HIPAA & Compliance
Ist Fax HIPAA-konform?
Kurze Antwort: Ja, das Faxen von Gesundheitsdaten ist nach HIPAA erlaubt — aber ein Fax ist nur konform, wenn die richtigen Schutzmaßnahmen greifen. Hier steht, was ein HIPAA-taugliches Fax von einem Verstoß trennt, welche Dienste das wirklich erfüllen, und wie das in Deutschland mit der DSGVO zusammenhängt.
Das Wichtigste in Kürze: HIPAA verbietet Fax nie. Das Gesetz fragt, ob Sie angemessene Schritte zum Schutz der Daten unternommen haben. Bei einem klassischen Faxgerät ist das vor allem physisch — richtig wählen, den Ausdruck sichern. Bei Online- oder Cloud-Fax hängt „HIPAA-konform“ vor allem an einem: einem unterzeichneten Business Associate Agreement (BAA), gestützt durch Verschlüsselung und Audit-Kontrollen.
Kein BAA, keine Konformität — auch wenn die Marketingseite „Sicherheit auf Bankniveau“ verspricht.
Was ein Fax HIPAA-konform macht
Für Online- und Cloud-Fax muss Ihr Anbieter alle vier Punkte erfüllen — nicht nur den ersten, mit dem er wirbt.
Ein unterzeichneter BAA
Sobald ein Faxanbieter Gesundheitsdaten in Ihrem Auftrag verarbeitet, wird er zum Auftragsverarbeiter. Ohne unterzeichneten Business Associate Agreement (BAA) ist die Nutzung für Patientendaten ein Verstoß — egal wie gut die beworbene Verschlüsselung ist.
Verschlüsselung bei Übertragung und Speicherung
Gesundheitsdaten müssen während der Übertragung (TLS 1.2 oder höher) und auf den Servern des Anbieters (AES-256) verschlüsselt sein. Ein Fax, das im Klartext an ein E-Mail-Gateway geht, fällt durch diesen Test.
Zugriffskontrollen und Audit-Protokolle
Eindeutige Logins pro Nutzer, rollenbasierte Rechte, automatische Abmeldung und ein Protokoll, wer welches Fax gesendet, geöffnet oder heruntergeladen hat. Gemeinsame Postfächer und Sammelpasswörter genügen nicht.
Meldung von Datenpannen
Ein dokumentierter Prozess, um eine Datenpanne zu erkennen, einzudämmen und zu melden. Ihr BAA sollte die Pflichten des Anbieters festlegen, falls Gesundheitsdaten offengelegt werden.
Klassisches Fax vs. Online-Fax — unterschiedliche Risiken
Viele nehmen an, das alte Faxgerät sei automatisch sicherer, weil es „nicht ins Internet geht“. Das stimmt nur halb. Beim Analog-Fax geht es HIPAA um die physische Offenlegung: eine falsch gewählte Nummer, die Akten an Fremde schickt, oder ein Ausdruck, der unbeaufsichtigt im Fach liegt. Mit den üblichen Schutzmaßnahmen — Nummer prüfen, Deckblatt, Gerät in einem kontrollierten Bereich — kann ein klassisches Fax unter HIPAA Gesundheitsdaten tragen.
Online- und Cloud-Fax verlagert das Risiko zum Anbieter. Weil nun ein Dritter Ihre Faxe überträgt und speichert, wird dieses Unternehmen zum Auftragsverarbeiter im Sinne von HIPAA — und Sie müssen es prüfen. Der Vorteil ist real: Ein guter Cloud-Dienst bietet Verschlüsselung, Zugriffsprotokolle und eine Nachvollziehbarkeit, die ein Analoggerät nie liefern könnte — sobald der BAA unterschrieben und die Schutzfunktionen aktiviert sind.
Der BAA ist nicht verhandelbar
Ein Business Associate Agreement ist ein Vertrag, der Ihren Faxanbieter rechtlich für den Schutz von Gesundheitsdaten verantwortlich macht: wie er sie schützt, was er bei einer Panne tut und dass er Ihre Daten zu nichts anderem verwenden darf. Unter HIPAA muss er unterschrieben sein, bevor die ersten Patientendaten durch den Dienst laufen.
Zwei praktische Fallen. Erstens: HIPAA ist oft ein höherer Tarif, nicht der Standard — eFax knüpft es an den Protect-Tarif und Fax.Plus an Enterprise; der Einstiegstarif, den Sie gebucht haben, ist womöglich nicht abgedeckt. Zweitens: „selbst erklärt“ ist nicht „auditiert“. Ein Anbieter kann auf der Startseite mit HIPAA werben, den BAA aber nur „auf Anfrage“ anbieten und keinen SOC-2- oder HITRUST-Bericht veröffentlichen. Für Gesundheitsdaten bestehen Sie auf dem unterzeichneten BAA und achten auf ein unabhängiges Audit.
Und in Deutschland? HIPAA ist nicht die DSGVO
HIPAA ist US-Recht. In Deutschland gilt die DSGVO — und genau hier wird es heikel. Seit der Umstellung auf All-IP werden Faxe als unverschlüsselte IP-Pakete übertragen, vergleichbar mit einer offenen E-Mail. Mehrere Landesdatenschutzbehörden stufen den Faxversand sensibler Gesundheitsdaten deshalb als unzulässig ein.
Für Praxen und Kliniken ist die DSGVO-konforme Alternative der KIM-Dienst (Kommunikation im Medizinwesen) über die Telematikinfrastruktur: Nachrichten und Dokumente werden Ende-zu-Ende verschlüsselt. Ein HIPAA-BAA bleibt vor allem dann relevant, wenn Sie mit US-amerikanischen Stellen Daten austauschen. Kurz: HIPAA-Konformität ersetzt keine DSGVO-Konformität — prüfen Sie beides getrennt.
Wo Konformität leise bricht: E-Mail-to-Fax und Gratisdienste
E-Mail-to-Fax ist bequem und eine häufige Lücke. Senden Sie Gesundheitsdaten von einem normalen E-Mail-Konto an ein Fax-Gateway, läuft die E-Mail-Strecke meist unverschlüsselt, bevor daraus ein Fax wird — das verletzt die HIPAA-Übertragungssicherheit (und unter der DSGVO erst recht). Bei Gesundheitsdaten nutzen Sie das sichere Webportal oder die App des Anbieters — den Teil, den Ihr BAA tatsächlich abdeckt.
Gratisdienste eignen sich nie. Sie unterschreiben keine BAAs und sind nicht für die HIPAA-Anforderungen an Verschlüsselung, Zugriffskontrolle und Audit gebaut. Kostenloses Faxen ist ideal für ein einmaliges, unkritisches Dokument — und ein klarer Verstoß, sobald Patientendaten darin stehen.
Welche Online-Faxdienste sind HIPAA-bereit?
Aus den Diensten in unserem Ranking 2026 — und denken Sie daran: Es zählt der BAA, nicht das Abzeichen.
| Dienst | HIPAA | BAA | Hinweis |
|---|---|---|---|
| SRFax | Ja — inkl. PHIPA | Alle Tarife | Speziell für das nordamerikanische Gesundheitswesen; unterzeichneter BAA und kostenlose PGP-Verschlüsselung in jedem Tarif. |
| iFax | Ab Plan Plus | Ab Plan Plus | BAA ab dem Plus-Tarif; SOC 2 + ISO 27001 im Pro-Tarif. Der Basic-Tarif sendet nur und ist nicht HIPAA-konform. |
| Documo | Alle Tarife | Inklusive, ohne Aufpreis | BAA in allen Tarifen enthalten; SOC 2, mit API und Portal für EHR/EMR-Workflows. |
| eFax | Nur Protect-Tarif | Protect (~50 $/Monat) | HITRUST-zertifiziert, aber HIPAA gibt es nur im Protect-Tarif — Plus und Pro sind ausgeschlossen. |
| Fax.Plus | Nur Enterprise | Auf Anfrage (Enterprise) | Unsere Nr. 1 insgesamt, mit ISO 27001 + SOC 2 — HIPAA und BAA aktivieren sich aber nur im Enterprise-Tarif. |
| CocoFax | Selbst erklärt | Auf Anfrage | Wirbt mit HIPAA, hat aber kein öffentliches SOC-2-/HITRUST-Audit und den BAA nur auf Anfrage — für Gesundheitsdaten nicht empfohlen. |
| FaxZero | Nein | Keiner | Kostenloser Dienst ohne BAA — gut für unkritische Faxe, nie für Gesundheitsdaten. |
Tarife und BAA-Bedingungen ändern sich — bestätigen Sie den aktuellen BAA stets schriftlich, bevor Sie Gesundheitsdaten senden. Den vollständigen Überblick gibt unser Ratgeber zu den besten HIPAA-konformen Faxdiensten.
Kurz-Checkliste zur Konformität
- Holen Sie den BAA schriftlich ein, bevor das erste Gesundheitsdaten-Fax läuft — und bewahren Sie eine Kopie auf.
- Prüfen Sie, dass Sie im HIPAA-fähigen Tarif sind, nicht nur im Einstiegstarif.
- Nutzen Sie das sichere Portal oder die App für Gesundheitsdaten, nicht einfaches E-Mail-to-Fax.
- Geben Sie jedem Nutzer ein eigenes Login; aktivieren Sie Audit-Protokolle und automatische Abmeldung.
- Prüfen Sie die Zielnummer und nutzen Sie bei jedem Versand ein Deckblatt.
- Leiten Sie Gesundheitsdaten nie über einen kostenlosen oder selbst erklärten Dienst.
Dieser Ratgeber ist allgemeine Information, keine Rechtsberatung. Ihre Pflichten hängen von Ihrer Organisation und der Konfiguration des Dienstes ab — wenden Sie sich für Ihren Fall an Ihren Datenschutzbeauftragten oder Rechtsbeistand.
Häufige Fragen
Ist Fax HIPAA-konform?
Das Faxen von Gesundheitsdaten ist nach HIPAA erlaubt, aber nur mit den richtigen Schutzmaßnahmen konform. Für Online- und Cloud-Fax: ein unterzeichneter BAA, Verschlüsselung bei Übertragung und Speicherung, Zugriffskontrollen und Audit-Protokolle sowie ein Pannen-Meldeprozess. Ein Gratisdienst oder Cloud-Fax ohne BAA ist nicht konform.
Brauche ich einen BAA, um Patientendaten zu faxen?
Ja. Jeder Anbieter, der Gesundheitsdaten für Sie überträgt oder speichert, ist Auftragsverarbeiter, und HIPAA verlangt einen unterzeichneten BAA vor dem ersten Versand. Ohne BAA dürfen Sie ihn nicht für Gesundheitsdaten nutzen.
Ist ein klassisches Analog-Fax HIPAA-konform?
Ein Faxgerät über die Telefonleitung kann unter HIPAA Gesundheitsdaten übertragen — mit angemessenen Schutzmaßnahmen: Nummer prüfen, Deckblatt, empfangendes Gerät sichern. Das Risiko ist hier physisch, nicht die Übertragung.
Ist E-Mail-to-Fax HIPAA-konform?
Nur wenn der ganze Weg gesichert ist. Gesundheitsdaten von einem normalen E-Mail-Konto laufen meist unverschlüsselt, was HIPAA verletzt. Nutzen Sie das sichere Portal oder die App des Anbieters — abgedeckt durch Ihren BAA.
Welche Online-Faxdienste sind HIPAA-konform?
Dienste mit BAA und erfüllten Vorgaben: SRFax (BAA in jedem Tarif), iFax (ab Plus), Documo (alle Tarife), eFax (Protect-Tarif) und Fax.Plus im Enterprise. Gratisdienste wie FaxZero nie, und selbst Erklärtes ohne Audit — wie CocoFax — ist keine sichere Wahl für Gesundheitsdaten.
Ist Fax in Deutschland DSGVO-konform?
Die wichtigere Frage hierzulande. Seit All-IP laufen Faxe unverschlüsselt; mehrere Landesdatenschutzbehörden halten den Versand sensibler Gesundheitsdaten per Fax für unzulässig. Die DSGVO-konforme Alternative für Praxen und Kliniken ist KIM über die Telematikinfrastruktur. Ein HIPAA-BAA ist vor allem beim Austausch mit US-Stellen relevant.
Brauchen Sie ein Fax, das Sie wirklich für Gesundheitsdaten nutzen können?
Sehen Sie im HIPAA-Ratgeber 2026, welche Anbieter einen BAA unterschreiben und unsere Sicherheitsprüfung bestehen.