Ein Fax dürfe laut der Bremer Landesdatenschutzbeauftragte nicht für bestimmte personenbezogene Daten verwendet werden. Alternativen seien E-Mails und Briefe.
Mit einem Fax dürfen keine personenbezogenen Daten, insbesondere keine Geswundheitsdaten übermittelt werden, stattdessen sollten verschlüsselte E-Mails genutzt werden.
Der Grund liegt in der Digitalisierung der Faxübertragung und den Endgeräten. Bei der Übertragung über das Internet könne nicht gewährleistet sein, dass sie nicht abgefangen werde - immerhin erfolge sie unverschlüsselt, erklärte die Datenschutzbeauftragte.
Früher wurden beim Versand von Faxen durch eine Telefon-Wählverbindung eine exklusive Ende-zu-Ende-Verschlüsselungen genutzt. Inzwischen könne jedoch nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät stehe. Stattdessen würden eingehende Faxe oft in E-Mails umgewandelt und dann weitergeleitet. Deshalb sei das Datenschutzniveau eines Fax auf dem Niveau einer unverschlüsselten E-Mail, urteilt die Datenschutzbehörde. Faxe seien daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet. Dies gilt insbesondere für besonders schutzbedürftige Daten wie sie im Gesundheitswesen tagtäglich anfallen.
Für die Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der Datenschutzgrundverordnung (DSGVO), aslo z. B. Gesundheitsdaten, sei die Nutzung von Fax-Diensten ohnehin unzulässig. Die Datenschutzbehörde verlangt für die Übertragung solcher Daten sichere Verfahren, etwa Ende-zu-Ende verschlüsselte E-Mails oder - im Zweifel - auch einen Brief.
Wie ist nun diese Äußerung einer einzelnen Behörde zu interpretieren und wie verbindlich ist sie für andere als bremische Unternehmen?
Diese Interpretation ist nicht neu. Im Gegenteil, diese Auffassung ist schon so üblich, dass es dazu in letzter Zeit kaum noch Äußerungen gegeben hat. Sie ist aber auch ein Indiz dafür, dass Unternehmen, die einer Überprüfung durch ihre Aufsichtsbehörde unterzogen werden, an dieser Stelle mit Abmahnungen oder der Androhung von Bußgeldern rechnen können. Insbesondere sollten Einrichtungen und Unternehmen, die Gesundheitsdaten häufig mit Behörden austauschen (z. B. in der Jugendhilfe, Altenhilfe und Einrichtungen für Menschen mit Behinderung), diese Einschätzung über die Rechtmäßigkeit von Faxdiensten zu Herzen nehmen.
Immerhin eistieren schon Gesundheitseinrichtungen, die Patientendaten ausschließlich automatisiert verschlüsselt per eMail oder auf Basis von On-Premise-Clouddiensten austauschen.