher „in der Regel nicht für die Übertragung personenbezogener Daten geeignet“.
Für besonders schutzwürdige Daten ungeeignet
Zur Übertragung besonderer Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 DSGVO ist die Nutzung von Fax-Diensten daher nach Ansicht der Behörde unzulässig. Zu diesen besonders schutzwürdigen Daten gehören etwa:
- Angaben wie zur ethnischen Herkunft,
- zu politischen Meinungen,
- religiösen oder weltanschaulichen Überzeugungen
- oder einer Gewerkschaftszugehörigkeit.
Ebenso fallen darunter Gesundheitsdaten, biometrische Daten, genetische Daten oder Angaben zur sexuellen Orientierung einer Person.
Hessischer Datenschutzbeauftragter sieht erhebliche Probleme
In einer Stellungnahme kommt der hessische Landesbeauftragte für Datenschutz und Informationsfreiheit zu ähnlichen Schlussfolgerungen.
So führt er ebenfalls das Risiko der paketvermittelten, unverschlüsselten Übertragungen über das Internet an, erwähnt zusätzlich aber auch noch weitere Gefahrenquellen der Faxübertragung, wenn etwa nach einer fehlerhaften Eingabe der Faxnummer Dokumente mit sensiblen Daten versehentlich an Dritte gesendet werden und dort direkt einsehbar sind. Ebenso hat der Absender des Faxes keine Kenntnis oder Kontrolle darüber, welche Personen beispielsweise Zugang zum Faxgerät beim Empfänger haben und somit die übermittelten Informationen einsehen können.
Er kommt daher zu dem Schluss, dass zumindest Dokumente mit personenbezogenen Daten, die einen besonderen Schutzbedarf aufweisen, grundsätzlich nicht per Fax übertragen werden sollten, sofern nicht zusätzliche Schutzmaßnahmen bei Sendern und Empfängern ergriffen werden.
Faxen nur noch als Notlösung
Komplett ausschließen möchte der Hessische Datenschutzbeauftragte die Nutzung von Faxgeräten dennoch nicht. So soll es etwa Ausnahmen geben, wenn etwa eine besondere Eilbedürftigkeit vorliegt, die eine Faxübertragung erforderlich macht und dabei durch zusätzliche Maßnahmen sichergestellt ist, dass die Übertragung ausschließlich den richtigen Empfänger erreicht und zudem kein anderes datenschutzkonformes Kommunikationsmittel zur Verfügung steht.
Verschlüsselte E-Mails oder Briefversand als Optionen
Als sichere Versandmethode für personenbezogene Daten stuft die Datenschutzbeauftragte in ihren Ausführungen die Ende-zu-Ende verschlüsselte E-Mail ein, im Zweifelsfall müsse ansonsten der klassische Postversand anstelle des Faxversands gewählt werden.
Weitere News zum Thema:
Behördenhinweise zu Datenschutz im Home Office
Warnung vor Hackerangriffen per Fax
Drucker und Faxgeräte bleiben Sicherheitsrisiken für Hackerangriffe