Probleme beim E-Mail-Fax Komfort zulasten der Sicherheit?
Das "Fernkopieren" – seit Anfang der Achtzigerjahre als Mittel der alltäglichen Kommunikation nicht mehr wegzudenken – ist im Zeitalter der E-Mail eigentlich eine von vielen totgesagte Technik [1]. Aus den meisten Büros sind Faxgeräte bereits komplett verschwunden, viele Hersteller haben die Produktion mittlerweile eingestellt [2]. In vielen anderen Ländern haben SMS, Messenger und E-Mail das Fax bereits vollständig verdrängt. In den deutschen Arztpraxen ist es dagegen immer noch Rückgrat der Kommunikation mit anderen Praxen, Krankenhäusern oder Laboren. Vielfach werden gefaxte Dokumente eher akzeptiert als E-Mails, gerade wenn es auf deren Beweiskraft ankommt oder Unterschriften verlangt werden. Und, nicht zuletzt, können Faxe im Gegensatz zu elektronischer Post auch keine Viren enthalten. Die moderne Technik hat allerdings auch vor dem Fax nicht haltgemacht – in der Regel steht in den meisten Fällen an mindestens einem Ende der Leitung gar kein echtes Faxgerät mehr. Sogenannte Fax-Dienste, internetbasierte Angebote von Dienstleistern, ermöglichen es, Faxe auch ohne ein herkömmliches Faxgerät zu senden und zu empfangen [3].
Die Tage des Papier-Fax sind gezählt
Bei sogenannten "Mail-to-Fax" oder "Web-to-Fax"-Diensten schickt der Versender eine E-Mail, an die zu versendende Dokumente als Bilddatei angehängt werden, oder schickt die zu versendenden Dokumente über eine Webseite zu einem Dienstleister. Der Fax-Dienstanbieter wandelt die E-Mail dann in das passende Format um und sendet diese dann an das Faxgerät des Empfängers. Bei "Fax-to-E-Mail"-Diensten werden auf einer speziellen Faxnummer eingehende Faxe vom Fax-Dienstleister in E-Mails umgewandelt und so an den Empfänger versandt. Die empfangenen Dokumente sind an die E-Mails in Form von Grafik- oder PDF-Dateien angehängt und können direkt elektronisch weiterverarbeitet werden. Der Einsatz solcher Fax-Dienste hat einige Vorteile: Faxe können so auch mit mobilen Geräten wie Smartphones und Tablets verschickt werden und der Versand wird trotz zusätzlicher Gebühren für den Fax-Dienst dann günstiger, wenn die Dokumente nicht mehr ausgedruckt werden.
Fest steht, dass die Tage der herkömmlichen Faxgeräte endgültig gezählt sind: Die Telekom und andere große Netzbetreiber verändern derzeit die Vermittlungstechnik für Telefon- und Faxverbindungen – bis zum Jahr 2018 will die Telekom den analogen Telefonanschluss ganz abschaffen und alle Kunden mit Internet-Telefonie (Voice-over-IP, kurz VoIP) versorgen [4].
IP-Fax: Störanfällig und unsicher
In der Vergangenheit wurde für eine Telefon- und Faxverbindung von der Vermittlung jeweils eine eigene Punkt-zu-Punkt-Verbindung geschaltet, über die die Faxgeräte direkt mittels analoger Signale miteinander kommunizierten. Im neuen VoIP-Netz werden die Signale der Faxgeräte digitalisiert und in einzelnen Datenpaketen über das Internet übermittelt. Doch die herkömmlichen Faxgeräte kommen mit dieser Technik nicht zurecht, denn bei der Digitalisierung der analogen Tonsignale und bei der paketweisen Übertragung können Daten verstümmelt werden oder ganz verloren gehen. Bei Telefonaten macht sich das durch Störgeräusche oder kleine Ausfälle bemerkbar, die aber vom menschlichen Gehirn ignoriert oder kompensiert werden. Herkömmliche Faxgeräte verlieren bei Aussetzern in der Verbindung aber ihre Synchronisierung und reagieren daher sensibel auf solche Störungen mit unlesbaren Faxen oder Abbrüchen [5, 6]. Etwas drastischer formuliert: "Wo nur noch VoIP ist, ist das Fax tot." [7, 8]. Denn das Versenden oder Empfangen von Faxen über Internet-Telefonie oder unter Verwendung von Fax-Diensten hat nicht nur technische Probleme, sondern auch einen weiteren, für die Übermittlung sensibler Daten entscheidenden Nachteil: Die Datenübertragung ist nicht gegen unbefugten Zugriff Dritter geschützt.
Zwar kann auch der herkömmliche, über das Telefonnetz abgewickelte Fax-Verkehr prinzipiell von Dritten abgehört werden. Man muss sich dazu allerdings schon aktiv bemühen, benötigt dazu einen richterlichen Beschluss sowie entsprechende Technik und Zugänge, um auf die Punkt-zu-Punkt-Verbindung zugreifen zu können. Beim Datenverkehr über VoIP ist dagegen, insbesondere beim Einsatz eines Fax-Dienstes, die Offenbarung der Daten gegenüber unbefugten Dritten nicht zu vermeiden.
Datenschutz nicht gewährleistet
Angenommen, Sie möchten Patientenbefunde über einen "Mail-to-Fax"-Dienst an einen Kollegen senden. Sie erstellen eine E-Mail, adressieren diese an den Fax-Dienst und hängen die Befunde als Bilddateien an die E-Mail an. Die Mail wird abgeschickt und zunächst auf dem Server Ihres E-Mail-Dienstleisters im E-Mail-Ausgangspostfach gespeichert. Die E-Mail wird weitergeschickt und landet, ggf. nach weiteren Zwischenstationen auf dem Weg und dem E-Mail-Eingangspostfach des Empfängers, schließlich auf dem Server des Fax-Dienstleisters, wo die empfangenen Daten ebenfalls gespeichert werden. Ein Programm auf diesem Server nimmt jetzt die empfangenen Anhänge und wandelt diese in Fax-Signale um, die dann an das Faxgerät des Empfängers versandt werden. Jeder Server in dieser Kette hat Administratoren, Personen, die unbeschränkten Zugriff auf alle Daten haben, die auf dem Server gespeichert sind, und die unbefugte Dritte im Sinne des Berufsgeheimnisses nach § 203 StGB sind.
Man kann zwar grundsätzlich Daten auf ihrem Weg durch das Netz vor dem Zugriff durch die Server-Administratoren durch Verschlüsselung schützen. Aber diese Option scheidet bei Verwendung eines Fax-Dienstes aus, denn aus einer E-Mail mit verschlüsselten Inhalten kann man am Ende kein lesbares Fax erstellen. Und auch bei der Versendung normaler Faxe über VoIP-Verbindungen, bei der Datenpakete zwischen Servern ausgetauscht werden, werden die Daten unverschlüsselt übertragen und sind damit für die Server-Administratoren lesbar [9]. Datenschützer empfehlen daher für diese Fälle zwingend eine grundlegende Ende-zu-Ende-Verschlüsselung der Gesprächsinhalte [10]. Auch beim Versenden von Patientendaten über ein normales Faxgerät, bei dem man den genauen Weg der Daten und die vom Empfänger verwendete Technik nicht kennt, riskiert man eine strafbare Offenbarung fremder Geheimnisse nach § 203 StGB – zwar liegt die Verantwortung zunächst beim Empfänger, wenn dieser einen Fax-to-Mail-Dienst verwendet. Gleichwohl kann sich nach Meinung von Juristen diese Sichtweise durchaus ändern, wenn der Absender in aller Regel davon ausgehen muss, dass der Empfänger einen solchen Dienst verwendet.
Was tun? Allen Versuchungen und Versprechungen widerstehen und die alten analogen Telefonleitungen so lange wie möglich behalten. Patientendaten generell nicht per E-Mail oder Fax-Dienst versenden. Und hoffen, dass sich die Einführung einer sicheren elektronischen Arzt-zu-Arzt-Kommunikation über die Telematik-Infrastruktur nicht noch weiter verzögert [11].
Literatur:(1) www.heise.de/tr/blog/artikel/Zauberformel-Fax-2733763.html
(2) www.retarus.com/blog/de/wie-funky-ist-heute-eigentlich-noch-das-fax/ und www.faz.net/aktuell/wirtschaft/faxgeraet-ist-in-deutschlands-bueros-immer-noch-beliebt-13806252.html
(3) www.computerwoche.de/g/die-besten-online-faxdienste,102662, www.computerwoche.de/a/ratgeber-faxen-ueber-das-internet,593006
(4) www.test.de/IP-Telefonie-Was-der-Wechsel-fuer-Telekom-Kunden-bedeutet-4900386-0/
(5) www.computerwoche.de/a/warum-das-fax-im-ip-netz-streikt,3213699
(6) .http://www.apotheke-adhoc.de/nachrichten/apothekenpraxis/nachricht-detail-apothekenpraxis/umfrage-fax-ist-in-apotheken-unersetzlich/
(7) www.shz.de/deutschland-welt/netzwelt/voip-ist-bald-schluss-mit-den-faxen-id10976891.html
(8) www.elektronik-kompendium.de/sites/net/1103151.htm
(9) datenschutz-berlin.de//content/themen-a-z/voip/der-datenschutz-bei-voip, www.bfdi.bund.de/SharedDocs/Publikationen/Allgemein/Aerzteblatt.pdf
(10) www.shz.de/regionales/newsticker-nord/datenschuetzer-weichert-warnt-vor-kombination-facebook-whatsapp-id5791121.html, www.datenschutz.rlp.de/de/ds.php
(11) www.aerztezeitung.de/praxis_wirtschaft/e-health/gesundheitskarte/article/909829/e-card-dieses-jahr-keine-tests.html
Autor:
Erschienen in: Der Allgemeinarzt, 2016; 38 (20) Seite 85-86
Dieser Beitrag wurde ursprünglich auf doctors.today publiziert.