Gemäß der aktuellen Veröffentlichung des HBDI zur Übermittlung personenbezogener Daten per Fax sollen Verantwortliche zeitnah alternative Kommunikationsmittel zum Fax prüfen und implementieren. Das bedeutet im Ergebnis auch, dass die aktuell noch in den Häusern bestehenden Verfahrensanweisungen zum Thema Fax unter Umständen nicht mehr datenschutzkonform sind. Anhand der folgenden Hinweise können die Verantwortlichen prüfen, ob die bestehenden Verfahrensanweisungen gegebenenfalls anzupassen sind.
I. Grundsätzliches
Personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, wie z.B. Diagnosedaten oder Sozialdaten, dürfen grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert sind. Die Übermittlung per unverschlüsseltem Fax kann einen Verstoß gegen Art. 5 Abs. 1 lit. f und Art. 32 DS-GVO darstellen. Die DS-GVO verpflichtet Verantwortliche daher, grundsätzlich das Fax als Kommunikationsmittel auf den Prüfstand zu stellen und zur schnellen und datenschutzkonformen Kommunikation auf andere digitale Lösungen umzustellen.
Vor Versenden eines Faxes ist daher zu prüfen, ob folgende sichere Kommunikationsmittel zur Verfügung stehen:
- Brief/ Postversand
- Persönliche/ Mündliche Mitteilung oder Übergabe vor Ort
- Versand inhaltsverschlüsselter E-Mail-Nachrichten (PGP oder S/MIME)
- Portallösungen, bei denen die Kommunikationspartner Nachrichten und Inhalte verschlüsselt abrufen und bereitstellen können
- Bereichsspezifische digitale Kommunikationsdienste, z. B.: Kommunikation im Medizinwesen (KIM)
Durch den Kommunikationsdienst KIM können Nachrichten und Dokumente (Arztbriefe, Befunde etc.) über die Telematik-Infrastruktur per Ende-zu-Ende verschlüsselter E-Mail-Nachricht übermittelt werden. KIM wird von der Gesellschaft für Telematik aufgrund eines gesetzlichen Auftrags im SGB V betrieben. Über ein zentrales Adressbuch können die verschiedenen Akteure im Gesundheitswesen (Arztpraxen, Krankenhäuser, Apotheken, Kassenärztliche Vereinigungen, Krankenkassen) sicher erreicht werden. Es kann von einer flächendeckenden Anbindung der Arztpraxen ausgegangen werden, da seit dem 01. Okober 2021 alle Arbeitsunfähigkeitsbescheinigungen (AU) per KIM an die jeweilige Krankenkasse gesendet werden müssen.
II. Ausnahmefälle
1. Fax als legitimes Mittel zur Fristwahrung und Notfallbehandlung
In bestimmten Ausnahmefällen, z. B. wenn die besondere Eilbedürftigkeit dies erforderlich macht und sichergestellt ist, dass die Sendung nur dem richtigen Empfänger zugeht, kann auch die Versendung besonders schutzbedürftiger personenbezogener Daten mittels Fax rechtmäßig sein. Dies gilt aber nur dann, wenn kein alternatives, datenschutzkonformes Kommunikationsmittel genutzt werden kann und dem Verantwortlichen insofern kein alternatives Kommunikationsmittel zur Verfügung steht.
2. Zustimmung von Patienten
Denkbar ist auch, dass betroffene Personen ausdrücklich und eigeninitiativ einem unverschlüsselten Faxversand zustimmen, nachdem sie von dem Verantwortlichen auf die hierbei bestehenden Risiken hingewiesen wurden. Dies kann aber nicht standardmäßig die Übermittlung personenbezogener Daten per unverschlüsseltem Fax legitimieren, sondern ist auf besonders zu dokumentierende Einzelfälle zu beschränken.
III. Anwendungsrisiken und notwendige Sicherheitsvorkehrungen
Die folgenden Anwendungsrisiken sind beim Faxversand zu beachten:
- Eine fehlerhafte Anwahl führt zu falscher Zustellung an Dritte
- Eine fehlerhafte Rufumleitung beim Empfänger führt zu falscher Zustellung an Dritte
- Technische Störungen führen zur Unvollständigkeit, Nichtlesbarkeit oder Nichtübertragung
- Faxverkehr ist wie ein Telefongespräch abhörbar
- Fernwartung ermöglicht einen Zugriff auf den Fax-Speicher
- Unberechtigter Zugang zum Faxgerät
Vor einem Faxbetrieb sind daher die folgenden organisatorische Maßnahmen und Regelungen vom Verantwortlichen bzw. Absender durchzuführen:
- Das Faxgerätes muss durch IT-Beauftragte mit Sachverstand in Betrieb genommen und eingestellt werden
- Sofern möglich, sollten bei integrierten Faxlösungen verschlüsselte Verfahren eingesetzt werden
- Aufstellung der Geräte mit eingeschränkten Zugriffen von unberechtigten Personen
- Nutzerinnen und Nutzer sind in die korrekte Bedienung einzuweisen und es sind Absprachen zur Sendung zu vereinbaren
- Einschränkung der faxberechtigten Personen oder Fachbereiche im Unternehmen
Am Aufstellort des Faxgeräts sollte eine Checkliste zu Verhaltungsregeln angebracht werden, die die nachfolgenden Punkte beinhaltet:
- Eigentliche Faxdurchführung:
- Sofern möglich: Authentifizierung von Empfänger und Sender
- Prüfung der korrekten Faxnummer vor und während des Faxversandes
- Prüfung der Kurzwahltasten und Nummern auf Aktualität
- Nach dem Faxversand:
- Aufbewahrung der Sende- und Empfangsprotokolle
- Umgehende Meldung und Dokumentation fehlgeleiteter Faxe sowohl an den Empfänger als an den Absender
Allgemeine Hinweise:
- Die Daten auf den Geräten sind vor dem Verkauf oder der Vernichtung zu löschen
- Faxe unterliegen auch dem Fernmeldegeheimnis und sind vertraulich zu behandeln
- Überprüfung der Faxsendungen auf Zulässigkeit durch Verantwortlichen durch Stichprobenprüfungen
- Regelmäßige Überprüfung der Verfahrensanweisung FAX auf die bestehende Aktualität hin