- Von Björn Thorben M. Jöhnke
- 22.11.2021 um 17:34
Noch vor einigen Jahren galt die Datenübermittlung via Telefax als „relativ“ sichere Vorgehensweise, um auch sensible personenbezogene Daten zu übertragen. Diese Situation habe sich mittlerweile grundlegend geändert, wie die Bremische Landesbeauftragte für Datenschutz kürzlich aufklärte. In diesem Zusammenhang habe es sowohl bei Endgeräten als auch den Transportwegen weitreichende Änderungen gegeben.
AfW erarbeitet neuen Branchenstandard für Datenschutz
AOK muss wegen Datenschutzverstoß 1,2 Millionen Euro Strafe zahlen
Datenschutz wird für Unternehmen zum Innovations-Killer
Die Bremische Landesbeauftragte für Datenschutz führte weiter aus, dass bisher beim Faxversand exklusive Ende-zu-Ende-Telefonleitungen genutzt wurden. Jetzt sorgen technische Änderungen in den Telefonnetzen dafür, dass keine exklusiven Leitungen mehr genutzt werden. Vielmehr werden die Daten paketweise in Netze transportiert, die auf Internet-Technologie beruhen, so die Behörde. Damit sei das reale Faxgerät mittlerweile abgelöst.
Der Kern des Problems sei ferner „die Gegenseite“. Absender können demnach nicht sicher davon ausgehen, welche Technik auf der Empfangsseite eingesetzt wird und ob überhaupt ein reales Faxgerät dort existiert. In dieser Hinsicht werden Systeme genutzt, die ankommende Faxnachrichten automatisch in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten.
Sicherheitsniveau wie unverschlüsselte E-Mail
Weiter führt die Bremische Landesbeauftragte für Datenschutz aus, dass aufgrund dieser Umstände ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, die oftmals mit der offen einsehbaren Postkarte verglichen werde, habe. Faxdienste enthalten demnach keinerlei Sicherungsmaßnahmen, um die Vertraulichkeit der Daten zu gewährleisten. Daher seien sie in der Regel nicht für die Übermittlung personenbezogener Daten geeignet.
Verstoß gegen die DSGVO
Letztendlich sei für die Übertragung besonderer Kategorien personenbezogener Daten gemäß dem Artikel 9, Absatz 1 in der Datenschutzgrundverordnung (DSGVO) die Nutzung von Fax-Diensten datenschutzrechtlich unzulässig. Deshalb müssen für die Übertragung von personenbezogenen Daten alternative, sichere und mithin geeignetere Verfahren genutzt werden. Hierbei kommen Ende-zu-Ende verschlüsselte E-Mails oder im Zweifel auch die herkömmliche Post in Betracht.
Fazit und Hinweis für die Praxis
Die Ausführungen der Bremischen Landesbeauftragten für Datenschutz sind nicht eindeutig und im Ergebnis auch etwas differenzierter zu betrachten. Zum einen dahingehend, ob jeder Faxversand von personenbezogenen Daten eine Verletzung der DSGVO-Vorschriften darstellen soll, oder ob nur die besonderen personenbezogenen Daten, die im Artikel 9 der DSGVO aufgezählt sind, gemeint sind. Auf der einen Seite spricht für ein Verbot nur von besonderen personenbezogenen Daten der Umstand, dass die Behörde explizit Daten gemäß dem Artikel 9, Absatz 1 der DSGVO nennt. Auf der anderen Seite sprechen diverse Formulierungen der Behörde, wie zum Beispiel die Überschrift, die Einleitung oder aber auch der Vorschlag bezüglich alternativer Übertragungsmethoden, für ein grundsätzliches Verbot jeder Art von Faxversand.
Greift die behördliche Einschätzung möglicherweise zu kurz?
Als dann dürfte die behördliche Einschätzung hinsichtlich der Telefaxnutzung nicht ganz zu Ende gedacht sein. Richtig ist, dass die Technologie weiter voranschreitet und mittlerweile Digitalfaxe genutzt werden, die nicht einmal mehr das Vorhandensein eines analogen Telefaxgerätes voraussetzen. Diese Technik ist zum einen begrüßenswert, zum anderen aber auch nicht mehr allzu „sicher“ (Stichwort: Postkarte). Die entsprechenden Transportwege sind für den Absender de facto nicht vorher einsehbar.
Dennoch greift die Einschätzung der Datenschutzbehörde etwas kurz, wenn es um die „normale Faxnutzung“ geht, davon ausgenommen die Übertragung von Artikel 9 Daten der DSGVO. Denn gibt jemand in seinem Briefkopf eine Faxnummer an, so setzt er damit einen Vertrauenstatbestand in die Nutzung dieser Telefaxnummer beziehungsweise auch hinsichtlich des Transportwegs. Wenn zum Beispiel die Schadensabteilung eines Versicherers eine gesonderte Faxnummer im Briefkopf, respektive in der E-Mail-Signatur, angibt, so darf man darauf vertrauen können, dass auch nur dort die Informationen – und auch sicher – ankommen. Da ist es gleich, welcher Übertragungsweg im Hintergrund genutzt wird. In diesem Fall muss schließlich auch der Empfänger sicherstellen, dass er datenschutzkonform Daten verarbeitet.
Abwägung im Einzelfall notwendig
Sicherlich muss im Einzelfall geprüft werden, welche Daten via Telefax übermittelt werden soll. Zuzustimmen ist der behördlichen Auffassung, dass der Artikel 9 Daten der DSGVO nicht einfach mehr per Telefax übermittelt werden sollten. Hierzu gibt es sichere Transportwege. Auch sollte eine individuelle Einwilligung desjenigen vorliegen, dessen Daten übermittelt werden sollen. Natürlich erscheint es einfach, dazu auf den Postweg zu verweisen. Doch auch diese Ansicht dürfte nicht den technischen Fortschritt berücksichtigen, der aktuell stetig weiter voranschreitet.
Verschlüsselter Datenaustausch mittels digitaler Plattformen
Denkbar wäre dazu eher ein verschlüsselter Datenaustausch mittels digitaler Plattformen, über welche Daten zwischen Sender und Empfänger sicher ausgetauscht werden können und zu welcher jede Partei einen eigenen verschlüsselten Zugang hat. Dieses sollte in der Versicherungsbranche der Status Quo werden, damit ein datenschutzkonformer Datenaustausch stattfinden kann.
Diesbezüglich gibt es in der Versicherungsbranche viele Dienstleister, welcher mit sogenannten „Portallösungen“ – sogar als „White-Label-Produkte“ – Lösungen für Versicherungsvermittler und Versicherungsunternehmen anbieten. „Neu“ ist diese Idee des sicheren Datenaustauschs nicht; man muss diese am Markt vorhandenen Technologien nur nutzen.
Weitere Informationen zu den Themen Informationstechnologierecht und des Datenschutzrecht finden Sie hier. Weitere Praxisfälle mit entsprechenden Tipps für die Vermittlerpraxis sind auf dem für Vermittler kostenfreien digitalen Vermittler-Treffs der Kanzlei Jöhnke & Reichow Thema. Hier geht es zur Anmeldung.
Über den Autor
Rechtsanwalt Björn Jöhnke ist Fachanwalt für Versicherungsrecht, für Gewerblichen Rechtsschutz sowie Informationstechnologierecht bei der Hamburger Kanzlei Jöhnke & Reichow Rechtsanwälte in Partnerschaft.
0 Kommentare
- anmelden
- registrieren
kommentieren