Dass berufliche Daten nicht über WhatsApp kommuniziert werden sollten ist zwar allgemein bekannt, trotzdem halten sich viele Mitarbeiter nicht daran. Das macht auch vor dem Gesundheitswesen nicht halt. Zwar erlauben die Nutzungsbedingungen des Messenger die berufliche Verwendung nur unter der Genehmigung des Arbeitgebers und aller hinterlegten Kontakte, doch das ist nahezu nie der Fall.

Der Albtraum eines jeden Datenschützers ist auch in Krankenhäusern real: Besonders fatal ist es, wenn sich beispielsweise Ärzte über WhatsApp austauschen. Sie schicken sich in einer privaten WhatsApp-Gruppe Fotos von EKGs oder Operationen zu und diskutieren darüber. Dieses Szenario wünscht sich keiner der Behandelten. Leider ist die Realität gar nicht so weit davon entfernt, denn laut Umfragen wie etwa des Deutschen Datenschutz-Instituts (DDI) nutzt die Mehrheit des Klinikpersonals Messenger-Dienste. Viele davon greifen auf WhatsApp zurück. Dies ist naheliegend, denn schließlich ist der Messenger einfach und schnell zu bedienen. Außerdem hat fast jeder die App auf dem Handy. Da liegt es nahe, dass auch im Gesundheitsbereich Kollegen diesen Weg nutzen um medizinische Befunde austauschen oder die Dienstpläne.

Diese Nutzung zieht große Risiken nach sich. Durch die Einführung der europäischen Datenschutzverordnung (EU-DSGVO) kann für Kliniken und andere Gesundheitsdienstleister der Austausch über WhatsApp zu ernsthaften Problemen führen. Denn gemäß den Regeln der DSGVO findet über WhatsApp eine rechtswidrige Übertragung personenbezogener Daten statt. Auch wenn seit 2016 die Chats über das Signal-Protokoll verschlüsselt sind. Ein geschicktes Foto kann also nicht ausgelesen werden, jedoch liegen die Metadaten offen: Die Anwendung merkt sich genau, wer, wann, mit wem in Kontakt steht. Wenn der Benutzer nicht extra eine Verschlüsselung des Cloud-Backups vorher konfiguriert, liegen die Bilder offen in der Cloud. Bei privaten Urlaubsfotos ist das vielleicht weniger tragisch, aber wenn Röntgenbilder hin- und hergeschickt werden, sieht das Ganze schon etwas anders aus.

Ein Hauptziel der DSGVO im Bereich des Gesundheitswesens ist der Schutz sensibler Gesundheitsdaten vor dem Gebrauch für kommerzielle Zwecke. Das datenschutzrechtliche Risiko ist daher nicht zu unterschätzen und die Folgen bei einem Verstoß sind schwerwiegend: Wenn eine Klinik nicht effektive Maßnahmen und Vorkehrungen zu diesem Zweck getroffen hat, können bis zu vier Prozent vom Umsatz oder 20 Millionen Euro an Bußgeld vor Gericht eingefordert werden. Im Zweifel reicht hier vor Gericht schon aus, dass der Nachweis eines sicheren Verfahrens nicht möglich ist.

Natürlich ist es nachvollziehbar, dass die Mitarbeiter nicht auf die Vorzüge einer schnellen mobilen Kommunikation verzichten möchten. Aus diesem Grund müssen Alternativen gefunden werden, damit die Mitarbeiter weiter unkompliziert miteinander kommunizieren können; der Schutz sensibler Patientendaten aber muss trotzdem gewährleistet sein. Dies ist nur dann möglich, wenn die privaten und dienstlichen Daten auf einem Gerät strikt voneinander getrennt sind.

Wie eine solche Lösung dafür aussehen sollte, erklären wir in diesem Blog-Beitrag.

Falls Sie über aktuelle Blogartikel informiert werden möchten, stehen Ihnen verschiedene Möglichkeiten zur Auswahl, um dem Blog zu folgen:

Newsletter

Alle neuen Beiträge automatisch in Ihr Postfach:

X