Bremer Landesdatenschutzbeauftragte: Fax ist nicht datenschutzkonform

PrintMailRate-it

​veröffentlicht am 31. Mai 2021

 

[Quelle: Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen]

 

Da der Absender eines Faxes keine Information darüber hat, ob auf der Empfängerseite womöglich die Vertraulichkeit nicht gewährleistet ist, stuft die Bremer Datenschutzaufsicht die Faxtechnik insgesamt als nicht datenschutzkonform ein. Verantwortliche sollten sich auch auf Grund weiterer, nicht unerheblicher Risiken des Faxversandes um Alternativen Gedanken machen. Dies gilt auch und besonders im Gesundheitswesen, wo der Faxversand weiterhin häufig für den Versand von Befunden, Arztbriefen und anderen patientenbezogenen Daten genutzt wird.

 

Das Faxgerät als Kommunikationsmedium ist in den vergangenen Jahren immer mehr durch elektronische Übertragungsmöglichkeiten verdrängt worden. Jüngeren erscheint es oft wie ein Relikt aus dem 20. Jahrhundert. Allerdings hat das Fax in einzelnen Anwendungsbereichen bis heute Nischen, in denen es seine Stellung weiterhin behauptet. Eine dieser Nischen ist die Kommunikation zwischen den Leistungserbringern im Gesundheitswesen, also den Krankenhäusern und den niedergelassenen Ärzten. Dort wird es nach wie vor häufig für den schnellen und vermeintlich sicheren Versand von Befunden, Arztbriefen und ähnlicher patientenbezogener Korrespondenz eingesetzt.


Eine aktuelle Meldung der Bremer Landesbeauftragten für Datenschutz lässt aufhorchen. Dort heißt es: „Galt ein Telefax noch vor einigen Jahren als relativ sichere Methode um auch sensible personenbezogene Daten zu übertragen, so hat sich diese Situation grundlegend geändert. Kern des Problems ist ‚die Gegenseite‘: Absenderinnen oder Absender können sich nie sicher sein, welche Technik auf der Empfangsseite eingesetzt wird.” Typischerweise kommen auf der Empfangsseite demnach heute Fax-Server oder Cloud-Fax-Services zum Einsatz, die das eingehende Fax in eine Mail umwandeln. Ob diese Mail dann beispielsweise durch Verschlüsselung hinreichend gesichert sei und ob es sich bei einem Cloud-Service um eine DSGVO-konforme europäische Cloud handelt, kann der Absender nicht erkennen.


Auf dieser Grundlage kommt die Datenschutzbeauftragte zu dem Ergebnis, dass ein Fax hinsichtlich der Vertraulichkeit mit einer unverschlüsselten E-Mail gleichzusetzen sei. Es komme damit für den Versand personenbezogener Daten nicht in Betracht. Für den Versand von besonderen personenbezogenen Daten i.S.v. Art. 9 DSGVO, also beispielsweise Gesundheitsdaten, muss dies in besonderer Weise gelten.


Andere Sichtweisen bei anderen Landesdatenschutzbeauftragten sind möglich. Hinzu kommt, dass im Verhältnis zwischen zwei Leistungserbringern im Gesundheitswesen sicherlich die Frage zu klären wäre, ob den Absender tatsächlich eine Verantwortlichkeit für die Einhaltung des Datenschutzes beim Empfänger trifft, der in der Regel ja eigener Verantwortlicher ist. Unabhängig von diesen Vorbehalten bleibt allerdings der Hinweis, dass der Faxversand unter Datenschutz-Aspekten tatsächlich sehr riskant ist. Der versehentliche Versand eines Faxes durch einen medizinischen Leistungserbringer an eine falsche Faxnummer und damit eine unberechtigte Offenlegung der Patientendaten gehört von der Zahl der Fälle her sicherlich zu den Top Ten der Datenschutzverstöße im Gesundheitswesen.


Krankenhäusern, MVZs und Arztpraxen ist daher in jedem Fall zu empfehlen, sich für den Versand von Patienteninformationen an Dritte nach sichereren und zugleich zeitgemäßen Alternativen zum Fax umzusehen. Neben Verschlüsselungstechniken spielen dabei verstärkt auch gesicherte Datenaustauschportale eine Rolle. Ein dediziertes Datenschutzkonzept für diesen externen Datenaustausch durch externe Fachleute oder auch ein Datenschutzaudit beispielsweise für dieses sensible Thema geben dem Verantwortlichen eine nützliche Absicherung bei seiner Produktauswahl.

Aus dem Newsletter

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

Wir beraten Sie gern!

E-Learning Banner

 

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu