Das Fax in seiner ursprünglichen Form war lange Zeit mit dem Datenschutz und der Datensicherheit vereinbar, da die Übertragung über eine direkte Kommunikationsverbindung (Ende-zu-Ende-Verbindung) erfolgte. Aufgrund der technischen Entwicklungen einerseits und der datenschutzrechtlichen Entwicklung andererseits stellt sich die Frage, ob das Kommunikationsmittel Fax heutzutage überhaupt noch datenschutzkonform eingesetzt werden kann.

Heutzutage erfolgt eine Fax-Übertragung regelmäßig nicht mehr analog über die bekannten sperrigen Faxgeräte, sondern über digitale Erweiterungen. Hierzu werden häufig Online-Fax-Services genutzt, wobei das Fax über das Internet (Fax over IP) versandt wird. Oft sind die Faxe zudem über einen Cloudspeicher abrufbar, in welchem sie gespeichert und archiviert werden. Einige Softwarelösungen bieten sogar die Möglichkeit, Faxe direkt über das E-Mail-Postfach zu empfangen und zu versenden.  Da die Übertragung nicht mehr direkt vom Sender zum Empfänger, sondern in der Regel über ungeschützte Server unverschlüsselt erfolgt, entspricht dies nicht mehr dem Stand der Technik.

Verantwortliche im Sinne des Datenschutzrechts sind in der Pflicht, bei der Übermittlung personenbezogener Daten zu gewährleisten, dass geeignete technische und organisatorische Maßnahmen getroffen sind, um die Einhaltung der datenschutzrechtlichen Vorschriften sicherzustellen. Problematisch beim Fax ist diesbezüglich insbesondere, dass der Absender nie mit Sicherheit feststellen kann, welche Technik auf der Seite des Empfängers eingesetzt wird. Deshalb kann der Absender regelmäßig nicht nachvollziehen, ob die Daten verschlüsselt übertragen werden. Der Absender kann eine Verschlüsselung auch technisch nicht erzwingen. In der Schlussfolgerung führt dies regelmäßig dazu, dass Faxe unverschlüsselt über das Internet versandt werden. In solchen Fällen könnten diese von Unbefugten abgefangen und eingesehen oder manipuliert werden. Fax-Dienste enthalten demnach grundsätzlich keine ausreichenden Schutzmaßnahmen auf beiden Seiten, um die Vertraulichkeit zu gewährleisten.

Von einem unverschlüsselten Versand personenbezogener Daten per Fax sollte deshalb dringend Abstand genommen werden. Dies gilt insbesondere für den Versand besonderer Kategorien personenbezogener Daten, da für diese ein erhöhtes Schutzniveau gewährleistet werden muss. Eine Verwendung von Online-Fax-Services ist für solche Daten regelmäßig unzulässig. Diese Ansicht wurde mittlerweile auch durch Stellungnahmen diverser datenschutzrechtlicher Aufsichtsbehörden sowie der Rechtsprechung untermauert.

Zur Sicherstellung der Einhaltung datenschutzrechtlicher Vorgaben sollten Verantwortliche deshalb auf sichere Alternativen zum Fax zurückgreifen. Beispielsweise können inhaltsverschlüsselte E-Mails (PGP oder S/MIME), DE-Mail, bereichsspezifische digitale Kommunikationsdienste (EGVP/beA/KIM/beBPo), gesicherte Up- und Downloads sowie der herkömmliche postalische Weg (Briefgeheimnis) genutzt werden. Die Löschung der Faxnummer von der Website wäre der erste Schritt in eine faxfreie Welt.