Verantwortliche im Sinne des Datenschutzrechts sind in der Pflicht, bei der Übermittlung personenbezogener Daten zu gewährleisten, dass geeignete technische und organisatorische Maßnahmen getroffen sind, um die Einhaltung der datenschutzrechtlichen Vorschriften sicherzustellen. Problematisch beim Fax ist diesbezüglich insbesondere, dass der Absender nie mit Sicherheit feststellen kann, welche Technik auf der Seite des Empfängers eingesetzt wird. Deshalb kann der Absender regelmäßig nicht nachvollziehen, ob die Daten verschlüsselt übertragen werden. Der Absender kann eine Verschlüsselung auch technisch nicht erzwingen. In der Schlussfolgerung führt dies regelmäßig dazu, dass Faxe unverschlüsselt über das Internet versandt werden. In solchen Fällen könnten diese von Unbefugten abgefangen und eingesehen oder manipuliert werden. Fax-Dienste enthalten demnach grundsätzlich keine ausreichenden Schutzmaßnahmen auf beiden Seiten, um die Vertraulichkeit zu gewährleisten.
Von einem unverschlüsselten Versand personenbezogener Daten per Fax sollte deshalb dringend Abstand genommen werden. Dies gilt insbesondere für den Versand besonderer Kategorien personenbezogener Daten, da für diese ein erhöhtes Schutzniveau gewährleistet werden muss. Eine Verwendung von Online-Fax-Services ist für solche Daten regelmäßig unzulässig. Diese Ansicht wurde mittlerweile auch durch Stellungnahmen diverser datenschutzrechtlicher Aufsichtsbehörden sowie der Rechtsprechung untermauert.
Zur Sicherstellung der Einhaltung datenschutzrechtlicher Vorgaben sollten Verantwortliche deshalb auf sichere Alternativen zum Fax zurückgreifen. Beispielsweise können inhaltsverschlüsselte E-Mails (PGP oder S/MIME), DE-Mail, bereichsspezifische digitale Kommunikationsdienste (EGVP/beA/KIM/beBPo), gesicherte Up- und Downloads sowie der herkömmliche postalische Weg (Briefgeheimnis) genutzt werden. Die Löschung der Faxnummer von der Website wäre der erste Schritt in eine faxfreie Welt.
