Viele Unternehmen faxen noch – was bedeutet das für die Umsetzung der DS-GVO
Immer öfter warnen die Aufsichtsbehörden für den Datenschutz vor der Nutzung des klassischen Faxgerätes. Auch bei der Verwendung von Faxgeräten werden personenbezogene Daten verarbeitet. Diese Datenverarbeitung wird oft als veraltete, nicht digitale Art der Kommunikation belächelt, was nicht selten dazu führt, dass diese bei der Umsetzung von Datenschutzgrundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG) vernachlässigt wird.
Wir möchten in diesem Blogartikel noch einmal genauer auf die Gefahren von Faxgeräten im Datenschutz eingehen und Vorgehensweisen bei der Nutzung erklären.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Datenschutz und FAX – viele Unternehmen unterschätzen das Risiko
Oft wird vor dem ungeschützten E-Mail-Versand, dem Datenaustausch über Cloud-oder Chatsysteme usw. gewarnt, weil der Verlust von Daten dabei ein nicht unerhebliches Risiko darstellt. Dieses Risiko kann aber auch durch das gute alte Fax und auch den neuen digitalen bzw. virtuellen Fax-Versand entstehen.
Trotz der vielen digitalen Wege, nutzen sehr viele Unternehmen bundesweit immer noch das Fax zum Versand von Daten. Dieser ist aus der Sicht des Datenschutzes aber durchaus nicht unkritisch.
Beim Fax werden personenbezogene Daten verarbeitet
Auch wenn die Daten vermeintlich nicht-digital per Fax verschickt werden, verarbeitet man beim Faxen, personenbezogene Daten. Besonders kritisch wird dies, wenn personenbezogene Daten der besonderen Kategorien verschickt werden, deren Schutzstatus besonders hoch ist.
Es müssen bei dieser Art von Verarbeitung unbedingt zusätzliche Schutzfunktionen implementiert werden. Das spielt immer noch eine große Rolle im Gesundheitsbereich, bei dem noch immer eine große Menge Nachrichten mit Gesundheitsdaten per Fax verschickt werden.
BLOG-TIPP: PERSONENBEZOGENE DATEN BESONDERER KATEGORIEN IM DATENSCHUTZ
Hand aufs Herz: Wissen Sie welches Risiko durch Faxgeräte entstehen kann?
Es gibt unterschiedliche Risiken, die durch ein Fax entstehen können, die gar nicht unbedingt jedem so bewusst sind.
Klassische Faxe werden beispielsweise unverschlüsselt verschickt. Ein Fax-Server kann aber entsprechend zur Absicherung genutzt und eine Verschlüsselung eingebaut werden. Das klassische Fax ist unverschlüsselt.
Außerdem haben auch klassische Faxgeräte einen digitalen Speicher, der ausgelesen werden kann. Hier können personenbezogene Daten gespeichert und entsprechen unbefugt genutzt werden.
Klassische Faxe als Datenschutzrisiko
Viele Unternehmen nutzen Faxgeräte auch darum noch, weil Sie unabhängig von digitalen Lösungen sind. D.h. bei Ausfällen von IT-Systemen können Faxgeräte unter Umständen auch noch genutzt werden.
Ungeachtet der Vorteile birgt die Nutzung klassischer Faxgeräte, unter Umständen ein größeres Risiko für den Datenschutz als die digitalen, gut geschützten Alternativen.
Das digitale Fax als sichere Alternative?
Viele Aufsichtsbehörden raten zur Nutzung der digitalen Alternativen, z.B. einem Fax-Server. Auch hier können über ein klassisches Faxgerät Dokumente als PDF auf einem PC empfangen werden und verschlüsselt und unter Einhaltung des Datenschutzes verschickt werden.
Dieses PDF kann dann auch durch ein analoges Fax empfangen werden – verschlüsselt versteht sich. Dabei ist aber auch noch einmal zu betonen, dass die Speicherung von personenbezogenen Daten im Faxgerät beim Datenschutz berücksichtigt werden muss.
Ähnlich verhält es sich bei dem Versand von digitalen Faxen von Server-zu-Server. Die Schutzmöglichkeiten sind bei diesem Versand deutlich erhöht gegenüber jenen des analogen Faxes. Der Datenschutz sollte dabei aber auch genau geprüft werden. Dazu gehören zum Beispiel:
- Verschlüsselung
- Nutzerauthentifizierung
- verschiedene Nutzerrollen
- Festplattenverschlüsselung
- sicheres Löschen
- Netzwerksegmentierung
- Virenscanner
- Firewall.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – FIREWALL
Checkliste: Sichere Nutzung eines Faxgerätes im Sinne des Datenschutzes
1.Sichere Standortwahl des Faxgerätes: Platzieren Sie das Faxgerät in einem geschützten, nur für berechtigtes Personal zugänglichen Bereich. Vermeiden Sie öffentliche Orte oder offene Büros, in denen unberechtigte Personen Einsicht in Faxe erhalten könnten.
- Zugriffsberechtigungen festlegen: Stellen Sie sicher, dass nur autorisierte Mitarbeiter Zugang zum Faxgerät und den gesendeten bzw. empfangenen Dokumenten haben. Implementieren Sie Benutzerauthentifikationsmechanismen, um sicherzustellen, dass nur berechtigte Personen das Gerät nutzen.
- Verwendung von Deckblättern: Verwenden Sie stets Deckblätter, um die Inhalte der folgenden Seiten vor unbefugtem Einblick zu schützen. Setzen Sie auf dem Deckblatt deutliche Vertraulichkeitshinweise, wie z. B. „Vertraulich“ oder „Nur für den Empfänger bestimmt“.
- Sichere Datenübertragung gewährleisten: Kontrollieren Sie vorab die Richtigkeit der Faxnummer des Empfängers, um Fehlsendungen zu verhindern. Nutzen Sie, sofern möglich, moderne Faxgeräte mit Verschlüsselungsfunktionen, um die übermittelten Daten vor unbefugtem Zugriff zu schützen.
- Empfangene Faxe ordnungsgemäß behandeln: Stellen Sie sicher, dass empfangene Faxe unverzüglich vom Faxgerät abgeholt werden, um unbefugten Zugriff zu verhindern. Halten Sie nachvollziehbar fest, welche Dokumente empfangen wurden und wer sie entgegengenommen hat. Archivieren Sie die Daten gemäß den gesetzlichen Anforderungen.
- Regelmäßige Schulungen und Sensibilisierung: Schulen Sie regelmäßig Ihre Mitarbeiter im sicheren Umgang mit dem Faxgerät und den datenschutzrechtlichen Anforderungen. Fördern Sie ein Bewusstsein für Datenschutzthemen und die Bedeutung des Schutzes personenbezogener Daten.
- Technische und Organisatorische Maßnahmen (TOM): Setzen Sie geeignete technische und organisatorische Maßnahmen um, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten. Überprüfen und aktualisieren Sie diese Maßnahmen regelmäßig, um den aktuellen Sicherheitsanforderungen zu entsprechen.
- Dokumentation und Ansprechpartner: Protokollieren Sie alle relevanten Schritte und Maßnahmen zur Sicherstellung der datenschutzkonformen Faxnutzung. Bieten Sie klar ersichtliche Kontaktinformationen eines Datenschutzbeauftragten oder Ansprechpartners für Datenschutzfragen an.
BLOG-TIPP: DATENSCHUTZ: LÖSCHFRISTEN UND AUFBEWAHRUNGSPFLICHTEN FÜR UNTERNEHMEN IN NRW
Prüfen Sie Ihren Faxversand auf Herz und Nieren des Datenschutzes
Es zeigt sich: Bei geeigneten Schutzmaßnahmen kann auch der Versand von Dokumenten und personenbezogenen Daten datenschutzkonform umgesetzt werden. Welche Lösung für den jeweiligen Ansatz der sinnvollste ist, muss im Einzelnen geprüft werden.
Wie bei jedem Prozess, bei dem personenbezogene Daten verarbeitet werden, sollte ein Fachmann zur sicheren Verarbeitung hinzugezogen werden. Beurteilen Sie jeden Prozess genau auf die Umsetzung von DS-GVO und BDSG, um herauszufinden welche Daten an welchem Punkt verarbeitet werden und welche Schutzmaßnahmen getroffen werden müssen.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und bundesweit. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.