Arztpraxis faxt Patientendaten an die falsche Nummer

Das Szenario

Es ist ein gewöhnlicher Montagmorgen in der Hausarztpraxis von Dr. Claudia Werner in Düsseldorf. Die Praxis betreut rund 1.200 Patienten im Quartal, und wie in vielen deutschen Arztpraxen gehört das Faxgerät zum täglichen Arbeitsgerät. Überweisungen, Laborbefunde, Arztbriefe — ein erheblicher Teil der medizinischen Kommunikation läuft nach wie vor über Fax.

Medizinische Fachangestellte Sandra Meier hat an diesem Morgen einen Stapel von Dokumenten abzuarbeiten. Drei Patienten benötigen dringend ihre Laborergebnisse beim Facharzt, zwei Überweisungsschreiben müssen an die Radiologie und ein ausführlicher Arztbrief mit Diagnosen, Medikationsplan und Therapieempfehlung soll an einen Kollegen in einer Gemeinschaftspraxis weitergeleitet werden.

Sandra tippt die Faxnummer des Facharztes Dr. Hoffmann ein: 0211-8834521. Ein Zahlendreher — sie gibt stattdessen 0211-8834512 ein. Das Fax wird gesendet, das Gerät meldet "Übertragung OK". Sandra hakt die Aufgabe ab und wendet sich dem nächsten Vorgang zu.

Die falsche Nummer gehört der Werbeagentur "KreativPuls GmbH" drei Straßen weiter. Dort landet das Fax im Gemeinschaftsraum, direkt neben der Kaffeemaschine. Agenturchef Markus Bender findet die sechs Seiten im Ausgabefach: vollständige Laborwerte inklusive HIV-Test und Hepatitis-Screening von drei Patienten, einen Überweisungsbrief mit der Verdachtsdiagnose Depression und einen detaillierten Medikationsplan mit Psychopharmaka. Auf jedem Blatt stehen Name, Geburtsdatum, Adresse und Versicherungsnummer der Patienten.

Markus kennt einen der Patienten — es ist sein Nachbar Thomas Richter. Er erfährt so ungewollt von dessen psychiatrischer Behandlung, den verschriebenen Antidepressiva und der Krankschreibung. Die Information verbreitet sich, als Markus einem gemeinsamen Bekannten gegenüber eine unbedachte Bemerkung fallen lässt.

Erst zwei Tage später fällt in der Praxis auf, dass Dr. Hoffmann die Befunde nie erhalten hat. Sandra überprüft den Faxbericht, bemerkt den Zahlendreher und informiert Dr. Werner. Zu diesem Zeitpunkt sind die sensiblen Gesundheitsdaten von fünf Patienten bereits seit 48 Stunden in fremden Händen.

Die Risiken

Das versehentliche Faxen von Patientendaten an unbefugte Dritte gehört zu den häufigsten Datenschutzvorfällen im Gesundheitswesen. Die Risiken sind weitreichend und schwer zu kontrollieren.

Unkontrollierbare Datenexposition: Sobald ein Fax gesendet ist, gibt es keine Möglichkeit, die Übertragung rückgängig zu machen. Anders als bei einer E-Mail kann ein Fax nicht zurückgerufen werden. Die Praxis hat keinerlei Kontrolle darüber, wer das Dokument am Empfangsgerät in die Hand nimmt, kopiert oder fotografiert. Im beschriebenen Fall lagen die Unterlagen stundenlang offen in einem Agentur-Gemeinschaftsraum — potenziell eingesehen von Mitarbeitern, Reinigungskräften oder Besuchern.

Besondere Kategorie personenbezogener Daten: Gesundheitsdaten fallen unter Artikel 9 der DSGVO und genießen den höchsten Schutzstatus. Informationen über Diagnosen, Medikation, psychische Erkrankungen oder Laborwerte sind besonders sensibel. Ein Bekanntwerden kann für Betroffene existenzielle Folgen haben — von Stigmatisierung am Arbeitsplatz bis hin zu Problemen bei Versicherungsabschlüssen.

Vertrauensverlust bei Patienten: Das Vertrauensverhältnis zwischen Arzt und Patient ist die Grundlage jeder medizinischen Behandlung. Wenn Patienten erfahren, dass ihre intimsten Gesundheitsinformationen durch fahrlässigen Umgang in falsche Hände geraten sind, wechseln viele den Arzt. In kleineren Gemeinden kann ein solcher Vorfall den Ruf einer Praxis dauerhaft beschädigen. Im Fall von Thomas Richter erfuhr sein persönliches Umfeld von seiner psychischen Erkrankung — ein Vertrauensbruch, der sich nicht rückgängig machen lässt.

Keine Nachvollziehbarkeit: Das Faxprotokoll zeigt lediglich, dass eine Übertragung stattgefunden hat. Es gibt keinen Nachweis darüber, wer das Dokument am Empfangsort gelesen hat, ob Kopien angefertigt wurden oder ob die Daten weitergegeben wurden. Eine lückenlose Dokumentation, wie sie die DSGVO fordert, ist beim Faxversand schlicht nicht möglich.

Verzögerte Entdeckung: Fehlgeleitete Faxe werden häufig erst Tage oder Wochen später bemerkt — wenn überhaupt. In dieser Zeit können die Daten längst kopiert, fotografiert oder mündlich weitergegeben worden sein.

Rechtliche Konsequenzen

Die rechtliche Bewertung eines solchen Vorfalls in einer Arztpraxis ist besonders schwerwiegend, da mehrere Rechtsgebiete gleichzeitig betroffen sind.

DSGVO-Verstöße: Die Verarbeitung besonderer Kategorien personenbezogener Daten unterliegt Artikel 9 DSGVO. Das Versenden per Fax an eine falsche Nummer stellt einen Verstoß gegen die technisch-organisatorischen Maßnahmen nach Artikel 32 DSGVO dar. Die Aufsichtsbehörden haben wiederholt darauf hingewiesen, dass das Fax kein datenschutzkonformes Kommunikationsmittel für sensible Daten ist — insbesondere, da moderne Faxgeräte die Übertragung oft über unverschlüsselte IP-Verbindungen abwickeln.

Meldepflichten nach Art. 33 und 34 DSGVO: Der Vorfall muss innerhalb von 72 Stunden an die zuständige Datenschutz-Aufsichtsbehörde gemeldet werden. Da ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht — Gesundheitsdaten, Klarnamen, Adressen —, müssen zusätzlich alle betroffenen Patienten individuell benachrichtigt werden. Die Praxis muss detailliert dokumentieren, welche Daten betroffen waren, welche Maßnahmen ergriffen wurden und wie künftige Vorfälle verhindert werden sollen.

Ärztliche Schweigepflicht nach § 203 StGB: Die Verletzung von Privatgeheimnissen durch Ärzte und deren Mitarbeiter ist strafrechtlich relevant. Auch wenn der Faxversand fahrlässig erfolgte, kann die Staatsanwaltschaft bei Anzeige durch einen Betroffenen Ermittlungen aufnehmen. Bei bewiesenem Vorsatz drohen Freiheitsstrafen bis zu einem Jahr oder Geldstrafen.

Berufsrechtliche Konsequenzen: Die zuständige Ärztekammer kann berufsrechtliche Maßnahmen einleiten. In schwerwiegenden Fällen kann dies von einer Rüge bis hin zur vorübergehenden Berufsuntersagung reichen. Besonders gravierend wirkt sich aus, wenn die Praxis keine angemessenen Schutzmaßnahmen implementiert hatte oder der Vorfall nicht der erste seiner Art war.

Zivilrechtliche Ansprüche: Betroffene Patienten können Schadensersatzansprüche geltend machen — sowohl für materielle Schäden als auch für immaterielle Schäden nach Art. 82 DSGVO. Im Fall des Patienten Thomas Richter, dessen psychische Erkrankung im sozialen Umfeld bekannt wurde, sind Schmerzensgeldansprüche im fünfstelligen Bereich realistisch.

Finanzielle Auswirkungen

Kostenposition	Geschätzter Betrag
DSGVO-Bußgeld (Aufsichtsbehörde)	10.000 – 50.000 €
Anwaltliche Beratung und Vertretung	5.000 – 15.000 €
Schadensersatz an betroffene Patienten	5.000 – 25.000 €
Benachrichtigung der Betroffenen (Art. 34)	500 – 2.000 €
Datenschutz-Folgenabschätzung und Gutachten	3.000 – 8.000 €
Implementierung neuer technischer Maßnahmen	2.000 – 10.000 €
Umsatzeinbußen durch Patientenverlust	10.000 – 30.000 €
Schulungen und Prozessanpassungen	1.500 – 5.000 €
Reputationsschaden und PR-Maßnahmen	3.000 – 15.000 €
Gesamt	40.000 – 150.000 €

Diese Schätzungen basieren auf bekannten Fällen und Bußgeldentscheidungen deutscher Aufsichtsbehörden. Bei besonders schwerwiegenden Verstößen oder Wiederholungsfällen können die Bußgelder deutlich höher ausfallen.

Die sichere Alternative

Moderne digitale Lösungen wie SendMeSafe eliminieren die Risiken des Faxversands vollständig und bieten gleichzeitig einen effizienteren Workflow für den Praxisalltag.

Upload-Links für Patienten und Zuweiser: Anstatt Befunde per Fax zu versenden, erstellt die Praxis einen personalisierten Upload-Link für den empfangenden Facharzt. Dieser Link ist passwortgeschützt, kann mit einem Ablaufdatum versehen werden und stellt sicher, dass nur die autorisierte Person Zugriff erhält. Die Übertragung erfolgt Ende-zu-Ende verschlüsselt — ein Zahlendreher beim Empfänger ist technisch ausgeschlossen, da der Link direkt an die richtige E-Mail-Adresse gesendet wird.

Sichere Freigabe-Links für den Dokumentenaustausch: Für das aktive Versenden von Dokumenten — etwa Arztbriefe oder Laborbefunde — bieten Share-Links eine sichere Alternative zum Fax. Die Praxis lädt die Dokumente hoch, legt ein Passwort und maximale Downloadzahl fest, und sendet den Link per E-Mail an den Empfänger. Die Dateien werden verschlüsselt auf europäischen Servern gespeichert und nach Ablauf automatisch gelöscht.

Lückenloser Audit-Trail: Jede Aktion wird protokolliert — vom Hochladen über den Zugriff bis zum Download. Die Praxis kann jederzeit nachweisen, wer wann welche Daten erhalten hat. Diese Nachvollziehbarkeit erfüllt die Anforderungen der DSGVO an die Dokumentation technisch-organisatorischer Maßnahmen und schützt die Praxis bei Überprüfungen durch die Aufsichtsbehörde.

Integration in den Praxisalltag: Der Umstieg erfordert keine komplexe IT-Infrastruktur. SendMeSafe funktioniert über den Browser — die medizinischen Fachangestellten können innerhalb weniger Minuten Dokumente sicher versenden und empfangen. Das spart Zeit, reduziert Fehlerquellen und gibt sowohl dem Praxisteam als auch den Patienten die Sicherheit, dass ihre Daten geschützt sind.

Häufig gestellte Fragen

Darf eine Arztpraxis noch Faxe versenden?

Grundsätzlich ist das Faxen nicht verboten. Allerdings haben mehrere deutsche Datenschutz-Aufsichtsbehörden — darunter die Landesbeauftragten für Datenschutz in Bremen, Hessen und Bayern — explizit darauf hingewiesen, dass das Fax für die Übermittlung sensibler Gesundheitsdaten nicht mehr als datenschutzkonform gilt. Der Grund: Moderne Faxgeräte nutzen häufig Voice-over-IP-Leitungen, die nicht durchgängig verschlüsselt sind. Die Verantwortung für die sichere Übertragung liegt bei der versendenden Praxis. Bei einem Datenschutzvorfall muss die Praxis nachweisen, dass sie angemessene technische Maßnahmen ergriffen hat — und ein Faxgerät wird diesen Nachweis in den seltensten Fällen bestehen.

Was muss eine Arztpraxis tun, wenn Patientendaten an eine falsche Faxnummer gesendet wurden?

Es gelten klare Handlungspflichten: Der Vorfall muss unverzüglich intern dokumentiert werden. Innerhalb von 72 Stunden muss eine Meldung an die zuständige Datenschutz-Aufsichtsbehörde erfolgen (Art. 33 DSGVO). Wenn ein hohes Risiko für die betroffenen Patienten besteht — was bei Gesundheitsdaten regelmäßig der Fall ist —, müssen die Patienten unverzüglich persönlich informiert werden (Art. 34 DSGVO). Zusätzlich sollte die Praxis den falschen Empfänger kontaktieren und um sofortige Vernichtung der Unterlagen bitten, wobei sie keine rechtliche Handhabe hat, dies durchzusetzen.

Welche Bußgelder drohen bei einer DSGVO-Verletzung durch eine Arztpraxis?

Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor. In der Praxis liegen die Bußgelder für einzelne Arztpraxen typischerweise im Bereich von 5.000 bis 50.000 Euro. Die Höhe hängt von Faktoren ab wie der Schwere des Verstoßes, der Art der betroffenen Daten, der Anzahl der Betroffenen, ob Vorsatz oder Fahrlässigkeit vorlag und welche Maßnahmen die Praxis zur Schadensbegrenzung ergriffen hat. Wiederholungsfälle oder fehlende Kooperation mit der Aufsichtsbehörde können die Bußgelder erheblich steigern.

Wie schnell lässt sich eine Arztpraxis auf eine digitale Lösung wie SendMeSafe umstellen?

Der Umstieg ist innerhalb eines Tages möglich. SendMeSafe erfordert keine Installation auf Praxisrechnern und lässt sich über jeden modernen Browser nutzen. Die Einrichtung eines Praxiskontos dauert wenige Minuten. Das Praxisteam kann anschließend sofort sichere Upload-Links für Patienten und Zuweiser erstellen und Dokumente über verschlüsselte Share-Links versenden. Eine kurze Einweisung von 30 bis 60 Minuten reicht erfahrungsgemäß aus, damit alle Mitarbeiterinnen und Mitarbeiter das System sicher bedienen können. Die laufenden Kosten liegen dabei deutlich unter den potenziellen Kosten eines einzigen Datenschutzvorfalls.