Wie (un)sicher ist der Versand personenbezogener Daten per Fax!?
Dabei gilt es Wesentliches zu unterscheiden.
Bei den klassischen Telefonnetzen (PSTN – Public Switched Telephone Network, analog und ISDN) werden genutzte Endgeräte durch leitungsmäßiges Zusammenschalten verbunden und es entsteht eine direkte Ende-zu-Ende-Verbindung.
Die Informationen werden auf direktem Wege übertragen.
Ein Abfangen oder Mitlesen der Daten ist somit nur innerhalb dieser Verbindung möglich.
Ein derartiger Versand personenbezogener Daten per Fax kann damit als relativ sicher angesehen werden.
Doch solche direkte Verbindungen finden so gut wie nicht mehr statt.
Nach einer Schätzung der Bundesnetzagentur verfügten im Jahr 2019 noch ca. 90.000 Haushalte über einen analogen und ca. 530.000 über einen ISDN-Anschluss.
Im Gegensatz dazu gibt es inzwischen in Deutschland ca. 30 Millionen digitale Anschlüsse, bei denen die Datenübertragung über das IP-Protokoll, also das Internet realisiert ist.
Spätestens 2022 soll die gesamte Analog- bzw. ISDN-Technik auf All-IP – dazu gehört neben „Fax over IP“ (FoIP) z. B auch „Voice over IP“ (VoIP), umgestellt sein.
Bei IP-basierten Diensten werden Daten dabei nicht über definierte Wege verschickt, sondern als Datenpakete durch das Internet, wobei sie viele Zwischenstationen passieren können.
Dieser Versand personenbezogener Daten per Fax ist technisch identisch zum Versand einer E‑Mail oder von Webseitendaten.
Wenn die über einen IP-basierten Dienst versendeten Daten dabei nicht verschlüsselt sind, ist es aus technischer Sicht möglich, dass Datenpakete an jeder passierten Zwischenstation ausgelesen werden.
Die Vertraulichkeit der verschickten Daten ist dann also nicht sicher gewahrt.
Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen teilte mir:
(…) Aufgrund dieser Umstände hat ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E‑Mail (welche oftmals mit der offen einsehbaren Postkarte verglichen wird). Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet.(…)
Auch die Landesbeauftrage für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), sieht den Versand vertraulicher Informationen per Fax als „riskant“ an, denn dieser Dienst enthalte „grundsätzlich keine Datensicherheitsmaßnahmen“.
Somit lautet die Antwort auf die Frage, wie sicher der Versand personenbezogener Daten per Fax ist wohl häufig nicht sicher genug.
Ein Austausch von Faxen findet daher heutzutage nicht mehr “klassisch” zwischen zwei Anschlüssen statt.
Telefon und Fax sind nur noch insofern besonders, als dass sie bei Beauftragung von “üblichen” Telekommunikationsanbietern zumindest in Deutschland noch der entsprechenden Regulierung und Gesetzgebung (insbesondere Telekommunikationsgesetz – TKG) unterliegen.
Es kann ein Mindestmaß an Vertrauen geschaffen werden.
Doch diese Regulierung macht aus technischer Sicht keinen Unterschied, zumal nicht transparent ist, wann ein Datenpaket die Gestaltungshoheit eines Anbieters verlässt und welche Unterauftragnehmer eigentlich die Daten für einen Telekommunikationsanbieter tatsächlich transportieren.
Somit muss der Faxversender sich als Nächstes Gedanken darüber machen, welche Daten er an wen versenden möchte.
Befinden sich unter den zu versendenden Daten z. B. besonders sensible Daten wie Gesundheitsdaten, führt das dazu, dass weitere Maßnahmen ergriffen werden sollten, um den Versand sicher(er) zu gestalten.
Hier kommen etwa spezielle Verfahren zur Verschlüsselung in Betracht, was jedoch mit einem gewissen Aufwand verbunden ist.
Nach Abwägung der Vor- und Nachteile kann es dann ggf. sogar vorzugswürdig sein, Daten per E‑Mail zu versenden.
Diese ist in den überwiegenden Fällen nämlich tatsächlich nicht mit einer „Postkarte“ zu vergleichen, sondern bietet durchaus einen gewissen Schutz.
Verantwortliche, die weiterhin Daten per Fax versenden möchten, sollten sich also mit den technischen Besonderheiten vertraut machen und evaluieren, ob für sie geeignetere Kommunikationswege zur Verfügung stehen.
Also lassen Sie sich gut beraten.
2 Comments