„Die Übermittlung personenbezogener Daten per Fax ist grundsätzlich unzulässig“, so formuliert es die Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (§25 KDG-DVO), die seit 1. März in Kraft ist. Natürlich ist es zu begrüßen, dass die Katholische Kirche versucht, das Schutzniveau personenbezogener Daten weiter zu erhöhen und die Einhaltung der DSGVO sicherzustellen. Ohne aber zu definieren, was mit „Fax“ gemeint ist, missachtet das pauschale Verbot, die Weiterentwicklung von Technologien für den hochsicheren Dokumentenaustausch.
Damit wird leider wieder, wie so oft, wenn es um die DSGVO geht, über das Ziel hinausgeschossen: Insbesondere das pauschale, übergreifende Verbot praktisch jeglicher Faxkommunikation ignoriert jahrzehntelange technologische Innovationen beim Dokumentenaustausch via Telefonie, denn der Wechsel von ISDN zu IP-basierter Telefonie ist vollzogen. Damit wird auch ignoriert, dass heutzutage mehr als 90 Prozent aller Telefonverbindungen TLS verschlüsselt sind. Was im Umkehrschluss bedeutet, dass digitalisierte Dokumente, die über die IP-Telefonleitung wie Faxe versendet werden, ebenfalls verschlüsselt sind und nicht mitgelesen werden können – also DSGVO-konform sind.
Die nahezu ausschließliche Verpflichtung auf verschlüsselten E-Mail-Versand lässt völlig außer Acht, dass die Nutzung von E-Mail-Verschlüsselung in Deutschland unter zehn Prozent liegt. Damit bleibt vielen Beteiligten ohne Zugang zu verschlüsseltem Mailsystemen in der Zusammenarbeit mit der Katholischen Kirche und ihren Einrichtungen oft nur der Postweg, um personenbezogene Daten rechtskonform zu übermitteln. Je nach Gegend und aktuellen Ressourcen bei der Post können vom Einwurf bis Eingang eines Briefes schon mal drei bis fünf Tage vergehen. Wertvolle Zeit, die akut Betroffenen aus einer Einrichtung der Katholischen Kirche bis zu einer Behandlung durch Ärzte, Pflegeeinrichtungen, Therapeuten usw. fehlen kann.
Dabei gibt es heute Dokumentenaustausch-Lösungen auf dem Markt, die speziell für die sichere, DSGVO-gerechte Übermittlung von sensiblen Dokumenten entwickelt wurden und sogar abwärtskompatibel zu dem herkömmlichen Faxstandard sind. Letzteres ist hilfreich, wenn Fax zum Beispiel in der Kommunikation mit Behörden ausdrücklich gefordert sein sollte, so wie es Ausnahmen in der KDG-DVO vorsehen. Richtig eingesetzt und in Prozesse sowie bestehende Kommunikationsinfrastrukturen integriert, leisten digitale Dokumentenaustauschlösungen heute wertvolle Dienste beim schnellen, sicheren und DSGVO-konformen Austausch von Dokumenten mit personenbezogenen Daten.
Zu den Sicherheitsfunktionen gehört die End-to-End verschlüsselte Übertragung, der Manipulationsschutz auf dem Übertragungsweg und eine rechtsgültige Empfangsbestätigung mit Zeitstempel. Durch die automatische Verschlüsselung steigt das Schutzniveau beim digitalen Dokumentenaustausch gegenüber manueller und damit fehleranfälliger E-Mail-Verschlüsselung sogar noch, die im Übrigen bei Weiterleitung auch unverschlüsselt sein kann.
Neben der Missachtung zeitgemäßer Technologien kann man an dem Gesetz weiterhin beanstanden, dass die Verantwortung für den DSGVO-konformen Erhalt von Dokumenten, beim Absender, nicht beim Empfänger, gesehen wird. So wird grundsätzlich davon ausgegangen, dass ein Fax nicht gemäß DSGVO empfangen werden kann, beispielsweise, weil die Gefahr besteht, dass es per E-Mail weitergeleitet werden könnte und somit unverschlüsselt ist. Mit dieser Annahme aber wird jeder Dokumentenversand, unabhängig vom Kommunikationsmittel zum Risiko, denn auch in einer Poststelle werden von den Mitarbeitenden Briefe für die Sortierung geöffnet und gesichtet. Manchmal vielleicht sogar versehentlich Briefe, die mit vertraulich gekennzeichnet sind? Es sei dahingestellt, welche „angemessene technische Schutzmaßnahme“ in der Poststelle für die Vertraulichkeit persönlicher Daten sorgt.
Nur Technik, die richtig angewandt wird, führt zu Sicherheit.