Diensthandy: Wenn Messenger-Dienste Patientendaten abgreifen
A&W RedaktionEin Diensthandy für Praxismitarbeiter kann ausgesprochen sinnvoll sein. Ärztliche Arbeitgeber, die auch die private Nutzung des Smartphones erlauben, sollten allerdings klare Regeln aufstellen. Andernfalls droht juristisches Ungemach.
Das Thema Datenschutz hat in den vergangenen Jahren in allen gesellschaftlichen Bereichen an Bedeutung gewonnen. Das Gesundheitswesen nimmt allerdings eine Sonderstellung ein. Zu Recht. Nirgendwo werden so viel persönliche und hochsensible Informationen erhoben und gespeichert, wie hier. Doch es gibt noch immer unterschätzte Risikobereiche. Zum Beispiel das Diensthandy von Praxismitarbeitern.
Gefährliches Incentive
Smartphones, die vom Arbeitgeber bezahlt werden, kommen bei der Belegschaft gut an und werden auch im Gesundheitswesen immer beliebter. In Zeiten von Flatrates und freiem Datenvolumen erscheint es den meisten Ärzten nur zu sinnvoll, ihren Teammitgliedern auch die private Nutzung des Geräts zu erlauben. Die Überlegung dahinter: Kostet nicht mehr, ist aber gut fürs Betriebsklima.
Diese Einschätzung stimmt allerdings nur dann, wenn der Chef seinen Arbeitnehmern eindeutige Vorgaben dazu macht, welche Apps sie auf ihrem Diensthandy installieren und nutzen dürfen – und welche auf der Roten Liste stehen. Ohne eine solche Vorgabe steht hingegen zu befürchten, dass MFA und Kollegen, ohne es zu wissen, gravierende Datenschutzverstöße begehen.
Der ewige Sündenfall: WhatsApp
Probleme sind zum Beispiel vorprogrammiert, wenn ein Arbeitnehmer auf seinem Diensthandy den Messenger-Dienst WhatsApp verwendet. Um die Anwendung nutzen zu können, müssen User den Allgemeinen Geschäftsbedingungen des amerikanischen Unternehmens zustimmen – was dazu führt, dass WhatsApp automatisch auf sämtliche im Smartphone gespeicherten Kontakte zugreift, unabhängig davon, ob diese Personen selbst WhatsApp nutzen oder nicht. Der Anbieter greift damit also unter Umständen auch Kontaktdaten von Patienten ab, obwohl diese niemals ihre Einwilligung dazu gegeben haben.
Speicherung im Nicht-EU-Ausland nur in Ausnahmefällen erlaubt
Ein weiteres Problem: Kommunizieren Praxismitarbeiter über den Messenger-Dienst mit Patienten, landen deren personenbezogene Daten auf Servern in den USA. Das Bundesdatenschutzgesetz und die Datenschutzgrundverordnung erlauben die Übermittlung personenbezogener Daten in Nicht-EU-Staaten aber nur, wenn die dortigen Datenempfänger ein „angemessenes Datenschutzniveau“ gewährleisten. Das ist in den USA aber normalerweise nicht der Fall.
Auch die Tatsache, dass WhatsApp die eigentliche Information inzwischen verschlüsselt, macht den Dienst für Datenschützer nicht unbedenklich. Denn die Metadaten der Chats greift das Unternehmen dennoch ab – und weiß damit nicht nur dass, sondern auch wie oft ein Patient mit seinem Arzt bzw. den Praxismitarbeitern Kontakt hatte. Zuguterletzt übermittelt WhatsApp auch noch Informationen an die Datenkrake Facebook, zu dem der Messengerdienst seit einigen Jahren gehört. Nach der Datenschutzgrundverordnung ist aber auch das nur mit Einwilligung der Betroffenen erlaubt – die längst nicht immer vorliegt.
Fazit: Ärzte, die ihren Mitarbeitern ein Diensthandy stellen, sollten die Nutzung von WhatsApp auf dem Gerät verbieten und stattdessen auf datenschutzrechtliche vertrauenswürdigere Angebote, wie etwa Threema, Wire oder Signal setzen.