Seit 25.05.2018 gilt die DSGVO (Datenschutz-Grundverordnung) für alle Unternehmen in Deutschland. Nach Gesetzestext Art. 37 Abs.1 lit. c DSGVO erfordert die Verarbeitung besonders sensibler Gesundheitsdaten des Pflegebereichs oder in Arztpraxen die Benennung eines Datenschutzbeauftragten. Dies gilt auch unabhängig von der Anzahl der Mitarbeiter.

Wortwörtlich heißt es, „der Verantwortliche benennt auf jeden Fall einen Datenschutzbeauftragten, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO (Gesundheitsdaten) besteht“.

Als zertifizierter Datenschutzbeauftragter war ich zumindest theoretisch davon überzeugt, dass somit alle Sozialstationen und Arztpraxen einen Datenschutzbeauftragten benötigen. Da ich bereits im Internet (Kurzpapier DSK Nr. 12 und Muster 5 „Anforderungen an kleine Unternehmen“ des Bayerischen Landesamtes für Datenschutzaufsicht) und in Kundengesprächen anders lautende Informationen hinsichtlich der praktischen Umsetzung erfahren hatte, wollte ich es genau wissen.

Am 03.08.2018 habe ich mich mit der Problematik direkt an den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit Herrn Dr. Lutz Hasse in Erfurt gewandt. Innerhalb von einer Woche erhielt ich von Frau Geyer eine ausführliche Antwort:

Die im BDSG angeführte „10-Mitarbeiter-Grenze“ in Arztpraxen oder Sozialstationen findet sich in der DSGVO zwar nicht; jedoch haben sich die Datenschutzbeauftragten der Länder in der Arbeitsgemeinschaft Gesundheit vom 15./16.03.2018 auf die Anwendung des § 38 BDSG insofern geeinigt, dass, wenn keine besonderen Umstände vorliegen, eine Arztpraxis oder eine Sozialstation mit weniger als 10 Personen, die ständig mit der automatisierten Verarbeitung von Daten beschäftigt sind, keinen Datenschutzbeauftragten zu bestellen hat.

Für die praktische Umsetzung ist an dieser Stelle noch die Spezifikation auf „automatisierte Verarbeitung von Daten“ von erheblicher Auswirkung. Dadurch entfällt auch für viele stationäre Einrichtungen mit z.B. 80 Mitarbeitern die Pflicht zur Bestellung eines Datenschutzbeauftragten. Wenn eine Einrichtung beispielsweise mit 2 Mitarbeitern in der Verwaltung die Abrechnung und die dazugehörigen Prozesse bewältigt und der Heimleiter und die PDL (Dienstplanerstellung) noch Zugriff auf die EDV-Technik haben, entfällt auch für solche Einrichtungen die Notwendigkeit der Bestellung eines Datenschutzbeauftragten.

Die Argumentation der Aufsichtsbehörde ist auch aus dem Grund interessant, weil nicht ansatzweise versucht wurde, die korrekte Umsetzung der Formulierungen des Gesetzestextes der DSGVO

• Kerntätigkeit Verarbeitung von sensiblen Gesundheitsdaten und
• Umfangreiche Verarbeitung

zu erläutern.

Aus meiner Sicht könnte ein im Auftrag der Bundeszahnärztekammer erstelltes Kurzgutachten der Kanzlei Härting vom 02.11.2017 die besondere Interpretation der DSGVO durch die Arbeitsgemeinschaft Gesundheit beeinflusst haben. Zu diesem Zeitpunkt war die Bestellungspflicht für einen Datenschutzbeauftragten noch streitig.

Um die Bestellung eines Datenschutzbeauftragten zu vermeiden, wurden folgende Argumente aufgeführt:

• „Jedoch ist aus unserer Sicht vorliegend bereits das Erfordernis der Kerntätigkeit nicht gegeben. Nach dem Erwägungsgrund 97 der DSGVO wird unter dem Begriff „Kerntätigkeit“ die Haupttätigkeit des Unternehmens verstanden. Diese besteht in einer Zahnarztpraxis (und z.B. in einer Sozialstation) gerade nicht in der Datenverarbeitung, sondern in der Behandlung von Zahn-, Mund- und Kiefererkrankungen. Die Dokumentationspflicht des Zahnarztes, die den hauptsächlichen Anteil der Datenverarbeitung erforderlich macht, ist dagegen lediglich Ergebnis einer Nebenpflicht aus dem Behandlungsverhältnis, um im Interesse des Patienten über die durchgeführte Behandlung ausreichende Nachweise zu sichern“
• „Aber auch die in Art. 37 Abs. 1 Buchstabe c DSGVO geforderte „umfangreiche“ Verarbeitung von Gesundheitsdaten ist fraglich. Wann von einer „umfangreichen“ Verarbeitung ausgegangen werden muss, ist aus der DSGVO nicht unmittelbar zu beantworten. In den Erwägungsgründen zur DSGVO gibt es in Nr. 91 zur Datenschutz-Folgenabschätzung eine entsprechende Definition: Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogener Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufs oder Rechtsanwalt erfolgt.

Fazit:

In der Theorie hätten lt. DSGVO Einrichtungen im Gesundheitswesen, die sensible und umfangreiche Gesundheitsdaten als Kerntätigkeit verarbeiten, auch mit weniger als 10 Mitarbeitern einen Datenschutzbeauftragten benötigt.In der Praxis wurde die Interpretation der DSGVO im Frühjahr durch spezielle Sondervereinbarungen neu geregelt.

Abschließend noch ein Zitat aus dem Beschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26.04.2018 (Düsseldorf).

Datenschutzbeauftragten-Bestellpflicht nach Artikel 37 Abs. 1 lit. c DSGVO bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs

Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit .c DSGVO auszugehen – in diesen Fällen ist unter Berücksichtigung von Punkt 3 dann kein Datenschutzbeauftragter zu benennen, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Anmerkungen:

• Punkt 3 weist darauf hin, dass bei der Notwendigkeit einer Datenschutzfolgenabschätzung die „10-Mitarbeiter-Grenze“ nicht mehr gilt.
• Interessanterweise wird bei dem Beschluss vom 26.04.2018 im Gegensatz zur Antwort des Thüringer Datenschutzbeauftragten beim Begriff Verarbeitung personenbezogener Daten die Einschränkung „automatisiert“ weggelassen.

Die Kommunikation über WhatsApp ist im privaten Umfeld in Deutschland sehr weit verbreitet. Aber auch in Einrichtungen des Sozialwesens wird der Messenger zur Kommunikation für die Mitarbeiter oder für ihre Patienten bzw. Angehörigen genutzt. Oftmals ist es sehr praktisch, alle Mitarbeiter über eine besondere Problemsituation zu informieren oder spezielle Zusatzinformationen über einen Patienten zu erfragen. Im Extremfall kann der nächste Dienstplan abfotografiert und an die betreffenden Mitarbeiter per WhatsApp übertragen werden. Die Nutzung von WhatsApp hat sich somit auch auf Grund der einfachen Bedienung zu einem Standard für die Kommunikation entwickelt.

WhatsApp ist damit aktuell der mit Abstand führende Messengerdienst mit Sitz in den USA (Kalifornien). Jeder Nutzer muss sich mit seiner Smartphone-Nummer registrieren. Das Hauptproblem hinsichtlich des Datenschutzes kann jeder den Nutzungs- und Datenschutzbedingungen von WhatsApp entnehmen:

„Du stellst uns regelmäßig die Telefonnummern und deine sonstigen Kontakte in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.“

Dies bedeutet, dass das Adressbuch der WhatsApp-Nutzer regelmäßig ausgelesen und mit den bei WhatsApp vorhandenen Kontaktdaten synchronisiert wird, um den Nutzern weitere WhatsApp-Nutzer anzuzeigen. Dadurch erhält WhatsApp kontinuierlich Telefonnummern von Kontakten, die gar nicht bei WhatsApp registriert sind. WhatsApp bzw. der Mutterkonzern Facebook hat nun theoretisch die Möglichkeit, diese Daten zu verwerten.

Was sagt nun der deutsche Datenschutz bzw. die DSGVO dazu?

In der DSGVO gilt zunächst das sogenannte „Erlaubnisvorbehaltsprinzip“. Dies bedeutet, jede Verarbeitung personenbezogener Daten ist grundsätzlich verboten. Es sei denn, es gibt eine entsprechende Rechtsgrundlage nach Art. 6 DSGVO. Somit ist zunächst die Übermittlung der Kontaktdaten an WhatsApp nicht erlaubt oder erfordert zumindest eine Rechtsgrundlage.

Die nach Art. 6 Abs. Buchstabe a erforderliche Einwilligung kann praktisch nicht für alle Kontakte des Smartphone lückenlos nachgewiesen werden. Da auch Kontaktdaten von Personen übertragen werden, die kein WhatsApp nutzen, ist deren erforderliche Einwilligung kaum zu erwarten.

Ansonsten kommt theoretisch nur Art. 6, Abs. Buchstabe f in Frage, in dem ein berechtigtes Interesse des WhatsApp-Nutzers zur Weitergabe der Kontaktdaten gefordert wird. Auch hier werden im Streitfall die Interessen der Personen, die kein WhatsApp nutzen ein höheres Gewicht haben.

Für das Sozialwesen kommt nun noch erschwerend hinzu, dass es hier oftmals um besonders sensible Gesundheitsdaten nach Art. 9, Abs. 1 geht. Die Verarbeitung ist zwar unter besonderen Voraussetzungen nach Art. 9, Abs.2, Buchstabe h zulässig, erfordert aber hinsichtlich des Datenschutzes besondere technische und organisatorische Maßnahmen. Dazu gehört auf jeden Fall die Vermeidung des Transfers von Kontaktdaten und weiterer Informationen (z.B. Wundbild) an WhatsApp in die USA. Zwar kümmert sich auf Grund der Einführung der DSGVO in Europa inzwischen eine Tochterfirma in Irland um die Datenverarbeitung der europäischen Kunden. Eine 100%ige Garantie, dass kein Abgleich mit WhatsApp in den USA vorkommt, ist nicht bekannt.

Gibt es Alternativen zu WhatsApp?

Auf dem Markt gibt es über 20 Alternativen zu WhatsApp. Eine empfehlenswerte Alternative bietet der Schweizer Hersteller „Threema“ (https://Threema.ch/de). Die Kundenpalette reicht von Bündnis 90 / Die Grünen über den ADAC bis zur Daimler AG. Threema erfüllt komplett die Anforderungen der DSGVO. Als Schweizer Unternehmen ist Threema zusätzlich dem strengen „Schweizer Datenschutzgesetz“ (DSG) sowie der „Verordnung zum Bundesgesetz über den Datenschutz“ (VDSG) unterworfen.

Threema basiert nicht auf der Telefonnummer als Adresse und kann anonym ohne den Upload von Telefonbuchdaten genutzt werden. Im Gegensatz zu konventionellen Messengern können Sie sich bei der Nutzung von Threema damit sicher sein, die DSGVO einzuhalten.

Ein wesentlicher Unterschied und somit oftmals ein Hindernis zum Einsatz von Threema ist die Tatsache, dass die Nutzung kostenpflichtig ist. Bei Threema werden nicht die Kundendaten zur Einkommensquelle gemacht. Hier sind keine Geldgeber oder andere Investoren beteiligt. Threema lebt nicht von Werbung oder dem Verkauf von Daten, sondern von ihren Einnahmen. Diese Einnahmen sind die Grundlage für die Weiterentwicklung und decken alle Kosten des Unternehmens. Über https://threema.ch/de/faq kann sich jeder Interessent sehr detailliert informieren.