Compliance-Leitfaden
Online-Fax & Compliance: DSGVO, ISO 27001, HIPAA
Online-Fax ist überall dort rechtsgültig, wo ein Papierfax es ist. Ob es konform ist, ist eine andere Frage — und sie entscheidet sich an drei Punkten: einer unterschriebenen Vereinbarung, echter Verschlüsselung und dem Nachweis, dass der Anbieter auditiert wurde und es nicht nur behauptet. So funktionieren die wichtigsten Regelwerke, und das sind die Dienste, die sie tatsächlich erfüllen.
Kurz gesagt: Ein Fax-Dienst ist nur dann „konform“, wenn der Anbieter die passende Vereinbarung für Ihre Daten unterschreibt (einen AVV für personenbezogene Daten, einen BAA für US-Gesundheitsdaten), diese in Übertragung und Ruhe verschlüsselt und ein unabhängiges Audit vorweisen kann. Alles andere ist Marketing.
Eine Sache zum Merken: auditiert schlägt selbst-erklärt. Ein einsehbarer SOC-2-Type-2- oder HITRUST-Bericht ist mehr wert als jedes „Bank-Sicherheit“-Siegel.
Ist ein Online-Fax rechtsgültig?
Ja — und das ist geklärt. Ein Online-Fax hat dasselbe rechtliche Gewicht wie eines, das aus einem Gerät an der Telefonleitung kommt. Der Sendebericht dient als Übertragungsnachweis, und genau deshalb setzen Gerichte, Behörden, Banken und Krankenhäuser weiterhin auf Fax für unterschriebene und zeitkritische Dokumente. Ob aus der Cloud oder vom Gerät am Schreibtisch: am rechtlichen Stand ändert das nichts.
Rechtsgültigkeit und Datenschutz-Compliance sind zwei getrennte Prüfungen. Ein Fax kann als Dokument einwandfrei gültig sein und trotzdem gegen das Datenschutzrecht verstoßen, wenn es regulierte Daten über einen Dienst leitet, der keine Vereinbarung zu deren Verarbeitung hat. Um diese zweite Prüfung geht es im Rest dieses Leitfadens.
Was ein Online-Fax wirklich konform macht
Vier Punkte entscheiden es. Wer den ersten erfüllt, aber den Rest auslässt, ist für regulierte Daten trotzdem ungeeignet.
Durchgängige Verschlüsselung
Dokumente müssen während der Übertragung (TLS 1.2 oder höher) und im Ruhezustand auf den Servern des Anbieters (AES-256) verschlüsselt sein. Ein Fax, das im Klartext per E-Mail an ein Gateway geht, fällt schon durch, bevor es Ihr Postfach verlässt.
Eine unterschriebene Vereinbarung
Für personenbezogene Daten verlangt die DSGVO einen Auftragsverarbeitungsvertrag (AVV); für US-Gesundheitsdaten verlangt HIPAA einen BAA. Sobald ein Anbieter regulierte Daten in Ihrem Auftrag verarbeitet, wird er rechtlich mitverantwortlich. Keine Vereinbarung, keine Compliance.
Ein unabhängiges Audit, kein Versprechen
Zwischen „DSGVO-konform“ auf einer Marketingseite und einem SOC-2-Type-2- oder HITRUST-Bericht, den Sie tatsächlich einsehen können, liegen Welten. Ein auditierter Anbieter wurde von jemand anderem als sich selbst geprüft. Ein selbst-erklärter nicht.
Wo die Daten liegen
Der Serverstandort entscheidet, welches Recht gilt. Die DSGVO bevorzugt eine Speicherung in der EU oder einem Land mit Angemessenheitsbeschluss wie der Schweiz. Im DACH-Raum ist der Serverstandort oft ein K.-o.-Kriterium — prüfen Sie ihn, bevor Sie unterschreiben.
Compliance nach Regelwerk
Welche Regeln gelten, hängt davon ab, welche Daten Sie senden und wo alle Beteiligten sitzen. Gemeinsam ist allen: eine schriftliche Vereinbarung und nachprüfbare Verschlüsselung.
DSGVO
EU / DACH · personenbezogene DatenWas es verlangt: Einen Auftragsverarbeitungsvertrag (AVV), eine Rechtsgrundlage, einen Serverstandort in der EU oder einem angemessenen Land, sowie das EU-US Data Privacy Framework, wenn Daten in die USA fließen.
Wer passt: Fax.Plus sticht hervor: Hosting in der Schweiz unter einem der strengsten Datenschutzregime, auditiert nach ISO 27001 und SOC 2 Type II. Dropbox Fax weist ISO 27018 und EU-US-DPF-Abdeckung in seinem Trust Center aus.
Serverstandort & AVV
DACH · PraxisWas es verlangt: In der Praxis fragen deutsche Datenschutzbeauftragte zwei Dinge zuerst ab: Wo liegen die Daten, und gibt es einen unterschriebenen AVV nach Art. 28 DSGVO? US-Hosting ohne zusätzliche Garantien ist für viele Behörden und Branchen ein Problem.
Wer passt: Fax.Plus (Schweizer Hosting, EU-naher Datenschutz) ist hier am stärksten. Klären Sie AVV und Serverstandort immer schriftlich für Ihren konkreten Anwendungsfall.
HIPAA + HITECH
USA · GesundheitswesenWas es verlangt: Einen unterschriebenen BAA, Verschlüsselung, Zugriffskontrollen und Audit-Logs sowie ein Verfahren zur Meldung von Verletzungen. HITRUST und FedRAMP sind höhere Stufen, die große Klinikverbünde oder US-Behörden oft verlangen.
Wer passt: Relevant für Organisationen, die US-Patientendaten verarbeiten: Documo (BAA in jedem Tarif, HITRUST), eFax Protect (HITRUST + FedRAMP), iFax ab dem Plus-Tarif (SOC 2 + ISO 27001).
PIPEDA / PHIPA
Kanada · Gesundheit & allgemeinWas es verlangt: Das Bundesgesetz PIPEDA, in Ontario ergänzt um PHIPA für Gesundheitsdaten. Praktisch: eine unterschriebene Vereinbarung, nordamerikanische Datenverarbeitung und starke Verschlüsselung.
Wer passt: SRFax ist dafür gemacht — natives HIPAA/PHIPA/PIPEDA und kostenlose PGP-Verschlüsselung in jedem Tarif, Abdeckung USA/Kanada.
Branchenregeln
Recht · FinanzenWas es verlangt: Kanzleien unterliegen der anwaltlichen Verschwiegenheit; der Finanzsektor ergänzt branchenspezifische Pflichten und für Kartendaten PCI DSS. Der gemeinsame Nenner: Verschlüsselung, Zugriffskontrolle und ein Anbieter, der seine Pflichten schriftlich festhält.
Wer passt: eFax und Fax.Plus bringen die breitesten Zertifizierungs-Stacks mit; SRFax ergänzt kostenloses PGP für besonders sensible Übertragungen.
Neu beim Thema BAA? Beginnen Sie mit unserer verständlichen Erklärung: Ist Fax HIPAA-konform?
Welcher Dienst erfüllt welchen Standard
Aus den Anbietern in unserem Ranking 2026. Die wichtigste Spalte ist „Audit“ — sie ist der Unterschied zwischen einer geprüften Aussage und einem Versprechen.
| Dienst | Vereinbarung | Audit | Zertifizierungen | Datenregion | Ideal für |
|---|---|---|---|---|---|
| Documo | BAA — jeder Tarif | Auditiert | HITRUST CSF, SOC 2 Type II | USA | Klinik / EHR |
| eFax | BAA — Protect-Tarif | Auditiert | HITRUST, SOC 2, FedRAMP | USA, 200+ Länder | Großunternehmen & Behörden |
| iFax | BAA — ab Plus | Auditiert (Pro) | SOC 2 Type 2, ISO 27001 | US/UK/CA/IT | Bestes auditiertes Preis-Leistungs-Verhältnis |
| Fax.Plus | AVV · BAA (Enterprise) | Auditiert | ISO 27001, SOC 2 Type II | Schweiz / DSGVO | EU / DACH |
| Dropbox Fax | BAA — kostenpflichtig (auf Anfrage) | Auditiert | SOC 2 Type 2, ISO 27001/27018 | USA | Cloud-First-Teams |
| SRFax | BAA — jeder Tarif | Auditiert | HIPAA/PHIPA, kostenloses PGP | USA / Kanada | Nordamerikanische Compliance |
| CocoFax | BAA — auf Anfrage | Selbst-erklärt | Kein öffentliches SOC 2 / HITRUST | Weltweit | Knappes Budget (vor PHI prüfen) |
FaxZero, MetroFax und MyFax bieten kein HIPAA und sind nicht für regulierte Daten gemacht. Tarife und Bedingungen ändern sich — bestätigen Sie den aktuellen BAA oder AVV stets schriftlich, bevor Sie Sensibles senden.
So wählen Sie einen konformen Fax-Dienst
- Unternehmen in der EU / DACH: Fax.Plus — Schweizer Hosting, ISO 27001 + SOC 2 Type II, AVV verfügbar.
- Klinik oder Praxis mit US-Patientendaten (HIPAA): Documo (HITRUST, BAA in jedem Tarif) oder, im besten Preis-Leistungs-Verhältnis, iFax Plus (24,99 $/Monat, unterschriebener BAA). Vollständige Liste in unserem HIPAA-Leitfaden.
- Gesundheitswesen: EHR-Anbindung und Datenschutz zählen — siehe bester Fax-Dienst fürs Gesundheitswesen.
- Kanada (Gesundheit/Recht): SRFax — natives HIPAA/PHIPA und kostenloses PGP in jedem Tarif.
- Kanzlei: Verschlüsselung, E-Signatur und Zuverlässigkeit zählen — siehe bester Fax-Dienst für Kanzleien.
- Knappes Budget ohne regulierte Daten: jeder auditierte Anbieter genügt; leiten Sie nur kein PHI über einen selbst-erklärten Dienst.
Dieser Leitfaden bietet allgemeine Informationen, keine Rechtsberatung. Ihre Pflichten hängen von Ihrer Organisation, Ihrem Rechtsraum und der Konfiguration des Dienstes ab — klären Sie die Details mit Ihrem Datenschutzbeauftragten oder Ihrer Rechtsabteilung.
Häufige Fragen
Ist ein Online-Fax rechtsgültig?
Ja. Ein Online-Fax hat in Deutschland und der EU denselben rechtlichen Stand wie ein Papierfax, und der Sendebericht dient als Übertragungsnachweis. Gerichte, Behörden und Gesundheitseinrichtungen akzeptieren Cloud-Faxe routinemäßig. Rechtsgültigkeit und Datenschutz-Compliance sind allerdings zwei verschiedene Fragen.
Ist Online-Fax DSGVO-konform?
Es kann es sein, wenn der Anbieter einen AVV unterzeichnet, die Daten in der EU oder einem angemessenen Land speichert und EU-US-Übertragungen über das Data Privacy Framework abdeckt. Fax.Plus ist hier am stärksten — Schweizer Hosting, ISO 27001 + SOC 2 Type II. Klären Sie AVV und Serverstandort schriftlich.
Worauf kommt es beim Serverstandort an?
Der Serverstandort entscheidet, welches Recht gilt. Die DSGVO bevorzugt EU oder ein Land mit Angemessenheitsbeschluss wie die Schweiz. Im DACH-Raum verlangen Behörden und regulierte Branchen häufig EU- oder Schweizer Hosting plus einen unterschriebenen AVV — US-Hosting ohne Zusatzgarantien reicht oft nicht.
Auditierte vs. selbst-erklärte Compliance — der Unterschied?
Auditiert heißt: ein Dritter hat die Kontrollen geprüft — per SOC 2 Type 2 oder HITRUST — und der Bericht ist einsehbar. Selbst-erklärt ist nur die Behauptung des Anbieters. Für regulierte Daten wählen Sie auditiert. CocoFax etwa führt HIPAA, DSGVO und PHIPA an, doch diese Angaben sind selbst-erklärt, ohne öffentliches Audit.
Brauche ich einen BAA oder einen AVV?
Das hängt von Daten und Rechtsraum ab. US-Gesundheitsdaten: HIPAA verlangt einen BAA. Personenbezogene EU-Daten: die DSGVO verlangt einen AVV. Wer beides verarbeitet, braucht unter Umständen beides, plus EU-US-DPF-Abdeckung für die Übermittlung.
Welcher Online-Fax-Dienst ist am konformsten?
Das hängt vom Regelwerk ab. DSGVO und EU-Serverstandort: Fax.Plus. US-Gesundheitsdaten: Documo (HITRUST, BAA in jedem Tarif), eFax Protect (FedRAMP). Bestes auditiertes Preis-Leistungs-Verhältnis: iFax Plus (24,99 $/Monat, unterschriebener BAA). Kanada: SRFax.
Einen Fax-Dienst, der einem Audit standhält?
Sehen Sie im Ranking 2026, welche Anbieter einen BAA oder AVV unterschreiben und unsere Sicherheitsprüfungen bestehen.