Ist heute die Nutzung eines Telefax noch datenschutz-konform? Oder verstößt dieses Datenübermittlung mittlerweile gegen die geltende Datenschutz-Grundverordnung? Dazu hat sich die Bremische Landesbeauftragte für Datenschutz geäußert. Die vollständige Stellungnahme der Datenschutzbehörde ist hier nachzulesen. Dieser Artikel gibt eine Zusammenfassung und Übersicht der datenschutzrechtlichen Fragenstellungen.
Vor einigen Jahren galt die Datenübermittlung via Telefax als „relativ“ sichere Vorgehensweise, um auch sensible personenbezogene Daten zu übertragen. Diese Situation habe sich mittlerweile grundlegend geändert. In diesem Zusammenhang habe es sowohl bei Endgeräten als auch den Transportwegen weitreichende Änderungen gegeben. Die Bremische Landesbeauftragte für Datenschutz führte weiter aus, dass bisher beim Faxversand exklusive Ende-zu-Ende-Telefonleitungen genutzt wurden. Jetzt sorgen technische Änderungen in den Telefonnetzen dafür, dass keine exklusiven Leitungen mehr genutzt werden. Vielmehr werden die Daten paketweise in Netze transportiert, die auf Internet-Technologie beruhen, so die Behörde. Damit sei das reale Faxgerät mittlerweile abgelöst.
Der Kern des Problems sei ferner “die Gegenseite”. Absender können demnach nicht sicher davon ausgehen, welche Technik auf der Empfangsseite eingesetzt wird und ob überhaupt ein reales Fax-Gerät dort existiert. In dieser Hinsicht werden Systeme genutzt, die ankommende Faxnachrichten automatisch in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten.
Weiter führt die Bremische Landesbeauftragte für Datenschutz aus, dass aufgrund dieser Umstände ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, die oftmals mit der offen einsehbaren Postkarte verglichen werde, habe. Fax-Dienste enthalten demnach keinerlei Sicherungsmaßnahmen, um die Vertraulichkeit der Daten zu gewährleisten. Daher seien sie in der Regel nicht für die Übermittlung personenbezogener Daten geeignet.
Letztendlich sei für die Übertragung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO die Nutzung von Fax-Diensten datenschutzrechtlich unzulässig. Deshalb müssen für die Übertragung von personenbezogenen Daten alternative, sichere und mithin geeignetere Verfahren genutzt werden. Hierbei kommen Ende-zu-Ende verschlüsselte E-Mails oder im Zweifel auch die herkömmliche Post in Betracht.
Die Ausführungen der Bremischen Landesbeauftragten für Datenschutz sind nicht eindeutig und im Ergebnis auch etwas differenzierter zu betrachten. Zum einen dahingehend, ob jeder Faxversand von personenbezogenen Daten eine Verletzung der DSGVO-Vorschriften darstellen soll, oder ob nur die besonderen personenbezogenen Daten, die in Art. 9 DSGVO aufgezählt sind, gemeint sind. Auf der einen Seite spricht für ein Verbot nur von besonderen personenbezogenen Daten der Umstand, dass die Behörde explizit Daten gemäß Art. 9 Abs. 1 DSGVO nennt. Auf der anderen Seite sprechen diverse Formulierungen der Behörde, wie zum Beispiel die Überschrift, die Einleitung oder aber auch der Vorschlag bezüglich alternativer Übertragungsmethoden, für ein grundsätzliches Verbot jeder Art von Faxversand.
Als dann dürfte die behördliche Einschätzung hinsichtlich der Telefax-Nutzung nicht ganz zu Ende gedacht sein. Richtig ist, dass die Technologie weiter voranschreitet und mittlerweile Digital-Faxe genutzt werden, die nicht einmal mehr das Vorhandensein eines analogen Telefaxgerätes voraussetzen. Diese Technik ist zum einen begrüßenswert, zum anderen aber auch nicht mehr allzu „sicher“ (Stichwort: Postkarte). Die entsprechenden Transportwege sind für den Absender de facto nicht vorher einsehbar.
Dennoch greift die Einschätzung der Datenschutzbehörde etwas kurz, wenn es um die „normale Faxnutzung“ geht, davon ausgenommen die Übertragung von Art. 9 Daten der DSGVO. Denn gibt jemand in seinem Briefkopf eine Faxnummer an, so setzt er damit einen Vertrauenstatbestand in die Nutzung dieser Telefaxnummer, bzw. auch hinsichtlich des Transportwegs. Wenn zum Beispiel die Schadensabteilung eines Versicherers eine gesonderte Faxnummer im Briefkopf, respektive in der Email-Signatur angibt, so darf man darauf vertrauen können, dass auch nur dort die Informationen – und auch sicher – ankommen, gleich welcher Übertragungsweg im Hintergrund genutzt wird. In diesem Fall muss schließlich auch der Empfänger sicherstellen, dass er datenschutzkonform Daten verarbeitet.
Sicherlich muss im Einzelfall geprüft werden, welche Daten via Telefax übermittelt werden soll. Zuzustimmen ist der behördlichen Auffassung, dass Art. 9 Daten der DSGVO nicht einfach mehr per Telefax übermittelt werden sollten. Hierzu gibt es sichere Transportwege. Auch sollte eine individuelle Einwilligung desjenigen vorliegen, dessen Daten übermittelt werden sollen. Natürlich erscheint es einfach dazu auf den Postweg zu verweisen. Doch auch diese Ansicht dürfte nicht den technischen Fortschritt berücksichtigen, der aktuell stetig weiter voranschreitet.
Denkbar wäre dazu eher ein verschlüsselter Datenaustausch mittels digitaler Plattformen, über welche Daten zwischen Sender und Empfänger sicher ausgetauscht werden können und jede Partei einen eigenen verschlüsselten Zugang hat. Dieses sollte in der Versicherungsbranche der Status Quo werden, damit ein datenschutzkonformer Datenaustausch stattfinden kann. Diesbezüglich gibt es in der Versicherungsbranche viele Dienstleister, welcher mit sogenannten „Portallösungen“ – sogar als „White-Label-Produkten“ – Lösungen für Versicherungsvermittler und Versicherungsunternehmen anbieten. „Neu“ ist diese Idee des sicheren Datenaustauschs nicht; man muss diese am Markt vorhandenen Technologien nur nutzen.
Nachfolgend können weitere Informationen im Bereich des Informationstechnologierechts und des Datenschutzrechts nachgelesen werden: IT-Recht / Datenschutz.
Rechtsanwalt Björn Thorben M. Jöhnke ist Partner der Kanzlei Jöhnke & Reichow Rechtsanwälte und seit 2017 Fachanwalt für Versicherungsrecht. Während seiner Anwaltstätigkeit hat er bereits eine Vielzahl von gerichtlichen Verfahren im Versicherungsrecht geführt und erfolgreich für die Rechte von Versicherungsnehmern gestritten.
Mit unserer Kompetenz streiten wir ehrgeizig für Ihr Ziel, nämlich Ihre Interessen durchzusetzen! Wir freuen uns, dass unsere Mandanten-/-innen unser Engagement schätzen und positiv bewerten.
Verpassen Sie auch zukünftig keinen Beitrag unserer Kanzlei. Über unseren 2mal monatlich erscheinenden Newsletter erhalten Sie stets die aktuellen Beiträge unserer Kanzlei zu den Themen Versicherungsrecht, Bank- und Kapitalmarktrecht, Vertriebsrecht, Handelsvertreterrecht und Wettbewerbsrecht. Wir freuen uns auf Ihre Anmeldung.