Das Faxverbot, das in Österreich seit dem 1. Jänner 2025 für die Übermittlung von Faxen mit sensiblen personenbezogenen Daten im Gesundheitsbereich gilt, ist Teil eines größeren Bestrebens, die Digitalisierung im Gesundheitswesen voranzutreiben und den Datenschutz zu verbessern. Die Umstellung auf digitale Kommunikationswege soll die Sicherheit und Effizienz der Datenübertragung erhöhen und gleichzeitig das Risiko von Datenpannen reduzieren. [...]
In Österreich gilt seit dem 1. Jänner 2025 ein Verbot für die Übermittlung von Faxen mit sensiblen personenbezogenen Daten im Gesundheitsbereich. Es betrifft die Übermittlung von Gesundheitsdaten und genetischen Daten unter anderem zwischen Arztpraxen, Krankenhäusern und (Sozial-)Versicherungen. Ziviltechniker sind dann davon betroffen, wenn personenbezogene Daten im Fax-Dokument enthalten sind, was bei Urkunden oder Plänen regelmäßig zutrifft.
Die rechtliche Grundlage dafür bildet die mit dem BGBl. I Nr. 105/2024 erfolgte Novellierung des Gesundheitstelematikgesetzes (GTelG) 2012, die die veraltete und unsichere Faxtechnologie durch moderne, verschlüsselte Kommunikationsmethoden ersetzen soll. Bei einem Fax ist nämlich z. B. nicht klar, wer beim Faxgerät steht und das Fax entgegennimmt.
Details zum Faxverbot
- Geltungsbereich: Das Verbot bezieht sich auf die Übermittlung von besonderen Kategorien personenbezogener Daten nach Art. 9 Datenschutz-Grundverordnung (DSGVO).
- Betroffene: Betroffen sind Ärzte, Krankenhäuser und andere medizinische Einrichtungen, die bisher Faxe für die Kommunikation mit Sozialversicherungsträgern oder untereinander genutzt haben.
- Grund: Das Fax gilt als nicht mehr datenschutzkonform und nicht sicher genug für den Umgang mit sensiblen Gesundheitsdaten.
- Übergangsfrist: Bis Ende Juni 2026 gibt es eine Übergangsfrist. Bei Nichteinhaltung des Gesetzes drohen Strafen.
- Ziel: Das Faxverbot ist Teil eines größeren Bestrebens, die Digitalisierung im Gesundheitswesen voranzutreiben und den Datenschutz zu verbessern. Die Umstellung auf digitale Kommunikationswege soll die Sicherheit und Effizienz der Datenübertragung erhöhen und gleichzeitig das Risiko von Datenpannen reduzieren.
Alternative Kommunikationswege
Die Österreichische Gesundheitskasse (ÖGK) und andere Anbieter haben bereits Lösungen für die sichere digitale Übermittlung von sensiblen personenbezogenen Daten entwickelt. Die ÖGK bietet für die Kommunikation mit Gesundheitsdiensteanbietern das Gesundheitsdatenportal oder die Plattform FTAPI, einen zertifizierten Cloud-Dienst mit Serverstandorten in Deutschland, an. (Versicherte können schon seit längerem über das Portal „Meine ÖGK“ oder die gleichnamige App mit der ÖGK kommunizieren.) Die Umstellung auf diese digitalen Lösungen erfordert jedoch eine gewisse Anpassung und kann für einige Einrichtungen eine Herausforderung darstellen.
Eine weitere Alternative stellt das Tool medSpeak, ein Pilotprojekt aus Salzburg, dar, das – zumindest 2025 – ebenfalls kostenfrei zur Verfügung steht.
Neue Kommunikationskanäle der ÖGK
Pilotprojekt medSpeak
Darüber hinaus werden Lösungen angeboten, die E-Mails mit einem Link an den Adressaten schicken, der dann die Inhalte in einer verschlüsselten Browser-Sitzung herunterlädt. Der Nachteil dieser Lösungen besteht, darin, dass die gängige Praxis beim Faxen, dass nach der Übertragung und der Faxbestätigung der Geschäftsfall für den Sender abgeschlossen ist, nicht mehr in dieser Form existiert. Dafür hat man den Vorteil, dass keine Faxausdrucke mehr herumliegen und die Vertraulichkeit bei der Übermittlung der Nachricht gewährleistet bleibt, da man den Empfänger direkt identifizieren kann. Der Sender der Nachricht weiß zumindest, wann die Nachricht übermittelt wurde, wann sie heruntergeladen und geöffnet wurde und wer sie geöffnet hat. Dadurch bleibt bei richtiger Anwendung des Systems die Vertraulichkeit des Inhalts gewährleistet.
Gesetzliche Bestimmungen
Die wichtigsten Bestimmungen zum Schutz der Vertraulichkeit von Gesundheitsdaten und genetischen Daten sind im § 6 GTelG 2012 festgehalten, der lautet:
„(1) Die Vertraulichkeit bei der elektronischen Übermittlung von Gesundheitsdaten und genetischen Daten ist dadurch sicherzustellen, dass entweder
- die elektronische Übermittlung von Gesundheitsdaten und genetischen Daten über Netzwerke durchgeführt wird, die entsprechend dem Stand der Technik in der Netzwerksicherheit gegenüber unbefugten Zugriffen abgesichert sind, indem sie zumindest
a) die Absicherung der Übermittlung von Daten durch kryptographische oder bauliche Maßnahmen,
b) den Netzzugang ausschließlich für eine geschlossene oder abgrenzbare Benutzer/innen/gruppe sowie
c) die Authentifizierung der Benutzer/innen vorsehen, oder
- Protokolle und Verfahren verwendet werden, die entsprechend dem Stand der Technik die vollständige Verschlüsselung der Gesundheitsdaten und genetischen Daten bewirken.
(2) Bei der elektronischen Übermittlung von Gesundheitsdaten und genetischen Daten gemäß Abs. 1 Z 2 dürfen die allenfalls von der Verschlüsselung ausgenommenen Informationen weder Hinweise auf die betroffenen Personen (Art. 4 Z 1 DSGVO), deren Gesundheitsdaten oder genetische Daten übermittelt werden, noch auf allfällige Authentifizierungsdaten enthalten.
(3) Es ist sicherzustellen, dass die Speicherung von Gesundheitsdaten und genetischen Daten in Datenspeichern, die einem Verantwortlichen (Art. 4 Z 7 DSGVO) bedarfsorientiert von einem Auftragsverarbeiter (Art. 4 Z 8 DSGVO) bereitgestellt werden (‚Cloud Computing‘), nur dann erfolgt, wenn die Gesundheitsdaten und genetischen Daten mit einem dem aktuellen Stand der Technik entsprechenden Verfahren (Abs. 1 Z 2) verschlüsselt worden sind.“
Das Tagebuch eines Datenschutzbeauftragten wird von der DSGVO-zt GmbH zur Verfügung gestellt, die übrigens von der österreichischen Datenschutzbehörde vor Kurzem als erste behördlich anerkannte Zertifizierungsstelle nach Artikel 42 für DSGVO-Zertifikate akkreditiert wurde.
| DI Dr. Peter Gelber | DI Wolfgang Fiala |
Be the first to comment