WhatsApp-Gruppenchats in Kliniken:

teures Lehrgeld für fehlenden Datenschutz

Die spanische Datenschutzaufsicht AEPD hat eine Schönheitsklinik sanktioniert, weil sie Patienten in eine WhatsApp Gruppe aufgenommen hat. In dieser Gruppe konnten alle Teilnehmer die Telefonnummern der anderen sehen. Die Aufsicht wertet schon die Tatsache, dass eine Person Kundin einer ästhetischen Klinik ist, als Gesundheitsdatum. Solche Daten gehören zu den besonders sensiblen Kategorien nach DSGVO. Für Kliniken, Praxen und andere Gesundheitsdienstleister ist das ein klares Warnsignal. Viele nutzen WhatsApp oder ähnliche Dienste für Termine, Erinnerungen oder Werbung. Genau dort lauert hier ein deutliches Risiko.

Die Klinik betrieb unter dem Namen CLÍNICA DORSIA ein Zentrum für ästhetische Medizin. Eine Mitarbeiterin legte eine WhatsApp Gruppe mit dem Titel „Medicina estética 2“ an und fügte etwa 90 Kundinnen und Kunden hinzu. Alle Mitglieder der Gruppe konnten die Mobilnummern der anderen sehen und auch miteinander schreiben. Die Klinik nutzte die Gruppe, um Werbenachrichten zu einer Werbeaktion zu verschicken. Nach Beschwerden verärgerter Kunden verließ die Klinik die Gruppe, löschte sie aber zunächst nicht. Damit blieben die Telefonnummern weiter sichtbar.

Die Aufsichtsbehörde stellte dazu fest:

• es lag ein Verarbeitungsvorgang von personenbezogenen Daten vor

• es handelte sich um Gesundheitsdaten, weil die Zugehörigkeit zu einer ästhetischen Klinik Rückschlüsse auf den Gesundheitsbereich zulässt

• die Klinik war Verantwortlicher nach Artikel 4 Nummer 7 DSGVO

• die Klinik hat gegen den Grundsatz der Vertraulichkeit nach Artikel 5 Absatz 1 Buchstabe f DSGVO verstoßen

Für diesen Verstoß verhängte die AEPD eine Geldbuße von 30.000 Euro. Der zusätzlich geprüfte Artikel 32 DSGVO zu technischen und organisatorischen Maßnahmen wurde mangels eigenständiger Anhaltspunkte eingestellt. Entscheidend war hier der Verstoß gegen den Grundsatz der Vertraulichkeit.

Bedeutung für Kliniken und andere Unternehmen

Die Entscheidung betrifft nicht nur ästhetische Kliniken. Sie zeigt, wie schnell eine vermeintlich praktische WhatsApp Gruppe zu einem Datenschutzvorfall wird. Besonders deutlich wird Folgendes:

• Gesundheitsdaten liegen schneller vor, als viele annehmen. Schon die Information, dass eine Person Kundin einer bestimmten Praxis ist, kann ein Gesundheitsdatum sein.

• Wer WhatsApp für Kundenkommunikation nutzt, muss die Funktionen genau verstehen. Gruppen mit sichtbaren Teilnehmern sind heikel, sobald sich die Teilnehmer untereinander nicht kennen.

• Eine Einwilligung hätte das Problem nicht gelöst. Selbst mit Einwilligung müssten Sicherheit und Vertraulichkeit gewährleistet sein.

• Die Aufsicht schaut nicht nur auf Einwilligung oder Werbeeinwilligung, sondern auch auf Grundsätze wie Integrität und Vertraulichkeit.

Für alle Unternehmen bedeutet das: Kommunikationstools sind Teil des Datenschutzkonzepts. Wer hier nach Gefühl arbeitet, riskiert Bußgelder und Vertrauensverlust.

So reagieren Sie richtig

Unternehmen im Gesundheitsbereich, aber auch Fitnessstudios, Kosmetiksalons oder Beratungszentren sollten diese Punkte prüfen:

1. Keine offenen WhatsApp-Gruppen mit Kunden

Vermeiden Sie Gruppen, in denen Kundinnen und Kunden die Nummern anderer sehen können. Besonders kritisch ist das, wenn ein sensibler Kontext besteht, zum Beispiel:

• Klinik oder Praxis

• psychologische oder Ernährungsberatung

• Sexualmedizin oder Reproduktionsmedizin

• Suchtberatung

Wenn Sie Gruppenfunktionen nutzen möchten, greifen Sie auf Tools  zurück, bei denen nur der Administrator die Teilnehmerliste sieht oder Nachrichten als Broadcast versendet.

2. Kommunikationskanäle strukturiert festlegen

Legen Sie in einer Richtlinie fest:

• welche Kanäle für welche Zwecke erlaubt sind

• welche Kanäle für sensible Themen verboten sind

• wie mit Terminerinnerungen, Befunden und Werbung umzugehen ist

Typische Aufteilung:

• Praxissoftware oder Patientenportal für Befunde und sensible Inhalte

• SMS oder datenschutzkonforme Messenger für einfache Terminerinnerungen

• kein Einsatz von offenen Gruppen für Werbung oder Sammelnachrichten

3. Schulung der Mitarbeitenden

Im Fall der spanischen Klinik spielte eine Mitarbeiterin eine zentrale Rolle. Sie legte die WhatsApp Gruppe offenbar gut gemeint an, aber ohne Blick auf Datenschutz. Daraus folgt:

• Schulungen müssen konkrete Beispiele enthalten, etwa „Was ist mit WhatsApp Gruppen“

• Mitarbeitende brauchen einfache Regeln, zum Beispiel „Keine Gruppen mit Kunden anlegen“

• Es sollte klare Ansprechpersonen geben, bevor kreative Lösungen umgesetzt werden

4. Umgang mit Vorfällen

Die Klinik agierte falsch. Sie verließ die Gruppe, statt sie sofort zu löschen. Das verschärfte die Situation. Unternehmen sollten einen Plan haben, wie sie auf Vorfälle reagieren:

• sofortige Beendigung des fehlerhaften Kanals, zum Beispiel Löschen einer Gruppe

• Dokumentation des Vorfalls

• Bewertung, ob eine Meldung an die Aufsicht erforderlich ist

• Information der Betroffenen in klarer, sachlicher Sprache

5. Bewertung von Gesundheitsdaten

Prüfen Sie, wo indirekte Gesundheitsdaten anfallen. Beispiele:

• Mitgliedschaft in einer bestimmten Klinik

• Teilnahme an Reha oder Therapiegruppen

• Nutzung spezieller Beratungsangebote

Solche Daten gehören in einen besonders geschützten Bereich. Das betrifft sowohl IT-Systeme als auch Kommunikationswege.

Unsere Empfehlung:

Die Entscheidung der spanischen Datenschutzbehörde zeigt deutlich, wie riskant der Einsatz von WhatsApp-Gruppen im Gesundheitsumfeld ist. Wir empfehlen Ihnen, alle verwendeten Messenger und Gruppenfunktionen zu prüfen und schriftlich festzulegen, was erlaubt ist und was nicht. Sensible Daten und Gruppenkommunikation passen selten zusammen.

Starten Sie konkret mit drei Schritten:

1. Erfassen Sie alle Kanäle, über die Ihre Mitarbeitenden mit Kunden und Patienten kommunizieren.

2. Verbieten Sie offene Gruppenkommunikation mit Kunden in sensiblen Bereichen und schaffen Sie sichere Alternativen.

3. Schulen Sie Ihr Team an praktischen Beispielen, damit Fehler wie im beschriebenen Fall gar nicht erst entstehen.

Quellenangabe: Agencia Española de Protección de Datos

Sind Sie sich sicher, ob Ihre Gesundheitseinrichtung im Hinblick auf Datenschutz und Datensicherheit richtig aufgestellt ist, so wie es der geschilderte Fall nahelegt?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
• Tragbarer Tresor für die Reise zum Schutz von Wertsachen
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen

Dieser Absatz enthält Affiliatelinks/Werbelinks