In letzter Zeit mehren sich Stimmen, die mit Blick auf Datenschutzaspekte (DSGVO) von der Übermittlung von personenbezogenen Daten per Fax abraten. Zuletzt gab es eine derartige Positionierung von der Bremer Landesdatenschutzbeauftragten. Dabei werden häufig zwei Argumente angeführt:
- Das Internet ist einfacher abzuhören als eine klassische Telefonleitung
Das Abhören von Daten wäre im Fall von Fax-over-IP einfacher als auf ISDN bzw. analoger Telefonie.
- Der Versender weiß nicht, wie der Empfänger Dokumente entgegennimmt
Es ist demnach nicht ersichtlich, ob eine Faxnummer auf einem Fax-to-Mail-Dienst terminiert und danach unverschlüsselt per E-Mail weitergeleitet wird.
Grundsätzlich muss gesagt werden, dass auf so einen komplexen Sachverhalt nicht pauschal geantwortet werden kann. Dies vorangestellt sind beide Argumente auf den ersten Blick valide.
Zum ersten Argument ist anzumerken, dass die IP-Strecken für Telefonie nicht grundsätzlich mit dem Internet gleichzusetzen sind. Darüber hinaus sind SRTP-verschlüsselte IP-Strecken, wie sie zurzeit deutschlandweit verfügbar sind, deutlich schwieriger mitzuschneiden als klassische Telefonleitungen. Dies bedeutet, dass auch die Faxkommunikation und die darüber versendeten Dokumente in solchen Netzen schwerer abzugreifen sind, was den Transportweg deutlich sicherer macht.
Beim zweiten Punkt ist diskutabel, wer hier die DSGVO bricht – der ursprüngliche Sender des Faxdokuments oder derjenige, der seinen Empfangspfad über E-Mail leitet? Ist derjenige, der alles Mögliche veranlasst, ein Dokument sicher zu versenden, verantwortlich oder derjenige, der mit vertraulichen Daten sorglos umgeht? Und welches Verfahren garantiert eben diesen verantwortungsvollen Umgang mit personenbezogenen Daten auf der Empfängerseite? Es kann also festgehalten werden, dass nie eine Technologie datenschutzkonform ist, sondern entscheidend ist, wie diese Technologie in Prozesse implementiert und genutzt wird.
Richtig ist, dass die Fax-Technologie, die Ende der 1980iger Jahre ihre Hoch-Zeit hatte, nicht auf Anforderungen im Jahr 2018 vorbereitet war. Jedoch entwickelt sich Technologie, ebenso wie der Datenschutz, ständig weiter. Kommen neue datenschutzrechtliche Anforderungen oder Aspekte hinzu, reagiert die Technologie darauf. Heutige Faxserver-Systeme können sowohl auf der analogen Leitung oder der IP-Stecke verschlüsselt übertragen. Dabei kommt sowohl Transportverschlüsselung per SRTP als auch Ende-zu-Ende-Verschlüsselung der Dokumente zum Einsatz. Hierbei sind durch den vollautomatischen Schlüsselaustausch Bedienfehler sogar ausgeschlossen.
Fax ist also – richtig eingesetzt – datenschutzkonform!