altes Faxgerät auf einem Tisch
©fotofabrika – stock.adobe.com

Warum Du als Makler keine Anträge per Fax verschicken solltest

Viele Jahrzehnte galt das Fax als sichere Methode, Dokumente und damit Daten jeglicher Art an andere zu versenden. Dies gilt spätestens seit Einführung der DSGVO so pauschal nicht mehr. Zum Thema Faxversand im Rahmen der DSGVO gibt es mittlerweile ein Gerichtsurteil des Oberverwaltungsgerichtes Lüneburg, eine klare Aussage der Landesdatenschutzbehörde Bremen und zumindest bei der Frage des „Wie“ gibt es unter Datenschützern eigentlich keine zwei Meinungen mehr.
Der Versand von besonders schützenswerten Daten, also beispielsweise von Gesundheitsdaten, per Telefax ist in der Regel nicht DGSVO konform.

Eine Frage der Technik

Früher wurden beim Faxversand exklusive Ende-zu-Ende-Telefonleitungen genutzt, d. h. es war sichergestellt, dass Absender und Empfänger quasi direkt physisch miteinander verbunden waren.
Darüber hinaus war durch reale Faxgeräte sichergestellt, dass Faxe auch nur auf dem Gerät ankommen konnten, welches mit einer eindeutigen und festen Rufnummer physisch mit dieser Leitung verbunden war. Im Zuge der Digitalisierung hat sich dies aber grundlegend geändert, denn durch die technischen Änderungen in den Telefonnetzen, welche mittlerweile auf Internettechnologie basieren, werden keine exklusiven Leitungen mehr benutzt, sondern die Daten werden paketweise transportiert und mittlerweile fast standardmäßig an Faxserver übertragen oder in eine E-Mail umgewandelt, welche dann an bestimmte E-Mail-Postfächer weitergeleitet wird.

Technisch betrachtet entspricht der Faxversand also dem Versand einer unverschlüsselten E-Mail und wird deshalb oft mit dem Versand einer offen einsehbaren Postkarte verglichen.

Aktuelle Rechtslage

In Art. 5 Abs. 1 lit. f DSGVO ist unter anderem eindeutig geregelt, dass der Verantwortliche, hier also Du als Makler, personenbezogene Daten nur in einer Art und Weise verarbeiten und somit auch weiterleiten darfst, die unter anderem die Vertraulichkeit gewährleistet.
Im Umkehrschluss bedeutet dies, dass Du gegen diese Verordnung verstößt, wenn Du diesen Grundsatz nicht beachtest und dann ggf. auch mit Sanktionen rechnen musst, beispielsweise mit Geldbußen gemäß Art. 83 DSGVO oder auch Schadenersatz gemäß Art. 82 DSGVO leisten musst.
Zwischenzeitlich gibt es zu diesem Thema auch ein Urteil des OVG Lüneburg, mit welchem festgestellt wurde, dass zumindest die Übermittlung besonders schutzwürdiger Daten per Telefax unzulässig ist.
Noch weiter geht die Landesdatenschutzbehörde Bremen, welche die Nutzung des Telefaxes zur Übermittlung personenbezogener Daten generell für unzulässig erklärt.

Das WIE entscheidet

Nur der Vollständigkeit halber sei erwähnt, dass theoretisch auch weiterhin die Möglichkeit besteht, Dokumente oder Daten DSGVO-konform per Telefax zu übermitteln.
Dies gilt aber nur noch unter 2 strengen Voraussetzungen:

1. Es werden keine personenbezogenen Daten übermittelt.

2. Es ist sichergestellt, dass die Übermittlung mit einem realen Faxgerät über eine exklusive Ende-zu-Ende-Leitung erfolgt und der Empfänger ebenfalls ein reales Faxgerät einsetzt, welches ebenfalls direkt an eine solche Leitung angeschlossen ist.

Wie wahrscheinlich es ist, diese beiden Kriterien einzuhalten, kann sich wohl jeder selbst ausrechnen und Anträge ohne personenbezogene Daten wird es wohl nicht geben.

Technische Alternativen

Natürlich gibt es zum Faxgerät mehrere Alternativen. Zum einen bieten nahezu alle Versicherungsunternehmen entsprechende Portale an, über die Anträge sicher übermittelt werden können. Gleiches gilt für die meisten Maklerverwaltungsprogramme und Vergleichsrechner, über die eine Antragstellung ebenfalls sicher möglich ist.

Für alle, die einen einzelnen Antrag übermitteln wollen, steht die verschlüsselte E-Mail zur Verfügung, wobei hier darauf zu achten ist, dass es eine Transportverschlüsselung und eine Inhaltsverschlüsselung gibt.

Die Transportverschlüsselung, heute bei allen namhaften E-Mail-Providern in Form der sog. TLS-Verschlüsselung Standard, sorgt dafür, dass die E-Mail auf dem Weg vom Absender zum Empfänger verschlüsselt wird, dann aber auf dem Server des Empfängers im Klartext vorliegt.

Die Inhaltsverschlüsselung sorgt zusätzlich dafür, dass die E-Mail sowie entsprechende Anhänge, also beispielsweise ein Antrag, nur vom Empfänger geöffnet und gelesen werden können. Dies setzt den Einsatz einer speziellen Verschlüsselungstechnik voraus, beispielsweise des PGP- oder S/MIME-Verfahrens.

Alternativ dazu können die Anhänge natürlich auch als PDF- oder ZIP-Datei verschickt werden, welche zusätzlich mit einem Passwort geschützt sind, welches nur der Absender und der Empfänger kennt.

Ausblick

Da wir auch täglich mit Versicherungsunternehmen zu tun haben, können wir Dir mitteilen, dass die Versicherungsunternehmen mit Hochdruck daran arbeiten, das Thema Faxversand und -empfang abzuschaffen. Dies nicht nur aus Sicherheitsgründen, sondern auch aus organisatorischen Gründen. Der erste Versicherer hat dies für bestimmte Prozesse sogar bereits umgesetzt.

Unsere Empfehlung

Wenn Du Deinen Geschäftssitz in Bremen hast, solltest Du aufgrund der eindeutigen Aussage der zuständigen Landesdatenschutzbehörde natürlich ab sofort auf die Übermittlung personenbezogener Daten per Telefax verzichten.

Allen anderen empfehlen wir ebenfalls, auf den Versand personenbezogener Daten und damit auch von Anträgen per Telefax zu verzichten, da es sichere Alternativen gibt und uns kein Versicherungsunternehmen bekannt ist, welches noch reale Faxgeräte einsetzt die an eine Ende-zu-Ende-Leitung angeschlossen sind.

Hilfe und Beratung

Als Teilnehmer am Datenschutz-Rahmenvertrag zwischen der blau direkt GmbH & Co. KG und der basucon GmbH informieren wir nicht nur regelmäßig über aktuelle Themen rund um den Datenschutz, sondern beraten auch in der konkreten Umsetzung in besonderen Situationen.
Diese Beratung erstreckt sich über die Basics eines Datenschutzkonzeptes, wie die Verzeichnisse der technischen und organisatorischen Maßnahmen und der Verarbeitungstätigkeiten, bis hin zur Beratung und Unterstützung bei Datenschutzpannen oder Anfragen von Betroffenen.

Nähere Informationen zum Umfang und den Kosten des Rahmenvertrages bekommst Du unter office@basucon.de oder natürlich über Deinen Maklerbetreuer.

Wir freuen uns auf Deine Kontaktaufnahme!