Datenschutz und Telefax

Orientierungshilfe

Stand: 2003

I. Konventionelle Telefaxgeräte

Telefaxgeräte sind einfach zu bedienende Geräte, mit denen Informationen - auch personenbezogene Daten - schnell übertragen werden können. Nicht allen Nutzern sind jedoch die technischen Funktionsmerkmale dieser Geräte sowie deren Gefährdungspotentiale und Missbrauchsmöglichkeiten bekannt.

Bei einer Übertragung von Informationen per Telefax ist vor allem die Vertraulichkeit der Daten gefährdet:

Die Informationen werden in der Regel "offen", das heißt unverschlüsselt, übertragen, und der Empfänger erhält sie - vergleichbar mit einer Postkarte - in unverschlossener Form.
Der Telefaxverkehr ist wie ein Telefongespräch abhörbar, da die Daten über öffentliche Telefonleitungen übertragen werden.
Adressierungsfehler und Falschübertragungen sind wahrscheinlicher, da die Adressierung durch eine Zahlenfolge (Telefaxnummer) und nicht durch eine mehrgliedrige Anschrift erfolgt.
Bei Telefaxgeräten neueren Typs ermöglicht die Funktion Fernwartung unter Umständen einen unerlaubten Zugriff auf die im Gerät gespeicherten Daten (z. B. Lesen der Seitenspeicher sowie Lesen und Beschreiben der Rufnummer- und Parameterspeicher), ohne dass der Besitzer diesen Zugriff wahrnimmt.

Diese Gefahren können Anbieter der Telekommunikationsnetze und -dienste nicht abwehren. Deshalb ist insbesondere die absendende Stelle für die ordnungsgemäße Übertragung und die richtige Einstellung der technischen Parameter am Telefaxgerät verantwortlich. Öffentliche Stellen haben gemäß § 21 Landesdatenschutzgesetz Mecklenburg-Vorpommern (DSG M-V) entsprechende technische und organisatorische Maßnahmen zu treffen, um eine angemessene Datensicherheit zu gewährleisten.

Um den datenschutzgerechten Umgang mit Telefaxgeräten weitgehend zu sichern, sollten folgende Empfehlungen umgesetzt werden:

Was am Telefon aus Gründen der Geheimhaltung nicht gesagt wird, darf auch nicht ohne Sicherheitsvorkehrungen (z. B. Verschlüsselungsgeräte) gefaxt werden.
Sensible personenbezogene Daten - insbesondere solche, die einem besonderen Amts- oder Berufsgeheimnis unterliegen (Sozial-, Steuer-, Personal- und medizinische Daten) - sollten nur ausnahmsweise und unter Einhaltung zusätzlicher Sicherheitsvorkehrungen per Telefax übertragen werden. Zuvor ist mit dem Empfänger die aktuelle Faxnummer zu vergleichen und der Sendezeitpunkt abzustimmen. So können Fehlleitungen durch veraltete Anschlussnummern oder aktivierte Anrufum- bzw. -weiterleitungen vermieden werden und Unbefugte keinen Einblick nehmen.
Öffentliche Stellen sollten Nutzungsbedingungen für Telefaxgeräte in die allgemeingültigen Dienstanweisungen zum Datenschutz aufnehmen. Nur eingewiesenes Personal darf die Geräte bedienen.
Das Telefaxgerät ist so aufzustellen, dass Unbefugte keine Kenntnis vom Inhalt ein- oder ausgehender Informationen erhalten können.
Sicherheitsmaßnahmen, die das Gerät selbst bietet, sollten genutzt werden, zum Beispiel Anzeige der störungsfreien Übertragung, gesicherte Zwischenspeicherung oder Abruf nur nach Passwort. Die Fernwartungsfunktion sollte nur für erforderliche Wartungsarbeiten freigegeben werden. Nach Abschluss der Wartungsarbeiten sind die eingestellten Parameter und Speicherinhalte zu kontrollieren.
Die vom Empfängergerät vor dem eigentlichen Sendevorgang abgegebene Kennung ist sofort zu prüfen, damit bei Wählfehlern die Übertragung unverzüglich abgebrochen werden kann.
Bei Telefaxgeräten, die an Nebenstellen angeschlossen sind, ist das Risiko einer Fehladressierung besonders groß, da vor der Nummer des Teilnehmers zusätzlich Zeichen zur Steuerung der Anlage eingegeben werden müssen. Beim Umgang mit derartigen Geräten ist deshalb besondere Sorgfalt geboten.
Die Dokumentationspflichten sind einzuhalten (z. B. Vorblatt oder entsprechend aussagekräftige Aufkleber verwenden, Zahl der Seiten angeben, Protokolle aufbewahren). Sende- und Empfangsprotokolle sind vertraulich abzulegen, da sie dem Fernmeldegeheimnis unterliegen.
Bevor Telefaxgeräte verkauft, weitergegeben oder entsorgt werden, sind alle im Gerät gespeicherten Daten wie Textinhalte, Verbindungsdaten oder Kurzwahlziele zu löschen.
Die am Telefaxgerät eingestellten technischen Parameter und Speicherinhalte sind regelmäßig zu prüfen, damit beispielsweise Manipulationsversuche frühzeitig erkannt und verhindert werden können.

II. Telefax und Bürokommunikationslösungen

Rechner mit Standard- oder Bürokommunikationssoftware können um Hard- und Softwarekomponenten erweitert werden, mit deren Hilfe Telefaxe gesendet und empfangen werden können (integrierte Telefaxlösungen). Lösungen für den Faxbetrieb werden sowohl für Einplatzrechner als auch für Rechnernetze angeboten.

Allerdings birgt der Betrieb integrierter Telefaxlösungen (Installation, Bedienung und Wartung) gegenüber dem konventionellen Telefaxgerät zusätzliche Gefahren in sich, da beispielsweise die verwendeten Faxmodems bzw. -karten oft nicht nur für Telefaxsendung und -empfang geeignet sind, sondern auch andere Formen der Datenübertragung und des Zugriffes ermöglichen.

Über die bereits genannten Maßnahmen hinaus sollten daher beim Umgang mit integrierten Telefaxlösungen die folgenden Hinweise berücksichtigt werden:

Das Rechnersystem ist sorgfältig zu konfigurieren und zu sichern. Die IT?Sicherheit des Rechners bzw. des Netzes ist Voraussetzung für einen datenschutzgerechten Betrieb der Faxlösung. Dazu gehört unter anderem, dass kein Unbefugter Zugang oder Zugriff zu den Rechnern und Netzwerken hat.
Der Empfänger ist korrekt anzugeben. Gute Dienste leisten hier durch die Faxsoftware bereitgestellte Hilfsmittel wie Faxanschlusslisten, in denen Empfänger und Verteiler mit aussagekräftigen Bezeichnungen versehen werden können.
Die vielfältigen Nutzungsmöglichkeiten integrierter Faxlösungen erfordern die regelmäßige und besonders sorgfältige Überprüfung der in der Faxsoftware gespeicherten technischen Parameter, Anschlusslisten und Protokolle.
Kryptographische Verfahren können bei integrierten Faxlösungen unkompliziert und kostengünstig eingesetzt werden, sofern die Produkte auf beiden Seiten kompatibel sind. Deshalb sollten personenbezogene Daten vor der Übertragung möglichst verschlüsselt und digital signiert werden, um das Abhören zu verhindern und um den Absender sicher ermitteln sowie Manipulationen erkennen zu können.
Schon bei der Beschaffung integrierter Telefaxlösungen ist darauf zu achten, dass ausreichende Konfigurationsmöglichkeiten vorhanden sind, um die notwendige Anpassung an die datenschutzrechtlichen Erfordernisse des Nutzers zu gewährleisten.