Datenschutz beim Telefax

Manche Unternehmen würden das Telefax am liebsten endlich abschaffen. Aber einige wichtige Kundinnen und Kunden scheinen es regelrecht zu lieben. Deshalb bleibt das Telefax einstweilen doch noch. Das bedeutet allerdings, dass man sich auch um den Datenschutz kümmern muss.

Das Telefax hat ein zähes Leben

In manchen Unternehmen ist das Telefax schon länger verschwunden, oft gehört es aber durchaus noch zum Alltag. Dann bildet es eine echte Gefahrenquelle für den Datenschutz. Aus diesem Grund hat der Bayerische Landesbeauftragte für den Datenschutz die Risiken aufgegriffen, die beim Telefax bestehen. Ein zwölfseitiges Papier listet alles auf, was zu beachten ist. Es steht zur Verfügung unter https://www.datenschutz-bayern.de/datenschutzreform2018/AP_Telefax.pdf.

Fehlversendungen sind ein Hauptproblem

Im Mittelpunkt steht das Problem, dass es immer wieder zu Fehlversendungen kommt. Dies zeigt die Auswertung der zahlreichen Meldungen von Datenpannen, die sich damit befassen. Die Ursachen von Fehlversendungen sind oft erschreckend banal. Als typische Beispiele nennt das Papier:

  • Eingabe einer falschen Rufnummer, etwa durch Vertippen oder durch die Nutzung einer längst veralteten Rufnummer
  • Fehler bei der notwendigen Eingabe einer zusätzlichen Vorwahl vor externen Rufnummern (etwa das Weglassen der „0“, die bei vielen Nebenstellenanlagen vor einer externen Rufnummer gewählt werden muss)
  • irrtümliche Versendung eines Schreibens, das für einen ganz anderen Empfänger bestimmt ist

Faxgeräte sind „Praktikanten-Fallen“

Das Risiko von Fehlversendungen multipliziert sich, wenn eine Praktikantin oder ein Praktikant ein Fax verschicken soll. Häufig haben sie ein solches Gerät vorher noch nie gesehen, scheuen sich aber, dies zu sagen. Sogar die Kombination mehrerer Fehler ist dann schnell passiert. Ohne vorherige ausführliche Anleitung sollte man deshalb den Nachwuchs besser gar nicht an ein Faxgerät lassen.

Der Standort des Geräts muss passen

Oft steht das Faxgerät irgendwo, wo gerade noch Platz war. Das gilt vor allem dann, wenn es kaum noch verwendet wird und deshalb irgendwann buchstäblich „an den Rand gerückt“ ist. Das kann erhebliche Probleme nach sich ziehen, wenn eine eingehende Sendung versehentlich oder absichtlich irgendwohin „verschwindet“.

Dokumentation ist Pflicht

Spätestens dann wird klar, dass die Rechenschaftspflicht von Art. 5 Abs. 2 DSGVO auch für den Datenschutz beim Telefax gilt. Diese Rechenschaftspflicht zwingt dazu, die Einhaltung des Datenschutzes stets nachweisen zu können. Es ist deshalb notwendig, dass der Standort jedes einzelnen Faxgeräts nachvollziehbar dokumentiert ist. Diese Dokumentation muss auch Angaben dazu enthalten, wie unbefugte Zugriffe verhindert werden sollen. „Unbefugter Zugriff auf ein ausgedrucktes Fax“ ist ein eigenes Risikoszenario. Mit ihm sollte man sich befassen, bevor es Realität geworden ist.

Klare Vorgaben vermeiden Pannen

Eine Dienstanweisung (so die Bezeichnung im Behördendeutsch) für die Aufstellung und Nutzung von Faxgeräten ist kein Luxus, sondern Notwendigkeit. Sie ist in der Praxis zwar oft vorhanden, nicht selten allerdings in einer Uralt-Version von vor 20 Jahren. Wenn dann ein Teil der Geräte gar nicht mehr existiert und die noch vorhandenen Geräte inzwischen an ganz anderen Stellen stehen, genügt die Anweisung den Anforderungen nicht mehr.

Kommunikationsjournale müssen sein

Kommunikationsjournale ermöglichen es, Fehlversendungen nachgehen zu können. Fehlen sie, ist es im Ernstfall kaum möglich, einen falschen Adressaten zu kontaktieren. Zu empfehlen ist die Aufbewahrung solcher Journale für etwa zwei Wochen. Ihre Vernichtung muss in der Dienstanweisung geregelt sein.

Sensible Daten erfordern eine Risikoanalyse

Sehr kritisch ist der Versand von Faxen mit sensiblen Inhalten zu sehen. Er findet erstaunlich oft statt, etwa im Zusammenhang mit Personaldaten. In Arztpraxen ist sogar die Übermittlung von Krankheitsdaten per Telefax nach wie vor häufig. Dies ist zwar nicht generell verboten. Notwendig ist allerdings eine Risikoanalyse dafür, ob die Übermittlung sensibler Inhalte vertretbar ist. Sollte die Risikoanalyse negativ ausgehen, müsste die Übermittlung sensibler Inhalte per Telefax untersagt werden.

Bessere Alternativen sind vorhanden

Wem der Aufwand rund um den Datenschutz beim Telefax zu groß ist, der sollte nach besser geeigneten Techniken Ausschau halten. Hierzu gehören etwa Mails, die Ende-zu-Ende-verschlüsselt sind, oder die Nutzung einer sicheren Cloud-Ablage.

Hinterlassen Sie einen Kommentar