Der Thüringer Landesdatenschutzbeauftragte (TLfDI) setzte sich in einer Pressemitteilung vom 20. Februar 2024 intensiv mit der Datenübermittlung per Telefax auseinander. Laut des TLfDI gilt das Telefax grundsätzlich nicht als sicheres Transportmittel. In diesem Artikel gehen wir näher auf diese Einschätzung und die umfangreiche Diskussion rund um das Faxgerät ein.
Das Ende der Fax-Ära in der öffentlichen Verwaltung?
Angestoßen wurde die Diskussion erneut durch Äußerungen aus Bayern, speziell von Fabian Mehring, dem bayerischen Staatsminister für Digitales. Mehring forderte im Dezember 2023 lautstark ein Verbot von Faxgeräten in der öffentlichen Verwaltung und verkündete, dass er „das Faxen dicke“ habe. Ein grober Zeitplan für den Übergang wurde vor ein paar Tagen vorgestellt, doch detaillierte Maßnahmen und ein ausführlicher Zeitplan bleiben noch abzuwarten.
Der Thüringer Datenschutzbeauftragte: Faxnutzung nur in Ausnahmefällen vertretbar
Lutz Hasse, der bis zum 1. März 2024 amtierende Thüringer Datenschutzbeauftragte, der dann von Tino Melzer abgelöst wurde, sieht die Datenübermittlung per Telefax grundsätzlich als unsicher an.
Die Datenschutzbehörde begründet ihre Haltung damit, dass der Schutz der Daten auf dem Übertragungsweg nicht garantiert werden kann. Besonders problematisch ist die fehlende Verschlüsselung von Faxen auf ihrem Weg sowie die Gefahr der falschen Adressierung und des Zugriffs durch Unbefugte.
„Die Verantwortlichen des Senders und des Empfängers von Telefaxnachrichten müssen gemäß Art. 32 Abs. 1 DS-GVO i. V. m. Art. 5 Abs. 1 Buchst. f) DS-GVO sicherstellen, dass nur befugte Personen die Faxe versenden und gesendete Faxnachrichten entgegennehmen, d. h. der Verantwortliche muss sicherstellen, dass verwendete und empfangene Faxnachrichten nicht in die Hände von unbefugten Dritten gelangen (bspw. durch falsche Adressierung und/oder Zugang unbefugter Personen zum Faxgerät). Zudem sind Faxe auf dem Transportweg überhaupt nicht verschlüsselt.“
Ausnahmen sieht die Aufsichtsbehörde insbesondere bei Dringlichkeit und wenn der Schutz der Gesundheit und die Sicherung von Leib und Leben der Betroffenen das Risiko einer möglichen Datenschutzverletzung überwiegen.
Risiken der Faxkommunikation
Der Bayerische Landesbeauftragte für den Datenschutz hebt in einem Arbeitspapier mehrere Risiken der Faxkommunikation hervor:
Versand an falsche Empfänger
Die Möglichkeit eines Fehlversands durch Eingabe einer falschen Faxnummer ist ein bekanntes Risiko. Dies kann durch einfaches Vertippen oder die Verwendung veralteter bzw. fehlerhaft hinterlegter Rufnummern verursacht werden, was zur unbeabsichtigten Übermittlung sensibler Informationen an die falschen Empfänger führen kann.
Unbefugtes Mitlesen auf dem Übertragungsweg
Mit der Umstellung vieler Telefonverbindungen auf VoIP-Technologie erhöht sich das Risiko, dass Faxdaten über das öffentliche Internet und möglicherweise unverschlüsselt übertragen werden. Dies ermöglicht es Hackern, die Daten während der Übertragung abzufangen. Selbst wenn die Übertragung ausschließlich über die Netze des Telefonanbieters erfolgt, besteht bei einer unverschlüsselten Übertragung die Möglichkeit, dass der Anbieter selbst auf die Inhalte zugreifen kann.
Unbefugter Zugriff auf ausgedrucktes Fax
Faxgeräte oder Multifunktionsgeräte, die in Büros oder Haushalten eingehende Faxe sofort ausdrucken, sind oft frei zugänglich platziert. Dies erhöht das Risiko, dass Personen ohne Berechtigung Zugriff auf die ausgedruckten Informationen erhalten. Dieses Risiko besteht besonders in Umgebungen, in denen mehrere Mitarbeiter oder Haushaltsmitglieder Zugang zu dem Gerät haben.
Was haben deutsche Aufsichtsbehörden dazu gesagt?
Mehrere Datenschutzaufsichtsbehörden haben sich mittlerweile gegen die Nutzung von Faxgeräten aus Datenschutzgründen ausgesprochen, da diese nicht DSGVO-konform sei.
Bereits im Juni 2021 teile die Bremer Datenschutzbeauftragte mit, dass der Einsatz des Telefaxes nicht datenschutzkonform möglich sei. Kern des Problems ist, dass Fotokopierer mit Fax-Funktion oder Fax-Server reale Faxgerät mittlerweile abgelöst hätten. Diese wandeln die eingehenden Faxe in eine E-Mail um. Dabei hat der Absender keine Kontrolle darüber, ob und wie diese E-Mails auf der Empfangsseite verschlüsselt werden. Die Verschlüsselung kann von den Absendern nicht erzwungen werden, was bedeutet, dass die Vertraulichkeit der übertragenen Daten nicht gewährleistet ist. Die Übermittlung per Fax sei vergleichbar mit der unverschlüsselten E-Mail. Die Bremer Verwaltung plante daraufhin, bis Ende 2022 alle Faxgeräte durch sicherere Technologien zu ersetzen, wobei heute nur noch etwa 250 Geräte für Notfälle im Einsatz sind.
In einer Stellungnahme teilte die hessische Datenschutzaufsicht mit, dass die Übermittlung personenbezogener Daten per unverschlüsseltem Fax gegen die Artikel 5 Abs. 1 lit. f und 32 der DSGVO verstoßen kann, da dies zu einem Verlust der Vertraulichkeit führen könnte.
Diese Sichtweise ist kein isoliertes Phänomen. Datenschutzaufsichtsbehörden anderer Bundesländer wie Mecklenburg-Vorpommern, NRW und BayLfD haben sich ähnlich positioniert, was die grundsätzliche Kritik an der Sicherheit der Faxkommunikation betrifft. Im Wesentlichen hat sich die Kritik trotz Einführung der DSGVO nicht verändert.
Ein differenzierter Blick auf das Fax
Die Gleichsetzung des Telefax mit einer unverschlüsselten E-Mail wird von einigen Behörden vorgenommen, jedoch sieht die Kirchliche Datenschutzaufsicht-Ost (KDSA-Ost) wesentliche Unterschiede zwischen diesen beiden Datenübertragungsmethoden, insbesondere hinsichtlich der Übertragungswege und Speicherorte der Daten.
Im Gegensatz dazu durchqueren E-Mails auf ihrem Weg mehrere Zwischenstationen, darunter verschiedene Server, was die Risiken in Bezug auf die Datensicherheit erhöht. Dies unterstreicht die Notwendigkeit einer Verschlüsselung bei der Übermittlung sensibler Inhalte per E-Mail, um den Datenschutz zu gewährleisten. Während Faxe als Klartext und somit als „Original-Kopie“ beim Empfänger ankommen, erlauben E-Mail-Protokolle die Verschlüsselung der Inhalte, sodass nur autorisierte Empfänger Zugang zum tatsächlichen Inhalt haben (Tätigkeitsbericht von 2020 S. 85 ff.)
Vor diesem Hintergrund sieht die KDSA-Ost das Telefax, trotz seiner technologischen Grenzen und der Unmöglichkeit zur Verschlüsselung, als ein unter bestimmten Umständen sicheres Übertragungsmittel an, insbesondere wenn fortschrittliche Protokolle wie T.38 mit ECM zur Anwendung kommen. Die Behörde lehnt daher die allgemeine Aussage ab, dass der Versand von Telefaxen grundsätzlich datenschutzrechtlich unzulässig sei.
Anforderungen an Faxgeräte und Faxserver nach BSI
In ihrer jüngsten Pressemitteilung weist die TLfDI darauf hin, die Hinweise des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bezüglich der Nutzung von Faxgeräten und Faxservern zu beachten.
Basis-Anforderungen
Nach BSI müssen die Basis-Anforderungen für den Baustein NET.4.3 Faxgeräte und Faxserver vorrangig erfüllt werden:
- Aufstellung von Faxgeräten:
Faxgeräte sind so zu positionieren, dass unbefugte Personen keinen Einblick in oder Zugriff auf eingehende Faxsendungen haben. - Informationen für Mitarbeitende über die Faxnutzung:
Alle Mitarbeiter müssen über die spezifischen Risiken und Verfahrensweisen der Faxkommunikation informiert werden. - Sicherer Betrieb eines Faxservers:
Eine Testphase vor der Inbetriebnahme eines Faxservers ist unerlässlich, ebenso die Dokumentation aller Konfigurationen. Der Umgang mit Faxdaten muss eindeutig geregelt, regelmäßige Funktionstests der Verbindung zum Telefonnetz durchgeführt, und der Faxserver ausschließlich für Fax-Dienste genutzt werden. Unnötige Funktionen und Zugänge sind zu deaktivieren.
Zusätzlich zu den Basis-Anforderungen definiert das BSI weitere Empfehlungen, die dem aktuellen Stand der Technik entsprechen und grundsätzlich umgesetzt werden sollten:
- Sicherheitsrichtlinien für Faxnutzung:
Erstellung einer Richtlinie, die den sicheren Umgang mit Faxgeräten und -servern regelt. - Bewertung vor Anschaffung:
Vor dem Kauf von Faxgeräten oder -servern sollte eine Liste mit technischen und sicherheitsrelevanten Anforderungen erstellt und potenzielle Systeme oder Komponenten daraufhin bewertet werden. - Kenntlichmachung ausgehender Faxsendungen:
Jede ausgehende Faxsendung sollte klar den Absender und den intendierten Empfänger ausweisen. - Entsorgung:
Für Fax-Verbrauchsmaterialien und -Ersatzteile sollten geeignete Entsorgungsverfahren etabliert werden. - Protokollierung:
Die Übertragungsvorgänge aller ein- und ausgehenden Faxsendungen sollten erfasst werden. - Überprüfung programmierbarer Tasten:
Kurzwahltasten und gespeicherte Zieladressen sollten regelmäßig auf ihre Aktualität und Korrektheit hin überprüft werden.
Sichere Alternativen ist zu empfehlen
Die Nutzung des Faxgeräts kann lediglich in Notfällen vertretbar angesehen werden und sollte stets nach sorgfältiger Abwägung der damit verbundenen Datenschutzrisiken sowie unter Berücksichtigung der spezifischen Umstände jedes einzelnen Falls erfolgen. In diesem Zusammenhang sind die Anforderungen der BSI zu beachten. Generell wird empfohlen, vom Gebrauch des Faxgeräts abzusehen und stattdessen sicherere Kommunikationsmittel wie den verschlüsselten E-Mail-Verkehr (mit Ende-zu-Ende-Verschlüsselung) oder den postalischen Weg, der das Briefgeheimnis gewährleistet, zu nutzen.
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de
