Blog: Hartmann Rechtsanwälte
24.05.2018

Verschlüsselung: E-Mails, WhatsApp & Co.

Die digitale Welt ist einfach und praktisch. Aber dürfen Sie sich als Leistungserbringer erlauben, auch alles Praktische unbedacht zu nutzen? Wie wunderbar unkompliziert ist es, ein Foto einer Wunde oder eine Verordnung via Smartphone oder Tablet oder im Büro am Rechner, per WhatsApp oder E-Mail an den Kollegen oder einem anderen kooperierenden Leistungserbringer zu versenden?

Sofern Sie personenbezogene Daten verarbeiten, müssen Sie besondere Schutzmaßnahmen der Pseudonymisierung und Verschlüsselung gem. Art. 32 Abs. 1a) DSGVO ergreifen. Je höher das Schutzgut – desto höher das Risiko. Wie im klassischen Risikomanagement geht es darum, Risiken zu identifizieren und zu analysieren – diesmal allerdings nicht aus Ihrer unternehmerischen Sicht, sondern aus Sicht Ihres Kunden. Zur Bewertung eines IT-Risikos haben sich Schutzbedarfsabstufungen bewährt, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen IT-Grundschutzkatalogen empfiehlt. Festzuhalten ist, dass Patientendaten dem „sehr hohen Schutzbedarf“ unterfallen.

Das unverschlüsselte Versenden von E-Mails oder die Nutzung von WhatsApp als Möglichkeit zur Versendung von Patientendaten wird datenschutzrechtlich als riskant eingestuft und bereits von den Landesdatenschutzaufsichtsbehörden kritisch bewertet. Hinsichtlich der nach Art. 9 Abs. 1 DSGVO genannten besonderen Kategorien personenbezogener Daten ist eine End-zu-End-Verschlüsselung erforderlich.

Beachten Sie auch: Die betroffene Person kann eine Verschlüsselung nicht durch eine von ihr erteilte Einwilligung ablehnen. Diese Pflicht, besondere Schutzmaßnahmen zu ergreifen und zu nutzen, ist selbst von der betroffenen Person nicht abdingbar. Wenn ein Versicherter also ausdrücklich wünscht, dass Sie seine personenbezogenen Daten per WhatsApp versenden, dürfen Sie das nicht. Sie haben als Verantwortlicher nach dem Stand der Technik entsprechende Maßnahmen zu treffen und einzuhalten.

Hinsichtlich der Nutzung von WhatsApp bestehen grundsätzliche Datenschutzbedenken. Zum einen werden alle Telefonnummern im Telefonbuch des Handys an die Server in den USA übertragen. Die USA gilt jedoch als unsicheres Drittland mit deutlich geringerem datenschutzrechtlichem Niveau als in der EU. Darüber hinaus werden sämtliche Nachrichten, die nicht unverzüglich zugestellt werden können, auf den Servern von WhatsApp bis zu 30 Tagen gespeichert. Das bedeutet, sämtliche Unternehmensinterna und auch sämtliches versendetes Bildmaterial wird in die USA übermittelt. Nicht zu vergessen ist, dass WhatsApp eine Unternehmenstochter der Datenkrake Facebook ist, die sich eingeräumt hat, die Daten aus WhatsApp zu ziehen. Und schließlich ist zwar eine End-zu-End-Verschlüsselung der Nachrichten eingeführt worden, dennoch bestehen weitere Sicherheitsrisiken, wie der Möglichkeit des Mitlesens von Gruppenchats.

Verbieten Sie also in Ihrem Unternehmen die Übersendung von personenbezogenen Daten per WhatsApp durch entsprechende Regelungen in Arbeitsverträgen bzw. Betriebsvereinbarungen und verhindern Sie die Installation durch entsprechende technische Voreinstellungen der Firmenhandys, um Ihrer Verpflichtung, dem Risiko, ein angemessenes Schutzniveau zu gewährleisten, nachzukommen. Nutzen Sie stattdessen andere Messengerdienste oder tauschen Sie die Daten mit Hilfe eines Download-Links aus.

The following two tabs change content below.

Rechtsanwältin