Um die gesetzlichen Regeln zum Datenschutz einzuhalten, sollten personenbezogene Daten nicht ohne entsprechende Verschlüsselungstechnik per Fax übermittelt werden.

Das Fax eroberte in den 80ern die deutschen Büros und wird noch heute von Unternehmen, Behörden und Gerichten zur Kommunikation verwendet. Die technischen Rahmenbedingungen und auch die Ansprüche an den Datenschutz haben sich seither jedoch gravierend geändert, sodass der Versand sensibler Daten über das Fax nur unter bestimmten Voraussetzungen noch möglich ist, ohne dabei gegen das Datenschutzrecht zu verstoßen. Einige Datenschutzbehörden und ein Oberverwaltungsgericht haben sich bereits entsprechend positioniert, andere werden möglicherweise folgen. Grund genug für all jene, die das Fax noch regelmäßig nutzen, ihre Systeme zu hinterfragen. Insbesondere der Aufbau und die Aufrechterhaltung einer funktionierenden datenschutzrechtlichen- und IT-seitigen Compliance-Struktur sind von großer Bedeutung, nicht zuletzt auch vor dem Hintergrund drohender Bußgelder auf Grundlage der Datenschutz-Grundverordnung.

Sicherheitslücken bei Faxen

Der Grund für die Kritik am Fax ist die Digitalisierung der Endgeräte und der Faxübermittlung. Ursprünglich wurden Faxe über Ende-zu-Ende-verschlüsselte Telefonleitungen verschickt. Heute verfügen die meisten Unternehmen jedoch nicht mehr über einen analogen Telefonanschluss oder einen ISDN-Anschluss, über die der Versand von Faxen als relativ sicher galt. Stattdessen senden und empfangen die meisten Unternehmen Daten auch beim Telefonieren und Faxen über das Internet, die Verfahren nennen sich „Voice over IP“ (VoIP) und „Fax over IP“ (FoIP). Dabei werden die Daten als Datenpakete über das Internet verschickt. Bis 2022 sollen alle analogen Anschlüsse und ISDN-Anschlüsse auf dieses System umgestellt sein. Hinzu kommt, dass viele Unternehmen heute auch nicht mehr über klassische Fax-Geräte verfügen, sondern über Fotokopierer mit Fax-Funktion oder Fax-Server, die Faxe in E-Mails umwandeln und als solche übertragen.

Daher liegt das Datenschutzniveau eines Fax heute in aller Regel auf dem gleichen Level wie das einer unverschlüsselten E-Mail: Ohne entsprechende Verschlüsselungstechnik auf beiden Seiten – Empfänger wie Absender – kann nicht gewährleistet werden, dass Daten bei der Übertragung nicht abgefangen werden. Faxe sind daher nicht für die Übertragung sensibler personenbezogener Daten geeignet, es sei denn, der Sender des Faxes kann sicher sein, dass sowohl seine eigene technische Infrastruktur als auch die des Empfängers die übertragenen Daten angemessen verschlüsselt. Das datenschutzkonforme Faxen ist damit nicht unmöglich; entscheidend sind die tatsächlich angewendeten Sicherheits- und Verschlüsselungseinstellungen sowohl beim Absender als auch beim Empfänger sowie während des Übertragungsweges.

Verschlüsselungsmöglichkeiten beim Versand

Gerade wenn Daten mit erhöhtem Schutzbedarf übermittelt werden sollen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Signalisierung durch kryptografische Verfahren zu verschlüsseln. In seinem Baustein NET.4.2. VOIP Edition 2021 (PDF/158 KB) heißt es: „Mediendaten und Informationen zur Steuerung dieser Daten, die über das Real-Time Transport Protocol (RTP) übertragen werden, SOLLTEN in geeigneter Weise geschützt werden. Die Nutzdaten SOLLTEN durch den Einsatz von Secure Real-Time Transport Protocol (SRTP) beziehungsweise Secure Real-Time Control Protocol (SRTCP) geschützt werden. Die sicherheitsrelevanten Optionen der Implementierung des Protokolls SOLLTEN dokumentiert werden.“

Allerdings erfolgt bei diesen Verfahren der Schlüsselaustausch im Klartext über das Internet, wo der Schlüssel abgefangen werden kann. Wer ein noch höheres Schutzniveau erreichen will, kann das Session Initiation Protocol um Transport Layer Security ergänzen. In diesem Fall wird auch der Schlüsselaustausch verschlüsselt.

Doch selbst wenn der Sender eines Faxes über ein angemessenes Verschlüsselungssystem für seine Faxe verfügt, kann er sich nicht immer sicher sein, dass auch der Empfänger ein angemessenes Schutzniveau in seinen Systemen erreicht hat. Daher sollten sensible Daten nur dann gefaxt werden, wenn die technischen Voraussetzungen auch auf Empfängerseite bekannt sind und somit außer Frage steht, dass das Fax und die in ihm enthaltenen Daten auf dem gesamten Übertragungsweg angemessen geschützt sind. Hierbei sollte nicht nur die Verschlüsselung von Informationen, die mittels FoIP übermittelt werden, in den Blick genommen werden, sondern auch sämtliche Systeme, die eingehende Faxe in E-Mails umwandeln, da es hierbei zu zusätzlichen Sicherheitslücken kommen kann.

Alternativen

Wer nicht gewährleisten kann, dass sowohl der Versand als auch der Empfang eines Faxes mit der nötigen Verschlüsselungstechnik erfolgt, sollte gänzlich darauf verzichten, personenbezogene Daten per Fax zu übermitteln, und stattdessen verschlüsselte E-Mails oder den Postweg nutzen. Gerade Behörden und Gerichte setzen auch heute, in Zeiten des elektronischen Rechtsverkehrs, noch vielfach das Fax zur Übermittlung von Bescheiden, Entscheidungen und sonstiger Korrespondenz ein. Für privatwirtschaftliche Unternehmen, die zumeist schon auf E-Mail-Versand anstatt Faxen umgestellt haben, dürfte ein Umschwenken auf andere Kommunikationswege daher regelmäßig mit weniger Widerstand und Aufwand verbunden sein. Wichtig in diesem Zusammenhang ist neben der tatsächlichen Sicherstellung einer technisch und rechtlich sicheren Lösung auch die Information und gegebenenfalls Schulung der Beschäftigten über die zu nutzenden Datenübertragungswege und deren ordnungsgemäße Handhabung.