Ist das Telefax noch datenschutzkonform?

Nach einer nicht repräsentativen Umfrage aus dem Jahr 2019 nutzen noch zwischen 40 % und 60 % der Unternehmen das Telefax für den Versand von Mitteilungen. Es stellt sich dabei die Frage, ob und inwieweit ein Versand von personenbezogenen Daten per Telefax den Anforderungen der Datenschutz-Grundverordnung (DSGVO) genügt. Nach Auffassung der Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen (LfDI Bremen) ist die Übertragung personenbezogener Daten per Telefax datenschutzrechtlich unzulässig.

Warum ist das Telefax nicht mehr datenschutzkonform?

Nach Auffassung der Aufsichtsbehörde enthalten Telefax-Dienste keinerlei Sicherungsmaßnahmen, um die Vertraulichkeit der Daten zu gewährleisten. Eine Telefaxnachricht sei daher mit einer Postkarte zu vergleichen, die Unbeteiligte theoretisch lesen können.

Aus diesen Grund sei die Übertragung insbesondere von besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO (z.B. Gesundheitsdaten, biometrische Daten) per Telefax datenschutzrechtlich unzulässig.

Was ist am Telefaxversand mittlerweile anders?

Die Aufsichtsbehörde argumentiert stark technisch: Bis vor einigen Jahren wurden Telefaxnachrichten über einer leitungsbasierte Vermittlung übertragen. Dabei wurde eine exklusive, nur zwischen den beiden Telefaxgeräten bestehende Verbindung aufgebaut. Ein „Abhören“ dieser Verbindung war schwierig. Seit einigen Jahren wird auch für den Telefaxversand jedoch eine paketbasierte Vermittlung verwendet. Hierbei werden die Daten der Telefaxnachricht in Pakete aufgeteilt und ähnlich wie bei einer E-Mail über Netze transportiert, die auf Internettechnologie basiert. Diese Transportmethode ist anfällig für das Abfangen von Nachrichten oder Nachrichtenteilen.

Welche Risiken bestehen beim aktuellen Telefaxversand?

Die als Pakete versandte Telefaxnachricht kann gegen unbefugtes Mitlesen nicht geschützt werden. Ferner kann der Absender im Gegensatz zur früheren Übertragung auf ein von vornherein feststehendes Telefaxgerät heute nicht mehr sicher sein, wo seine Telefaxnachricht ankommt. Vielmehr werden aktuell häufig Systeme genutzt, bei denen ankommende Telefaxe automatisch in eine E-Mail umgewandelt und an eines oder mehrere E-Mail-Postfächer versandt werden.

Was sagt die Rechtsprechung zur Zulässigkeit des Telefaxversands?

Im Juli 2020 hat bereits das OVG Lüneburg die fehlende Verschlüsselung der Faxübertragung bemängelt und einen Verstoß gegen die Vertraulichkeitsverpflichtung nach Art. 32 DSGVO angenommen (vgl. OVG Lüneburg, Beschluss vom 22.07.2020, Az. 11 LA 104/19). Die Rechtsprechung tendiert somit in Richtung der Aufsichtsbehörde in Bremen.

Dürfen keine Telefaxe mehr versendet werden?

Wenn Sie den datenschutzrechtlich sichersten Weg gehen wollen, sollten Sie auf den Versand von Telefaxnachrichten verzichten und auf andere Technologien, z.B. auf eine Ende-zu-Ende verschlüsselte E-Mail umsteigen.

Zu berücksichtigten ist allerdings, dass die Aufsichtsbehörde in Bremen vor allem den Versand von besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO per Telefax als unzulässig erachtet hat. Fraglich ist, ob sich diese strenge Auffassung auch bei „gewöhnlichen“ personenbezogenen Daten durchsetzt. Ferner gilt zu berücksichtigen, dass ein Empfänger seine Telefaxnummer in den weit überwiegenden Fällen selbst preisgibt und damit bewusst ein technisch unsicheres Verfahren einsetzt. Wenn der Empfänger den Erhalt einer Telefaxnachricht nunmehr als datenschutzrechtlich unzulässig kritisiert, verhält er sich nach unserer Auffassung widersprüchlich.

Quelle: https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen/telefax_ist_nicht_datenschutz_konform-16111

Wir stehen Ihnen im gesamten Bereich des IT-/IP- und Datenschutzrechts als Berater gerne zur Verfügung

GoldbergUllrich Rechtsanwälte 2021

Julius Oberste-Dommes LL.M. (Informationsrecht)

Rechtsanwalt und

Fachanwalt für Informationstechnologierecht