Faxverbot – Was kirchliche Einrichtungen jetzt wissen müssen

Schreiben Sie eine Antwort

Mit der Neufassung der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) hat der kirchliche Gesetzgeber ein klares Signal gesetzt: Die Übermittlung personenbezogener Daten per Fax ist seit dem 1. 3. 2026 grundsätzlich unzulässig. So lautet die Kernaussage des § 25 KDG-DVO, der in vielen Einrichtungen des Gesundheits- und Sozialwesens derzeit für erhebliche Diskussionen sorgt.

Offener Drucker mit gelbem Endlospapier.
Das ist kein Faxgerät, aber es ist gar nicht so einfach, heutzutage noch Bilder von Faxen zu finden. (Foto von Mufid Majnun auf Unsplash)

Denn in der Praxis ist Fax noch längst nicht verschwunden. Verordnungen, Befunde, Abstimmungen mit Arztpraxen und Apotheken – all das läuft in vielen Einrichtungen nach wie vor über das gute alte Faxgerät. Die zentrale Frage lautet daher: Gilt das Faxverbot absolut? Oder gibt es praktikable Ausnahmen – und wer darf diese überhaupt festlegen?

Inhalte Verbergen
1 Warum Fax datenschutzrechtlich problematisch ist
2 Was »grundsätzlich unzulässig« bedeutet
3 Wer darf Ausnahmen festlegen?
4 Kommunikation mit Ärzten und Apotheken
5 Wann ist eine Ausnahme rechtlich tragfähig?
6 Was nicht zulässig ist
7 Konsequenzen für die Praxis: Was jetzt zu tun ist
8 Fazit

Warum Fax datenschutzrechtlich problematisch ist

Das Fax gilt seit Jahren als datenschutzrechtlich bedenklich. Die Gründe dafür sind bekannt und vielschichtig:

  • Es fehlt jede Form der Ende-zu-Ende-Verschlüsselung.
  • Fehlleitungen durch falsch gewählte Nummern sind jederzeit möglich.
  • Auf Empfängerseite bleibt der Zugriff auf das Dokument häufig unklar.
  • Viele Geräte sind als Sammelfaxgeräte eingerichtet, auf die mehrere Personen Zugriff haben.

Vor diesem Hintergrund ist die Entscheidung des kirchlichen Gesetzgebers nachvollziehbar: § 25 KDG-DVO soll die Nutzung dieses veralteten Übertragungswegs schrittweise beenden und eine Modernisierung der Kommunikationsinfrastruktur anstoßen. Moderne Kommunikationsformen bieten in aller Regel ein deutlich höheres Sicherheitsniveau.

Was »grundsätzlich unzulässig« bedeutet

Wer den Wortlaut des § 25 KDG-DVO liest, stößt auf ein juristisch bedeutsames Wort: »grundsätzlich«. Im Rechtssprachgebrauch bedeutet das nicht »immer und ohne Ausnahme«, sondern vielmehr: Es gibt Ausnahmen – und diese sind im zweiten Satz der Norm ausdrücklich vorgesehen.

„In spezifischen Bestimmungen können Ausnahmen, insbesondere Übergangsbestimmungen, vorgesehen werden.”

Der Gesetzgeber hat damit selbst eine Öffnungsklausel geschaffen. Das Verbot des § 25 KDG-DVO steht im Kapitel 5 unter „Besondere Gefahrenlagen“ und ist als organisationsrechtliche Sicherheitsregelung zu verstehen, nicht als Kommunikationsabbruchgebot. Es geht darum, unsichere Strukturen abzulösen – nicht darum, die Kommunikation kirchlicher Einrichtungen mit externen Partnern schlagartig zu unterbinden.

Wer darf Ausnahmen festlegen?

Diese Frage hat in der Praxis zunächst erhebliche Unsicherheit ausgelöst. Die Formulierung »spezifische Bestimmungen« lässt dem Wortlaut nach zwei Interpretationen zu:

Auffassung 1: Nur der kirchliche Normgeber – etwa auf diözesaner Ebene – ist befugt, solche Ausnahmen zu erlassen. Einrichtungen müssten demnach auf eine zentrale Regelung warten.

Auffassung 2: Auch der jeweilige Verantwortliche einer Einrichtung darf im Rahmen seiner Organisationsverantwortung bereichsspezifische Übergangsregelungen treffen.

Inzwischen ist diese Frage geklärt. Eine Arbeitshilfe der Konferenz der Diözesandatenschutzbeauftragten der katholischen Kirche Deutschlands zur Umsetzung der KDG-Novelle stellt klar, dass »die Prozesse zur Übermittlung personenbezogener Daten im Hinblick auf die Faxnutzung zu überarbeiten« sind – und dass diese Verantwortung beim Verantwortlichen der jeweiligen Einrichtung liegt.

Das Katholische Datenschutzzentrum Dortmund bestätigt diese Einordnung. Die Ausgestaltung entsprechender Ausnahmebestimmungen kann organisationsintern erfolgen. Die Einrichtungen sind damit selbst gehalten, ihre Kommunikationsprozesse zu überprüfen und anzupassen.

Kommunikation mit Ärzten und Apotheken

Genau hier liegt der eigentliche Knackpunkt für viele kirchliche Einrichtungen. In der Praxis zeigt sich immer wieder, nicht alle externen Kommunikationspartner haben bereits auf sichere Alternativen umgestellt. Insbesondere Arztpraxen oder Apotheken sind teilweise weiterhin ausschließlich per Fax erreichbar – ohne KIM-Anbindung, ohne verschlüsselte E-Mail oder ein sicheres Portal.

Die Einrichtung hat auf das Kommunikationsmittel des Dritten keinen Einfluss. Ein starres, ausnahmsloses Faxverbot würde in solchen Konstellationen bedeuten:

  • medizinische Prozesse verzögern sich,
  • die Versorgung der betreuten Personen wird erschwert,
  • es entsteht eine faktische Kommunikationsblockade.

Das kann erkennbar nicht Sinn und Zweck der Norm sein. Das Faxverbot greift primär dort, wo sichere Alternativen tatsächlich verfügbar und zumutbar sind. Wo der Verantwortliche auf das Kommunikationssystem des Empfängers keinen Einfluss hat, ist eine differenziertere Betrachtung geboten.

Wann ist eine Ausnahme rechtlich tragfähig?

Nicht jede Weiterbenutzung des Faxgeräts lässt sich rechtlich halten. Eine Ausnahme ist nur dann vertretbar, wenn klar definierte Voraussetzungen erfüllt sind:

1. Keine zumutbare Alternative vorhanden
Sichere Kommunikationswege wie verschlüsselte E-Mail, branchenspezifische Systeme (z. B. KIM im Gesundheitswesen) oder geschützte Online-Portale müssen ernsthaft geprüft worden sein. Fax als Bequemlichkeitslösung scheidet aus.

2. Die Übermittlung ist erforderlich
Es muss eine echte Notwendigkeit bestehen – keine bloße Gewohnheit oder Bequemlichkeit.

3. Technische und organisatorische Maßnahmen sind umgesetzt
Dazu zählen unter anderem: direkte Faxnummern statt Sammelgeräten, ein geschützter Standort des Empfangsgeräts, eine telefonische Ankündigung vor dem Versand, eine Empfangsbestätigung sowie konsequente Datenminimierung im versendeten Dokument.

4. Die Ausnahme ist formell beschlossen und dokumentiert
Eine mündliche Vereinbarung genügt nicht. Die Entscheidung muss schriftlich festgehalten und begründet sein.

5. Befristung und regelmäßige Neubewertung
Fax darf kein Dauerzustand werden. Die Ausnahme muss zeitlich begrenzt sein und regelmäßig daraufhin überprüft werden, ob mittlerweile sichere Alternativen verfügbar sind.

Was nicht zulässig ist

Ebenso klar wie die Ausnahmemöglichkeiten sind deren Grenzen. Folgende Praktiken sind nicht mit § 25 KDG-DVO vereinbar:

  • eine generelle, undifferenzierte Faxfreigabe für alle Kommunikationsprozesse,
  • die unbefristete Fortführung bisheriger Praxis ohne Prüfung,
  • fehlende Dokumentation der Ausnahmeentscheidung,
  • das Unterlassen einer ernsthaften Alternativenprüfung.

Wer so verfährt, entleert das gesetzliche Verbot faktisch und setzt sich datenschutzrechtlichen Risiken aus.

Konsequenzen für die Praxis: Was jetzt zu tun ist

Für Verantwortliche in kirchlichen Einrichtungen ergibt sich daraus ein klarer Handlungsrahmen:

Schritt 1: Bestandsaufnahme
In welchen Prozessen werden personenbezogene Daten derzeit noch per Fax übermittelt? Eine systematische Übersicht ist der erste Schritt.

Schritt 2: Alternativenprüfung
Für jeden identifizierten Faxprozess ist zu klären: Gibt es eine sichere Alternative? Ist diese verfügbar und zumutbar? Soweit ja, muss Fax mittelfristig entfallen.

Schritt 3: Dokumentierte Ausnahmen für verbleibende Fälle
Wo keine Alternative besteht – etwa bei einzelnen Arztpraxen oder Apotheken – kann eine befristete, dokumentierte Ausnahme getroffen werden. Diese muss die oben genannten Anforderungen erfüllen.

Schritt 4: Regelmäßige Überprüfung
Die Ausnahme ist kein Freifahrtschein. In regelmäßigen Abständen ist zu prüfen, ob sich die Situation verändert hat und ob nun sichere Kommunikationswege zur Verfügung stehen.

Fazit

§ 25 KDG-DVO ist ernst zu nehmen – und sollte es auch sein. Das Fax ist aus datenschutzrechtlicher Sicht ein Auslaufmodell, und der kirchliche Gesetzgeber hat das klar signalisiert.

Das bedeutet aber nicht, dass kirchliche Einrichtungen die Kommunikation mit Ärzten, Apotheken oder anderen externen Partnern von heute auf morgen einstellen müssen. Die Norm lässt Ausnahmen zu und nach der aktuellen Einschätzung der kirchlichen Datenschutzaufsicht liegt die Verantwortung für deren Ausgestaltung beim Verantwortlichen der jeweiligen Einrichtung.

Der entscheidende Maßstab lautet: Fax darf nur noch dort eingesetzt werden, wo es faktisch unvermeidbar ist – nicht dort, wo es bequem ist. Wer diese Linie einhält, handelt datenschutzkonform und zeigt gleichzeitig, dass er den Modernisierungsanspruch des Gesetzgebers ernst nimmt.

Dieser Beitrag wurde am von in Praxis veröffentlicht. Schlagworte: , , .

Über Stefan Craezer

Stefan Craezer ist Diplom-Informatiker und seit 2022 im Bereich Datenschutz beim Diözesan-Caritasverband für das Erzbistum Köln tätig. Seit 2026 ist er dort als betrieblicher Datenschutzbeauftragter bestellt. Er unterstützt kirchliche Einrichtungen und Verbände bei der praktischen Umsetzung der Anforderungen des Gesetzes über den kirchlichen Datenschutz (KDG). Seine Schwerpunkte liegen in der Analyse datenschutzrelevanter Prozesse, der Entwicklung und Implementierung von Datenschutzmanagementsystemen sowie der Begleitung von Digitalisierungsprojekten im Gesundheits- und Sozialbereich. Stefan Craezer ist zertifizierter Datenschutzbeauftragter (GDDcert. EU-Datenschutzbeauftragter, GDDcert. EU-KI-Datenschutz-Experte), Datenschutzauditor (GDDcert.) und zertifizierter Berater im Datenschutzrecht (FernUniversität in Hagen).

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert