Inhalt:

• Wieso Faxverbot in Österreich?
• Urteil: Schadenersatz wegen zu schwachem Schutz von eMails
• Der "übliche" Einzelfall: Geknackte Verschlüsselung mittels israelischer Spyware

 

 

Wieso Faxverbot in Österreich?

Die Diskussion ist nicht neu: Schon kurz nach der Inkraftsetzung der DSGVO im Frühjahr 2018 wurde überlegt, ob die alte Technologie noch den neuen Anforderungen an die Datensicherheit entspricht. Die bayerische Datenschutzbehörde z.B. hat damals (noch) beurteilt, dass die Faxübermittlung bis auf weiteres als sicher einzustufen ist. Das hat sich in der Zwischenzeit geändert, was hauptsächlich mit der technischen Entwicklung der Übertragungsnetze zu tun hat.

Worum geht es bei der laufenden Diskussion?

Vor mehr als einem Jahrzehnt konnte sich alle Beteiligten der österreichischen Gesundheitsverwaltung, die nicht zuletzt aufgrund der Bundesverfassung äußerst zersplittert ist, wundersamer Weise einvernehmlich darauf verständigen, das Fax als Übermittlungstechnik österreichweit nur mehr bis zum Jahresbeginn 2025 zu verwenden. Nachdem weder die selbstgesetzte Frist, noch die mittlerweile bestehenden massiven Datenschutzbedenken die Entwicklung einer gemeinsamen Plattform für den Austausch medizinischer Informationen angetrieben haben, wurde man 13 Jahre später vom selbst ausgerufenen Faxverbot überrascht. Schwer zu sagen, wer für diese Farce verantwortlich ist. Aufgrund der vielen geteilten Verantwortungen zeigen derzeit alle Beteiligten mit den Fingern wechselseitig auf die jeweils anderen. Es ist auch unklar, ob es überhaupt eine Stelle in Österreich gibt, die ein einheitliches System durchsetzen könnte. Angeblich wird verhandelt. Ob sich dadurch die Lage bessert, ist nicht absehbar. Was bleibt, ist die Verantwortung und das Risiko jedes Arztes, jeder einzelnen Ordination oder Gesundheitseinrichtung, die weiterhin Faxnachrichten verschickt.

Natürlich gäbe es ausreichend sichere Alternativen zur Faxübermittlung. Die haben aber aus Sicht der Krankenkassen, Ärzte und Spitäler den Nachteil, dass es sich um Einzellösungen handelt, die nicht einheitlich für ganz Österreich zur Verfügung stehen. Für die individuellen Lösungen ist außerdem ein - wenn auch geringer - Bedienungsaufwand erforderlich, der im optimalen Fall jeden Übermittlungsvorgang gegenüber einem eMail mit einer um ca. eine Minute längeren Bedienungstätigkeit belastet. Der Vorteil allerdings besteht darin, dass auf der Empfängerseite keine zusätzlichen Installationen erforderlich sind. Der Empfänger kann von jedem mit dem Internet verbundenen PC auf sichere Weise auf die für ihn bestimmten Informationen zugreifen. Anwaltskanzleien, Steuerberater, Wirtschaftsprüfer und andere Berufe verwenden solche Lösung schon längst. Einige davon sind sogar open-source und Freeware, sodass keine Lizenzkosten anfallen.

Exkurs: Wie funktioniert das Faxen?

Am Anfang war die analoge Drahtverbindnung. Ein Kupferdraht verband zwei von einander entfernte Faxgeräte. Dazwischen befanden sich die "Wählämter", also elektromechanische Einrichtungen, die durch schlaue Kombinationen von Relais dafür sorgten, dass die richtigen beiden Endgeräte miteinander verbunden waren. Da gab es keine geheimnisvollen Blackboxes. Man konnte tatsächlich den Signalweg mit freiem Auge verfolgen, wobei die Ansammlung der Relais in den Hallen während des Betriebes einen beachtlichen Lärm verursachte. Faxverbindungen waren ausgesprochen robust. Für Journalisten etwa, die aus Krisengebieten berichteten, stellte das Fax die einzige verläßliche Verbindung zu ihren Redaktion zu Hause dar, weil die Übertragungsform aufgrund ihrer Einfachheit nur zwei Betriebszustände kannte: sie funktionierte - oder sie funktionierte nicht. Dass ein Fax "abgehört" wurde, ist so gut wie nie vorgekommen, weil das Einschleifen eines dritten Gerätes in eine Verbindung dazu geführt hätte, dass das Sendegerät und der geplante Empfänger die Verbindung abgebrochen hätten. Andere Methoden des "Lauschens" wären zwar möglich, aber extrem aufwändig gewesen, was jedefalls abschreckend wirkte.

Mit zunehmender Digitalisierung der Netze wurden die "Wählämter", also die Bauten, in denen sich die gewaltigen Regale mit den Relais befanden, nach und nach überflüssig. Was früher ganze Werkshallen füllte, fand letztlich in einem vergleichsweise winzigen Rechner Platz, dessen Kühlventilator als einzige Geräuschquelle verblieb. Sobald die Verbindung zwischen den nunmehr digitalen Vermittlungseinrichtungen nicht mehr analog stattfand, wurde auch das Fax selbst digitalisiert: In der Vermittlung wurde das analog ankommende Fax in einen digitalen Datenstrom verwandelt, der dann über viele Zwischenstationen zur Vermittlungseinrichtung weitergeleitet wurde, an die das Empfängergerät angeschlossen war. In dieser Vermittlung wurde aus dem digitalisierten Signal wieder ein analoges Faxsignal rekonstruiert, das auf herkömmliche Weise an den Empfänger verschickt wurde. Der Missbrauch einer solchen Verbindung wurde nunmehr möglich. Die Datenströme konnten gespeichert, kopiert, umgeleitet und unberechtigt ausgelesen werden, ohne dass Sender und Empfänger davon Kenntnis erlangen mussten.

Faxübertragungen haben daher heute den gleichen Sicherheitsstandard, wie gewöhnliche eMails. Sie werden auf die gleiche Weise über die gleichen Netze verschickt, und die Inhalte sind de facto ungeschützt. Nachdem die Netze mittlerweile komplett digitalisiert sind, wurde die ursprüngliche Beurteilung der Datenschutzbehörden daher konsequenter Weise geändert und die Faxübertragung für sensible personenbezogene Daten (Art. 9 u. 10 DSGVO) als unzulässig eingestuft.

 

Quellen:

https://www.derstandard.at/story/3000000255425/das-faxverbot-sorgt-fuer-chaos-im-gesundheitswesen
(3.2.2025)

https://ooe.orf.at/stories/3292125/
(5.2.2025)

 

 

Urteil: Schadenersatz wegen zu schwachem Schutz von eMails

Der Fall, über den im Dezember 2024 das Oberlandesgericht von Schleswig-Holstein entschieden hat, ist kurios: Eine PDF-Rechnung, die dem Adressaten per Mail zugestellt wurde, enthielt eine gefälschte Bankverbindung. Der Empfänger zahlte - an das Konto der Betrüger - und wurde vom Rechnungsleger, der ja sein Geld nicht bekommen hatte, geklagt.

Der Kläger brachte vor, dass er das Mail, mit dem er die PDF-Rechnung verschickt hatte, mittels TLS (Transport Layer Security, vormals SSL - Secure Sockets Layer) verschlüsselt und damit für die notwendige Sicherheit gesorgt hatte. Für die Zahlung an das falsche Bankkonto trage daher der Empfänger die Verantwortung. Bei TLS handelt es sich um ein Standard-Protokoll, mit dem lediglich der Transport eines Mails verschlüsselt wird. Auf den verschiedenen Servern, die für den Transport benötigt werden, ist die Nachricht allerdings unverschlüsselt zugänglich. Das könnte nur mittels einer "Ende-zu-Ende-Verschlüsselung" geändert werden.

Wie sich im Laufe des Verfahrens herausstellte, haben Kriminelle dem Adressaten eine gefälschte Rechnung untergejubelt, die sich nicht nur hinsichtlich der Bankdaten, sondern auch im Layout geringfügig von der Originalrechnung unterschied. Diese Unterschiede und das gegenüber früheren Zahlungen geänderte Konto hätten dem Beklagten auffallen müssen, wandte der Kläger ein. Dies allerdings verneinte das Gericht.

Das Oberlandesgericht Schleswig-Holstein entschied, dass

• es sich bei der Rechnung um personenbezogene Daten handelte, die grundsätzlich unter die Regelungen der DSGVO fallen und dass
• angesichts der hohen Rechnungssumme von etwas mehr als EUR 15.000 die TLS-Transportverschlüsselung (deren Verwendung allerdings im Verfahren nicht nachgewiesen werden konnte) nicht dem Risiko einer allfälligen Datenschutzverletzung angemessen war; dies selbst dann, wenn sie angewandt worden wäre. Und letztlich hielt das Gericht fest,
• dass der Kläger noch keine Zahlung mit schuldbefreiender Wirkung erhalten hat. Jedoch wäre er schuldig, dem Beklagten Schadenersatz für die (an das falsche Bankkonto) gezahlte Rechnungssumme zu leisten.

Der Kläger hat daher letztlich nicht nur den Entgang der Rechnungssumme, sondern auch den Verlust durch den von ihm zu leistenden Schadenersatz in gleicher Höhe zu verkraften (der ihm jedoch vom Beklagten zur Begleichung seiner Rechnung wieder erstattet werden muss). Das Gericht ließ allerdings die Möglichkeit der Revision offen: Die Frage, welches Schutzniveau vom Verarbeiter gem. Art. 24, 32 DSGVO beim Versand geschäftlicher Emails mit personenbezogenen Daten, insbesondere mit angehängten Rechnungen, einzuhalten ist, ist höchstrichterlich noch nicht geklärt.

Schlussfolgerungen:

Die Gerichtsentscheidung folgt einer europäischen Tendenz, die sich wiederum an der technischen Entwicklung orientiert. Doch selbst wenn das - auch technisch - extrem ausführlich begründete Erkenntnis (noch) nicht als Leitjudikatur gelten kann, zeigt es die unaufhaltsame Entwicklung. Vor dem Versand von eMails sollte man also im Einzelfall folgende Prüfungen vornehmen:

• Enthält das eMail oder dessen Anhang sensible personenbezogene Daten (DSGVO Art. 9 u. 10), also z.B. Diagnosen, Hinweise auf körperliche Eigenschaften einer Person, auf ihre politische Haltung etc., sind besondere Sicherheitsvorkehrungen schon jetzt unbedingt erforderlich.
• Ist der Inhalt der Nachricht - abgesehen von der Anschrift des Adressaten - werthaltig, d.h. dass er Ansprüche behandelt, deren Wert unter gewöhnlichen Maßstäben als hoch einzuschätzen ist, sind ebenso angepasste Sicherheitsvorkehrungen notwendig.
• Lediglich eMails, deren Inhalt, sofern er Dritten bekannt wird, auf die Rechte und Freiheiten natürlicher Personen kaum Auswirkungen hat, dürfen ohne zusätzliche Sicherheitsmaßnahmen "gewöhnlich" verschickt werden.

Bezüglich möglichst niederschwelliger, aber ausreichender Sicherheitsmaßnahmen und Einzelfallbeurteilungen ist Ideato auf Anfrage gerne unterstützend tätig.

 

Quellen:

https://www.heise.de/news/Urteil-TLS-Verschluesselung-bei-E-Mail-Rechnungen-an-Privatkunden-zu-wenig-10274040.html
(7.2.2025)

https://www.gesetze-rechtsprechung.sh.juris.de/bssh/document/NJRE001598708
(9.2.2025)

 

 

Der "übliche" Einzelfall: Geknackte Verschlüsselung mittels israelischer Spyware

Mittels einer israelischen Software wurden WhatsApp-Benutzer in ca. 90 Ländern bespitzelt. Die Hersteller behaupten reflexartig, sie seien selbst Opfer in dieser Causa, weil ihre Software widmungswidrig eingesetzt wurde. Tatsächliche Opfer aber sind dieses Mal ausgewählte Politiker und Journalisten - auch in Österreich.

Hätte es noch eines Beweises bedurft, dass der Einbruch in verschlüsselte Kommunikation nicht nur im Rahmen legaler Polizeioperationen passiert, so wäre der spätestens jetzt erbracht. Vielleicht ist das ein Schuss vor den Bug übereifriger Polizisten und Politiker, die immer wieder nach staatlichen Möglichkeiten rufen, um in verschlüsselte Kommunikation eindringen zu können. Die Erzählung, dass solche Werkzeuge, wenn sie einmal geschaffen sind, nur den Guten und den Gesetzestreuen vorbehalten bleiben, hat keinen Realitätsgehalt - das ist jetzt zum wiederholten Mal eindrucksvoll bewiesen.

Das Brechen von Kommunikationsschlüsseln ist stets ein Anschlag auf die Demokratie und den Rechtsstaat. Dass die Täter sich deshalb rasch als Opfer darstellen wollen, um die Diskussion von sich abzulenken, darf daher niemanden überraschen.

 

Quelle:

https://orf.at/#/stories/3384064/
(6.2.2025)