Bis Faxen der Vergangenheit angehört, haften Praxischefs für die Nutzung
Die leichte Spannung, die sich aufbaut, wenn sich das Papier provozierend langsam aus dem Gerät herausschiebt, die kurze Pause im Arbeitsprozess, wenn der kleine Kasten, oft neben dem Drucker platziert, mit Schreiben und Faxnummer gefüttert werden muss, und nicht zuletzt das Wort „Fax“, das irgendwie nicht in die deutsche Sprache passen mag und bei Menschen mit entsprechendem Sinn dafür unbewusst Erheiterung auslöst – faxen, Faxen machen, gefaxt: Das mögen Gründe sein, warum das Faxgerät gerade bei früheren Jahrgängen immer noch beliebt ist.
Dass das Faxen weiterhin zu den preferierten Kommunikationsarten gehört, und zwar auch in Arztpraxen, belegen Umfragen immer wieder. Zuletzt auch eine vom Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (bitkom).
Arztpraxen gehören zu den hartnäckigen Faxnutzern
Dort hieß es: 29 % der Niedergelassenen kommunizieren mit ihren Kollegen vorrangig über das Faxgerät. Der Anteil der Praxen, die generell das Faxen zum Kommunkationsrepertoire zählen, dürfte nahezu bei 100 % liegen. Neben den oben genannten sind diese Gründe dafür wahrscheinlich: Gewohnheit, noch mal Gewohnheit – und die irrtümliche Annahme, faxen sei datenschutzkonform.
Wirklich datenschutzsicher war das Faxen jedoch noch nie und im Zuge der zunehmenden datenschutzrechtlichen Sensibilisierung ist das Fax in Fachkreisen schon längst in Verruf gekommen. Kann man doch nie ganz sicher sein, wer am anderen Ende Zugriff auf die Informationen hat – das Problem des unklaren Empfängerkreises nennen es Juristen, erklärt Rechtsanwalt Dr. Florian Hölzel von der Kanzlei Broglie und Schade aus Wiesbaden.
Und das habe sich mit der technischen Weiterentwicklung der Daten- und Kommunikationsnetze und der flächendeckenden Umstellung von ISDN- auf IP-Telefonie deutlich verschärft, so der Rechtsanwalt. Denn wo früher zwei Faxgeräte über das analoge Telefonnetz eine direkte Verbindung zueinander herstellten, werden heute Telefaxe über Multifunktionsgeräte mit Faxfunktion bzw. Faxserver versendet bzw. empfangen. Die Daten werden dabei über digitale Netze wie All-IP, Voice over IP oder Fax over IP über eine unbekannte Zahl auch außereuropäischer Provider-Netzknoten und meist ohne Ende-zu-Ende-Verschlüsselung übertragen. Damit sind die Daten ähnlichen Gefährdungen ausgesetzt wie unverschlüsselte E-Mails – und somit nicht nur vor unbefugtem Zugriff etwa so geschützt wie Postkarten, sondern sogar inhaltlich verfälschbar. Das Faxen, das also eigentlich keines mehr ist, ist somit aus Datenschutzsicht nicht mehr tragbar. Das ist bekannt – gefaxt wird trotzdem weiter.
Jetzt hat die Bremer Landesbeauftragte für Datenschutz und Informationsfreiheit Konsequenzen gezogen und den Beschäftigten der Bremer Verwaltung aufgegeben, die Faxtechnik nicht mehr für die Übermittlung personenbezogener Daten zu verwenden. Ende 2022 sollen dann möglichst alle Faxgeräte durch sicherere Technologien abgelöst sein.
Kern des Problems sei „die Gegenseite“, betont die Datenschutzbeauftragte Dr. Imke Sommer. „Ob und gegebenenfalls wie die E-Mails dabei verschlüsselt sind, kann die sendende Stelle nicht feststellen. Dass verschlüsselt wird, kann von Absenderinnen oder Absendern auch nicht technisch ‚erzwungen‘ werden.“ Die Argumentation ist schlüssig und führt zu der Aussage: „Zur Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der Datenschutzgrundverordnung (DSGVO) ist die Nutzung von Fax-Diensten unzulässig.“
Auch Gesundheitsdaten zählen zu diesen besonderen Kategorien. Was heißt das für Arztpraxen? Entscheidend seien, so die Bremer Datenschutzbeauftragte auf Nachfrage, die mit der Übertragung einhergehenden Risiken für die Betroffenen.
Der Verantwortliche müsse die erhöhte Schutzbedürftigkeit von Gesundheitsdaten bei der Übertragung via Fax berücksichtigen und die Vertraulichkeit gewährleisten. Arztpraxen wird empfohlen, im Regelbetrieb auf Faxdienste zu verzichten. Für Bremer Ärzte bedeutet das wohl das Aus fürs Faxgerät, so Dr. Hölzel.
Müssen die Faxgeräte jetzt umgehend zum Elektromüll? Ja und nein. Auf Nachfrage ist man sich bei den Aufsichtsbehörden einig: Faxgeräte sind nicht datenschutzsicher und ihre Nutzung im Gesundheitssystem deswegen zu vermeiden. Eine Untersagung der Faxnutzungen sei aber nicht geplant, sagen die meisten der angefragten Aufsichtsbehörden explizit.
Ausnahmsweise hinnehmbar sei ein ungesicherter Faxversand bei besonderer Eilbedürftigkeit, so die Behörden in Mecklenburg-Vorpommern und Niedersachsen. Ein solcher Ausnahmefall könne die Pandemielage darstellen, die eine möglichst rasche Datenübermittlung erforderlich mache. Allerdings sei auch hier ein gesicherter elektronischer Übermittlungsweg zu begrüßen, etwa über das „Deutsche Elektronische Melde- und Informationssystem für den Infektionsschutz“ (DEMIS).
Nur im „absoluten Ausnahmefall tolerabel“
Brandenburg findet Faxe sogar nur „im absoluten Ausnahmefall“ tolerabel, wie bei unmittelbar drohendem gesundheitlichem Schaden oder eingeschränkter Erreichbarkeit im Ausland. Erwartet werden dann Maßnahmen wie die telefonische Ankündigung des Versandes, Passwörter und die Kontrolle von Protokollen.
Auch Hessen, Schleswig-Holstein und Sachsen-Anhalt erwarten bei der ausnahmsweisen Nutzung des Faxes umfassende Schutzmaßnahmen. Sachsen-Anhalt zitiert in diesem Zusammenhang jene Paragrafen aus der DSGVO, die sich mit Bußgeldern und der Haftung bei materiellen und immateriellen Schäden beschäftigen.
Als grundsätzlich nicht sicher bezeichnet auch die Behörde in Thüringen die Datenübermittlung per Telefax. Auf einen Faxserver sei prinzipiell von überall über Netzwerke zugreifbar. Sicherheitsmaßnahmen, um die sehr viel umfangreicheren Angriffsmethoden zu verhindern, seien z.B. Nutzerauthentifizierung, Nutzerrollen, Festplattenverschlüsselung, sicheres Löschen, Netzwerksegmentierung, Virenscanner, Firewalls usw. Thüringen möchte in Kürze aktuell über die Probleme bei der Nutzung von Telefax informieren.
Auch die Behörde in Rheinland-Pfalz unterstreicht: „Die Versendung sensibler personenbezogener Daten, z.B. durch Berufsgeheimnisträger, per unverschlüsseltem Fax ist aufgrund der bestehenden Vertraulichkeitsrisiken durchaus als datenschutzwidrig zu qualifizieren.“ Sie empfiehlt Akteuren des Gesundheitsbereichs, andere Kommunikationsmöglichkeiten zu nutzen, die eine größere Vertraulichkeit bieten.
Als aus Datenschutzsicht günstigere Übermittlungswege gelten für die Behörden persönliche Übergabe, Versand per Brief, verschlüsselte E-Mail (Ende-zu-Ende-Verschlüsselung bzw. Gateway-Lösung) oder die Inanspruchnahme gesonderter abgesicherter Umgebungen (z.B. KV-SafeNet). In der Abwägung der Kommunikationsmöglichkeiten sei die risikobasierte Prüfung des einzelnen Vorganges und der verarbeiteten Daten Pflicht des Verantwortlichen – sprich: Es kommt auf den Einzelfall an, und für den unsicheren Versand von sensiblen Daten haften Praxischef und Praxischefin.
„Wie so häufig bleibt für den datenverarbeitenden Arzt damit eine Restunsicherheit“, bedauert Rechtsanwalt Hölzel die Sachlage. Er geht davon aus, dass „jedenfalls in der Regelkommunikation das gute alte Telefax ausgedient haben dürfte“.
Seine Einschätzung: In Notfällen dürfte – mit Ausnahme für Bremer Ärzte – ein Faxversand immer noch vertretbar sein. Sicherheitshalber sollte das Praxisteam einen Versand allerdings zuvor beim Empfänger ankündigen. Die Aussagen der Behörden ließen deutlich erkennen, dass der Faxversand für Gesundheitsdaten nicht statthaft ist, so der Jurist.
Warum das Faxen trotzdem nicht untersagt wird? Womöglich weil eine Untersagung manche Praxis an den Rand ihres Organisationsvermögens bringen würde angesichts der Verwerfungen durch die Pandemie und der vielen digitalen Neuerungen, die in den Praxen anstehen. Und sicherlich auch, weil durch die angestrebte Bereitstellung zentraler sicherer Kommunikationsdienste über die Telematikinfrastruktur die unverschlüsselte Faxkommunikation im Gesundheitsbereich mittelfristig ohnehin abgelöst wird.
Gleichwohl: Die Landesdatenschutzbehörden wollen das Thema bald wieder im Rahmen ihrer höchsten gemeinsamen Instanz, der Datenschutzkonferenz, aufgreifen. Angestrebt wird auch, einen – möglichst mit den relevanten Kammern und Verbänden abgestimmten – Zeitplan zu entwickeln, nach dem der Einsatz unverschlüsselter Faxkommunikation im Gesundheitsbereich in absehbarer Zeit auslaufen wird.
Medical-Tribune-Recherche