Streit im Bezug auf Werbe-Tracking ohne Zustimmung: In Zukunft bittet Apple um Erlaubnis
7. September 2021
Siri hört einfach mit – Apple kassiert große Datenschutz-Klage
28. September 2021
Faxen ist nicht DSGVO-konform
Die hessischen Datenschutzbeauftragten sagen, dass der Faxversand "durch diverse technische Veränderungen informationstechnisch als unsicheres Kommunikationsmittel einzustufen" sei.
Alexander Roßnagel, hessischer Datenschutzbeauftragter, verlangt das Ende vom Fax. Momentan kommt die veraltete Technik noch bei Behörden, Rechtsanwälten im Gesundheitswesen und bei Gerichten vor.
Durch technische Veränderungen muss man den Faxversand „als unsicheres Kommunikationsmittel“ ansehen. Deshalb sollte man „im Interesse der Datensicherheit und vor dem Hintergrund der fortschreitenden Digitalisierung“ andere Alternativen finden und umsetzen.
In einer Notiz vom Dienstag schreibt Roßnagel „Grundsätzlich weist der Faxversand vergleichbare Risiken auf, wie diese etwa auch beim unverschlüsselten Versand von E-Mail-Nachrichten gegeben sind“. Das Übermitteln von personenbezogenen Daten über ein Faxgerät sei „mit dem Risiko des Verlustes der Vertraulichkeit“ verbunden.
Personenbezogene Daten, die geschützt werden müssen, sollten daher „grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert sind“.
Baukasten zur Umsetzung des Datenschutz nach DSGVO
- Leicht verständliche 12-Schritte-Anleitung
- Einfache Video-Guides
- Alle notwendigen Vorlagen + Muster & Dokumente
Du willst Datenschutz bei dir umzusetzen? Dann bist du hier genau richtig! Hier bekommst du ein Komplettpaket, mit dem du eine
Datenschutz-Dokumentation in nur 12 verständlichen Schritten bei dir einführen kannst.
Datenübertragung
Ursprünglich basierte die Kommunikation zwischen Faxgeräten auf einem Verbindungsaufbau per Leitungs- bzw. Kanalvermittlung. „Dabei waren Absender und Empfänger – identifiziert durch ihre jeweiligen Faxnummern – die beiden Endstellen, zwischen denen eine direkte Verbindung aufgebaut wurde.
Ein Problem war aber immer schon, „dass der Absender in der Regel keine Informationen zur Empfängerseite hat“. So war bislang unklar, wer Zugang zum empfangenden Gerät hat.
Mit dem Wachstum des Internets hat man die zu übertragenen Daten per TCP/IP Standard auf einzelne Pakete verteilt und „über eine Vielzahl von Verbindungen zwischen mehreren vermittelnden Punkten zwischen den Endstellen“ geschickt, erklärt Roßnagel. Die verwendeten Verbindungen sind hierbei nicht mehr für die beiden Endstellen reserviert. Deshalb ist es möglich, „dass die beteiligten Zwischenpunkte weltweit verteilt sind und von verschiedensten staatlichen oder privaten Akteuren betrieben werden“. So wäre es möglich, „auf die von ihnen vermittelten Pakete Zugriff zu nehmen“.
Sichere Alternativen
Dadurch entstehen laut Roßnagel „neue Probleme, die man mit einem Anruf und der Bitte, sich neben das Faxgerät zu stellen, nicht lösen kann“. Laut DSGVO müssen persönliche Daten mit angemessenem Sicherheitsniveau, verarbeitet werden. Die Verantwortlichen müssen anhand des „Stands der Technik, der Implementierungskosten und der Art des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen“, um dem Schutzbedarf gerecht zu werden.
Roßnagel empfiehlt den Versand inhaltsverschlüsselter E-Mails (S/MIME, PGP), die „DE-Mail“ und Portallösungen als sichere Alternative. Im Grunde genommen alle Wege, „bei denen die Kommunikationspartner Nachrichten und Inhalte verschlüsselt abrufen und bereitstellen können“.
Außerdem werden „bereichsspezifische digitale Kommunikationsdienste“ wie bspw. „Kommunikation im Medizinwesen“ (KIM) oder die „Infrastruktur des elektronischen Rechtsverkehrs“ empfohlen. Vorsicht ist aber beim darin enthaltenen elektronischen Anwaltspostfach geboten, da hier keine Ende-zu-Ende-Verschlüsselung vorliegt.
Ironischerweise listet die hessische Datenschutzbehörde die eigene Faxnummer nicht mehr auf ihrem Briefkopf, Visitenkarten und der Homepage auf. Roßnagel zufolge möchte man „auf die technischen Probleme aufmerksam machen, vorerst jedoch ohne Aufsichtsmaßnahmen zu ergreifen“.
