WhatsApp wurde nicht für Apotheken geschaffen

Bei jungen Kunden wollen immer mehr Apotheken mit WhatsApp punkten: Sie bieten einen Vorbestell-Service an, bei dem der Medikamentenname oder auch das Rezept über die Kurznachrichten-App zur Apotheke geschickt werden können. Doch warnen ABDA und Apothekerkammern aufgrund von Datenschutzproblemen vor dem Einsatz von WhatsApp. DAZ.online hat bei der schleswig-holsteinischen Datenschutzbeauftragten Marit Hansen vom dortigen Unabhängigen Landeszentrum für Datenschutz nachgefragt, wie sie den Einsatz in Apotheken bewertet. 

DAZ.online: Immer mehr Apotheken bieten einen Service an, der es Kunden erlaubt, per WhatsApp Medikamente vorzubestellen. Für wie vertrauenswürdig halten Sie die Kommunikation über die App, Frau Hansen?

Hansen: WhatsApp hält sich im Moment weder an das deutsche und europäische Datenschutzrecht noch an das Fernmeldegeheimnis. Auch basiert WhatsApp darauf, dass Daten analysiert werden. Die Dienstleistung, die WhatsApp erbringt, kostet natürlich Geld. Wie funktioniert das Geschäftsmodell? Indem Daten analysiert werden.

Das Landgericht Berlin hat entschieden, dass die verwendeten AGBs unwirksam sind. Die App verschlüsselt nun zwar die Kommunikation, doch funktioniert dies noch nicht für alle Nutzenden. Außerdem kann die Firma sehr leicht sehen, wer mit wem kommuniziert. Es ist ganz klar, dass WhatsApp im Moment nicht das deutsche Datenschutzrecht erfüllt. Wenn die Telekom eine Messenger-App aufsetzen würde, dürfte sie nicht so funktionieren wie WhatsApp.

DAZ.online: Inwiefern ist es denn Aufgabe von Apothekern, zu prüfen, wie sicher ihre Kommunikationswege sind? Viele E-Mails werden ja auch unverschlüsselt übertragen.

Hansen: Wenn es um die Geheimhaltung medizinischer Daten geht, ist ein Unternehmer wie ein Apotheker oder Arzt in der Pflicht und muss sicherstellen, dass das Datenschutzrecht eingehalten wird. Auf jeden Fall wäre es sehr bedenklich, wenn die Apotheke selber die Kommunikation startet. Aber auch wenn sich der Kunde an die Apotheke wendet, wäre es kritisch – wenn mit keinem Satz darauf hingewiesen wird, dass es sich um ein Risiko handelt.

Bei Apotheken geht es wie beispielsweise auch bei Rechtsanwälten um sehr sensible Daten. Dann ist in jedem Fall derjenige für den Datenschutz verantwortlich, der den Service anbietet. Medizinische Daten können Aufschluss über Krankheiten geben. Wer einen unsicheren Dienst benutzt – wie auch US-Anbieter für E-Mail-Dienste – muss sich dies zurechnen lassen. Deshalb würde ich es auf keinen Fall als offiziellen Dienst anbieten. Man setzt sich als Anbieter großen Risiken aus.

DAZ.online: Aber ist es nicht in der Tat eine andere Situation, wenn die Kontaktaufnahme vom Kunden ausgeht?

Hansen: Wir sehen dies im Moment als sehr kritisch an, selbst wenn die Personen selber einverstanden sind. Ähnlich ist es auch bei Unternehmen, bei denen es nicht um derart sensible Daten geht. Man müsste zumindest die Gefahren kommunizieren, dies ist auch wegen des Vertrauensverhältnisses zwischen Apotheker und Kunde nötig. Aber selbst dann darf man nicht denken, alles wäre gut.

Es gibt auch zusätzliche Probleme: WhatsApp hat Zugriff auf alle Kontakte, die im Smartphone gespeichert sind, denn das Telefonbuch wird automatisch abgeglichen. Das bedeutet: Ein Apotheker würde alle Kundendaten an WhatsApp übertragen, die im Telefonbuch auf seinem Endgerät gespeichert ist. Das wäre eine unzulässige Übermittlung von personenbezogenen Daten. Mein Rat ist daher, dass man lieber die Finger davon lassen sollte. Ansonsten muss man sich das sehr genau überlegen, worüber man aufklären muss und welche zusätzlichen Schutzmaßnahmen nötig sind.

DAZ.online: Wer hätte denn Interesse, die Daten auszuwerten?

Hansen: Wir wissen, dass Patientenakten mit kommerzieller Auswertung als Geschäftsmodelle in der Entwicklung sind oder schon existieren. Anbieter wie WhatsApp könnten Zugriffe auf ein Rezept haben, auf dem Krebsmedikamente stehen, oder die Diagnose aus den Kommunikationsbeziehungen ableiten. Es ist auch nicht ausgeschlossen, dass Geheimdienste sich Zugriff verschaffen. Ein Datenabfluss ins Ausland, in dem unser Datenschutzrecht keine Garantien gibt, kann dazu führen, dass medizinische Daten von europäischen Bürgerinnen und Bürgern ausgewertet werden. Das wollen wir nicht.

Google und Facebook sagen oft, dass sie die Daten nicht wirklich verkaufen – sondern nur zur Nutzung bereitstellen. Doch diese Informationen können beispielsweise mit darüber entscheiden, was Patienten für ihre Versicherung bezahlen müssen oder ob sich dies für die Versicherer überhaupt lohnt. Aus meiner Sicht ist das ein Alptraum.

Auch könnte Werbung nur für Menschen bereitgestellt werden, die eine bestimmte Diagnose bekommen haben und sich in einer psychisch schwierigen Situation befinden – auch das hielte ich für unethisch.

DAZ.online: Gibt es derartige Missbrauchsgefahren nicht auch bei anderen Kommunikationswegen?

Hansen: Bei deutschen Telefonanbietern greift das Datenschutzrecht. Aber auch bei Faxen kommen wir in Probleme: Diese werden zunehmend über das Internet übertragen. Plötzlich sind damit die alten Absicherungen nicht mehr gegeben. Aber es zeigt, dass bei Änderungen die Risiken neu bewertet werden müssen: Neue Verfahren sollte man nicht schnell mal auf Zuruf einführen – wie bei den Messengern. Und man darf nicht blind jedem Trend folgen.

DAZ.online: Was sollte sich aus Ihrer Sicht bei WhatsApp ändern? 

Hansen: WhatsApp wird sich generell verändern müssen. Die neue Datenschutz-Grundverordnung der EU greift immer mehr, ab Mai 2018 ist sie das neue Datenschutzrecht. Dann muss jeder sie einhalten, der in Europa Daten entweder verarbeitet, um damit Umsatz zu generieren, oder sie zur Beobachtung von Nutzern verwendet. Damit dürfte ein Daten-Absaugen als Geschäftsmodell auch nicht mehr funktionieren – und WhatsApp muss sich verändern.

DAZ.online: Derweil gibt es keinen Ausweg für Apotheker, die ihren Kunden den praktischen Service anbieten wollen?

Hansen: Ich glaube nicht, dass das Problem unlösbar ist – aber WhatsApp wurde für solche Zwecke nicht geschaffen. Datenschutzaktivisten wie Maximilian Schrems haben gezeigt, dass man mit einer Klage gegen Facebook Erfolg haben und das Thema in die Öffentlichkeit bringen kann. Kein Apotheker will mit dem Vorwurf, dass Patientendaten offenbart werden, am Pranger landen.

Falls Apotheker die App nutzen wollen, sollten sie versuchen, WhatsApp dazu zu bringen, datenschutzkonform zu werden – beispielsweise auch über die Apothekerkammern. Aber wenn derartige Kommunikationswege ein zukunftsträchtiger Weg sind, warum bietet man es dann nicht gleich entsprechend der Anforderungen an, die man in Europa bräuchte? Es darf nicht sein, dass fremde Staaten in Zukunft an Kundenbeziehungen zwischen Patienten und Apotheken oder gar an einen größeren Teil der Rezeptdaten in Deutschland und Europa kommen. Falls Messenger-Apps genutzt werden sollen, wäre es wohl am besten, dass Apothekervereinigungen dafür sorgen, dass Dienste mit höchstem Datenschutzniveau bereitgestellt werden.