Sind Faxgeräte datenschutzkonform?

Faxgeräte haben inzwischen Seltenheitswert und doch hat fast jedes Unternehmen immer noch eine Faxnummer. Aber genügt die Datenübertragung per Fax den Ansprüchen der DSGVO nach Datenschutz und kann das Faxgerät zur Übermittlung personenbezogener Daten genutzt werden?

Wie ist die Datenübertragung zu bewerten?

Zur Bewertung der Datenübertragung ist es wichtig zu wissen, was beim klassischen Faxen genau passiert: denn hier wird ein Dokument zeilenweise eingelesen und in Bildpunkte (Pixel) zerlegt. Diese Information wird anschließend komprimiert und über das Telefonnetz versandt. Darüber, welcher Algorithmus für diese Komprimierung verwendet wird, stimmen sich die beiden, an der Übertragung beteiligten, Geräte direkt nach dem Verbindungsaufbau ab. Anschließend setzt das Gerät des Empfängers die Pixel wieder zu einer Kopie des Originaldokumentes zusammen. Nach Abschluss der Übertragung kann der Absender den Versand zusätzlich durch einen Sendebericht dokumentieren.

Datenschutzrechtlich ist ein klassisches Faxgerät vor allem aufgrund der Unwägbarkeiten auf der Empfängerseite problematisch. Wer oder was sich genau hinter einer Faxnummer verbirgt, ist meistens völlig unklar und kann, anders als bei einem Telefonat, nicht ad hoc verifiziert werden. So kann zum Beispiel die Nummer für das gesamte Unternehmen gültig sein, durch einen Zahlendreher das Fax ganz woanders landen oder das empfangende Fax für jedermann zugänglich im Auslagefach eines Faxgerätes auftauchen, dass auf einem öffentlichen Flur steht.

Datenschutzrechtlich relevant ist außerdem die Veränderung weg vom klassischen Faxgerät hin zum Digitalfax. Viele Kopier- und Druckgeräte bieten eine solche Funktion an. Bei der Verwendung eines Digitalfax wird das Dokument zumeist in eine digitale Datei (z.B. PDF) umgewandelt und anschließend meist unverschlüsselt per E-Mail transportiert. Eine Verschlüsselung kann durch den Absender meist nicht erzwungen werden.

Was sagen die Gerichte?

Zur datenschutzrechtlichen Bewertung des Faxens gibt es ein Urteil des OVG Lüneburg vom 22.07.2020 in dem die Übermittlung von personenbezogenen Daten mittels Fax als rechtswidrig eingestuft wurde. Die Nutzung eines Faxgeräts könne jedoch in Ausnahmefällen zulässig sein, wenn zusätzliche Verschlüsselungsgeräte verwendet würden. Auch die bremische Landesbeauftragte für Datenschutz hat diesbezüglich Stellung bezogen und vergleicht den Versand eines Faxes mit dem einer offen einsehbaren Postkarte.

Fazit

Das Fax sollte zum Versand personenbezogener Daten nicht (mehr) genutzt werden. Als Alternative bieten sich Ende-zu-Ende verschlüsselte E-Mails, Downloads mit passwortgeschütztem Zugang oder der gute alte Brief an.