Der schleichende Tod des Telefax

Der schleichende Tod des Telefax

Spätestens seit Inkrafttreten der DSGVO am 25. Mai 2018 muss sich auch die (Zahn-)Arztpraxis zunehmend mit Thema Datensicherheit und Verschlüsselung bei der elektronischen Übermittlung von personenbezogenen Daten auseinandersetzen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – kurz Datenschutzkonferenz (DSK) – hat sich im Mai 2020 für das grundsätzliche Erfordernis einer obligatorischen Transportverschlüsselung ausgesprochen. Verantwortliche, die E-Mail-Nachrichten mit personenbezogenen Daten versenden, bei denen ein Bruch der Vertraulichkeit ein normales Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt, müssen nach Auffassung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder– kurz Datenschutzkonferenz (DSK) eine obligatorische Transportverschlüsselung sicherstellen.

Verantwortliche, die E-Mail-Nachrichten versenden, bei denen ein Bruch der Vertraulichkeit von personenbezogenen Daten im Inhalt der Nachricht ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt, sollen darüber hinaus regelmäßig eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung vornehmen müssen. Nach Auffassung der DSK gilt dabei: Die Vertraulichkeit und Integrität der über den E-Mail-Dienst geführten (zahnärztlichen) ärztlichen Kommunikation muss unter Berücksichtigung des Stands der Technik über eine Ende-zu-Ende-Verschlüsselung zwischen den Kommunikationsteilnehmern gewährleistet werden.

Viele Praxen und auch Anwaltskanzleien sind im Hinblick auf die Komplexität der E-Mail-Verschlüsselung und der Schwierigkeiten mit der Implementierung und vermeintlich fehlenden Akzeptanz einer Ende-zu-Ende-Verschlüsselung im Praxisalltag wieder auf eine bewährte Technologie aus den 1970er Jahren ausgewichen – das Telefax. Diesem wurde so noch einmal neues Leben eingehaucht. Doch die damit angestrebte Rechtssicherheit ist trügerisch und es besteht dringender Anlass für den Kommunikationsverkehr rechtssichere Alternativen zum Fax zu suchen. Bei der früheren Analog/ISDN-Technologie wurden alle Informationen des Faxes kontinuierlich auf einem zuvor definierten, konstanten Übertragungsweg zum Empfänger übermittelt. Bei der spätestens seit 2019 überall zur Anwendung kommenden All-IP-Technologie werden jedoch alle Informationen des Faxes in verschiedene Pakete gepackt, die unverschlüsselt ihren Weg über das Internet zum Empfänger nehmen.

Die Landesdatenschutzbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen hat in ihrem „2. Jahresbericht nach der Europäischen Datenschutzgrundverordnung“ (abrufbar unter https://www.datenschutz.bremen.de/publikationen/jahresberichte-7242) die Auffassung vertreten, dass die Übermittlung per Fax inzwischen wie die Übermittlung durch eine unverschlüsselte E-Mail bewertet werden muss, weil beide Verfahren IP-basierte Telekommunikationsnetze nutzen, sodass die Sicherheitsstufe bei unverschlüsselter Übermittlung identisch ist und zudem auf folgende Sicherheitsprobleme hingewiesen:

„Galt ein Telefax noch vor einigen Jahren als relativ sichere Methode, um auch sensible personenbezogene Daten zu übertragen, so hat sich diese Situation grundlegend geändert: Sowohl bei den Endgeräten als auch den Transportwegen gab es weitreichende Änderungen. Bisher wurden beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt. Technische Änderungen in den Telefonnetzen sorgen jetzt dafür, dass keine exklusiven Leitungen mehr genutzt werden, sondern die Daten paketweise in Netzen transportiert werden, die auf Internet-Technologie beruhen.

Zudem kann nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät existiert. Meist werden Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten. Aufgrund dieser Umstände hat ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail (welche oftmals mit der offen einsehbaren Postkarte verglichen wird). Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet.

Für die Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der Datenschutzgrundverordnung ist die Nutzung von Fax-Diensten unzulässig. Für den Versand personenbezogener Daten müssen daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post genutzt werden.”

Diese Auffassung, die auch von der Landesbeauftragen für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) geteilt wird, ist mit Beschluss vom 22.07.2020, 11 LA 104/19 des Oberverwaltungsgerichts (OVG) Lüneburg nun erstmals auch durch die Justiz bestätigt worden.

Für die Übertragung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO zu denen insbesondere Gesundheitsdaten gehören, dürfte das Ende des Telefax daher nun endgültig gekommen sein. Arzt- und Zahnarztpraxen sollten bei der Praxiskommunikation daher zukünftig auf eine Ende-zu-Ende-Verschlüsselung von E-Mails zurückgreifen, wenn sie nicht zur langsamen Briefpost zurückkehren wollen.

Oliver Graf
Rechtsanwälte Semsi | Graf | Buchmüller-Reiss
Partnerschaftsgesellschaft mbB

---

---

---

up date kostenlos bestellen