Instant-Messaging-Dienst WhatsApp im Gesundheitswesen unzulässig

2166

Update Juni 2017: Durch das Urteil des Amtsgericht Bad Hersfeld, ist das Thema noch einmal brisanter geworden, drohen jetzt auch Abmahnungen und Bußgelder.

„Technische und rechtliche Veränderungen bei WhatsApp haben zwar dazu geführt, dass frühere Hürden für den Unternehmenseinsatz reduziert wurden, neue Kritikpunkte sind jedoch hinzugekommen. Auch die voraussichtlich ab Mai 2018 geltende EU-Verordnung über Privatsphäre und elektronische Kommunikation lässt vermuten, dass ein rechtskonformer Einsatz von WhatsApp weiterhin nicht möglich ist. Dies müssen Unternehmen und öffentliche Stellen berücksichtigen. Quelle: ULD“

Die Beschäftigten von Pflegediensten sind viel unterwegs. Neben Routinetätigkeiten haben sie vielfach mit unerwarteten Situationen zu kämpfen, bei denen es hilfreich ist, Kolleginnen und Kollegen zu unterrichten oder nach zusätzlichen Informationen über die Klienten zu fragen, mit denen sie zu tun haben. Statt Telefon und SMS bieten sich hierfür Instant-Messaging-Dienste an, die es erlauben, mit einer Nachricht ohne große Kosten eine Gruppe von Personen zu erreichen.

Zulässig ist die Verwendung dieser Dienste jedoch nur, wenn durch die Kommunikation niemand außerhalb des Pflegedienstes etwas über die Klienten erfährt. Für die Beschäftigten des Pflegedienstes genau wie Ärzte gilt die Pflicht, über das zu schweigen, was sie über die Klienten oder Patienten erfahren. Darüber hinaus darf ein Arbeitgeber auch nicht die Nutzung von Verfahren anordnen, bei denen Angaben über seine Beschäftigten Dritten offenbart werden, soweit dies nicht zwingend für die Tätigkeit und die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Daher darf ein Pflegedienst in der beschriebenen Konstellation nur solche Messaging-Dienste verwenden, die eine Ende-zu-Ende-Verschlüsselung bieten. Eine zunehmende Zahl von Diensten bietet diese Funktion, oft jedoch nicht für die Übermittlung einer Nachricht an eine Vielzahl von Empfängern. Die Verschlüsselung muss zuverlässig und langfristig wirksam sein. Der Arbeitgeber muss sicherstellen, dass Nachrichten nur an Empfänger gehen, die er seinem Betrieb sicher zuordnen kann.

„Instant-Messaging kann auch im sensitiven Bereich der Pflegedienste eingesetzt werden, bedarf jedoch vielfältiger sicherheitstechnischer Vorkehrungen und insbesondere einer zuverlässigen Ende-zu-Ende-Verschlüsselung. Die Nutzung von WhatsApp in der derzeitigen Ausgestaltung des Dienstes ist unzulässig.“

Einige Messaging-Dienste bieten eine solche Überprüfungsfunktion an, z.B. über den gegenseitigen Scan von QRCodes von Smartphone zu Smartphone. Schließlich gehört zu einer sicheren Übertragung auch die Sicherheit des verwendeten Geräts. Von Hause aus sind viele Smartphones nicht für den betrieblichen Gebrauch geeignet. Es ist jedoch Software verfügbar, die es ermöglicht, die Geräte einheitlich zu verwalten (das sog. Mobile-Device-Management), bestimmte, mit besonderen Risiken verbundene Funktionen zu deaktivieren und die übermittelten Daten in einem gesicherten Container abzulegen. Voraussetzung für eine wirksame Anwendung ist bei alldem, dass die Smartphones dem Arbeitgeber gehören und er die nötige Verfügungsgewalt über sie behält. Ist die Kommunikation selbst gesichert, verbleiben die Metadaten: Dem Betreiber des Messaging-Dienstes wird bekannt, von welchem Gerät aus mit welchen anderen Geräten wann kommuniziert wird. Dies ist besonders dann problematisch, wenn der Anbieter – wie im Fall von WhatsApp – außerhalb der Europäischen Union angesiedelt ist und sich nicht an europäisches Telekommunikationsrecht hält. Ausreichend gemindert ist dieses Risiko, wenn die Smartphones nicht auf den Namen der oder des jeweiligen Beschäftigten registriert werden, weder bei ahresbericht BlnBDI 2014 17 1.3 Nutzung von Yahoo-E-Mail-Adressen dem Netzanbieter noch bei dem Softwarehersteller wie Google oder Apple noch bei dem Messaging-Dienst selbst, und die Geräte ausschließlich dienstlich genutzt werden. Dadurch wird gewährleistet, dass ihre betriebliche Verwendung nicht mit anderer, privater Nutzung und damit vielfach indirekt doch mit dem Namen der bzw. des Beschäftigten verknüpft werden kann. Vorzuziehen ist es jedoch in jedem Fall, einen Anbieter einzuschalten, der sich in überprüfbarer Weise an europäisches Datenschutz- und Telekommunikationsrecht hält. (2015)

Quelle: Jahresbericht DSB-Berlin