Für Ärzte ein No-Go: So verboten ist WhatsApp in Praxis und Krankenhaus

Praxismanagement , Praxis-IT Autor: Anouschka Wasner

WhatsApp: Nur weil alle es benutzen, ist es noch nicht erlaubt – erst recht nicht im Gesundheitsbereich. WhatsApp: Nur weil alle es benutzen, ist es noch nicht erlaubt – erst recht nicht im Gesundheitsbereich. © cameravit – stock.adobe.com; iStock/lvcandy, muratseyit; MT

„Ich schick dir das mal schnell.“ WhatsApp ist im Alltag für viele nicht mehr wegzudenken. Dass einem auch im beruflichen Kontext mal schnell eine Nachricht rausrutscht, ist klar – machen doch alle! Erlaubt ist das nicht. Aber wie verboten ist es? Gibt es Möglichkeiten, den Messenger gesetzeskonform einzusetzen?

Fragt man in Arztpraxen oder Krankenhäusern nach WhatsApp, wird abgestritten. Jedes „Kind“ weiß, dass das aus Datenschutzgründen nicht erlaubt ist! Doch mit gleicher Selbstverständlichkeit wird signalisiert: Natürlich schickt man dem Kollegen bei Bedarf mal schnell „eine App“, wie manche sagen, oft sogar ganz regelmäßig. Immerhin sind in Deutschland rund 70 % der Bevölkerung an diesen Dienst gewöhnt. Rechnet man Säuglinge und Greise raus, kann man eigentlich von „allen“ sprechen.

Damit verbucht WhatsApp einen entscheidenden Vorsprung für sich: Mit dieser App erreicht man tatsächlich „alle“: Sohn, Oma, Nachbarin und eben auch den Oberarzt bzw. Praxischef. Und das ganz ohne Investition – was im Privaten täglich genutzt wird, muss im Arbeitsleben nicht mehr mühsam geschult werden. Und die App hat auch schon jeder, wie praktisch!

Datenschützer werden sich nicht mit Good Will begnügen

Und wer sollte den unerlaubten Kommunikationsweg melden? Nicht nur, dass man damit das eigene Nest beschmutzen würde – wie beliebt macht man sich, wenn man den Kollegen das hilfreiche Tool wegnimmt?

Obwohl also jeder Bescheid weiß, hatte das bislang keine Konsequenzen. Das könnte sich allerdings bald ändern, sagt Helmut Eiermann, stellvertretender Landesbeauftragter für Datenschutz und Informationsfreiheit in Rheinland-Pfalz. Nachdem die Datenschutz-Grundverordnung (DSGVO) im Mai ihren ersten Geburtstag gefeiert hat, könne man jetzt sozusagen dabei zusehen, wie die Bereitschaft der Aufsichtsbehörden wächst, das neu geschaffene Instrumentarium inklusive der Bußgelder anzuwenden.

Noch würden die Behörden einen Übergang zugestehen, man weiß, dass Gesundheitseinrichtungen in einem schwierigen Umfeld agieren. Doch die Scheu, in Gerichtsverfahren einzusteigen, sinke. Statt wie bislang auf Gespräche und mittelfristige Verbesserungen zu setzen, werde es bald plakative Einzelfälle geben, auch im Gesundheitswesen.

Beliebt, aber umstritten

Whatsapp ist der meistgenutzte Messengerdienst weltweit. Im Jahr 2014 hat Facebook den Dienst für 19 Milliarden Dollar gekauft. Pro Tag werden 55 Milliarden Nachrichten, 4,5 Milliarden Fotos und 1 Milliarde Filme über Whatsapp verschickt. Noch 2014 hatte WhatsApp versprochen, keine Daten mit Facebook auszutauschen, 2016 hat der Dienst dieses Versprechen schon gebrochen. Die Hamburger Datenschutzbehörde hat deswegen ein Verfahren angestrengt und auch die EU-Kommision droht mit Millionenstrafen. Beide Verfahren laufen noch. Die zuständige Aufsichtsbehörde ist Irland, dort befindet sich die Facebook-EU-Niederlassung. Bis vor wenigen Jahren arbeiteten dort genau sieben Datenschützer. Heute hat die Behörde rund 150 Mitarbeiter – auch wegen Google und Twitter, die gleichermaßen dort Ihren EU-Sitz haben. Die Datenschutzkonferenz, das höchste Gremium der Datenschutzbehörden Deutschlands, versucht aktuell die Einleitung eines Dringlichkeitsverfahrens gemäß DSGVO § 66, um darüber einen Beschluss zugunsten eines Verfahrens auf europäischer Ebene herbeizuführen. Die Datenweitergabe von WhatsApp sei nicht nur ein deutsches Problem.

Datenschützer Eiermann spricht im Besonderen von drei problematischen Bereichen beim Einsatz von WhatsApp im beruflichen Umfeld:
  1. WhatsApp liest keine Chats – aber geheim bleiben die Daten nicht

    Seit 2016 sind die Chats in WhatsApp über das Signal-Protokoll verschlüsselt. WhatsApp kann also nicht wissen, was kommuniziert wird – aber es weiß, dass kommuniziert wird. Das Röntgenbild, das am Wochenende an den Oberarzt geschickt wird, um sich einen Rat zu holen, kann der Dienst also nicht auslesen, aber er hat Zugriff auf alle Metadaten: Wer, wann, mit wem, wie oft kommuniziert und wie groß die übertragene Datenmenge ist. Ob und wann und wie oft der Patient Kontakt mit einem Psychologen hat – das bleibt kein Geheimnis.

    Und auch wenn die Chats verschlüsselt sind: Die Cloud-Backups sind es erstmal nicht, sie müssen entsprechend konfiguriert werden. Unterbleibt das – wie bei den meis­ten Usern – liegen die Röntgenbilder genauso offen in der Cloud wie die abfotografierten Kuchenrezepte. Und auch auf dem Smartphone selbst sind die Bilder – und dazu der gesamte Chatverlauf – unverschlüsselt gespeichert. Verlust oder unerlaubter Zugriff auf das Gerät machen dann alles möglich. Hinzu kommt bei Bildern, dass diese auch in der Mediathek des Smartphones gespeichert werden. Hat man diese nicht sorgsam konfiguriert, haben auch andere Dienste automatisch darauf Zugriff.

  2. WhatsApp muss ggf. Behörden Datenzugriff erteilen

    WhatsApp ist letztlich ein außereuropäischer Anbieter. Das Unternehmen hat zwar eine europäische Niederlassung in Irland, die Datenverarbeitung findet jedoch in den USA statt. Zwar bieten US-amerikanische Unternehmen, die wie WhatsApp dem Privacy-Shield-Abkommen beigetreten sind, einen zu Europa vergleichbaren Datenschutz. Dieses Abkommen verändert aber nicht den Rechtsrahmen, in dem der Dienst agiert. So sind zum Beispiel Zugriffe von Behörden anders geregelt als in der EU.

  3. WhatsApp liest täglich alle Kontakte aus, auch die der Nicht-WhatsApp-Nutzer

    Eigentlich unglaublich: Bis zu fünfmal am Tag liest der Messengerdienst die kompletten Kontakte eines Users aus. WhatsApp-Nutzer genauso wie Unbeteiligte. Die Erlaubnis dazu lässt sich der Dienst vom User authorisieren: Mit Zustimmung zu den Nutzungsbedingungen unterschreibt dieser, dass er authorisiert ist, diese Daten weiterzugeben. Eine solche Authorisierung seitens Dritter ist im Prinzip haltlos. Deswegen hat auch die Verbraucherschutzbehörde diese sowie sieben weitere Klauseln der WhatsApp-Nutzungsbedingungen abgemahnt. Über die relevantesten – dazu gehört die Weitergabe von Daten an andere Unternehmen wie etwa Facebook – wird im Oktober vor dem Landgericht Berlin verhandelt. Da über diese gerichtliche Entscheidung theoretisch das Geschäftsmodell des Dienstes ins Wanken kommen kann, ist mit weiteren Instanzen zu rechnen.

    Unternehmen unterliegen darüber hinaus auch noch der DSGVO. Das heißt: Werden in einer Gesundheitseinrichtung regelmäßig personenbezogene Daten an ein außereuropäisches Unternehmen übertragen, wird dafür eine Rechtsgrundlage oder eine Einwilligung benötigt. Hat man die nicht, findet also eine regelmäßige rechtswidrige Datenübertragung statt! Verweigert man dem Dienst dagegen den Zugriff auf das Telefonbuch, wird seine Nutzung vollkommen unattraktiv.
Das Fazit des Datenschützers Eiermann: Die Nutzung von WhatsApp ist in der Regel dann datenschutzwidrig, wenn Privatphones unternehmerisch eingesetzt werden. Aktuell ist also der einzige halbwegs praxisnahe Ansatz, WhatsApp gesetzeskonform einzusetzen, ausschließlich Smartphones zu nutzen, auf denen nur die Nummern von WhatsApp-Mitgliedern gespeichert sind. Die Mitarbeiter eines Krankenhauses oder einer Arztpraxis müssten sich also extra Geräte anschaffen. In einer Apotheke könnte man mit einem One-Record-Adressbuch arbeiten: Der Apotheker, der den WhatsApp-Kontakt anbietet, hätte nur sich selbst im Adressbuch stehen.

Neue Anbieter sind mit Datenschützern im Gespräch

Ist das eine generelle Absage an Messengerdienste? Keineswegs, so Eiermann. Anbieter für spezielle Dienste sind am Start. Sie werden bestimmte Bedingungen erfüllen müssen: Wie sehen die Schnittstellen aus? Gibt es einen geschützten Speicherbereich für empfangene Bilder? Wie funktionieren Löschfunktionen? Sind Namen zu schwärzen, wenn z.B. ein Bildschirm abfotografiert wird? Gibt es für Privatgeräte ein Devicemanagement, um das Gerät bei Verlust zu orten? Eine Arbeitsgruppe der Datenschützer diskutiert derzeit die Anforderungen für Messengerdienste im Krankenhaus mit den entsprechenden Verbänden. Und es gibt auch bereits empfehlenswerte Alternativen. Zu nennen wären hier u.a. Threema, Wire oder Signal. Es ist zu umständlich, sich eine neue App downzuloaden und den Kollegen auch darum zu bitten? Im Ernst jetzt?

Medical-Tribune-Bericht
zur Fachtagung Datenschutz in der Medizin – Update 2019