Datenschutz

Bedenken first – WhatsApp second

Die digitale Arzneimittelvorbestellung sollte wohlüberlegt sein

Von Marc Maisch | „Jetzt bei WhatsApp bestellen!“ – Immer häufiger werben Apotheken mit der Möglichkeit, Arzneimittel auch per WhatsApp vorzubestellen. Dazu reicht es, mit dem Smartphone das Rezept ­abzufotografieren und dieses Bild über WhatsApp (statt per E-Mail oder Fax) an die Apotheke zu übermitteln. Nach Empfang der Bildnachricht wird das Arzneimittel ­sodann bestellt und kann vom ­Kunden abgeholt werden.

Für die Vorbestellung von Arznei­mitteln müssen zahlreiche personenbe­zogene Daten und insbesondere Gesundheitsdaten der Kunden von der Apotheke verarbeitet werden. Gesundheitsdaten sind gesetzlich besonders geschützt und müssen vertraulich behandelt werden.

WhatsApp ist ein Kommunikationsdienst der Firma Facebook Inc. mit Sitz in den USA. Der SMS-artig aufgebaute Dienst ist über Smartphones mit (mobiler) Internetverbindung oder über eine Internetseite abrufbar. Die Versendung von Text-, Bild-, Sprach- und Videonachrichten, neuerdings auch von Live-Standort­daten, an einen oder mehrere Empfänger ist spielend einfach möglich.

Der Einsatz von WhatsApp als Kommunikationsmittel ist v. a. datenschutzrechtlich äußerst umstritten, da es sich nach Auffassung der Aufsichtsbehörden für den Datenschutz um ein unsicheres Kommunikationsmittel handelt. WhatsApp eilt der Ruf voraus, eine „Datenkrake“ zu sein. Es erhebt eine Menge von personenbezogenen Daten über den Nutzer sowie über dessen Kontaktpersonen. Mit der Installation der App auf dem Smartphone werden z. B. automatisch alle Telefonnummern aus dem Telefonbuch an WhatsApp übermittelt. Auf diese Weise will WhatsApp überprüfen, wer aus dem Bekanntenkreis des Nutzers bei WhatsApp erreichbar ist. Diese Übermittlung ist bereits ein datenschutz­relevanter Vorgang, der nicht ohne Weiteres erlaubt ist, da – rein rechtlich – jede Kontaktperson um ihre Einwilligung gebeten werden müsste, dass ihre Telefonnummer an ein US-Unternehmen weitergegeben wird. Aus diesem Grund untersagen Arbeitgeber ihren Angestellten zumeist, WhatsApp auf Firmentelefonen zu ­installieren. Mit jedem Treffer des ­Datenabgleichs ist der Nutzer automatisch mit der Kontaktperson „befreundet“, mit der Folge, dass er viele Informationen über seine Kontakte erhalten kann, wie beispielsweise Profilbilder und sogenannte Statusmeldungen oder Nutzungsdaten („Zuletzt online am/um ...“).

Umstritten ist auch, ob Inhaltsdaten, z. B. ein Foto von einem Rezept für einen Kunden, über WhatsApp sicher an den Empfänger übermittelt werden. Zwar verwendet WhatsApp seit 2016 eine Ende-zu-Ende-Verschlüsselung. In der Theorie werden bei einer Ende-zu-Ende-Verschlüsselung alle über­mittelten Daten vor dem Beginn und während der Übermittlung unlesbar verschlüsselt und beim Empfänger wieder entschlüsselt. Die Datenpakete werden wie durch eine Art sicheren Tunnel gesendet, ohne dass Dritte, z. B. Telefonkommunikationsanbieter oder Sicherheitsbehörden, die Daten auf dem Übermittlungsweg entschlüsseln und einsehen können – in der Praxis stellt sich hier die Frage, wie ­sicher die von WhatsApp verwendete Verschlüsselung umgesetzt wurde, da die dahinterstehenden Technologien bisher nicht unabhängig überprüft wurden. Unklar ist auch, inwieweit WhatsApp US-Sicherheitsbehörden Einblicke in Daten geben kann oder muss, wenn es dazu verpflichtet wird.

Es wird davon ausgegangen, dass WhatsApp zumindest sogenannte Verkehrsdaten analysiert, z. B. wer wann mit wem kommuniziert hat, also Empfänger, Absender, Orte und Zeiten. Es kann nicht überprüft werden, ob WhatsApp eine vertrauliche Kommunikation gewährleistet und Daten zuverlässig gelöscht werden.

Wie ist die Rechtslage?

Die Nutzung von WhatsApp wirft eine Reihe rechtlicher Fragen auf. Unklar ist derzeit, ob die geschäftliche Nutzung von WhatsApp vertragsrechtlich überhaupt zulässig ist. Nach den Allgemeinen Geschäftsbedingungen von WhatsApp (WhatsApp-Nutzungsbedingungen, Stand: 25.08.2016) ist eine „nicht-private Nutzung“ nur dann ­zulässig, wenn diese von WhatsApp genehmigt wurde. Ob WhatsApp auf Genehmigungsanträge reagiert oder eine geschäftliche Nutzung tatsächlich sanktioniert, vermag der Verfasser dieses Artikels nicht zu beantworten. An dieser Stelle ist seitens des Apothekeninhabers eine Risikoabwägung zu treffen, da diese Einschränkung in den Nutzungsbedingungen an sehr versteckter Stelle steht.

Die Kernproblematik liegt im Datenschutzrecht. Hier gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt. Das bedeutet, dass grundsätzlich jede geschäftliche Verarbeitung von personenbezogenen Daten unterbleiben muss, wenn nicht eine Erlaubnis vorliegt (§ 4 BDSG). Eine Erlaubnis kann sich aus einer gesetzlichen Vorschrift, z. B. aus dem Bundesdatenschutzgesetz, oder aus einer Einwilligung des Betroffenen ergeben.

Bei der Vorbestellung von Arzneimitteln fällt eine Vielzahl personenbezogener Daten an, z. B. Name der Krankenkasse, Versichertennummer, Statusangaben, lebenslange Arzt-Nummer, Datum, Name und Anschrift des Patienten, verordnete Arzneimittel und Angaben sowie Dosierung oder z. T. auch Angaben von Diagnosen. Es handelt sich dabei einerseits um „normale“ personenbezogene Daten, die den Betroffenen eindeutig identifizieren und andererseits um besonders sensitive Gesundheitsdaten, die Rückschlüsse über das gesamte Leben einer Person zulassen können.

Der Inhaber einer Apotheke und seine Angestellten sind als „verantwortliche Stelle“ verpflichtet, die Datenschutzgesetze einzuhalten. Dazu gehört auch, das Datengeheimnis zu wahren und technische und organisatorische Maßnahmen (§ 9 BDSG) zu treffen, die erforderlich sind, um den hohen Schutzbedarf bei der Verarbeitung von Gesundheitsdaten zu erfüllen.

Apotheken, die WhatsApp einsetzen, um von ihren Kunden Vorbestellungen zu erhalten, erfüllen nicht die Anforderungen an die technischen und organisatorischen Maßnahmen für Daten mit hohem Schutzbedarf. In einem dem Bayerischen Landesamt für Datenschutz vom Verfasser vorgelegten Sachverhalt, in der eine Apotheke WhatsApp über ein nur dafür eingerichtetes Smartphone für Arzneimittelvorbestellungen verwenden wollte, hat sich die Datenschutzbehörde zu dieser bisher wenig konkreten Rechtslage geäußert. Das Landesamt hat das Bedürfnis der Apotheke als verantwortliche Stelle anerkannt, ihren Kunden eine weit verbreitete und einfach anwendbare Kommunikationsmöglichkeit zur Verfügung zu stellen, wenn dies von Kunden ausdrücklich gewünscht und nachgefragt wird.

Aus diesem Grund könne WhatsApp aus der Sicht des Landesamtes beanstandungsfrei eingesetzt werden, wenn der Verantwortliche den Nutzer auf die Datenschutzbedenken hinweise, eine informierte transparente Einwilligung einhole und dem Kunden gleichzeitig parallel ein anderer sicherer Kommunikationsweg ohne Medienbruch angeboten werde; der Kunde könne sich dann frei für oder gegen eine Kommunikation per WhatsApp entscheiden.

Nach der rechtlichen Bewertung des Bayerischen Landesamts für den Datenschutz, das in Bayern für Apotheken zuständig ist, kann dem Kundenwunsch nach Arzneimittelvorbestellungen über WhatsApp entsprochen werden, wenn die vorgenannten Anforderungen erfüllt werden.

Auswirkungen auf die Praxis

Vor diesem Hintergrund und nach Auffassung des Verfassers dieses Artikels empfiehlt es sich, eine schriftliche Mustererklärung mit einer leicht verständlichen, transparenten Erläuterung zu den Gefährdungslagen der WhatsApp-Nutzung zu verfassen und diese auszulegen. Darin ist über die verantwortliche Stelle und über sonstige Bestellmöglichkeiten von Arzneimitteln, z. B. per Telefon, zu unter­richten. Der Betroffene ist auch über seine Betroffenenrechte (Auskunft, Löschung, Widerruf) zu belehren. Die Erklärung sollte mit einer Einwilligung in die Absenkung des Datenschutzniveaus, also der Erlaubnis der möglicherweise unsicheren Nutzung von WhatsApp, verbunden werden. Weiter ist ratsam, die Einwilligung in die Verarbeitung von personenbe­zogenen Daten in WhatsApp auf dem Smartphone der Apotheke, z. B. die Telefonnummer des Kunden, zu gestatten, damit die Apotheke neue WhatsApp-Kontakte im Telefonbuch speichern und auf Nachrichten antworten darf. Alternativ kann auf die Speicherung von Telefonnummern ganz verzichtet werden. Empfangene Bilder und Daten sollten nach Ende des Bestellvorgangs auf dem Smartphone gelöscht werden. Da die Nutzung von WhatsApp eine unbefugte Preisgabe von anvertrauten Privatgeheimnissen sein kann (§ 203 Abs. 1 Nr. 1 Strafgesetzbuch), sollte die Einwilligung auch hierauf erstreckt werden, um eine mögliche strafrechtliche Verfolgung auszuschließen. Die Einwilligungserklärungen sollten schriftlich erteilt und zur Beweissicherung aufbewahrt werden. Eine Abschrift kann dem Kunden überreicht werden.

Fazit

Eine einfache Google-Suche zu den Stichworten „Apotheke“ und „WhatsApp“ fördert sofort eine Reihe von Pionieren unter den Apothekern zu Tage, die unbedarft und naiv die Nutzung von WhatsApp bewerben. Vor dem Hintergrund strafrechtlicher Folgen und der Reform des Datenschutzrechts, wonach gem. Art. 83 Abs. 5 DSGVO ab 25. Mai 2018 Datenschutzverstöße mit Geldbußen bis zu 20 Mio. Euro sanktioniert werden können, ist eine fachkundige Beratung im Vorfeld des Einsatzes von neuartigen Kommunikationsmitteln dringend anzuraten. WhatsApp bleibt rechtlich gesehen ein „heißes Eisen“ – gleichwohl können durch eine legale Implementierung Anreize für (jüngere) Kunden geschaffen werden, denen das Telefongespräch fremd und die Nutzung von ­Internetkommunikation zum Alltag geworden ist. |

RA Dr. Marc Maisch, www.mms-law.de

Das könnte Sie auch interessieren

Die letzte Woche

Mein liebes Tagebuch

Datenauftragsverarbeitung, Löschfristen, WhatsApp

Das sind die wichtigsten Antworten zum Datenschutz in der Apotheke (Teil 5)

LAK Baden-Württemberg

Fortbildungseinladung per WhatsApp

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 1: Die Grundsätze der Datenverarbeitung

Neue Datenschutzregeln ante portas

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.