„Kann jemand morgen Frühdienst übernehmen?“ – „Frau M. ist noch krankgeschrieben.“ – „Der neue Medikationsplan ist da – ich schick ihn mal in die Gruppe.“
Solche Nachrichten sind in vielen Apotheken, Arztpraxen, Pflegeheimen oder therapeutischen Einrichtungen Alltag – geschrieben in privaten WhatsApp-Gruppen auf nicht geschützten Smartphones. Was kollegial, schnell und praktisch erscheint, ist jedoch aus Sicht des Datenschutzes im Gesundheitswesen sowie der beruflichen Schweigepflicht nach § 203 StGB ein hochproblematisches und potenziell strafbares Verhalten.
Im Gesundheitsbereich gelten nicht nur die Vorschriften der Datenschutz-Grundverordnung (DSGVO), sondern auch spezielle berufsrechtliche Verpflichtungen – insbesondere:
- die ärztliche, pharmazeutische und pflegerische Schweigepflicht gemäß § 203 Strafgesetzbuch (StGB),
- die Berufsordnungen der jeweiligen Landesärzte- und Landesapothekerkammern.
203 StGB – Schweigepflicht mit Strafandrohung
- 203 StGB schützt das besonders hohe Vertrauen zwischen Patient:innen und medizinischem Fachpersonal. Er verpflichtet u. a. Ärztinnen und Ärzte, Apotheker:innen, Pflegekräfte sowie deren Mitarbeitende zur absoluten Vertraulichkeit über alle beruflich erlangten Informationen.
Ein Verstoß – etwa durch die ungesicherte Weitergabe sensibler Daten via WhatsApp – kann eine Strafbarkeitbegründen. Die Höchststrafe: bis zu ein Jahr Freiheitsstrafe oder Geldstrafe.
Schon scheinbar harmlose Informationen wie „Kollegin X ist krank“ oder „Patient Y war heute auffällig verwirrt“ unterliegen diesem Schutz und dürfen nicht unverschlüsselt und nicht über private Messenger wie WhatsApp geteilt werden.
Berufsordnungen: Verschwiegenheit als Berufspflicht
Auch die Berufsordnungen der Landesärztekammern (§ 9 BO-Ärzte) und der Apothekerkammern (§ 4 BO-Apotheker) schreiben den vertraulichen und datenschutzkonformen Umgang mit Patientendaten vor – inklusive:
- Schutz der Privatsphäre,
- sichere Kommunikation,
- Vermeidung ungeeigneter Tools (wie WhatsApp).
WhatsApp erfüllt diese Anforderungen nicht. Die Nutzung zu beruflichen Zwecken kann daher berufsrechtliche Konsequenzen haben – bis hin zu Disziplinarmaßnahmen oder dem Entzug der Berufszulassung.
Zugriffsschutz
Private Smartphones sind häufig:
- nicht verschlüsselt,
- nicht ausreichend passwortgeschützt,
- nicht zentral verwaltet.
Ergebnis: Dritte Personen (z. B. Familienangehörige) könnten auf dienstliche Chatverläufe zugreifen – ein klarer Verstoß gegen Art. 32 DSGVO sowie die Schweigepflicht.
Unzureichende Verschlüsselung bei WhatsApp
Trotz Ende-zu-Ende-Verschlüsselung ist WhatsApp nicht DSGVO-konform im Gesundheitsbereich, da:
- kein Auftragsverarbeitungsvertrag mit Meta (WhatsApp) besteht (Verstoß gegen Art. 28 DSGVO),
- keine Protokollierung oder Zugriffskontrolle möglich ist,
- automatische Backups (z. B. iCloud, Google Drive) unverschlüsselt erfolgen können.
BYOD: Bring Your Own Disaster?
Die dienstliche Nutzung privater Endgeräte ohne ein strukturiertes BYOD-Konzept führt zu:
- fehlender Trennung zwischen privaten und dienstlichen Daten,
- keiner Möglichkeit zur Fernlöschung,
- erhöhtem Risiko für Datenpannen (z. B. bei Geräteverlust oder Fehlversand).
Verantwortlich für die sichere Verarbeitung bleibt immer der Arbeitgeber – auch bei privaten Geräten!
Die Verantwortung für Datenschutz und Verschwiegenheit bleibt trotzdem beim Arbeitgeber!
Risiken: Datenschutzverstöße, Bußgelder, Straftat
Wer WhatsApp zur dienstlichen Kommunikation im Gesundheitswesen nutzt, ohne technische und rechtliche Absicherung, verstößt potenziell gegen:
- die DSGVO (Art. 5, 6, 9, 32),
- die berufliche Schweigepflicht nach § 203 StGB,
- die Berufsordnungen der Heilberufekammern.
Mögliche Konsequenzen:
- Bußgelder gemäß Art. 83 DSGVO,
- Meldung an die Datenschutzaufsicht (Art. 33 DSGVO),
- Schadensersatzforderungen gemäß Art. 82 DSGVO,
- disziplinarische und strafrechtliche Sanktionen.
- WhatsApp-Verbot für dienstliche Kommunikation
- Klare Regelung per Dienstanweisung oder Datenschutzrichtlinie.
- Ggf. in Arbeitsverträgen oder Compliance-Vorgaben verankern.
- DSGVO-konforme Messenger einführen
Empfohlene Messenger-Alternativen zu WhatsApp im Gesundheitswesen:
- Threema Work (sicher, unternehmensorientiert)
- Signal (mit MDM-Lösungen einsetzbar)
- Element (Matrix) (Open Source, DSGVO-konform)
- Siilo (speziell für medizinisches Personal)
- Microsoft Teams (Healthcare Edition)
Diese Tools bieten:
- sichere Ende-zu-Ende-Verschlüsselung,
- Nutzerverwaltung & Protokollierung,
- Zugriffsschutz & Kontrolle.
- BYOD nur mit Konzept
- Idealerweise: dienstliche Geräte mit MDM (Mobile Device Management).
- Alternativ: BYOD nur mit dokumentiertem Sicherheitskonzept, App-Container, Zugriffskontrollen.
- Datenschutz-Schulungen
- Pflichtschulungen zur DSGVO, § 203 StGB und zur berufsrechtlichen Schweigepflicht.
- Bewusstsein schaffen: Patientenschutz beginnt mit Datenschutz.
WhatsApp ist im medizinischen Bereich nicht zulässig – weder für die Übergabe von Informationen noch für Teamkommunikation, solange es um personenbezogene oder gar gesundheitsbezogene Daten geht.
Wer im Gesundheitswesen Verantwortung trägt, sollte:
- die berufliche Schweigepflicht ernst nehmen,
- datenschutzkonforme Messenger implementieren,
- Mitarbeitende schulen und schützen.
Denn Datenschutz ist kein Hindernis – er ist Teil einer vertrauensvollen Patientenversorgung.
