Die Nutzung exklusiver Ende-zu-Ende-Telefonleitungen ist Geschichte
Bisher sind beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt worden. Dies ist heute aufgrund technischer Änderungen in den Telefonnetzen nicht mehr so. Daten werden paketweise in Netzen transportiert, die auf Internet-Technologie (VoIP) beruhen. Zudem kann man nicht mehr davon ausgehen, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät existiert. Meist werden Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten.
Aus Sicht der Bremer Landesbeauftragten für Datenschutz und Informationsfreiheit, Imke Sommer, ist das kritisch*. Insbesondere für die Übertragung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO heißt das, die Nutzung von Fax-Diensten ist unzulässig. Dies stellte Imke Sommer klar. Zwar habe ein Telefax noch vor einigen Jahren als relativ sichere Methode gegolten, um auch sensible, personenbezogene Daten zu übertragen. Diese Situation habe sich aber grundlegend geändert. Denn sowohl bei den Endgeräten als auch den Transportwegen habe es weitreichende Änderungen gegeben.
Aufgrund dieser Umstände habe ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, welche oftmals mit der offen einsehbaren Postkarte verglichen werde, so Sommer. Fax-Dienste enthielten keinerlei Sicherungsmaßnahmen, um die Vertraulichkeit der Daten zu gewährleisten. Sie seien daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet.
Welche Unternehmen sind davon betroffen?
Am stärksten betroffen davon sind Ärzte, Krankenhäuser und Labore. Sie übertragen gerade wegen der Vertraulichkeit der früheren End-to-End-Verschlüsselung bei Faxen häufig ihre Gesundheits- und Befunddaten (Daten der besonderen Art nach Art. 9 DSGVO) heute noch per Fax.
Aber auch Geschäftsleitungen nutzen diesen Weg gerne für den Austausch von Verträgen und Finanzdaten mit ihren Steuerberatern, Wirtschaftsprüfern und Rechtsanwälten wegen der vermeintlichen Diskretion.
Für den Versand solcher Daten sollten zukünftig alternative, sichere und damit geeignete Verfahren gewählt werden, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder per verschlüsseltem Datentransfer über einen Deep-Link und ein separat zugesandtes Passwort. Wenn diese Möglichkeiten nicht zur Verfügung stehen, sollte besser die herkömmliche Post genutzt werden.
Was müssen Sie jetzt tun?
Überprüfen Sie in Ihrem Unternehmen, wo noch gefaxt wird und ob die gefaxten Daten einer gewissen Kritikalität unterliegen. Wenn das der Fall ist, sollten Sie auf das Fax verzichten und sichere Übertragungswege wählen. Informieren Sie auch ihre Geschäftspartner, dass Sie im Zweifel kein Fax mit sensiblen Daten mehr empfangen möchten.
Sollten Sie Fragen haben oder Unterstützung benötigen, stehe ich Ihnen gerne zur Verfügung.
Fragen, Feedback und Kommentare zu diesem Beitrag senden Sie bitte an r.vgehlen@acent.de
Roland von Gehlen | 27.05.2021
