Die Bremer LfD hält die Faxübermittlung personenbezogener Daten für nicht datenschutzkonform
Galt ein Telefax noch vor einigen Jahren als relativ sichere Methode um auch sensible personenbezogene Daten zu übertragen, so hat sich diese Situation nach Ansicht der Bremer Landesdatenschutzbeauftragten grundlegend geändert: Sowohl bei den Endgeräten als auch den Transportwegen gab es weitreichende Änderungen. Bisher wurden beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt. Technische Änderungen in den Telefonnetzen sorgen jetzt dafür, dass keine exklusiven Leitungen mehr genutzt werden, sondern die Daten paketweise in Netzen transportiert werden, die auf Internet-Technologie beruhen.
Zudem kann nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät existiert. Meist werden Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten.
Aufgrund dieser Umstände soll also dem Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau zukommen, wie eine unverschlüsselte E-Mail (welche oftmals mit der offen einsehbaren Postkarte verglichen wird, was ich persönlich für einigermaßen „Blödsinn“ halte). Fax-Dienste enthalten demnach keinerlei Sicherungsmaßnahmen, um die Vertraulichkeit der Daten zu gewährleisten. Sie sind nach Auffassung der LfD Bremen in der Regel nicht für die Übertragung personenbezogener Daten geeignet.
Sie erklärt die Übertragung besonderer Kategorien personenbezogener Daten durch Fax-Dienste mal eben so und ohne weitere Begründung gemäß Artikel 9, Absatz 1 der Datenschutzgrundverordnung für unzulässig.
Für den Versand personenbezogener Daten müssen nach dieser Ansicht generell und pauschal alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post genutzt werden.
Prima Werbung für das nachlassende Briefgeschäft der Post, böse, wer da einen Zusammenhang sieht!
Ich halte dies mal wieder für vollkommen überzogen. Spielt aber keine Rolle. Ich muss also dringend empfehlen, dort wo es sich eben vermeiden lässt, von der Übermittlung personenbezogener Daten per Telefax Abstand zu nehmen, auf die Übermittlung personenbezogener Daten besonderer Kategorien (für diejenigen, die es noch nicht wissen: = Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person) per Telefax Abstand zu nehmen. Es steht zu befürchten, dass ansonsten Ungemach nicht nur im Regentschaftsbereich der Bremer Datenschutzfürstin droht.
