Im geschäftlichen Verkehr und gerade bei der Kommunikation unter Juristen (z.B. zwischen in einer Angelegenheit auf der jeweiligen Seite agierenden Rechtsanwaltskanzleien) wird das Telefax im Vergleich zu anderen Übermittlungswegen vielfach (noch) als „sicheres“ bzw. „sichereres“ Kommunikationsmittel mit Blick auf sensible bzw. personenbezogene Daten erachtet. So werden – jedenfalls in der sich mir tagtäglich begegnenden Praxis – Schreiben, Schriftsätze, rechtliche Erklärungen, etc. in der Regel lieber per Telefax ausgetauscht als auf anderem Wege. Zu Unrecht!
Denn in der heutigen Zeit ist keineswegs mehr gewährleistet, dass beim jeweiligen Telefax-Übermittlungsvorgang wirklich eine exklusive Ende-zu-Ende-Telefonleitung genutzt wird. Der technische Fortschritt und die damit einhergehende Umstellung der Telefonie-Leitungen (Stichwort IP-Telefonie bzw. Voice over IP) hat dazu geführt, dass mittlerweile gerade auch Fax-Daten paketweise über das Internet transportiert werden. Außerdem ist nicht mehr gewährleistet, dass „am anderen Ende“ wirklich (noch) ein echter Faxapparat betrieben wird. Stattdessen werden heutzutage vielfach Services genutzt, welche eingehende Faxe automatisch per (unverschlüsselter) E-Mail an den Empfänger weiterleiten.
Ein solcher Übermittlungsweg ist nicht mehr datenschutzkonform, was zwischenzeitlich auch bereits verschiedene offizielle Stellen ganz ausdrücklich festgestellt haben.
So macht zum Beispiel die Landesbeauftragte für Datenschutz der Freien Hansestadt Bremen im Rahmen eines im Internet abrufbaren Datenschutz-Tipps explizit auf die oben genannten Umstände aufmerksam.
Auch die Rechtsprechung hat die Problematik erkannt und sich insoweit klar positioniert. Das Oberverwaltungsgericht Lüneburg gelangte etwa zu dem Ergebnis, dass eine Behörde einen Bescheid nicht per unverschlüsseltem Telefax an den Betroffenen übermitteln dürfe (OVG Lüneburg (Beschluss vom 22.07.2020 – 11 LA 104/19).
Der amtliche Leitsatz 2. der Entscheidung lautet:
„Bei der Übermittlung von personenbezogenen Daten per Fax muss die Behörde zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen. Welches Schutzniveau dabei einzuhalten ist, richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand.“
Aus den Gründen (Hervorhebungen durch RA Sven Idek):
„Angesichts der besonderen Schutzbedürftigkeit des Klägers und seiner personenbezogenen Daten ist bei der hier vorliegenden Verarbeitung mit Hilfe einer Datenverarbeitungsanlage ein erhöhtes Schutzniveau einzuhalten. Eine unverschlüsselte Übermittlung von personenbezogenen Daten des Klägers per Fax unterschreitet das einzuhaltende Schutzniveau. Das Verwaltungsgericht weist zu Recht darauf hin, dass bei einer Übermittlung per Fax kein Hindernis für die Wahrnehmung der Daten durch Unbefugte besteht. Diese Einschätzung des erstinstanzlichen Gerichts wird bestätigt durch Informationen des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen auf seiner Internetseite. Danach handelt es sich bei dem Telefaxverkehr um einen Dienst, der im Regelfall keine Datensicherheitsmaßnahmen enthält. Die Informationen werden „offen“ (unverschlüsselt) übertragen. Eine Telefaxübersendung sei deshalb mit dem Versand einer offenen Postkarte vergleichbar. (…) Danach bestand bei der unverschlüsselten Übermittlung des Bescheides vom 3. Februar 2017 per Fax die Gefahr der Wahrnehmung von personenbezogenen Daten des Klägers durch unbefugte Dritte.
Der vorstehend beschriebenen Gefahr hätte die Beklagte durch Sicherungsmaßnahmen bei der Übermittlung des Bescheides vom 3. Februar 2017 begegnen müssen. Solche Maßnahmen standen zur Verfügung und hätten ohne großen Aufwand eingesetzt werden können. Im vorliegenden Fall hätte die Beklagte den Bescheid per Post versenden können oder mit Hilfe eines Boten in die nur 150 Meter entfernt liegende Kanzlei ihres Prozessbevollmächtigten überbringen können. Bei der auf Ausnahmefälle beschränkten Benutzung von Telefaxgeräten für die Übermittlung sind die von dem Datenschutzbeauftragten der Beklagten angesprochenen Sicherungen (z.B. Verschlüsselungsgeräte) zu verwenden. Ob die Benutzung eines Telefaxgeräts dem Stand der Technik entspricht, ist unmaßgeblich. Entscheidungserheblich ist, ob die Sicherungsmaßnahmen verfügbar sind und dem Stand der Technik entsprechen. Davon ist hier auszugehen.“
Zusammengefasst kann insbesondere nach dem Vorstehenden also nur dringend davon abgeraten werden, personenbezogene Daten per Telefax zu übermitteln.
IDEK LEGAL - RA Sven Idek 