Neuigkeiten

Fax-Nutzung zur Übertragung von personenbezogenen Daten

Risiko für die Integrität der Patientendaten

Gerade im Klinikalltag muss es oft schnell gehen. Ein Leistungserbringer oder ein Kostenträger benötigt schnell Dokumente zu einem Patienten. Hier kommt es immer noch häufig vor, dass das Fax als Übertragungsmedium genutzt wird. Jedoch ist dem Versender nicht bewusst wo das Faxgerät des Empfängers steht oder wer Zugriff auf das Gerät hat.

Das Hilfskonstrukt den Empfänger vorher anzurufen und über den Zugang des Faxes zu informieren, stellt sich in der Praxis oft als nicht praktikabel heraus.

Nach der flächendeckenden Umstellung auf die IP-basierte Telefonie stellt aber auch die Übertragung selbst ein Risiko für die Integrität der personenbezogenen Daten dar. Die Landesbeauftragte für Datenschutz der Freien Hansestadt Bremen hat daher jüngst „die Gegenseite“ (Empfänger) als Kern des Problems beschrieben. Der Absender kann nicht wissen, welche Übertragungstechnik der Empfänger einsetzt. Daher ist das Schutzniveau eines Faxes genauso zu sehen wie eine unverschlüsselte E-Mail („offene Postkarte“, vgl. Die Landesbeauftragte für Datenschutz - Telefax ist nicht Datenschutz konform (bremen.de)).

Aus diesem Grund ist eine Versendung von personenbezogenen Daten, hier insbesondere der besonderen Kategorien (Gesundheitsdaten), als nicht datenschutzkonform zu bewerten. Das OVG Lüneburg hat am 22.07.2020 festgestellt, dass die unverschlüsselte Übermittlung per Fax von personenbezogenen Daten eine rechtswidrige Handlung darstellt (vgl. Niedersächsisches Landesjustizportal).

Empfehlung zur datenschutzkonformen Nutzung von Faxen:

Erfolgte das Faxen früher noch über Ende-zu-Ende-Telefonleitungen, werden diese mittlerweile in der Regel IP-basiert versandt. Durch die in den vergangenen Jahren vollzogenen technischen Änderungen in den Telefonnetzen ist das Versenden eines einfachen Faxes daher nicht mehr zulässig.

Daher dürfen nur noch gewisse Daten über das Fax versendet werden.

  • Anonymisierte Daten: Hierbei handelt es sich gemäß Erwägungsgrund 26 DSGVO um Daten, die sich nicht auf eine identifizierbare natürliche Person beziehen lassen.
  • Pseudonymisierte Daten: Diese fallen zwar unter die Datenschutzvorschriften, da die Daten durch Hinzuziehung zusätzlicher Informationen zu einer Depseudonymisierung führen können. Durch die Entfernung der personenbezogenen Daten und der Nennung eines vorher mit dem Empfänger vereinbarten Schlüsselwortes, ist aber eine Depseudonymisierung nur mit einem hohen Aufwand möglich.

Diese beiden Methoden erlauben das Faxen unter der Wahrung der Vertraulichkeit.

Durch die Verschlüsselung der Signalisierung in Verbindung mit einem sicheren Medientransport durch eine Transportverschlüsselung (TLS), können auch andere Daten geschützt gefaxt werden. Hier bedarf es jedoch einer technischen Prüfung und Anpassung der Kommunikationsanlage beim Versender genauso wie beim Empfänger, um die Integrität und Vertraulichkeit der Daten sicherzustellen (vgl. BSI NET.4: Telekommunikation).  

Weitere Handlungsempfehlungen zur Faxnutzung:

  • Stetige Reduzierung der Anzahl von Faxgeräten
  • Reduzierung des Personals, das Faxgeräte bedient
  • Bereitstellung von Verfahrensanweisungen zur Bedienung von Faxgeräten

Welche Alternativen zum Fax gibt es?

Immer noch eine der ersten Alternativen zu einem Fax ist das Versenden eines Briefes. Wenn die Übermittlung jedoch kurzfristig erfolgen muss, ist der Postweg keine wirkliche Alternative. Eine weitere Möglichkeit ist das Versenden einer verschlüsselten E-Mail, hierbei gibt es zwei wesentliche Verschlüsselungsmethoden:

  1. Die Transportverschlüsselung: Die Daten werden durch einen Tunnel versendet, dieser ist verschlüsselt, sodass Daten auf dem Weg vom Versender zum Empfänger nicht lesbar sind. Jedoch können an Knotenpunkten im Web die Daten kurzzeitig offen verfügbar sein und durch einen sogenannten Man-in-the-Middle Angriff abgefangen werden.
    (vgl. www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung.html)
  2. Die Inhaltsverschlüsselung: Bei dieser Methode wird der Inhalt der E-Mail verschlüsselt, es sind lediglich die Meta-Informationen wie Empfänger und Betreff sowie der Absender noch identifizierbar.

Damit nun ein datenschutzkonformer Datentransfer sichergestellt werden kann, ist eine Kombination beider Methoden zu nutzen.

Wichtig an der Stelle ist, dass der Empfänger die Maßnahmen mitträgt. Hier gibt es Empfänger, die einen inhaltsverschlüsselten Empfang von E-Mails kategorisch ablehnen. Dies kann an einer technischen Einschränkung auf Empfängerseite liegen oder an den fehlenden EDV-technischen Kenntnissen des Empfängers. Hier bedarf es immer noch Pionierarbeit des Versenders, um die Vorgaben der einschlägigen Datenschutzvorschriften stringent umsetzen zu können.

Fazit

Das Telefax wird noch immer in vielen Branchen nahezu flächendeckend eingesetzt. Der Versand per Fax ist aber aufgrund der Unsicherheiten beim Transport und beim Empfang als nicht datenschutzkonform einzustufen. Daher obliegt es dem Versender geeignete Alternativen zu nutzen oder technische Anpassungen vorzunehmen, die einen datenschutzkonformen Datenversand sicherstellen. Hier ist neben dem herkömmlichen, aber langwierigen Versand über den Postweg, zuerst die verschlüsselte E-Mail zu nennen. In manchen Empfängerkreisen bedarf dies noch Aufklärungsarbeit, um einen nachhaltig datenschutzkonformen Datentransfer und -empfang sicherzustellen.

Sie haben Fragen oder Beratungsbedarf zur Nutzung eines Faxgerätes? Gerne haben wir Ihnen eine Verfahrensanweisung zur Fax-Anwendung zusammen gestellt. 

Zusätzlich stehen Ihnen unsere Expert:innen gerne bei allen Herausforderungen zur Seite. Jetzt Kontakt aufnehmen!