Die Bremer Landesbeauftragte für Datenschutz und Informationsfreiheit hat festgestellt, dass für die Übertragung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DS-GVO die Nutzung von Fax-Diensten unzulässig ist. Zwar habe ein Telefax noch vor einigen Jahren als relativ sichere Methode gegolten, um auch sensible personenbezogene Daten zu übertragen. Diese Situation habe sich aber grundlegend geändert. Denn sowohl bei den Endgeräten als auch den Transportwegen habe es weitreichende Änderungen gegeben.
Während bisher beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt worden sind, sie dies heute aufgrund technischer Änderungen in den Telefonnetzen nicht mehr so. Daten würden paketweise in Netzen transportiert, die auf Internet-Technologie beruhen. Zudem könne nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät existiert. Meist würden Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten. Aufgrund dieser Umstände habe ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, die mit der offen einsehbaren Postkarte vergleichbar ist. Fax-Dienste enthielten keinerlei Sicherungsmaßnahmen, um die Vertraulichkeit der Daten zu gewährleisten. Für den Versand solcher Daten müssten daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post genutzt werden.
