Fax nicht (mehr) datenschutzkonform?

Sobald personenbezogene Daten verarbeitet werden, ist auch beim Faxversand die DSGVO zu beachten. Nach Art. 4, Abs. 1. der DSGVO [1] bezeichnet der Ausdruck „personenbezogene Daten“ alle Daten, die Rückschluss auf die Person und deren Identifikation zulassen.

Fallen Faxvorlagen mit differenzierter Personifizierung unter die DSGVO?

Üblicherweise ist eine Faxnummer im Business-Alltag nicht direkt einer Person zugeordnet. Damit ist die Person über die Faxnummer auch nicht identifizierbar. Ist dies jedoch über weitere zum Datensatz gehörige Daten der Fall, gilt auch die Faxnummer als personenbezogene Adresse. Eine E-Mail-Adresse zählt in jedem Fall zu den personenbezogenen Daten. In der Regel enthält diese den Namen der Person im Alias der E-Mail. Selbst bei scheinbar allgemeinen E-Mail-Adressen, wie „Vertrieb“ oder „Info“ ist Vorsicht geboten, da diese oft einer Person im Datensatz der Datenbank zugewiesen sind.

Eine differenzierte Personalisierung auf der Faxvorlage bedeutet, dass keine personenbezogenen Daten im Sinne der DSGVO verwendet werden, also beispielsweise Vorname und Nachname nicht in der Anrede, im Adressfeld oder sonst irgendwo auf der Fax-Vorlage in Erscheinung treten. Werden keinerlei personenbezogenen Daten verwendet, verstoßt die Versendung von Faxvorlagen nicht gegen den Datenschutz gemäß DSGVO.

Veränderungen im technischen Umfeld

Bisher wurden beim Versand von Faxnachrichten exklusive „end to end“-Telefonleitungen genutzt. Technische Änderungen in den Telefonnetzen sorgen jetzt dafür, dass keine exklusiven Leitungen mehr genutzt werden, sondern die Daten paketweise in Netzen transportiert werden, die auf Internettechnologie beruhen. Damit ist ein Zugriff Dritter möglich. Zudem kann nicht mehr davon ausgegangen werden, dass an der Empfangsstelle der Faxübertragung auch ein reales Faxgerät steht. Oft werden Systeme genutzt, die ankommende Faxnachrichten automatisiert in eine E-Mail umwandeln und diese an bestimmte unverschlüsselte E-Mail-Postfächer weiterleiten.

Deshalb wird das Datenschutzniveau eines Fax auf dem Niveau einer unverschlüsselten E-Mail gesehen und ist in der Regel nicht für die Übertragung von personenbezogener Daten geeignet (Erkenntnis der Bremer Datenschutzbeauftragten [2]). Diese Änderungen könnten weitreichende Folgen haben – vor allem für Ärzte, Krankenhäuser und Behörden, aber auch für Unternehmen, die entsprechende bisher Daten ganz selbstverständlich per Fax verschickt haben.

Digitalisierung als Lösung?

Ob sich aus dieser Situation die Rückkehr zum postalischen Brief oder ein Digitalisierungsschub entwickelt, bleibt abzuwarten. Mit end-to-end-verschlüsselten E- Mails steht jedenfalls eine praktikable Lösung im Raum, vor allem wenn es sich um vertrauenswürdige, personenbezogene Daten handelt. Nachdem E- Mails generell als Einfallstore für Spam, Malware und Phishing bis hin zu gezielten Attacken gelten, empfiehlt es sich, eine verlässliche Security Software zu installieren.

IKARUS mail.security scannt alle ein- und ausgehenden E-Mails, bevor sie an das Netzwerk übergeben werden, und bietet eine maximale Datensicherheit und Benutzerfreundlichkeit. Zusätzliches Plus: Die Software-Entwicklung, Datenverarbeitung, Analyse und Support erfolgen in Österreich unter penibler Einhaltung der europäischen DSGVO.

Auch lesenswert:

DSGVO-Compliance: Sicherheit und Datenschutz To-Go

Ausgetrickst: Phishing-Kampagnen mit „hidden fonts“ und „zero text“

Quellen:

[1] Art. 4 DSGVO – Begriffsbestimmungen | Datenschutz-Grundverordnung (DSGVO) (dsgvo-gesetz.de)/

[2] Die Landesbeauftragte für Datenschutz – Telefax ist nicht Datenschutz konform (bremen.de)/, DSGVO: Fax ist nicht mehr datenschutzkonform – Golem.de (ampproject.org)