WhatsApp im Businesskontext hat sich längst bewährt – Terminvereinbarung, Produktanfragen – easy, schnell und einfach. Die Vorteile eines Messenger, den jeder kennt und nutzt, liegt klar auf der Hand und auch im Gesundheitswesen überlegt der eine oder andere WhatsApp für die Patientenkommunikation zu nutzen. Die Frage, ob und wie Ärzte WhatsApp für die Patientenkommunikation nutzen können, sorgt immer wieder für Diskussionen.
Wir haben uns für Sie schlau gemacht: Was spricht dafür, was dagegen – und welche datenschutzkonformen Kommunikationsmethoden gibt es überhaupt? In diesem Beitrag haben wir die interessantesten Fakten für Sie verständlich zusammengefasst.
Warum WhatsApp bei der digitalen Patientenkommunikation an Grenzen stößt
Schnelle, einfache Kommunikation sichert Aufträge.
Absolut verständlich, dass Sie als Arzt auch die digitalen Kommunikationswege in Ihrer Praxis einsetzten möchten. Ob es um die Terminvereinbarung, Nachfragen zu Befunden oder die Einschätzung von Symptomen geht – digitale Kanäle wie WhatsApp scheinen dafür ideal.
Damit beginnen aber auch die Herausforderungen: WhatsApp wurde für private Kommunikation entwickelt – nicht für die sensiblen Patientendaten, mit denen Sie täglich zu tun haben. Bereits die Nutzung birgt Risiken, die nicht nur Ihre berufliche Integrität, sondern schlimmstenfalls auch Ihre Zulassung gefährden können.
Die Risiken: Was macht WhatsApp für Ärzte problematisch?
Datenschutz: Ihre Verantwortung endet nicht bei der App
Sobald Sie WhatsApp auf Ihrem Smartphone installieren, greift die App automatisch auf alle gespeicherten Kontakte zu – auch auf Patienten, die die App selbst gar nicht nutzen.
Diese Daten landen auf Servern von Meta (dem Mutterkonzern von WhatsApp), häufig außerhalb der EU. Dort gelten keine strengen Datenschutzstandards.
Die ärztliche Schweigepflicht: Ein unverzichtbarer Grundpfeiler
Als Arzt unterliegen Sie der Schweigepflicht. Das heißt Sie dürfen Informationen, die Patienten betreffen oder die Ihnen anvertraut wurden, nicht an Dritte weitergeben.
WhatsApp verarbeitet allerdings Metadaten (also wie, wer, wann, mit wem schreibt), aus denen man Rückschlüsse auf ein Arzt-Patient-Verhältnis und auf die Art der Behandlung ziehen kann. Das ist ein potenzieller Verstoß gegen die Schweigepflicht.
Die undurchsichtige Verarbeitung von Daten
Nun könnte man sagen, gut dann unterschreiben meine PatientInnen einfach eine Einwilligungserklärung und damit hat sich die Sache.
Nicht ganz. Denn auch mit Einwilligung bleibt die Nutzung von WhatsApp für Ärzte problematisch. Sie müssten Ihren Patienten nämlich als Nichtjurist die Risiken, die Art der Datenverarbeitung und die Datenweitergabe an Dritte (Server von WhatsApp außerhalb der EU – verstößt gegen DSGVO) erklären – und das auf Grundlage einer der komplexesten Datenschutzbestimmungen (Meta) überhaupt.
Wichtig zu wissen: Selbst, wenn Nachrichten Ende-zu-Ende-verschlüsselt sind, schützt das nicht vor der Verarbeitung von Metadaten oder unberechtigtem Zugriff auf Bilder und Videos, die in den Medienspeicher Ihres Smartphones gelangen.
Gibt es eine datenschutzkonforme Lösung für die Patientenkommunikation mit WhatsApp?
Tatsachlich haben einige schlaue Köpfe dieses aufkommende Problem schon vor Jahren erkannt und sich Lösungen überlegt, wie man WhatsApp als Arzt DSGVO-konform nutzen könnte.
WhatsApp Business API
Die WhatsApp Business API wurde für Unternehmen entwickelt. In Kombination mit sicheren Messaging Plattformen aus Deutschland oder Österreich können Sie WhatsApp nutzen, ohne die sensiblen Daten Ihrer Patienten zu gefährden.
- Keine Speicherung auf WhatsApp-Servern: Viele Anbieter garantieren die Datenverarbeitung über Server in Deutschland.
- Opt-in-Verfahren: Patienten müssen aktiv zustimmen, bevor sie Nachrichten erhalten.
- Einheitliche Oberfläche: Sie können Nachrichten über verschiedene Kanäle verwalten, ohne den Überblick zu verlieren.
Messenger für das Gesundheitswesen
Es gibt Messenger-Dienste, die speziell für medizinische Zwecke entwickelt wurden. Diese sind auf die hohen Datenschutzanforderungen im Gesundheitswesen ausgerichtet.
Beispiele:
Siilo
Ist ein Messenger-Dienst, der für medizinisches Fachpersonal entwickelt wurde. Das Unternehmen betont, dass sein Dienst DSGVO-konform ist. Es besitzt alle Voraussetzungen – End-to-End Verschlüsselung, Daten werden auf Servern innerhalb der EU gespeichert, und es werden Funktionen angeboten, die es ermöglichen Patientendaten zu anonymisieren. Siilo ist ISO 27001 zertifiziert.
Hospify
Auch dieses Unternehmen positioniert sich als datenschutzkonformes Kommunikationstool für Ärzte und Patienten. Es betont die Einhaltung der DSGVO Richtlinien und dass alle Daten verschlüsselt und auf Servern innerhalb der EU gespeichert werden.
MediOne
Das Unternehmen bietet auch ein Tool zur sicheren Kommunikation und Terminmanagement im Gesundheitswesen. Es gibt an DSGVO-konform zu sein, nutzt Verschlüsselung. Speicherort der Daten und spezifische Sicherheitszertifikate sind nicht bekannt.
Alternative datenschutzkonforme Kommunikationsmöglichkeiten für Ärzte
Nachdem wir uns intensiv mit API-basierten Lösungen beschäftigt haben, möchten wir Ihnen weitere DSGVO-konforme Alternativen für die Patientenkommunikation vorstellen.
Eigene Praxis-Apps oder Software
Viele Praxen entscheiden sich, individuelle Apps entwickeln zu lassen oder alternative All-in-One-Lösung, wie Synmedico zu nutzen. Apps und Software können Funktionen wie Terminbuchungen, sichere Nachrichtenübermittlung, Befundübermittlung und sogar Videokommunikation integrieren.
Warum DSGVO-konform?
- Die Praxis hat die Kontrolle über die App und den Standort des Servers.
- Die Verschlüsselung sorgt dafür, dass die Daten sicher übertragen werden.
- Patienten können sich über Authentifizierungsverfahren (z. B. Passwörter oder Zwei-Faktor-Authentifizierung) anmelden, wodurch die Nutzung sicher wird.
Verschlüsselte E-Mails
Für eine sichere Kommunikation per E-Mail gibt es spezielle Verschlüsselungen wie S/MIME Secure/Multipurpose Internet Mail Extensions) oder PGP (Pretty Good Privacy). Diese sorgen dafür, dass der Inhalt der E-Mail so verschlüsselt wird, dass nur der Empfänger sie lesen kann.
ACHTUNG: Bei E-Mail-Anbietern wie Gmail können Absender, Empfänger oder der Zeitstempel von Google analysiert und gespeichert werden. Um dieses Problem zu vermeiden, können Sie europäische E-Mail-Anbieter nutzen, die die DSGVO Richtlinien einhalten.
DSGVO konforme E-Mail-Anbieter
- ProtonMail (mit Sitz in der Schweiz und vollständiger End-to-End-Verschlüsselung).
- Tutanota (in Deutschland entwickelt, mit Fokus auf Datenschutz).
- Posteo (ein deutscher Anbieter, der keine Metadaten speichert).
Warum DSGVO-konform?
- Schutz der Inhalte: E-Mail-Inhalte sind durch Verschlüsselung geschützt.
- Sichere Verbindung: Der Versand und Empfang erfolgen über verschlüsselte Verbindungen.
- Voraussetzungen: Sender und Empfänger müssen die gleichen Verschlüsselungsstandards nutzen.
Patientenportale
Patientenportale sind sichere Online-Portale, auf die Ärzte und Patienten nach einer Authentifizierung zugreifen können. Über diese Portale können Nachrichten gesendet, Termine gebucht und Befunde und Dokumente heruntergeladen werden.
Warum DSGVO-konform?
- Zugriff erfolgt nach einer Authentifizierung, das sind z.B. Passwörter oder einer Zwei-Faktor-Authentifizierung.
- Die Daten werden auf verschlüsselten Servern gespeichert, die der DSGVO entsprechen.
- Je nach Art des Patientenportals bleibt die Datenhoheit bei der Praxis, wodurch sie volle Kontrolle über Datenverarbeitung und Speicherung hat.
DSGVO-konforme Patientenportale
Land | Anbieter | Funktionen | DSGVO-Konformität | |
Deutschland | Doctolib | Online-Terminbuchung, Patientenprofile, Sichere Nachrichtenübermittlung | Verschlüsselte Speicherung auf EU-Servern, Zwei-Faktor-Authentifizierung, Datenkontrolle durch Patienten | |
Samedi | Terminmanagement, Sichere Patientenkommunikation, Koordination zwischen Ärzten | Verschlüsselte Datentransfers, Speicherung auf deutschen Servern (ISO 27001 zertifiziert) | ||
CGM CLICKDOC | Terminbuchung und Absagen, Videosprechstunden, Automatische Terminerinnerungen | Verschlüsselte Kommunikation, Serverstandorte in Deutschland, Zwei-Faktor-Authentifizierung | ||
Österreich | TermiOn | Online-Terminbuchung, Praxismanagement, Automatische Terminerinnerungen | Speicherung auf österreichischen Servern, Strenge Zugriffskontrollen | |
eTermin | Online-Terminvereinbarung, Synchronisation mit Praxissoftware, Automatische Benachrichtigungen | Datenverarbeitung nur in der EU, Verschlüsselte Übertragung | ||
doctena | Terminbuchung, Verwaltung von Patientenakten, Terminerinnerungen via SMS/E-Mail | Verschlüsselte Verbindungen, EU-konforme Datenspeicherung |
Zertifizierte Sprechstunde online
Auch für die Sprechstunde Online kann DSGVO konform abgehalten werden. In Österreich und Deutschland gibt es zertifizierte Videodienstanbieten, die sicheren Lösungen für die Videokommunikation mit Ihren Patienten anbieten. Diese können in Ihr Praxisverwaltungssystem integriert werden und erlauben auch das Senden von Dokumenten.
Warum DSGVO-konform?
- Die zertifizierten Videodienstanbieter der Kassenärztlichen Bundesvereinigung halten den Datenschutz und Sicherheitsstandards (End-to-End Verschlüsselung) ein.
- Die Serverstandorte sind innerhalb der EU, um die DSGVO zu garantieren.
- Die Identität der Patienten wird durch das Vorzeigen der elektronischen Gesundheitskarte überprüft.
- Alle medizinischen Informationen die in der Onlinesprechstunde erhobenen werden, werden sicher im PVS gespeichert und sind nur für das autorisierte Praxispersonal zugänglich.
Checkliste für eine DSGVO-konforme Patientenkommunikation
Einwilligung einholen | Holen Sie eine schriftliche Zustimmung Ihrer Patienten zur Nutzung ihrer Daten ein und klären Sie sie transparent über die Verwendung auf. |
Verzeichnis der Datenverarbeitung führen | Dokumentieren Sie, welche Daten wie und wo verarbeitet werden, um DSGVO-Vorgaben zu erfüllen. |
Sichere Kommunikationskanäle verwenden | Setzen Sie auf verschlüsselte Dienste, die speziell für das Gesundheitswesen entwickelt wurden |
WhatsApp nur DSGVO-konform einsetzen | Nutzen Sie die Business API in Kombination mit einer sicheren Plattform. |
Patientenportale einsetzen | Plattformen ermöglichen sichere Terminverwaltung und Nachrichtenübermittlung. |
Verschlüsselte E-Mails nutzen | Verwenden Sie Standards wie S/MIME oder PGP und Email-Anbieter aus Deutschland. |
Datensparsamkeit beachten | Erheben und speichern Sie nur Daten, die wirklich notwendig sind. |
Mitarbeiter schulen | Sensibilisieren Sie Ihr Team regelmäßig für Datenschutz und DSGVO-Anforderungen. |
Verträge mit Dienstleistern abschließen | Arbeiten Sie nur mit Anbietern, die DSGVO-konform sind, und schließen Sie entsprechende Verträge ab. |
Datenschutzverletzungen schnell melden | Richten Sie Prozesse zur Erkennung und Meldung von Datenschutzproblemen ein |
Technische Sicherheitsmaßnahmen umsetzen | Stellen Sie sicher, dass Ihre IT-Systeme durch Backups, Zugriffsregeln und regelmäßige Updates geschützt sind. |
Vorteile einer DSGVO-konforme Patientenkommunikation
Schaffen Sie es die Kommunikation mit Ihren Patienten datenschutzkonform zu gestalten sichern sie sich damit zum einen das Vertrauen Ihrer Patienten.
Zudem können moderne Kommunikationstools wie WhatsApp Business API, Patientenportale oder zertifizierte Videosprechstunden Ihre Praxisalltag enorm erleichtern und effizienter gestalten.
Durch die digitale Terminvereinbarung, Befundübermittlung und der Beantwortung von Patientenanfragen sparen Sie Ihrem Personal Zeit und reduzieren den Verwaltungsaufwand.
Datenschutz wird in Zukunft nur noch mehr an Bedeutung gewinnen, was Ärzte, die bereits DSGVO-konforme Lösungen haben, ein klarer Pluspunkt verschafft. Zudem werden Busgelder und rechtliche Konsequenzen vermieden und Sie heben sich durch Professionalität von Mitbewerbern ab.