Das Faxgerät spielt im Apothekenalltag immer noch eine wichtige Rolle. Doch unter Datenschützern gelten Faxe als unsicher. Was ist nach den Regeln des Datenschutzes noch erlaubt? Gerne beraten unsere externen Datenschutzbeauftragten Sie hierzu.
Kontaktieren Sie uns jetzt für ein erstes Vorgespräch zum Datenschutz
Auch wenn die E-Mail sich längst als Kommunikationsstandard durchgesetzt hat – das Fax konnte sie bislang nicht aus der Apotheke verdrängen. Gerade in der Abstimmung mit behandelnden Ärzten kommt ihm eine wichtige Bedeutung zu.
Eines der wichtigsten Beispiele: Die Heimversorgung. Hier schicken Ärzte oftmals Rezepte ihrer Patienten per Fax an die Apotheke. Ein Service für den Patienten, durch den sich auch die Arzneimittelversorgung verbessert. Das Original-Rezept muss dann im Original Form nachgereicht werden, bevor die Medikamente tatsächlich ausgegeben werden. Doch dürfen überhaupt noch Dokumente mit Gesundheitsdaten, also einer besonderen Kategorie von personenbezogenen Daten nach Art. 9 DSGVO, noch gefaxt werden?
Datenschutzbehörden sind sich uneins
Nach Auffassung der Landesbeauftragten für den Datenschutz in Niedersachsen, ist es nicht verboten, Gesundheitsdaten zu faxen.
Vor einer Nutzung von Faxgeräten ist (wie bei allen Kommunikationsmitteln, also Festnetz- Mobiltelefon oder Briefpost) immer eine individuelle Risikoanalyse durchzuführen. Ist für den Betroffenen der Nutzen der Datenübermittlung mittels Fax höher als das datenschutzrechtliche Risiko, ist der Fax-Versand besonders sensitiver Daten ohne weitergehende technische Sicherungsmaßnahmen (z. B. Verschlüsselung) im Ausnahmefall hinnehmbar.
LfD Niedersachsen, FAQ DS-GVO im Gesundheitsbereich Nr. 24
Allerdings müssten dann zwingend organisatorische Datenschutzmaßnahmen getroffen werden, welche der jeweils identifizierten Gefährdung entgegengestellt werden können. Dazu gehört die Kontrolle der Fax-Nummer, vorherige Unterrichtung über baldige Ankunft des Faxes, kein Zugriff durch Dritte auf das Faxgerät. Gegenüber dem Fax bevorzugt die LfD allerdings andere Wege:
- Persönliche Übergabe,
- Versand per Brief
- hinreichend inhaltsverschlüsselte E-Mail (Ende-zu-Ende Verschlüsselung bzw. per Gateway-Lösung)
- Inanspruchnahme gesonderter abgesicherter Umgebungen (z.B. KV-SafeNet).
Anders und sehr viel restriktiver sieht es aktuell die Landesbeauftragte für den Datenschutz in Bremen: Faxe hätten hinsichtlich des Schutzziels der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, die zu Recht als digitales Pendant zur offen einsehbaren Postkarte angesehen werde.
Fax-Dienste enthalten in der Regel keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet. […] Zur Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der Datenschutzgrundverordnung ist die Nutzung von Fax-Diensten unzulässig. ür den Versand personenbezogener Daten müssen daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post genutzt werden.
LfD Bremen
Klar ist: Das Ende des Fax-Gerätes ist nur noch eine Frage der Zeit
Das Ende des Faxgerätes in der Apotheke ist nah. In vielen Bereichen ist es allerdings immer noch ein wichtiger Kommunikationskanal, wie die Corona-Krise gezeigt hat. Bis das Faxgerät entgültig durch eine andere Technologie, etwa die Kommunikation im Gesundheitswesen (KIM) ersetzt ist, sollte es nur noch restriktiv verwendet werden.
Wenn Apotheken das FAX weiter nutzen wollen, müssen sie dafür Sorge tragen, dass der Schutz der Daten des Patienten gewährleistet ist. Dafür ist es sinnvoll, sich zu vergegenwärtigen, wie Faxe technisch übermittelt werden. Klassisch werden Faxe über das Telefonnetz versendet. Sie können dadurch theoretisch wie ein Telefongespräch abgehört werden. Handelt es sich um ein Fax-Gerät, dass eine Voice over IP (VoIP) Verbindung nutzt, das Fax also praktisch über das Internet versendet wird, können die Daten wie auch bei einer E-Mail in der Regel unverschlüsselt abgefangen werden. Für Apotheken ist es deshalb sinnvoll, sich bei der Anschaffung eines Fax-Gerätes über die Option eines verschlüsselten Empfangs und Versands zu informieren und diese Option gegebenenfalls zu nutzen.
Nur diejenigen, die es betrifft, sollten die Faxe lesen können
In der Apotheke ist das Faxgerät häufig dort zu finden, wo Mitarbeiter möglichst leicht Zugang haben und schnell eingehende Faxe lesen können. Dabei muss die Apotheke allerdings darauf achten, dass etwa die gefaxten Rezepte nicht von unberechtigten Personen, zum Beispiel von Dienstleistern der Apotheke, gelesen werden können.
Deshalb ist es empfehlenswert, das Faxgerät in einem geschützten Bereich aufzustellen. Die eingehenden Faxe können dann von beauftragten Mitarbeitern der Apotheke in Empfang genommen und, falls nötig, an die jeweiligen Empfänger verteilt werden. Um sicher zu stellen, dass die Faxe nicht in die falschen Hände gelangen, können Arzt und Apotheke auch absprechen, wann das Fax mit dem Rezept verschickt wird, damit es umgehend in Empfang genommen werden kann.
Faxgerät sollte vom internen Netzwerk getrennt sein
Oft sind Fax-Funktionen heute Bestandteil von Multifunktionsdruckern, die mit einem internen Netzwerk verbunden sind. Unter Umständen ist es möglich, über ein Fax in das Netzwerk der Apotheke und die damit verbundenen Computer einzudringen. Es ist deshalb wichtig, die Sicherheitseinstellungen des Multfunktionsdruckers immer auf dem neuesten Stand zu halten und regelmäßige Updates zu installieren. Sinnvoll ist es auch, den Multifunktionsdrucker in einem segmentierten Teil des Netzwerkes zu betreiben. Der Datenaustausch des Druckers mit den Computern der Apotheke kann dann über eine interne Firewall überwacht werden. Apotheken sollten hierfür ihren IT-Dienstleister ansprechen.
Vorsicht vor Datenmüll im Faxgerät
Zu guter Letzt muss Apotheken bewusst sein, dass Fax-Geräte und Multifunktionsdrucker bei der Nutzung erhebliche Mengen an Daten sammeln. Das sind zum einen Sende- und Empfangsprotokolle. Aber auch die eigentlichen Inhalte der Dokumente werden von vielen Geräten teils über erhebliche Zeiträume abgespeichert. Bevor die Geräte also entsorgt werden, sollte darauf geachtet werden, dass sie wieder in den Werkszustand versetzt werden und Festplatten oder andere Speichermedien sicher gelöscht werden. Was mit den Faxgeräten nach dem Ende der Nutzung passiert, sollte auch im Verfahrensverzeichnis unter dem Punkt Löschkonzept festgehalten werden.
