Rezept über WhatsApp - ist das rechtens?

Tagtäglich jonglieren Apotheken mit personenbezogenen Daten. Hierbei handelt es sich, gerade bei Daten auf den Rezepten, aufgrund des Gesundheitsbezugs um sensible und daher besonders schützenswerte personenbezogene Daten. Gleichzeitig möchten viele Apotheken WhatsApp nutzen, um digital mit ihren Patienten kommunizieren zu können. Hier stellt sich die derzeit häufig an die ABDA adressierte Frage nach einem datenschutzkonformen Einsatz. Ist es etwa akzeptabel, wenn Patienten ein Foto des Rezepts schicken, um nach der Verfügbarkeit des Medikaments zu fragen?

WhatsApp und Datenschutz, das ist schon länger ein Thema für sich. Der Instant-Messaging-Dienst gehört seit 2014 zum Facebook-Konzern, der seit 2021 unter dem Namen Meta firmiert. Nutzern von WhatsApp ist meist nicht im vollen Umfang bewusst, in welche Datenverarbeitung sie durch den Download der App und das damit verbundene Setzen aller Häkchen einwilligen. Sei es die automatische Synchronisation der Nutzerkontakte oder ein intransparenter Austausch innerhalb des Meta-Konzerns. WhatsApp hat Zugriff auf Standortdaten, Mikrofon und Kamera, und was mit den via WhatsApp übermittelten Fotos geschieht, ist ebenfalls ungewiss. Schlussendlich zahlt jeder für die Verwendung der App mit den eigenen Daten. Ob eine Einwilligung überhaupt freiwillig und demnach rechtlich wirksam abgegeben werden kann, ist aufgrund der Informationsdefizite auf Nutzerseite fraglich.

Doch zurück zum Aspekt der Rezeptübermittlung. Bietet die Apotheke ihren Patientinnen und Patienten die Möglichkeit an, über WhatsApp mit ihr in Kontakt zu treten, ist die Apotheke für die Verarbeitung der personenbezogenen Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) verantwortlich. WhatsApp ist als Dienstleister gemäß DSGVO Auftragsverarbeiter. Gerade in dieser Konstellation sollten die datenschutzrechtlichen Fragen eingehend beleuchtet werden. Auch die WhatsApp Business Variante bietet kein höheres Schutzniveau.

Neben der Verwendung der WhatsApp Varianten stehen kostenpflichtige Angebote von Unternehmen, welche die WhatsApp Business API (Cloud API oder On-premises API) anbieten. Es handelt sich dabei um eine Messaging-Variante, die keinen Download der WhatsApp-Anwendung für die Apotheke voraussetzt. Vielmehr stellt der Dienst eine Variante dar, die eine Schnittstelle der WhatsApp-Plattform über eine Kommunikationssoftware verwendet. Über diese Schnittstelle kann die Apotheke mit WhatsApp-Nutzern, sprich ihren Patientinnen und Patienten kommunizieren.

Die Datenschutzkonformität dieser Variante wird von den Anbietern der Schnittstellen-Kommunikationssoftware beworben, sollte jedoch im Einzelfall genau betrachtet und durchleuchtet werden. Besonders relevant sind dabei die Ausgestaltung des Auftragsverarbeitungsvertrages, der Standort der Server und die Datenschutzkonzepte der Anbieter. Problematisch im Lichte des Datenschutzes ist jedoch auch hier, dass die Metadaten der Nutzer – und damit personenbezogene Daten – von WhatsApp über die benannte Schnittstelle verarbeitet werden. Inwieweit diese Datenverarbeitung von WhatsApp als Verantwortlicher über die Bestätigung der Nutzungsbedingungen und der damit verbundenen Einwilligungserklärung von einer Rechtsgrundlage gedeckt ist, bleibt kritisch zu hinterfragen. Zudem ist umstritten, ob in dieser Konstellation WhatsApp überhaupt Auftragsverarbeiter sein kann.

Rechtliche Risiken bleiben bei der Nutzung jedweder WhatsApp-Variante bestehen. Sollte eine Entscheidung der Apotheke anstehen, ob und wenn ja, welcher Messaging-Dienst etabliert wird, ist eine Einzelfallprüfung unumgänglich. Hier ist entweder juristischer Rat vonnöten oder die Expertise von Datenschutzbeauftragten.