Dinosaurier Telefax: Aus durch die DSGVO?

von Dr. Axel Spies, veröffentlicht am 13.10.2021
Rechtsgebiete: WirtschaftsrechtComplianceDatenschutzrecht8|1638 Aufrufe

Das in vielen Branchen immer noch eine beachtliche Rolle spielende Fax-Gerät wird erneut von einem LfDI (Hessen) in einem ausführlichen Beitrag als nicht DSGVO-konform bewertet.

Jedenfalls sei dies dann der Fall, wenn es sich um personenbezogene Daten mit einem besonderen Schutzbedarf handelt. Die LfDI für Bremen hatte sich zum Thema Fax-Übertragung bereits im Frühjahr geäußert.

Zitat: 

„Insbesondere dann, wenn personenbezogene Daten einen hohen Schutzbedarf aufweisen, kann die Übermittlung per unverschlüsseltem Fax einen Verstoß gegen Art. 5 Abs. 1 lit. f und Art. 32 DSGVO darstellen. Die DSGVO verpflichtet Verantwortliche daher, das Fax als Kommunikationsmittel auf den Prüfstand zu stellen und zur schnellen und datenschutzkonformen Kommunikation auf andere digitale Lösungen umzustellen. Wie sich an dem Beispiel der Übermittlung personenbezogener Daten mittels Faxgeräten zeigt, steht die Beachtung der Grundsätze des Datenschutzes dem Voranschreiten der Digitalisierung nicht im Wege, sondern leistet einen Beitrag, diese weiter zu unterstützen. [...] 

In Ausnahmefällen, z. B. wenn die besondere Eilbedürftigkeit dies erforderlich macht und sichergestellt ist, dass die Sendung nur dem richtigen Empfänger zugeht (z.B. gespeicherte Zielnummern), kann auch die Versendung besonders schutzbedürftiger personenbezogener Daten mittels Fax rechtmäßig sein. Dies gilt aber nur dann, wenn kein alternatives, datenschutzkonformes Kommunikationsmittel genutzt werden kann und dem Verantwortlichen insofern kein alternatives Kommunikationsmittel zur Verfügung steht."

Die Datenschutzbeauftragte für das Land Bremen hatte sich im Mai u.a. so geäußert: 

Technische Änderungen in den Telefonnetzen sorgen jetzt dafür, dass keine exklusiven Leitungen mehr genutzt werden, sondern die Daten paketweise in Netzen transportiert werden, die auf Internet-Technologie beruhen. 

Zudem kann nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät existiert. Meist werden Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten. 

Aufgrund dieser Umstände hat ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail (welche oftmals mit der offen einsehbaren Postkarte verglichen wird). Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet.

Für die Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der Datenschutzgrundverordnung ist die Nutzung von Fax-Diensten unzulässig.“

Was meinen Sie, ist das das Ende des Telefaxes als gesetzeskonformes Übertragungsmedium? Kann z.B. der vom Hessischen LfDI erwähnte Kommunikationsdienst KIM für Arztbriefe, Befunde etc. das Faxgerät im Gesundheitsbereich ersetzen?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

8 Kommentare

Kommentare als Feed abonnieren

Finde ich nicht einleuchtend, was die Behörden da schreiben. Telefax war jahrzehntelang auch bei den Datenschutzbehörden im Einsatz. Der Bayrische Landesbeauftragte gibt z.B. immer noch eine Faxnummer an.

https://www.datenschutz-bayern.de/vorstell/impressum.html

Das KIM oder BeA sind zu häufig unzuverlässig und verlangen Gebühren.

0

Sind denn Fälle bekannt, in denen von Gerichten an rechtsanwaltskanzleien oder von Rechtsanwaltskanzleien an gerichte abgesendete Telefaxe durch Dritte abgefangen und deren Inhalte mißbraucht worden sind?

0

Mir nicht. Und da das Zusenden eine Faxes einzeln zu unregelmäßigen Zeiten über das Telefonnetz erfolgt, dürfte es für Hacker mühsam sein, Telefaxe herauszufischen und derem Inhalte zu mißbrauchen.

Man kann nicht wie die Datenschutzbehörden Wasser predigen und selbst Wein trinken.

0

Technisch gesehen spielt es keine Rolle ob telefoniert oder gefaxt wird. In beiden Fällen werden die Informationen in Datenpakete umgewandelt und mittels Session Initiation Protocol (SIP) über das Internet versendet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierfür einen Baustein veröffentlicht: NET.4.2: VoIP (Edition 2021). https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/09_NET_Netze_und_Kommunikation/NET_4_2_VoIP_Edition_2021.pdf?__blob=publicationFile&v=2

Zur Übertragung der Datenpakete wird ausgeführt:

„2.3 Abhören von Telefongesprächen
Wenn Telefongespräche oder Daten unverschlüsselt übertragen werden, könnten Angreifer grundsätzlich Informationen mithören oder mitlesen. So könnten sie beispielsweise die Telefonkabel direkt anzapfen oder an einer zwischen den  esprächsteilnehmern vermittelnden TK-Anlage lauschen. Bei VoIP können Telefongespräche und Datenübertragungen sogar einfacher als bei klassischen TK-Anlagen abgehört werden. Alle Sprachinformationen werden innerhalb eines Medienstroms, beispielsweise mit dem Realtime Transport Protocol (RTP), übertragen. Durch Techniken wie Spoofing und  Sniffing stehen bei VoIP den Angreifern auch alle Möglichkeiten von Angriffen in  Datennetzen zur Verfügung.“

Bei einem erhöhten Schutzbedarf (insbesondere bei der Verarbeitung besonderer Kategorien personenbezogener Daten) sollten nach Ansicht des BIS folgende Maßnahmen getroffen werden:

„NET.4.2.A14 Verschlüsselung der Signalisierung (H)

Die Integrität und Vertraulichkeit der Signalisierungsinformationen SOLLTE durch geeignete kryptografische Verfahren gewährleistet werden. Nicht nur die Nutzdaten, sondern auch die Authentisierungsdaten SOLLTEN durchgängig verschlüsselt werden. Der Zugriff auf das VoIP-Gateway SOLLTE durch VoIP-Adressen und H.323-Identitäten so weit wie möglich eingeschränkt werden. Es SOLLTEN zusätzlich Ende-zu-Ende-Sicherheitsmechanismen für den Medientransport und die Signalisierung benutzt werden. Es SOLLTE dokumentiert werden, wie die Signalisierung geschützt wird.

NET.4.2.A15 Sicherer Medientransport mit SRTP (H)

Mediendaten und Informationen zur Steuerung dieser Daten, die über das Real-Time Transport Protocol (RTP) übertragen werden, SOLLTEN in geeigneter Weise geschützt werden. Die Nutzdaten SOLLTEN durch den Einsatz von Secure Real-Time Transport Protocol (SRTP) beziehungsweise Secure Real-Time Control Protocol (SRTCP) geschützt werden. Die sicherheitsrelevanten Optionen der Implementierung des Protokolls SOLLTEN dokumentiert werden.“

0

Wer hat ein Interesse daran, Klageschriften und Klageerwiderungen sowie weitere Schriftsätze zu lesen?

Normalerweise doch wohl nur Kläger und Beklagter, und die lesen das ja sowieso, werden also wohl kaum einen Telefonkotenpunkt anzapfen um die generischen Telefaxe zu lesen.

Involvierte Haftpflichtversicherungen könnten ein Interesse haben, aber die würden wohl ohnehin Akteneinsicht erhalten wenn sie diese beantragen.

In Einzelfällen könnten jedoch auch Konkurrenten einer Partei Interesse haben fremde Gerichtspost zu lesen, zum Beispiel bei Korrespondenz mit dem Patentamt oder Patentgericht.

Denkbar wäre auch, daß die Regenbogenpresse sich für von Prominten geführte Scheidungsverfahren oder Nichtehelichenunterhaltsverfahren interessiert.

In besonderen Einzelfällen könnten auch Detekteien erpicht darauf sein Inhalte aus fremden Prozessen zu erfahren.

Solche Fälle dürften allerdings sämtlich seltene Ausnahmen sein.

Da Gerichtsverhandlungen grundsätzlich öffentlich stattfinden, kann normalerweise sowieso jedermann der möchte die Prozesse verfolgen.

Bei nichtöffentlichen Verhandlungen ist dagegen wohl eher ein erhöhtes Interesse an Vertraulichkeit zu vermuten.

0

Genau. Um im Gesundheitsbereich führt die Entscheidung gegen Telefaxe auch ins Nichts. Wenn Telefaxe wie Sprache übermittelt werden (siehe oben), dürfte der Arzt auch nicht mehr eine Diagnose per Telefon durchgeben. All das ist eine undurchdachte Gängelei durch die DSGVO-Aktivisten.

0

Verschiedne Leute mögen auch keine Telefaxe.

Manche Leute fürchten sich vor spontanen Beschwerden oder Reklamationen oder Zahlungserinnerungen oder Kündigungen, und solche Leute wollen oft schlicht und einfach nicht mehr per Telefax erreichbar sein - dabei machen sie meisten auch keine E-Mail-Adressen mehr bekannt, sondern benutzen nur "no-reply-e-mail-adressen", und Einschreiben mit Rückschein kommen aufgrund Umleitung in einn Postfach auch wieder an den Absender zurück.

Selbst nahmhafte große Konzerne versuchen, alle Kontakte auf Kontaktformulare ihrer Homepage oder auf ein Call-Center umzuleiten, um nur ja nicht nachweisbar eine Beschwerde-E-Mail oder ein Kündigungs- oder Reklamations-Fax zu erhalten.

Insbesondere internationale Konzerne finden den Empfang von Telefaxen auch zu teuer, immerhin kostet der Ausruck Papier und Toner.

Und Betreiber moderner Kommunikationsdienste betrachten Telefaxverkehr wohl manchmal als lästige Konkurrenz.

Auch Behörden sowie gerichtliche Geschäftstellen empfinden den Empfang von Telefaxen oft umständlich und lästig, und wollen schlicht und einfach keine Telefaxe mehr zugeschickt bekommen.

Für Rechtsanwälte und inbesondere für nicht anwaltliche vertretene Bürger ist das Telefax aber nach wie oft vor eine praktische Alternative zu den sonstigen Versand- und Kommunikationswegen.

0

Kommentar hinzufügen

/