Sicherheitsrisiken bei Faxübermittlung
Die Debatte über die Abschaffung von Faxgeräten in Behörden zieht sich schon über Jahre. Dabei wird als Hauptargument regelmäßig angebracht, dass die Technik veraltet sei, wie zuletzt das Bayerische Staatsministerium für Digitales kundgab. Dabei bestehen bei Faxübermittlung aber auch verschiedene Sicherheitsrisiken aus datenschutzrechtlicher Sicht. Diese gelten übrigens genauso für private Unternehmen. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Lutz Hasse, nimmt die neu aufgeblühte Diskussion zum Anlass, die datenschutzrechtlichen Aspekte der Faxnutzung in einer Pressemitteilung vom 20.02.2024 genauer zu betrachten.
Kein sicheres Transportmittel
Der TLfDI bewertet die Übermittlung von Informationen per Fax grundsätzlich kritisch, da sie kein „sicheres Transportmittel“ seien. Insbesondere im Kontext sensibler Informationen gemäß Art. 9 Datenschutzgrundverordnung (DSGVO) seien verschlüsselte E-Mails oder Ende-zu-Ende-Verschlüsselungen geeigneter. Da bei Faxnachrichten eine solche Verschlüsselung fehlt, sind sie anfälliger für unbefugte Zugriffe. Ähnlich wertete dies auch schon der hessische Datenschutzbeauftragte. Im September 2021 sprach sich nämlich auch dieser in einer Stellungnahme gegen die Übermittlung personenbezogener Daten per Fax aus.
Verschlüsselung als wesentliches Merkmal
Bei der Bewertung, ob es sich um ein sicheres Transportmittel für personenbezogene Daten handelt, komme es auf die jeweiligen Umstände des Einzelfalls an. In der Pressemitteilung weist der TLfDI darauf hin, dass nach Art. 32 Abs. 1 DSGVO i. V. m. Art. 5 Abs. 1 lit. f DSGVO Verantwortliche sicherstellen müssen, dass nur autorisierte Personen Zugriff zu den Faxnachrichten erhalten. Unabhängig davon, ob die Verantwortlichen innerhalb ihrer Betriebe für sichere Verhältnisse sorgen, bestünde auf dem Transportweg selbst überhaupt keine Verschlüsselung. Um unbefugten Zugriff vorzubeugen, gäbe es lediglich selten eine Voice-over-IP Verbindung, die einer analogen Telefonleitung gleiche. Fehlt auch diese, existiere Schutz nur in rechtlicher Sicht durch das Telekommunikationsgesetz, nicht jedoch aus technischer Sicht.
Faxserver vs. analoge Faxgeräte
Ein analoges Faxgerät verschickt Dokumente über das Telefonnetz, in dem es die im Dokument enthaltenen Informationen in elektrische Signale umwandelt, die dann so von einem anderen Faxgerät empfangen werden können. Eine Alternative zum herkömmlichen Faxgerät ist der Einsatz von Faxservern, die eine digitale Verarbeitung und Übermittlung von Faxnachrichten ermöglichen. Der Faxserver „simuliert“ dabei das analoge Faxgerät, speichert jedoch die Informationen digital. Dies bietet zwar eine effizientere und flexiblere Nutzung, schafft aber auch neue Schwachstellen. Insbesondere, wenn der Faxserver zentralisiert ist, gibt es eine Vielzahl von Angriffspunkten. Um die digitale Speicherung der Daten den erforderlichen Sicherheitsvorkehrungen anzupassen, schlägt der TLfDI verschiedene Maßnahmen vor. Darunter falle etwa die „Nutzerauthentifizierung, Festplattenverschlüsselung, sicheres Löschen und Virenscanner.
Ergebnis: Finger weg vom Faxgerät
Für den TLfDI überwiegen bei der Faxübermittlung die Sicherheitsrisiken, weshalb er grundsätzlich von einer Nutzung abrät. Unter der Beachtung der datenschutzrechtlichen Risikoabschätzung könne man „selbstverständlich in begründeten dringlichen“ Fällen solche Geräte verwenden. Zum Beispiel hätten in medizinischen Notsituationen der Schutz von Leben und Gesundheit Vorrang vor potenziellen Datenschutzverletzungen.
Fazit
Die Diskussion über die Sicherheitsrisiken bei Faxübermittlung verdeutlicht, welche Vorteile die Digitalisierung der Verwaltung (und privater Unternehmen) haben kann. Hierbei geht es nicht immer lediglich darum, das hübscheste, schnellste oder effizienteste Gerät zu besitzen. Vielmehr bringt häufig neue Technik auch mehr Sicherheit. Deshalb sollten Unternehmen und Behörden ihre Kommunikationswege auf datenschutzrechtliche Risiken kontrollieren, und ihre Systeme gegebenenfalls anpassen.
