Blog-Layout
Datenschutzkonformität beim Einsatz von Telefaxen
Juli 13, 2021
Datenschutzkonforme Faxkommunikation
Bei dem Versand personenbezogener Daten im Gesundheitswesen mit Hilfe von Faxgeräten ist besondere Vorsicht geboten. Vor kurzem gewann die damit verbundene Debatte zur Datenschutzkonformität beim Einsatz von Telefaxen wieder etwas Schwung. Aus diesem Grund sollen nachfolgend einige Positionen im Hinblick auf eine datenschutzkonforme Faxkommunikation dargestellt werden.
Nach Auffassung der Bremer Landesbeauftragten für Datenschutz und Informationsfreiheit Imke Sommer ist die Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 Datenschutz-Grundverordnung, wie zum Beispiel Gesundheitsdaten, durch Telefax-Dienste unzulässig. Dies begründet die Bremer Datenschutzbehörde damit, dass ein Telefax noch vor einigen Jahren als relativ sichere Methode gegolten habe, um auch sensible personenbezogene Daten zu übertragen. Diese Situation habe sich aber grundlegend geändert. Denn sowohl bei den Endgeräten als auch den Transportwegen habe es weitreichende Änderungen gegeben.
Bisher seien beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt worden. Dies sei heute aufgrund technischer Änderungen in den Telefonnetzen nicht mehr so. Daten würden paketweise in Netzen transportiert, die auf Internet-Technologie beruhen. Zudem könne nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät existiert. Meist würden Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten, so Sommer.
Aufgrund dieser Umstände habe ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, welche oftmals mit der offen einsehbaren Postkarte verglichen werde, so Sommer. Fax-Dienste enthielten keinerlei Sicherungsmaßnahmen, um die Vertraulichkeit der Daten zu gewährleisten. Sie seien daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet. Für den Versand solcher Daten müssten daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder - im Zweifel - auch die herkömmliche Post genutzt werden.
Schutzbedürftigkeit des Betroffenen
Diese Auffassung wurde auch mittlerweile im Rahmen einer Gerichtsentscheidung des Oberverwaltungsgerichts Lüneburg vom 22.07.2020 bestätigt. So führt das Gericht aus, dass der Verantwortliche bei der Übermittlung von personenbezogenen Daten per Fax zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen muss. Welches Schutzniveau dabei einzuhalten ist, richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potenziellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand (OVG Lüneburg Beschluss vom 22.07.2020 – 11 LA 104/19). Hierzu ist anzumerken, dass im Falle der Übermittlung von Gesundheitsdaten grundsätzlich von einer hohen Schutzbedürftigkeit ausgegangen werden sollte.
Telematikinfrasturktur
Auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Stefan Brink führt in einer an Arztpraxen gerichteten Veröffentlichung aus "Bei der Versendung von Patientendaten per Fax ist besondere Vorsicht geboten. Faxfehlversand durch Wählfehler und Irrläufer sind im Zweifel meldepflichtige Datenpannen." Die baden-württembergische Aufsichtsbehörde für den Datenschutz hat sich zwar noch nicht zur Datensicherheit bei der Übermittlung von Telefaxen geäußert, jedoch ist davon auszugehen, dass mittelfristig ähnliche Auffassungen, wie die der Bremer Aufsichtsbehörde für den Datenschutz vertreten werden.
Ungeachtet der vorstehenden Ausführungen spielt der Einsatz des Telefaxes nach wie vor im Gesundheitswesen eine herausragende Rolle. Wie lange dies noch der Fall sein wird, bleibt spannend. Datenschutzkonforme Alternativen gibt es bereits einige, jedoch nur wenige, welche im Alltag einer Arztpraxis oder Apotheke auch als praxistauglich empfunden werden. Dies könnte sich jedoch ändern, sobald der Dienst KIM (Kommunikation im Medizinwesen) der gematik GmbH im Rahmen der Telematikinfrastruktur von den wesentlichen Akteuren des Gesundheitswesens flächendeckend bekannt ist und entsprechend genutzt wird.
