Stellt dir Übermittlung von personenbezogenen Daten per Telefax einen Verstoß gegen die Datenschutz-Grundverordnung dar? Diese Frage beantwortet der – unter anderem – Hessische Datenschutzbeauftragter in einer aktuellen Stellungnahme. Bereits im Mai 2021 hat sich die Bremische Landesbeauftragte für Datenschutz im Rahmen einer Stellungnahme (Datenschutzrecht: Verstößt die Nutzung eines Telefaxes gegen die Datenschutz-Grundverordnung) dazu geäußert. Dieser Artikel gibt eine Zusammenfassung und Übersicht der datenschutzrechtlichen Fragestellungen.
Die Übermittlung von Daten per Telefax ist in der Praxis – u. a. bei Rechtsanwälten, Gerichten, Behörden und im Gesundheitswesen – nach wie vor sehr weit verbreitet. Allerdings ist der Faxversand mittlerweile durch diverse technische Veränderungen informationstechnisch als unsicheres Kommunikationsmittel einzustufen. Daher ist Verantwortlichen – im datenschutzrechtlichen Sinn – zu empfehlen, im Interesse der Datensicherheit und vor dem Hintergrund der fortschreitenden Digitalisierung zeitnah alternative Kommunikationsmittel zu prüfen und einzuführen.
Der Faxversand weise grundsätzlich vergleichbare Risiken auf, die auch beim unverschlüsselten Versand von E-Mail-Nachrichten gegeben seien. Dabei handele es sich insbesondere um Risiken, wie das unbefugte Gelangen personenbezogener Daten an Dritte, wenn beispielsweise die Zielfaxnummer nicht korrekt eingegeben wird. Ein weiteres Risiko bilde der Fall, dass es dem Absender in der Regel nicht bekannt sein werde, wer auf Empfängerseite Zugang zu einem etwaigen Empfangsgerät hat und wo eben dieses Gerät steht.
Der Hessische Datenschutzbeauftrage führt in seiner Stellungnahme weiter aus, dass bei der heutzutage weit überwiegend genutzten paketvermittelten Übertragungsmethode als Fax over IP (FoIP) über das Internet oder bei der Nutzung von Diensten, die Faxe automatisiert in E-Mails umwandeln, die Daten in der Regel nicht verschlüsselt und damit ungeschützt übertragen werden. Dies stelle ein weiteres Risiko im Rahmen der Übermittlung von personenbezogenen Daten dar. Durch die Übertragung über mehrere verteilte Zwischenstellen bestehe dabei grundsätzlich eine Zugriffsmöglichkeit für unbefugte Dritte. Im Ergebnis sei die Übermittlung von personenbezogenen Daten per Fax daher mit dem Risiko des Verlustes der Vertraulichkeit der übermittelten Daten behaftet.
Der Datenschutzbeauftragte empfehle daher, dass personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, grundsätzlich nicht per Fax übertragen werden sollten, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern vorhanden sind. Insoweit komme insbesondere der Einsatz standardisierter Verschlüsselungstechnologie für den Verbindungsaufbau und die Übertragung von Daten in Betracht. In der Stellungnahme heißt es weiter, es sei dabei darauf zu achten, dass von einer sicheren Voice-over-IP-Verbindung (VoIP) nicht automatisch auf eine sichere Faxübertragung geschlossen werden kann, da für die beiden Anwendungsszenarien verschiedene technische Protokolle mit unterschiedlichen Voraussetzungen für eine Verschlüsselung zum Einsatz kommen. Vielmehr müsse die korrekte Auswahl und Kompatibilität der verwendeten Protokolle für die Faxübertragung geprüft werden, so der Hessische Datenschutzbeauftragte.
Im Ergebnis beschränkt der Hessische Datenschutzbeauftragte das gewünschte Verbot der Übermittlung von Daten per Fax nicht nur auf besondere personenbezogene Daten nach Art. 9 DSGVO (z.B. Gesundheitsdaten), sondern spricht ganz allgemein von personenbezogenen Daten, die einen besonderen Schutzbedarf aufweisen. Die Untersagung kann somit für alle Arten von Daten gelten. Insbesondere dann, wenn personenbezogene Daten einen hohen Schutzbedarf aufweisen, kann – nach dieser Ansicht – die Übermittlung per unverschlüsseltem Fax einen Verstoß gegen Art. 5 Abs. 1 lit.f und Art. 32 DSGVO darstellen. So verpflichtet die DSGVO Verantwortliche, das Fax als Kommunikationsmittel zu prüfen und zur schnellen und datenschutzkonformen Kommunikation auf andere digitale Lösungen umzustellen.
Zunächst ist die Erkenntnis richtig, dass die Technologie weiter voranschreitet und mittlerweile Digital-Faxe genutzt werden, die nicht einmal mehr das Vorhandensein eines analogen Telefaxgerätes voraussetzen. Dieser Fortschritt ist zum einen begrüßenswert, zum anderen aber auch nicht mehr allzu „sicher“ (Stichwort: unverschlüsselte E-Mail). Die entsprechenden Transportwege sind für den Absender der Nachricht vorher kaum mehr prüfbar.
Dennoch darf nicht vergessen werden, dass auch der Empfänger der Nachricht für sich genommen datenschutzrechtliche Vorschriften einhalten muss. Denn gibt jemand in seinem Briefkopf eine Faxnummer an, so setzt er damit einen Vertrauenstatbestand in die Nutzung dieser Telefaxnummer, bzw. auch hinsichtlich des Transportwegs. Wenn zum Beispiel die Schadensabteilung eines Versicherers eine gesonderte Faxnummer im Briefkopf, respektive in der Email-Signatur angibt, so darf man darauf vertrauen können, dass auch nur dort die Informationen ankommen, gleich welcher Übertragungsweg. Deswegen greift es etwas kurz lediglich und ausschließlich den Versender der Nachricht in die Verantwortung zu ziehen. Auch die Empfänger einer Nachricht müssen den sicheren Empfang einer Nachricht gewährleisten.
Selbstredend kommt es auch immer auf die Art der zu übertragenden Daten an. Je sensibler die Daten, desto schutzbedürftiger sind sie. Daran geknüpft ist demgemäß auch die sorgsame Überprüfung des Übertragungsweges durch den Absender als datenschutzrechtlich Verantwortlichen. Es sollte also immer im Einzelfall geprüft werden, welche Daten via Telefax übermittelt werden sollen. Zuzustimmen ist der Auffassung der Datenschutzbehörde, dass Art. 9 Daten der DSGVO nicht einfach mehr per Telefax übermittelt werden sollten. Hierzu gibt es sicherer Transportwege. Auch sollte eine individuelle Einwilligung desjenigen vorliegen, dessen Daten übermittelt werden sollen.
Denkbar wäre dazu eher ein verschlüsselter Datenaustausch mittels digitaler Plattformen, über welche Daten zwischen Sender und Empfänger sicher ausgetauscht werden können und jede Partei einen eigenen verschlüsselten Zugang hat. Gemeint sind damit sogenannte „Portallösungen“, bei denen die Kommunikationspartner Nachrichten und Inhalte verschlüsselt abrufen und bereitstellen können. Dieses wird auch in der behördlichen Stellungnahme erwähnt. Derartige Plattformen sollten in der Versicherungsbranche zeitnah der Status Quo werden, damit ein datenschutzkonformer Datenaustausch gewährleistet werden kann.
Nachfolgend können weitere Informationen im Bereich des Informationstechnologierechts und des Datenschutzrechts nachgelesen werden: IT-Recht / Datenschutz.
Rechtsanwalt Björn Thorben M. Jöhnke ist Partner der Kanzlei Jöhnke & Reichow Rechtsanwälte und seit 2017 Fachanwalt für Versicherungsrecht. Während seiner Anwaltstätigkeit hat er bereits eine Vielzahl von gerichtlichen Verfahren im Versicherungsrecht geführt und erfolgreich für die Rechte von Versicherungsnehmern gestritten.
Mit unserer Kompetenz streiten wir ehrgeizig für Ihr Ziel, nämlich Ihre Interessen durchzusetzen! Wir freuen uns, dass unsere Mandanten-/-innen unser Engagement schätzen und positiv bewerten.
Verpassen Sie auch zukünftig keinen Beitrag unserer Kanzlei. Über unseren 2mal monatlich erscheinenden Newsletter erhalten Sie stets die aktuellen Beiträge unserer Kanzlei zu den Themen Versicherungsrecht, Bank- und Kapitalmarktrecht, Vertriebsrecht, Handelsvertreterrecht und Wettbewerbsrecht. Wir freuen uns auf Ihre Anmeldung.