Kategorien
Neueste Beiträge
Datenschutz beim Faxen
Der Datenschutz beim Faxen ist aktuell in aller Munde. Der Grund dafür ist wohl eine in Mai 2021 aktualisierte veröffentlichte Orientierungs- und Handlungshilfe der bremischen Landesbeauftragten für Datenschutz und Informationsfreiheit (mehr dazu hier).
Altbekannte Vorgänge
Das Faxen bewährte sich für Jahrzehnte vorrangig in Büros, Arztpraxen und Kanzleien. Da nun die Aufmerksamkeit auch aufgrund des technischen Wandels auf den Datenschutz bei Faxen gelenkt wurde, ist allerdings ein Umdenken gefordert. Fax-Daten werden nicht mehr über Telefonleitungen von Punkt zu Punkt übertragen, sondern durch die Umstellung auf IP-Telefonie per Datenpakete über Internet. Zudem werden Fax-Sendungen auf der Empfängerseite oft nicht mehr auf Papier ausgegeben. Stattdessen werden sie digitalisiert als E-Mail-Anhang – unverschlüsselt – an eine vom Empfänger gewählte E-Mail-Adresse weitergeleitet.
Sensible personenbezogene Daten
Insbesondere ist hierbei zu betrachten, in welchen Bereichen das Versenden eines Faxes besonders häufig zum Einsatz kommt. Das ist beispielsweise im Verwaltungs-, Rechts- und Gesundheitssektor. Dabei existiert die Wahrscheinlichkeit, dass auch besonders sensible Daten gemäß Art. 9 Abs. 1 DSGVO oder Art. 10 DSGVO verarbeitet – in diesem Fall versandt und empfangen – werden. Verantwortliche – also jeder, der personenbezogene Daten per Fax versendet – sollten den Datenschutz beim Faxen unbedingt umsetzen. Datenschützer empfehlen sogar dringendst, personenbezogene Daten – insbesondere solche besonderer Kategorien – gar nicht per Fax zu versenden.
Meinungen der Datenschutzaufsichtsbehörden
Die Meinung der bremischen Landesbeauftragten für Datenschutz und Informationsfreiheit vertritt auch die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg gemäß ihres Tätigkeitsberichtes 2019 (Ziff. 3.2. zur Fax- und E-Mail-Kommunikation im Gesundheitsbereich). Danach sollen Ärzte Patientendaten nur ausnahmsweise faxen und zudem einige organisatorische Sicherheitsmaßnahmen einhalten. Der Bayerische Landesbeauftragte für den Datenschutz äußert sich ablehnend zur Fax-Kommunikation durch Behörden und betont dabei auch die Gefahr von Irrläufern durch Tippfehler oder Personenwechsel auf der Empfängerseite (unter dem Link hier zu finden).
Sicherheitsmaßnahmen zum Schutz der Daten
Um die Daten beim Faxen zu schützen, sind mindestens folgende Maßnahmen zu empfehlen:
1) Überprüfung, ob die Daten überhaupt per Fax verschickt werden müssen oder nicht besser alternative oder datenschutzfreundliche Kommunikationswege verfügbar sind,
2) Einsatz eines Fax-Deckblattes mit Hinweisen zum Verhalten bei Irrläufern, Ansprechpartner und Anzahl der Seiten,
3) Sicherstellen, dass die Nummer für den jeweiligen Fax-Empfänger noch aktuell ist (Fax-Nummern werden beispielsweise bei Umzug innerhalb weniger Wochen neu vergeben),
4) Überprüfung der eingegebenen Fax-Nummer vor Versand (Zahlendreher sind gängige Fehlerquellen),
5) vor Fax-Versand telefonische Absprache mit dem Empfänger zum bevorstehenden Versand,
6) Pseudonymisierung der Fax-Sendung mit anschließender telefonischer Zuordnung zu der jeweiligen Person (dies stellt allerdings einen hohen organisatorischen Aufwand dar),
7) verschlüsselter Versand (ansonsten ist das datenschutzrechtliche Schutzniveau mit dem eines unverschlossenen Briefes vergleichbar und der Fax-Verkehr ist wie ein Telefongespräch abhörbar),
8) Aufstellen des Fax-Gerätes in einer Weise, dass unbefugte Dritte keinen Einblick erhalten können,
9) sofortiges Entfernen des analogen Dokuments mit den Daten, um zu vermeiden, dass es in die Hände unbefugter Dritter gelangt,
10) Änderung der voreingestellten (Standard-)Passwörter/PIN-Nummern, da diese oftmals in den Anleitungen auffindbar sind und heutzutage auch im Internet recherchiert werden können,
11) Sperrung der Fernwartungsmöglichkeit, wenn nicht benötigt,
12) regelmäßige Überprüfung eventueller Fehleinstellungen,
13) Löschung aller auf einem Faxgerät gespeicherter Daten, wenn nicht mehr benötigt,
14) Deaktivierung nicht benötigter Dienste.
Die genannten Maßnahmen sind nur Beispiele. Die Möglichkeiten umsetzbarer Schritte zum Schutz der Daten beim Faxen gehen weit darüber hinaus. Die jeweils einzuführenden Maßnahmen hängen allerdings auch vom Stand der Technik, den Kosten etc. ab.
Risiken bei fehlenden Maßnahmen zum Datenschutz
Kommt es zu einem Datenschutzvorfall und offenbart sich, dass ein Verantwortlicher keine technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten beim Faxen eingeführt hat, drohen nicht unerhebliche Bußgelder oder gegebenenfalls sogar Schadensersatzansprüche. Berufsgeheimnisträger, also Angehörige bestimmter Berufe wie beispielsweise Ärzte, Rechtsanwälte, Berufspsychologen, Sozialarbeiter etc., machen sich bei Verletzung der Geheimhaltungspflicht gegebenenfalls sogar gemäß § 203 StGB (Verletzung von Privatgeheimnissen) strafbar.
Fazit
Die Digitalisierung schreitet voran. Dabei den Datenschutz beim Fax-Einsatz aufrecht zu erhalten, kann sich als sehr aufwendig herausstellen. Es kann daher sogar leichter sein, den Datenschutz bei der Kommunikation durch verschlüsselten E-Mail-Versand zu gewährleisten. Das schon deswegen, weil es hier kostenlose Varianten gibt.
Es gilt also, die Umsetzung des Datenschutzes nicht weiter in die Zukunft zu verschieben oder die Wichtigkeit des Datenschutzes zu negieren. Wie oben erwähnt, kann das Ignorieren der Datenschutzvorgaben insgesamt schwerwiegende Folgen für Ihre Einrichtung haben. Wenn Sie bisher also noch keine Maßnahmen und Regeln zum Datenschutz, insbesondere bei der Kommunikation, eingeführt haben, empfehlen wir, dies dringend nachzuholen. Dabei helfen wir als Spezialisten im Datenschutz gern. Kontaktieren Sie uns für ein unverbindliches Angebot.
___________________________________________________________________
Update (08.02.2022)
Der Bayerische Landesbeauftragte für den Datenschutz gab am 03.02.2022 ein Arbeitspapier zum Datenschutz bei der Nutzung von Telefax-Diensten heraus. (Die Pressemitteilung und das Arbeitspapier finden Interessierte hier.)
In dem Dokument betrachtet die BayLDA die Risiken für die Rechte und Freiheiten für betroffene Personen beim Faxversand durch öffentliche Stellen. Anhand verschiedene Risikoszenarien erläutert sie situationsabhängig die Vertretbarkeit des Einsatzes von Faxgeräten. Generell entsteht der Eindruck, dass die Nutzung von Faxgeräten als vertretbar erachtet wird, sofern der Verantwortliche entsprechende technische und organisatorische Maßnahmen vornimmt.