Das gute alte Faxgerät

Blog-Layout

Das gute alte Faxgerät

30. April 2024

Besteht noch Hoffnung für den Datenschutz?

In den letzten Jahren wurde eine Kommunikation mittels Fax von einzelnen Datenschutzbehörden moniert. Dennoch, rund 80% der deutschen Unternehmen nutzen Faxgeräte. Auch im Gesundheitswesen erachten viele Einrichtungen das Faxgerät als unerlässlich. Der Faktor Zeit und die Praktikabilität stehen hierbei oft im Vordergrund. Doch kann eine solche Übermittlung aus datenschutzrechtlicher Sicht überhaupt noch als sicher eingestuft werden? Welche Handhabung wird bei der Nutzung des Faxes im Gesundheitswesen allgemein empfohlen?

Der Thüringer Landesdatenschutzbeauftragte (TLfDI) befasste sich jüngst in einer Pressemitteilung mit der Datenübermittlung per Telefax. Die Frage der Datenschutzkonformität dieses Kommunikationsweges ist jedoch gewiss nicht neu. Bereits 2021 nahm die Bremer Landesdatenschutzbeauftragte für den Datenschutz, Frau Dr. Imke Sommer, hierzu Stellung und beleuchtete die Risiken durch die technologische Weiterentwicklung des Faxgerätes. Wir berichteten hierzu bereits.

Damals, wie heute wird die Übermittlung per Telefax von vielen Datenschutzbehörden grundsätzlich als unsicherer Übermittlungsweg eingestuft. So auch der TLfDI, der die Faxnutzung nur in Ausnahmefällen für vertretbar hält. Auf der Homepage des Hessischen Beauftragten für Datenschutz und Informationsfreiheit wird zudem empfohlen zeitnah alternative Kommunikationsmittel zum Fax zu implementieren. Ähnlich wird dies vom Landesbeauftragten für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen gesehen, der den Fax-Versand für vergleichbar risikoreich hält, wie den unverschlüsselten E-Mail-Verkehr.

Doch weshalb gilt die Übermittlung per Fax als unsicher?

Risiken der Faxnutzung

Der Versand an einen falschen Empfänger durch die Eingabe einer fehlerhaften oder veralteten Faxnummer stellt ein in der Praxis häufig vorkommendes Risiko dar. Faxe werden inzwischen überwiegend durch sog. Paketvermittlungen übertragen. Hierbei werden Daten paketweise in unterschiedlichen Formen über das Internet transportiert. Während des Übermittlungsweges besteht an verschiedenen Stellen die Gefahr, dass auf die Faxe unberechtigt Zugriff genommen wird. Nicht selten kommen die übermittelten Pakete auch nur unvollständig an, sodass das Fax nicht vollständig wiedergegeben wird oder sogar ganze Seiten fehlen.

Bei klassischen Faxgeräten und Multifunktionsgeräten werden empfangene Faxe direkt ausgedruckt. Hierbei besteht ebenfalls die Gefahr einer unbefugten Kenntnisnahme durch Dritte.

Daneben werden Faxe oft auch rein elektronisch empfangen. Dabei werden eingehende Faxe in eine E-Mail umgewandelt und der Empfänger erhält sodann das Fax als E-Mail-Anhang in sein E-Mail-Postfach. Gerade in diesen Fällen existieren dieselben Risiken, die sich auch beim klassischen E-Mail-Versand ohne echte Ende-zu-Ende-Verschlüsselung ergeben. Sollte sich beispielsweise ein Cyberkrimineller Zugang zum E-Mail-Konto verschaffen, so könnte er sämtliche dort gespeicherten E-Mails einsehen.

Empfehlungen für eine datenschutzkonforme Kommunikation

Trotz der bestehenden Risiken ist das Faxgerät in den meisten medizinischen und pharmazeutischen Einrichtungen nach wie vor regelmäßig in Benutzung. Zu beachten ist weiterhin, dass beim Faxen im Gesundheitswesen meist besondere Kategorien von personenbezogenen Daten, meist Gesundheitsdaten, verarbeitet werden. Dies macht im Gegensatz zu weniger sensiblen Daten ein höheres Schutzniveau erforderlich. Im Gesundheitswesen muss demnach ein strengerer Maßstab angelegt werden als in vielen anderen Branchen.

Daher empfehlen sich insbesondere die nachfolgenden Punkte:

Nutzung alternativer Kommunikationsmittel: Für an die Telematikinfrastruktur (TI) angebundene Einrichtungen ist hier besonders der Übermittlungsdienst KIM (Kommunikation im Medizinwesen) zu nennen. Aber auch wer keine KIM-Nutzungsmöglichkeit hat, kann etwa E-Mails versenden, wenn entsprechende Verschlüsselungsverfahren umgesetzt sind oder auf sichere Portallösungen zurückgreifen.
Nutzung des Faxes nur für risikoarme Übermittlungen: Risikoarme Übermittlungen stellen beispielsweise Fax-Bestellungen ohne Patientenbezug dar.
Zu- und Abgangskontrolle: Falls doch gefaxt werden muss, sollte vorab eine Rufnummerkontrolle, etwa in Form des 4-Augenprinzips durchgeführt werden. Beachtung finden sollte dabei auch, dass sich die Faxnummern auch ändern können, sodass auch die Aktualität der Rufnummer sichergestellt werden sollte. Je nach Empfänger empfiehlt sich zudem eine Ankündigung der Faxsendung.
Verwendung eines Faxdeckblatts: Ein vorangestelltes Deckblatt, welches den Absender, die Seitenanzahl sowie die Bitte, ein ggf. fehlgeleitetes Fax beim Absender umgehend anzuzeigen oder zu vernichten wäre zu empfehlen. Auch dies kann eine sinnvolle Maßnahme darstellen, falls doch noch auf das Fax zurückgegriffen werden muss.
Restriktive Handhabung des Faxes: Wie bereits dargestellt, sollte das Telefax besonders bei der Übermittelung sensibler Informationen gar nicht verwendet werden. In besonderen Notsituationen ist eine Nutzung dennoch anerkannt. In diesen besonderen Notfällen sollte stets eine Abwägung getroffen werden. Diese sollte zunächst auf den individuellen Einzelfall abgestimmt sein. Außerdem sollte dabei die Sensibilität der zu übermittelnden Daten und die medizinische oder pharmazeutische Dringlichkeit der Übermittlung berücksichtigt werden. Nur bei fehlenden alternativen Übermittlungswegen und bei einem Überwiegen der Dringlichkeit, sollte der Einsatz des Faxes bei sensiblen Daten erwogen werden.

Unter Berücksichtigung obiger Ausführungen besteht wohl abgesehen von wenigen Ausnahmefällen keine Hoffnung auf ein datenschutzkonformes Faxen. Dies gilt jedenfalls dann, wenn das Fax auch Patientendaten oder ähnlich sensible Informationen beinhalten soll.