Ausgabe up 1-2018 | Rubrik Praxisführung

Themenschwerpunkt Datenschutz: WhatsApp, E-Mail, Facebook, Website – wie darf ich mit Patienten kommunizieren?

vom: 20.12.2017
Smybolbild Transparenzvorgaben Transparenz

Viele Arzt- und Therapiepraxen wollen das Internet und die Kommunikationsgewohnheiten ihrer Patienten nicht ignorieren und suchen neue Möglichkeiten, mit ihrer Klientel zu kommunizieren. Wir haben uns vom Unabhängigen Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein eine fundierte Meinung dazu abgeholt, warum unter anderem Facebook und WhatsApp problematisch sind.

ULD rät: Finger weg von WhatsApp

Datenschützer mögen WhatsApp ganz und gar nicht. Der Grund dafür ist, dass die mittlerweile von Facebook aufgekaufte App das Adressbuch des Smartphones, auf dem sie installiert ist, ausliest. Alle Kontakte, egal ob Familie, Bekannte oder von Patienten, werden mit den Servern von WhatsApp synchronisiert. So kann der Anbieter seinen Nutzern schneller anzeigen, wer aus seinem Adressbuch noch alles WhatsApp nutzt.

Wer WhatsApp auf dem Handy hat, verschafft der Firma Facebook also Zugriffsmöglichkeiten auf alle Telefonnummern und andere Angaben zu den Kontakten, die im eigenen Telefonbuch stehen. Das betrifft auch die Daten derjenigen Kontakte, die selbst nicht bei WhatsApp sind und ihre Daten nicht preisgeben wollen. Daraus kann auch hervorgehen, dass jemand Patient in Ihrer Praxis ist – und schon mit der Weitergabe dieser Information verstoßen Sie gegen Ihre Schweigepflicht.

Das ULD rät aus diesem Grund allen Berufsgeheimnisträgern, zu denen auch Therapeuten gehören: Lassen Sie die Finger von WhatsApp. Es gibt einige Messenger-Dienste von WhatsApp-Konkurrenten, die datenschutzrechtlich weniger problematisch sind. Marit Hansen vom ULD empfiehlt aber, am besten noch ein wenig zu warten: „In einem Jahr wird es vermutlich einen besseren Markt für sichere Messenger und neue Dienste geben, die schnell und personalisierbar auf dem Handy nutzbar sind, aber Sicherheitseinstellungen wie E-Mails bieten“, sagt sie. Grund dafür sei die Datenschutz-Grundverordnung, die ab 25. Mai 2018 gilt und die mit ihren Vorgaben einen Markt schaffen werde für Messenger-Alternativen mit eingebautem Datenschutz. Das bedeutet: mit Verschlüsselung, ohne das Auslesen von Adressbüchern und mit klaren Anweisungen für das datenschutzfreundliche Einrichten und Nutzen.

Fazit: Datenschützer raten davon ab, WhatsApp für die Kommunikation mit Patienten zu nutzen. Warten Sie besser, bis sicherere Dienste auf den Markt kommen.

Besser europäische E-Mail-Dienste mit Verschlüsselung oder SMS nutzen

Unverschlüsselte E-Mails sind unsicher – Patientendaten dürfen daher auf diese Weise nicht übermittelt werden. Verschlüsselung sorgt dafür, dass kein Unberechtigter den Klartext der Inhaltsdaten sehen kann. Die Schweigepflicht umfasst aber auch schon die Tatsache, dass jemand Patient in einer bestimmten Praxis ist. In Deutschland gilt das Telekommunikationsgeheimnis, d.h. Kommunikations-Anbieter dürfen Informationen über eine Kommunikation – ob Anruf, SMS oder E-Mail –nicht an Fremde weitergeben. An das deutsche Recht fühlen sich aber nicht alle Dienste gebunden: Praxen sollten deswegen beispielswiese kein Google-Mail-Konto nutzen, da der Betreiber Google auf das in diesem Punkt wesentlich laxere Datenschutzrecht der USA verweist. Google behält sich vor, E-Mails und Kommunikationsbeziehungen auszuwerten, um davon ausgehend passende Werbung zu schalten.

Dem ULD zufolge ist es zwar nicht nötig, den Kontakt zu verweigern, wenn ein Patient Ihre Praxis mit einem solchen Account oder anders unverschlüsselt anschreibt – das liegt dann doch in der Verantwortung der Patienten. Aber beim Antworten auf solche E-Mails ist Vorsicht geboten, da die datenschutzrechtliche Verantwortung für einen unsicheren Übermittlungsweg bei der Praxis verbleibt.

Die Sicherheit von SMS-Kurznachrichten ist vergleichbar mit Telefonaten. Hier muss man gewährleisten, dass man auch die richtige Person erreicht und nicht z.B. andere Menschen im Haushalt. Am besten fragt man dies vorher ab und dokumentiert das Einverständnis des Patienten.

Fazit: Wer E-Mails für die Patientenkommunikation nutzt, sollte darauf achten, Dienste aus der EU und Verschlüsselungen zu nutzen. Sicherheitshalber sollte sich die Praxis das schriftliche Einverständnis der Patienten holen, bevor sie E-Mail und SMS nutzen.

Auf der Website: verschlüsselt kommunizieren

Eine weitere Möglichkeit, Anfragen aufzunehmen, sind Webformulare auf der Website – also Masken, in die Nutzer ihre Nachricht und Kontaktdaten eintragen können. Wird die Seite mit dem Verschlüsselungsprotokoll TLS eingerichtet, sind automatisch alle Informationen geschützt, die in das Formular eingegeben werden. Ein Zeichen für eine auf diese Weise verschlüsselte Website ist, dass ihre Adresse mit „https“ beginnt. Das ULD empfiehlt TLS generell für alle Webseiten. Nötig ist es zumindest dann, wenn Interaktionen stattfinden, über Formulare oder Accounts, mit denen Nutzer sich einloggen.

Wenn die Praxis-Webseite keine Interaktion bietet, sondern nur Informationen, gilt es immer noch darauf zu achten, was an Daten über die Nutzer gesammelt wird. Werden IP-Adressen gespeichert und Cookies gesetzt? Wird das überhaupt gebraucht? Wenn ja, wofür und wie lange?

Ein Zuviel an Datensammelei kann etwa zustandekommen, wenn Seitenbetreiber Werbung schalten, um die Kosten für den Internetauftritt zu refinanzieren. Denn die Werbeanbieter werten in aller Regel aus, was auf der Seite passiert – und bekommen Infos darüber, was Patienten dort anklicken, also Infos, die sie als Dritte nicht haben sollten.

Fazit: Es ist nicht schwierig, eine Website so einzurichten, dass sie die Datenschutz-Vorgaben für Therapiepraxen erfüllt. Die Grundpfeiler davon sind, das Verschlüsselungsprotokoll TLS zu nutzen und so wenige Nutzerdaten wie möglich zu sammeln. Die Nutzer der Webseite müssen über die dortige Datenverarbeitung in einer Datenschutzerklärung informiert werden.

Mit wem oder was die Website erstellen?

Haben Praxisinhaber, vielleicht mit Hilfe von Bekannten oder Mitarbeitern, ihre Internetseite selbst gebaut, mit Website-Baukästen oder Content-Management-Systemen, haben sie im Idealfall die Kontrolle darüber, welche Daten die Seite erfasst. Sie können dann zum Beispiel einstellen, ob IP-Adressen und Cookies erfasst werden. Auch hier ist aber Vorsicht geboten. Einige Anbieter – insbesondere außerhalb von Europa – entscheiden nach eigenem Gutdünken, welche Nutzerdaten sie auswerten. In den USA können dann sogar staatliche Behörden darauf zugreifen. Marit Hansen rät dazu, vertrauenswürdige Dienste aus der EU zu nutzen, die vielleicht auch explizit auf sichere Seiten spezialisiert sind und auf Datensparsamkeit achten. Vorsicht ist außerdem bei Plugins geboten, die die Nutzeraktivitäten auf der Seite analysieren. Dabei fließen oft auch Daten an Softwareanbieter.

Oft haben Praxen einen Dienstleister, der sich um die Website kümmert, einen Webdesigner oder IT-Anbieter. Solche Dienstleister dürfen personenbezogene Daten von Patienten mittlerweile verarbeiten – im Rahmen, der für ihre Tätigkeit erforderlich ist und wenn Praxisinhaber sie vertraglich zur Geheimhaltung verpflichten. Webdesigner und IT-Spezialisten können auf Anweisung ihrer Kunden ziemlich problemlos verschlüsselte und datensparsame Webseiten einrichten. Außerdem können sie dafür sorgen, dass die Praxis-Daten auf einem sicheren Server untergebracht und so auch vor Hacker-Angriffen und anderen Datenlecks geschützt sind.

Fazit: Achten Sie darauf, in welchem System Sie eine Website erstellen (lassen) und welche Einstellung dort vorgenommen sind. Setzen Sie einen IT-Dienstleister ein, weiten Sie die Schweigepflicht vertraglich auf ihn und seine Beschäftigten aus. Denken Sie auch an einen schriftlichen Auftragsverarbeitungsvertrag, denn die datenschutzrechtliche Verantwortlichkeit verbleibt bei Ihnen.

Facebook-Seite ist problematisch

Facebook ist ein beliebtes Marketinginstrument. Hier erreichen Unternehmen für wenig Geld viele Nutzer quasi mitten in ihrem Alltag. Auch einige Therapiepraxen haben Facebook-Seiten, um Informationen über die Praxis zu teilen und mit Patienten in Kontakt zu treten. Das ULD rät Praxen allerdings auch hiervon klar ab.

Facebook und US-amerikanische Behörden haben die Möglichkeit auf alle Informationen zurückgreifen, die in dem Netzwerk hinterlassen werden. Kommentare, die Patienten auf der Facebook-Seite ihres Ergotherapeuten hinterlassen, können noch in 20 Jahren auf sie zurückfallen. Schon ein Like Ihrer Seite legt nahe, dass ein Nutzer bei Ihnen in Behandlung ist. Als Betreiber der Facebook-Seite verlieren Sie die Kontrolle darüber, was mit den Daten Ihrer Patienten geschieht, sind aber weiterhin in der Mitverantwortung.

„Spätestens wenn man sieht, dass Patienten etwas über ihre Krankheitsgeschichte posten und sich mit ihren Leiden überbieten, muss der Betreiber einer Seite in einem sozialen Netzwerk eingreifen und die Leute davor schützen, indem etwa Beiträge gelöscht werden“, so Marit Hansen vom ULD. Patienten hätten oft das Gefühl, auf einer Seite im sozialen Netzwerk weiter in dem Vertrauensverhältnis mit dem Behandlungsteam zu sein. In Wirklichkeit laden sie aber einen Kommentar hoch, den Nachbarn, Versicherungen und Arbeitgebern jederzeit über Suchmaschinen finden können. Kritisch wäre auch, wenn der Anbieter zielgenaue Werbung zu Diagnosen oder Therapien schaltet oder wenn auf Basis von vermuteten Krankheiten Profile über Nutzer gebildet werden. Hansens Meinung ist dementsprechend eindeutig: „Solange der Anbieter eines sozialen Netzwerks nicht darüber informiert, wie die Daten verarbeitet und vor Missbrauch geschützt werden, sollten Praxen dringend die Finger davon lassen.“

Fazit: Das ULD rät: Richten Sie für Ihre Therapiepraxis keine Facebook-Seite ein. Für alle sozialen Netzwerke gilt, dass Sie darauf achten müssen, dass Ihre Patienten in Ihrem Bereich nicht versehentlich sensible Informationen öffentlich machen.


Weitere Artikel aus unserem Themenschwerpunkt Datenschutz:

„Datenschutz bedeutet Vertrauen“ – Interview mit der Datenschutzbeauftragten Marit Hansen

Datenschutz-Nachlässigkeiten und wie Sie sie vermeiden


Bildnachweis: iStock: gilaxia

(Visited 1.226 times, 1 visits today)
Themen: Alle Artikel, Thema Praxisführung, Thema Recht, Thema Recht / Steuern / Finanzen, Thema Tipp zur Praxisführung
Stichwörter: , ,

Ähnliche Artikel

Wir freuen uns zu Ihrer Rückmeldung zu diesem Artikel! Lesen Sie hier mehr zu unseren Kommentarregeln und wie wir Kommentare redaktionell bearbeiten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.