Galt ein Telefax noch vor einigen Jahren als relativ sichere Methode um auch sensible personenbezogene Daten zu übertragen, so hat sich diese Situation grundlegend geändert.
Kern des Problems ist "die Gegenseite": Absenderinnen oder Absender können sich nie sicher sein, welche Technik auf der Empfangsseite eingesetzt wird.
Das reale Faxgerät ist mittlerweile abgelöst. Ganz vereinzelt mag es sie noch geben, aber meist handelt es sich um Fotokopierer mit Fax-Funktion oder Fax-Server. Sie wandeln die eingehenden Faxe in eine E-Mail um und leiten sie an E-Mail-Postfächer weiter. Das "Faxgerät" könnte aber auch ein Fax-Dienst, wie zum Beispiel ein Cloud-Fax-Service, sein: Ein virtueller Fax-Server, der Eingangsfaxe ebenfalls in E-Mails umsetzt und weiterleitet. Ob und gegebenenfalls wie die E-Mails dabei verschlüsselt sind, kann die sendende Stelle nicht feststellen. Dass verschlüsselt wird, kann von Absenderinnen oder Absendern auch nicht technisch "erzwungen" werden. Und ob es sich bei den dabei genutzten Cloud-Diensten um DSGVO-konform betriebene "europäische Clouds" handelt, kann die Absenderseite ebenfalls nicht feststellen.
Aufgrund dieser Unwägbarkeiten hat ein Fax hinsichtlich des Schutzziels Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, die zu Recht als digitales Pendant zur offen einsehbaren Postkarte angesehen wird. Mehr nicht. Fax-Dienste enthalten in der Regel keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet. Die Bremische Verwaltung geht davon aus, bis Ende 2022 alle Faxgeräte durch sicherere Technologien abgelöst zu haben. Bis dahin sind ihre Beschäftigten gehalten, die Faxtechnik nicht mehr für die Übermittlung personenbezogener Daten zu verwenden (vergleiche hierzu Ziffer 3 des 3. Jahresbericht nach der Europäischen Datenschutzgrundverordnung, Berichtsjahr 2020) (pdf, 923.7 KB).
Zur Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der Datenschutzgrundverordnung ist die Nutzung von Fax-Diensten unzulässig.
Für den Versand personenbezogener Daten müssen daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post genutzt werden.