Home
Intern
veröffentlicht am 31. Mai 2021
Das Faxgerät als Kommunikationsmedium ist in den vergangenen Jahren immer mehr durch elektronische Übertragungsmöglichkeiten verdrängt worden. Jüngeren erscheint es oft wie ein Relikt aus dem 20. Jahrhundert. Allerdings hat das Fax in einzelnen Anwendungsbereichen bis heute Nischen, in denen es seine Stellung weiterhin behauptet. Eine dieser Nischen ist die Kommunikation zwischen den Leistungserbringern im Gesundheitswesen, also den Krankenhäusern und den niedergelassenen Ärzten. Dort wird es nach wie vor häufig für den schnellen und vermeintlich sicheren Versand von Befunden, Arztbriefen und ähnlicher patientenbezogener Korrespondenz eingesetzt.
Eine aktuelle Meldung der Bremer Landesbeauftragten für Datenschutz lässt aufhorchen. Dort heißt es: „Galt ein Telefax noch vor einigen Jahren als relativ sichere Methode um auch sensible personenbezogene Daten zu übertragen, so hat sich diese Situation grundlegend geändert. Kern des Problems ist ‚die Gegenseite‘: Absenderinnen oder Absender können sich nie sicher sein, welche Technik auf der Empfangsseite eingesetzt wird.” Typischerweise kommen auf der Empfangsseite demnach heute Fax-Server oder Cloud-Fax-Services zum Einsatz, die das eingehende Fax in eine Mail umwandeln. Ob diese Mail dann beispielsweise durch Verschlüsselung hinreichend gesichert sei und ob es sich bei einem Cloud-Service um eine DSGVO-konforme europäische Cloud handelt, kann der Absender nicht erkennen.
Auf dieser Grundlage kommt die Datenschutzbeauftragte zu dem Ergebnis, dass ein Fax hinsichtlich der Vertraulichkeit mit einer unverschlüsselten E-Mail gleichzusetzen sei. Es komme damit für den Versand personenbezogener Daten nicht in Betracht. Für den Versand von besonderen personenbezogenen Daten i.S.v. Art. 9 DSGVO, also beispielsweise Gesundheitsdaten, muss dies in besonderer Weise gelten.
Andere Sichtweisen bei anderen Landesdatenschutzbeauftragten sind möglich. Hinzu kommt, dass im Verhältnis zwischen zwei Leistungserbringern im Gesundheitswesen sicherlich die Frage zu klären wäre, ob den Absender tatsächlich eine Verantwortlichkeit für die Einhaltung des Datenschutzes beim Empfänger trifft, der in der Regel ja eigener Verantwortlicher ist. Unabhängig von diesen Vorbehalten bleibt allerdings der Hinweis, dass der Faxversand unter Datenschutz-Aspekten tatsächlich sehr riskant ist. Der versehentliche Versand eines Faxes durch einen medizinischen Leistungserbringer an eine falsche Faxnummer und damit eine unberechtigte Offenlegung der Patientendaten gehört von der Zahl der Fälle her sicherlich zu den Top Ten der Datenschutzverstöße im Gesundheitswesen.
Krankenhäusern, MVZs und Arztpraxen ist daher in jedem Fall zu empfehlen, sich für den Versand von Patienteninformationen an Dritte nach sichereren und zugleich zeitgemäßen Alternativen zum Fax umzusehen. Neben Verschlüsselungstechniken spielen dabei verstärkt auch gesicherte Datenaustauschportale eine Rolle. Ein dediziertes Datenschutzkonzept für diesen externen Datenaustausch durch externe Fachleute oder auch ein Datenschutzaudit beispielsweise für dieses sensible Thema geben dem Verantwortlichen eine nützliche Absicherung bei seiner Produktauswahl.
Christoph Naucke
Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW
Associate Partner
Anfrage senden
