Die Nutzung von WhatsApp in der Patientenkommunikation – Fluch oder Segen?

Nicht erst durch die Pandemie haben Messaging-Dienste einen Hype erfahren. Schnelle und unkomplizierte Kommunikationswege und eine durchgehende Erreichbarkeit machen auch vor dem ärztlichen Behandlungsalltag keinen Halt. Gerade niedergelassene Ärztinnen und Ärzte (im Folgenden: Arzt/Ärzte) möchten sich mit dem Service einer ständigen und unkomplizierten Erreichbarkeit – gerade in der Nachsorge – hervorheben. Aber auch Patienten und Patienten (im Folgenden: Patienten) nehmen dies gerne in Anspruch, kann einem doch eine schnelle Nachricht an den behandelnden Arzt oder die Übermittlung eines Bildes lange Fahrtwege ersparen und evtl. sogar so mache Sorge nehmen.

Da bietet sich die Kommunikation über WhatsApp doch gerade an – oder etwa nicht?

I. Allgemeines – Geschäftsmodell WhatsApp

Das Geschäftsmodell von WhatsApp ist zunächst allein auf den privaten Gebrauch ausgerichtet. Zwar bietet WhatsApp mittlerweile auch eine Business-Ausführung an, üblicherweise wird allerdings der gängige WhatsApp-Messaging-Dienst genutzt. In diesem gängigen WhatsApp-Dienst (außerhalb des Business-Modells) bietet WhatsApp keinen Vertrag zur Auftragsverarbeitung an und verpflichtet sich somit auch nicht zu entsprechenden Sicherheitsvorkehrungen und Garantien (Art. 28 DS-GVO). Eine Einflussmöglichkeit des Arztes ist daher grundsätzlich nicht gegeben.

WhatsApp ist ein Unternehmen der Meta Platforms Inc. zu dem unter anderem auch die sozialen Netzwerke Facebook und Instagram gehören. WhatsApp arbeitet mit anderen Meta-Unternehmen weltweit zusammen, die für WhatsApp Dienstleistungen zur Verfügung stellen. Um diese – für den Betrieb der WhatsApp-Dienste erforderlichen Dienstleistungen – zu erhalten, teilt WhatsApp die Informationen, die es erhebt mit diesen (nicht näher benannten) Meta-Unternehmen.

Diese Meta-Unternehmen befinden sich, laut der WhatsApp Datenschutzrichtlinie, außerhalb der Europäischen Union und damit dem Geltungsbereich der Datenschutz-Grundverordnung (DS-GVO). Zu den geteilten Informationen zählen unter anderem: Account Informationen, wie Telefonnummer, Geräte- und Verbindungsdaten (IDs, die mit demselben Gerät oder Account verbunden sind, Hardwaremodell, Betriebssysteminformationen und App-Versionen, Ländervorwahl und Netzwerkcode), Benutzeroptionen und Nutzungsinformationen.

Darüber hinaus liest WhatsApp sämtliche auf dem Mobiltelefon gespeicherten Kontakte (also sowohl jene von WhatsApp-Nutzer, als auch von Nicht-Nutzer) aus und übermittelt und speichert diese Informationen in die Infrastruktur und Rechenzentren von Meta.

Die Abläufe der Datenübermittlung durch WhatsApp stellen sich daher als technisch komplex und undurchsichtig dar. Ein absoluter Schutz von Patientendaten kann deshalb offensichtlich nicht gewährleistet werden.

Im Folgenden werden die rechtlichen Kernproblematiken der Kommunikation mit Patienten über WhatsApp dargestellt, die im Ergebnis zur Ablehnung von WhatsApp als Kommunikationsmedium für den Patientenkontakt führen.

II. Ärztliche Schweigepflicht

Zentraler Bestandteil des ärztlichen Berufsrechts und Grundpfeiler eines von Vertrauen geprägten Arzt-Patienten-Verhältnisses ist die ärztliche Schweigepflicht. Für die Ärzte Bayerns ist diese in § 9 Berufsordnung für die Ärzte Bayerns (BayBO-Ä) geregelt.

Die besondere Bedeutung der ärztlichen Schweigepflicht wird durch das strafbewährte Verbot der Verletzung von Privatgeheimnissen (Verstoß gegen die ärztliche Schweigepflicht) gemäß § 203 Satz 1 Nr. 1 StGB deutlich. Die Vorschrift stellt das unbefugte Offenbaren eines fremden Geheimnisses, das einem als Arzt anvertraut oder sonst bekannt geworden ist unter Strafe. Für die Offenbarung reicht dabei aus, wenn allein die Tatsache des bestehenden Behandlungsverhältnisses einem Unbefugten bekannt wird.

Dies ist durch die Nutzung von WhatsApp gegeben. Wie dargestellt, greift WhatsApp auf sämtliche im Mobiltelefon gespeicherte Kontakte zu, gleicht diese ab und übermittelt zumindest die sogenannten Metadaten (d.h. wer, wann, mit wem und wie oft kommuniziert hat) an andere Meta-Unternehmen weltweit. Unabhängig von der Frage, ob die Übermittlung von Gesundheits- und Behandlungsdaten durch die implementierte Ende-zu-Ende-Verschlüsselung der inhaltlichen Kommunikation ausreichend geschützt ist, wird die Behandlungsbeziehung ersichtlich. Dies kann bereits einen Verstoß gegen die ärztliche Schweigepflicht begründen.

Ob die Kommunikation über WhatsApp mit den Patienten im konkreten Einzelfall einen strafbaren Verstoß gegen die Verschwiegenheitspflicht darstellt, hängt von weiteren Umständen ab. Insbesondere kann eine Einwilligungserklärung des Patienten gegen eine unbefugte Offenbarung seiner personenbezogenen Daten sprechen. Was die Kommunikation über WhatsApp angeht, gibt es hierzu noch keine gefestigte Rechtsprechung, sodass sowohl liberalere Auffassungen als auch sehr kritische Auffassung vertreten werden. Erstere nehmen dabei eine konkludente Einwilligung des Patienten an, wenn dieser selbst WhatsApp nutzt und von sich aus die Kommunikation mit dem Arzt aufnimmt.

Der Gesetzgeber verlangt für eine wirksame Einwilligung hingegen in der Regel informierte Patienten. Das bedeutet, dass diese die Bedeutung und Tragweite ihrer Entscheidung überblicken können und über Art und Einschaltung Dritter unterrichtet sind. Ob gerade Letzteres aufgrund der Komplexität und Undurchsichtigkeit der WhatsApp-Datenschutzbestimmungen ausreichend möglich ist, ist fragwürdig.

III. Datenschutz

Neben den berufsrechtlichen und strafrechtlichen Bestimmungen sind insbesondere auch datenschutzrechtliche Bestimmungen zu beachten und für die tägliche Praxis relevant.

1. Verarbeitung personenbezogener Daten und Gesundheitsdaten

Im Rahmen der Kommunikation über WhatsApp findet eine Verarbeitung personenbezogener Daten statt. Bereits durch die Installation von WhatsApp und sodann durch jede Speicherung eines Kontakts auf dem Mobiltelefon findet eine Verarbeitung durch Offenlegung von Daten im Sinne der Datenschutzgrundverordnung (Art. 4 Nr. 2 DS-GVO) statt. Wie bereits dargestellt, greift WhatsApp auf sämtliche auf dem Mobiltelefon gespeicherten Kontakte zu, sofern dies nicht in den Sicherheitseinstellungen des Telefons verboten wird, was allerdings mit einem erheblichen Komfortverlust bei der Nutzung einhergeht. Des Weiteren werden, wie bereits dargestellt, im Rahmen eines „Chats“ sogenannte Metadaten an WhatsApp übermittelt. Wenn sodann im Rahmen des „Chats“ auch noch Diagnosen, Befunde oder andere Gesundheitsdaten übermittelt werden, findet zudem eine Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DS-GVO), nämlich, Gesundheitsdaten, statt, die besonders schützenswert sind. Zwar bietet WhatsApp eine Ende-zu-Ende-Verschlüsselung, so dass angenommen werden darf, dass der Inhalt der Kommunikation zwischen den nutzenden Parteien geschützt ist. Gleichwohl bietet dies keine Garantie dafür, dass die Person hinter der Nummer auch diejenige des gewünschten Empfängers ist.

Zu beachten ist ebenfalls, dass etwaig übermittelte Bilder oder Videos im Medienspeicher des Mobiltelefons hinterlegt werden und somit anderen Apps und Diensten, die auf dem Mobiltelefon installiert sind, zugänglich gemacht werden können und somit zu Datenschutzverstößen und Verstößen gegen die ärztliche Schweigepflicht führen können.

Eine unverschlüsselte Speicherung von personenbezogenen Daten sowie Gesundheitsdaten auf Servern in Drittländern kann auch durch eine auf dem Mobiltelefon aktivierte Backup-Funktion erfolgen.

2. Rechtfertigung durch Einwilligung?

Zur Nutzung von WhatsApp in der Patientenkommunikation auf der Grundlage einer rechtfertigenden Einwilligung raten wir ab.

Eine gefestigte Rechtsprechung zur Kommunikation mit Patienten über WhatsApp gibt es nicht. Dazu, ob die Kommunikation über WhatsApp und damit die Offenlegung von Patientendaten auf Grundlage einer Einwilligung erfolgen kann, haben unsere Recherchen überwiegend kritische und zurückhaltende Auffassungen ergeben (z.B. 25. Datenschutzbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW zur Nutzung von WhatsApp durch Arbeitgeber für die Übersendung von Krankmeldungen).

2.1 „Einfache“ Einwilligung in die Offenlegung personenbezogener Daten

Grundsätzlich ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn die betroffene Person ihre Einwilligung für einen oder mehrere bestimmte Zwecke erteilt hat. Dies kann – hinsichtlich personenbezogener Daten – auch in Form einer sonstigen eindeutigen bestätigenden Handlung erfolgen (Art. 6 Abs. 1 a i.V.m. Art. 4 Nr. 11 DS-GVO). Es stellt sich somit die Frage, ob eine solche eindeutige und betätigende Handlung in der Kontaktaufnahme durch Patienten mit vorinstalliertem WhatsApp-Dienst gesehen werden kann. Man könnte hier unterstellen, dass jemand, der WhatsApp bereits installiert hat, die Datenschutzbestimmungen kennt und sich der Verarbeitung seiner Daten durch WhatsApp bewusst ist. Gleichwohl entbindet dies den Arzt nicht von der Verantwortung mit den Daten aus dem Behandlungsverhältnis sorgsam umzugehen. Bei der Annahme einer Einwilligung in die Offenlegung von Daten aus dem Behandlungsverhältnis ist daher Zurückhaltung geboten.

2.2 Ausdrückliche Einwilligung in die Offenlegung von Gesundheitsdaten

Hinsichtlich besonderer Kategorien personenbezogener Daten, vorliegend also Gesundheitsdaten, muss die Einwilligung hingegen ausdrücklich erfolgen.

2.3 Informierte Einwilligung

Sowohl hinsichtlich der Einwilligung in die Verarbeitung personenbezogener Daten (wozu auch die sogenannten Metadaten gehören), als auch hinsichtlich der Einwilligung in die Verarbeitung von Gesundheitsdaten setzt die DS-GVO voraus, dass dies in „informierter Weise“ geschehen muss (Art. 4 Nr. 11 DS-GVO). Diese Informationspflicht umfasst alle Elemente, die für die Entscheidungsfindung wesentlich sind, u.a. auch die Art der Daten, die erhoben und verwendet werden oder auch bestimmte Risiken bei Datenübermittlungen ohne Vorliegen eines sogenannten Angemessenheitsbeschlusses (hierzu unter 3.) in Drittländer, wie dies vorliegend durch WhatsApp geschieht. Da der Arzt keinen Einblick in die Datenverarbeitung durch WhatsApp hat, kann er dieser Informationspflicht nicht ausreichend nachkommen. Ob in einer Einwilligungserklärung ein Hinweis auf die Datenschutzbestimmungen von WhatsApp oder, dass eine Datenverarbeitung durch WhatsApp und eine Weitergabe an andere Unternehmen in Drittländern erfolgt, ausreichend ist, kann hier nicht abschließend geklärt werden. Aufgrund der Komplexität der Thematik und der Undurchsichtigkeit der Datenschutzhinweise von WhatsApp würden wir dies verneinen.    

Einem Arzt ist es also nicht möglich, durch geeignete technische und organisatorische Maßnahmen die Sicherheit der Verarbeitung von personenbezogenen Daten oder Gesundheitsdaten im Rahmen der WhatsApp-Kommunikation zu gewährleisten (Art. 32 und 5 Abs. 1 f DS-GVO).

3. Fehlen eines Angemessenheitsbeschlusses der EU-Kommission

Wie bereits dargestellt, übermittelt WhatsApp – zumindest – sogenannte Metadaten in Drittländer. Eine Übermittlung von personenbezogenen Daten in Drittländer darf allerdings nur vorgenommen werden, wenn die EU-Kommission befindet, dass das betreffende Drittland ein angemessenes, der EU vergleichbares Schutzniveau bietet (Art. 45 DS-GVO). Diesen sogenannten Angemessenheitsbeschluss der EU mit den Vereinigten Staaten (EU-US Privacy-Shield) hat der Europäische Gerichtshof (EuGH) im Juli 2020 aber für nichtig erklärt.  

Auch die, bei Fehlen eines Angemessenheitsbeschlusses, erforderlichen Garantien nach DS-GVO kann weder ein Arzt gewährleisten, noch werden diese von WhatsApp übernommen – zumal WhatsApp hier nicht als Auftragsverarbeiter des Arztes fungiert (Art. 46 DS-GVO). 

Schlussfolgernd birgt die Kommunikation mit Patienten über WhatsApp zu viele Unwägbarkeiten und Risiken, weshalb diese Kommunikationsform nicht zu empfehlen ist.

IV. Empfehlung

Die Kommunikation mit Patienten über WhatsApp sollte deshalb unterlassen bzw. eingestellt werden. Hier besteht die Möglichkeit auf andere vergleichbare Apps umzustellen. Unsere Recherchen haben ergeben, dass es für die Kommunikation im Gesundheitswesen eine Reihe von Angeboten gibt, wie beispielsweise die Messenger-Dienste „Siilo“, „MediOne“, „Hospify“ oder ein sogenanntes Online-Sprechzimmer unter www.meinarztdirekt.de. Bitte beachten Sie, dass uns die einzelnen Dienste nicht näher bekannt sind und wir keine konkrete Empfehlung aussprechen können.

Sofern eine vorübergehende Nutzung von WhatsApp für die Patientenkommunikation bis zur Umstellung auf einen anderen Messagingdienst unvermeidbar ist, empfehlen wir dringend folgende Sicherheitsvorkehrungen zu beachten:

  1. Nutzen Sie hierfür ein Betriebshandy, auf dem keinerlei Kontakte gespeichert sind.
  2. Ermöglichen Sie so die Kontaktaufnahme für Patienten, verweisen Sie diese aber sodann auf andere Kommunikationswege.
  3. Keine berufliche WhatsApp Kommunikation unter Praxispersonal, in der Namen oder Behandlungsdaten von Patienten genannt werden oder Rückschlüsse auf solche ermöglicht werden.
  4. Bilden Sie niemals WhatsApp-Gruppen mit Patienten, da in diesen die personenbezogenen Daten jedem Gruppen-Mitglied und damit auch das Behandlungsverhältnis offenbart werden.

WhatsApp bietet daher vielleicht für den privaten Bereich eine komfortable Kommunikationsmöglichkeit, im beruflichen Umfeld ist die Nutzung jedoch nicht zu empfehlen. Wegen der geschilderten Unsicherheiten bei der Datenverarbeitung durch WhatsApp und der draus resultierenden Risiken, gilt dies wegen der Sensibilität der Daten insbesondere für Berufsgeheimnisträger im Gesundheitsbereich.

Datum

Rechtsgebiet Datenschutz + e-Health

Rindermarkt 3 und 4
80331 München

+49 89 18 94 43 0
info(at)tacke-koller.de