Sonntagmorgen, 6 Uhr. Ein Kind steht weinend vor seiner Mutter. Der Sonnenbrand, ein Mitbringsel aus dem letzten Freibadbesuch vor zwei Tagen, wird immer schlimmer. Jetzt haben sich dutzende Bläschen gebildet, die Haut ist feuerrot.
Also fährt die Mutter mit dem Kind zum Ärztlichen Bereitschaftsdienst. Dort heißt es: „Das sind Verbrennungen zweiten Grades, das Kind muss ins Krankenhaus.“ Doch das Kind hat nicht nur Schmerzen, sondern vor allem Angst und will nach Hause. Die Mutter verspricht der Ärztin, ihre Anordnungen genau zu befolgen, wenn sie das Kind wieder mitnehmen darf.
Die Ärztin willigt zähneknirschend ein, aber nur unter einer Bedingung: „Sie schicken mir heute Abend per WhatsApp ein Foto vom Hautzustand! Ich will keine Blutvergiftung riskieren, wenn die Haut aufplatzt.“ Die Haut platzt an diesem Tag noch auf, und die Mutter macht abends ein Foto und schickt es der Ärztin. Eine Blutvergiftung entwickelt sich zum Glück nicht, die Haut heilt in den nächsten Wochen ab.
Es gibt viele Situationen, in denen WhatsApp-Nachrichten nützlich sind: Blutzuckerwerte an den Diabetologen schicken, das Foto vom komischen Muttermal an die Hautärztin oder das Röntgenbild an den befreundeten Unfallchirurgen. Oder um schnell einen Termin auszumachen. Diese Praxis schreibt sogar extra die Mobilnummer dafür aufs Türschild.
Krautreporter-Leser Wolfgang ist Datenschutzbeauftragter in einem Krankenhaus und findet: „Die Ärztin in diesem Beispiel ist sehr nett. Und der Servicegedanke der Privatpraxis ist prinzipiell gut. Trotzdem machen sich beide genau genommen strafbar.“
Das Berufsrecht legt in Deutschland für einige Berufsgruppen fest: Es gibt eine Schweigepflicht. Vertrauliche Informationen dürfen nicht an Dritte weitergegeben werden. Das gilt für alle Heilberufe, nicht nur für Ärzt:innen. Auch für Krankenpfleger:innen und Psychotherapeut:innen, für Apotheker:innen und sogar für Tierärzt:innen.
Der Staat sieht sich hier in einer so bedeutenden Fürsorgeverpflichtung, dass er Schweigepflichtverstöße ins Strafgesetzbuch aufgenommen hat: Paragraf 203, Absatz 4. Sie besteht selbst dann, wenn der Patient oder die Patientin verstorben ist. Und sie ist weitreichend: Keine Informationen über tatsächliche oder vermutete Erkrankungen, nichts über die Behandlung und auch nichts darüber, was sonst im Sprechzimmer besprochen wurde. Noch nicht einmal, dass du überhaupt beim Arzt warst, darf jemand anderem als deine:r Behandler:in bekannt werden. Niemandem.
Die Frage ist jetzt: Verstößt eine WhatsApp an oder von Ärzt:innen überhaupt gegen die Schweigepflicht? Ich ahne: Wenn du selbst WhatsApp-Fan bist, willst du jetzt am liebsten wegklicken. Vor allem, wenn du WhatsApp schon mal als Patient:in oder Ärzt:in genutzt hast. Und du denkst vielleicht, dass doch das eigentliche Problem ist, keine echte Alternative zu WhatsApp zu haben. Und damit hast du die beiden wichtigsten Gründe genannt, warum ich diesen Text schreibe – und warum du weiterlesen solltest.
Ich habe mich nämlich gefragt, warum so viele Menschen in Kauf nehmen, dass Gesundheitsdaten das Sprechzimmer verlassen – was beim Verschicken einer WhatsApp ja konkret passiert. Kann man das alles mit Leichtfertigkeit und Bequemlichkeit erklären? Oder zeigt es vor allem, dass ein schneller und sicherer Kommunikationskanal in Krankenhäusern und Arztpraxen fehlt?
Was macht WhatsApp zum Problem?
Wenn du eine Nachricht mit WhatsApp schreibst, wird sie durch eine Ende-zu-Ende-Verschlüsselung geschützt. Das heißt, die Nachricht wird nicht als lesbarer Text verschickt, sondern als Zeichensalat. Damit die Empfänger der Nachrichten diesen Zeichensalat lesen können, brauchen sie einen Schlüssel. Bei WhatsApp passiert sowohl die Verschlüsselung als auch die Entschlüsselung automatisch. Das ist sehr bequem.
Doch die sogenannten Metadaten verschlüsselt WhatsApp nicht. WhatsApp weiß also, wann du wem von wo aus geschrieben hast. Wenn Ärzt:innen mit Patient:innen über ihre Krankheiten chatten, vertrauen sie darauf, dass die Verschlüsselung sie davor bewahrt, gegen die Schweigepflicht zu verstoßen. Aber allein dadurch, dass der Firma WhatsApp bekannt werden kann, dass eine bestimmte Person ärztlichen Rat sucht und wann sie es getan hat, verletzt schon die Schweigepflicht.
Dazu kommt, dass der Verschlüsselungsprozess die Inhalte nicht komplett sichert. Handys mit dem Android-Betriebssystem legen zum Beispiel als Voreinstellung eine Sicherungskopie der Daten (ein Backup) bei Google Drive ab. KR-Leser Wolfgang erkennt dabei folgendes Problem: „Backups der WhatsApp-Chats bei Google Drive sind zwar verschlüsselt, aber nicht End-to-End. Die Schlüssel dazu liegen (vermutlich) auf den WhatsApp-Servern.” Das bedeutet: WhatsApp kann die Backups entschlüsseln. Und Organisationen mit dem nötigen Fachwissen (wie zum Beispiel die CIA) können das auch.
Außerdem liest WhatsApp die Kontaktdaten aus den Telefonen aus. Das heißt, sobald die App installiert ist und du ihr erlaubt hast, deine „Freunde zu finden“, überprüft die App bis zu fünf Mal täglich, ob du neue Freunde in dein Adressbuch aufgenommen hast. Dabei werden alle Kontaktdaten an WhatsApp-Server in den USA übermittelt, auch von den Menschen in deinem Adressbuch, die kein WhatsApp benutzen. Hochgerechnet dürfte inzwischen jeder Mensch weltweit mindestens an einer Stelle auf einem WhatsApp-Server liegen.
Und diese Praxis wäre nur dann okay, wenn du als WhatsApp-Nutzerin alle deine Freunde, deren Daten du gespeichert hast, um Einverständnis bittest. Das hast du jedenfalls zugesichert, als du die Nutzungsbedingungen akzeptiert hast. Aber aus eigener Erfahrung kann ich sagen: Das passiert nicht. (Falls du Ausnahmen kennst, schreib sie gerne in die Kommentare.)
Zu allem Überfluss ist die Unternehmenspolitik von Facebook – dem Mutterkonzern von WhatsApp – aus mehreren Gründen bedenklich. Im Moment kann niemand sagen, auf welche Daten der Konzern wie zugreift, wie er sie verarbeitet und ob er modellierte Daten gegebenenfalls weiteren Unternehmen zugänglich macht.
Kurz: Die Nachrichten sind trotz Verschlüsselung nicht sicher vor dem Zugriff Dritter. Das heißt: Alle Menschen, die einen Heilberuf haben und WhatsApp beruflich nutzen, verstoßen gegen die Schweigepflicht.
Warum schicken Menschen WhatsApps an ihre Ärzt:innen?
Ich mache jetzt ein Geständnis: Die Person aus dem Beispiel vom Anfang bin ich selbst. Und der Witz ist: Ich nutze gar kein WhatsApp. Aus Prinzip. Doch in dieser Situation waren mir die Prinzipien egal. Und über den Rest habe ich nicht nachgedacht. Es zählte nur eins: Hauptsache, das verzweifelte Kind kann nach Hause. Deshalb habe ich mit dem Telefon meiner Tochter und ihrem WhatsApp-Account ein Foto ihres offenen Rückens verschickt.
So, und nun komme ich mir sehr mutig vor, denn wenn du es böse meinst, kannst du den Fall jetzt anzeigen. Beim Landesdatenschutzbeauftragten für Hessen. Für mich würde die Sache vermutlich glimpflich ausgehen, aber für die Ärztin womöglich nicht.
An dieser Geschichte kann man viel über die Motivation lernen, WhatsApp einzusetzen. Die Ärztin hat sehr empathisch reagiert, als sie sich auf die Wünsche der Patientin einließ. Sie war in einem Konflikt, weil sie kein medizinisches Risiko eingehen wollte und zu diesem Zeitpunkt nicht einschätzen konnte, wie wahrscheinlich eine Komplikation ist, zum Beispiel eine Blutvergiftung. Ihr war nur klar, dass Salben und Gele allein nicht reichen würden, und dass man den Fall gut überwachen musste, um, wenn nötig, rechtzeitig gegensteuern zu können. Das alles sprach für eine stationäre Aufnahme.
Auf der anderen Seite saß vor ihr ein Kind mit starken Schmerzen, das klar äußerte, was es für seine Genesung brauchte: vertraute Umgebung und Pflege durch die Eltern. Da das Kind zu alt ist, um zusammen mit einem Elternteil aufgenommen zu werden, waren diese beiden Bedürfnisse nicht vereinbar. Die Ärztin löste das Problem mit der fehlenden Überwachung durch den Einsatz von WhatsApp.
Auch aus der Perspektive der Behandelnden gibt es viele Gründe, WhatsApp zu benutzen. Im Krankenhaus-Nachtdienst sind unerfahrenere Assistenzärzt:innen häufig alleine. Der erfahrenere Hintergrunddienst, zum Beispiel Ober- oder Stationsärzt:innen, ist in Bereitschaft und telefonisch erreichbar. Was aber tun, wenn ein EKG oder ein Röntgenbild beurteilt werden muss und Fragen offenbleiben? Das lässt sich am Telefon schlecht beschreiben. Dann müsste der Hintergrunddienst eigentlich in die Klinik fahren. Mit WhatsApp ein Foto des EKGs zu verschicken ist für alle schneller und bequemer.
Das Bedürfnis, Fragen schnell klären zu können, ist auch dem Zeitdruck geschuldet, der in den Arztpraxen und Krankenhäusern herrscht. Je mehr der schnelle Kommunikationskanal eingesetzt wird, desto stärker trägt das aber dazu bei, dass sich die Situation weiter verschärft.
Eine Umfrage des Deutschen Datenschutzinstituts bei 353 Krankenhaus-Ärzt:innen ergab, dass 54 Prozent schon einmal Befunde mit Messengern übermittelt haben. Immerhin achteten 84 Prozent darauf, dass Patienteninformationen auf Fotos unkenntlich gemacht werden. Aber die Hälfte speicherte Fotos von Patient:innen oder Befunden im Kameraverzeichnis ihres Smartphones.
Das hört sich alles so an, als ob ein großer Teil der deutschen Ärzt:innen mit einem Bein im Gefängnis steht, nicht wahr? Trotzdem ist mir bei den Recherchen kein einziger Fall untergekommen, in dem Ärzt:innen wegen WhatsApp verklagt wurden. Doch seitdem es die Datenschutzgrundverordnung gibt, steigt die Wahrscheinlichkeit für Klagen. Denn mit ihr kommt zur Schweigepflichtverletzung auch noch dazu, dass der Umgang mit personenbezogenen Daten bei WhatsApp nicht datenschutzkonform ist.
Wie weiter?
Was also können Ärzt:innen tun? Es gibt einige Programme, zum Beispiel von der Kassenärztlichen Bundesvereinigung, mit denen man auch sichere Kurznachrichten schicken kann. Das Problem ist: Oft funktionieren sie nur von stationären Rechnern aus, und es können sich nur Ärzt:innen untereinander austauschen. Patient:innen bleiben außen vor.
Bleiben also nur Lösungen von kommerziellen Anbietern. Und da gibt es schon jetzt einige, die sicherer sind als WhatsApp: Threema, Wire und Signal zum Beispiel. Und es gibt inzwischen einen Messenger, der für das Gesundheitswesen entwickelt wurde: Siilo. (Liste ist nicht vollständig.)
Man kann das Personal in Krankenhäusern regelmäßig erinnern, WhatsApp-Alternativen zu nutzen. Man kann auch Diensthandys mit eingeschränkten Funktionen verteilen, wie bei der Polizei in Nordrhein-Westphalen.
Aber damit hat man immer noch keine Lösung für die schnelle Kommunikation zwischen Patient:innen und Ärzt:innen. Deshalb bleibt wohl nur, WhatsApp zu zwingen, die Sicherheitsarchitektur von Grund auf zu ändern. Oder auf Einsicht aller Beteiligten zu hoffen.
Doch ich kenne es von mir selbst: Obwohl ich WhatsApp ablehne, bin ich nicht gefeit vor der Verlockung, wenn sich dadurch die Behandlung verbessern könnte. Und dafür gibt es sogar schon Belege: Eine 2015 veröffentlichte Studie fand Hinweise darauf, dass Patient:innen, bei denen das EKG per Messengerdienst an die Kardiolog:innen übermittelt wurde, schneller die optimale Behandlung bekommen. Der häufigste Messenger, der dabei genutzt wurde: WhatsApp.
Vielen Dank allen, die sich bei diesem Artikel beteiligt haben, allen voran Wolfgang, seines Zeichen Datenschutzbeauftragter einer Klinik. Des Weiteren herzlichen Dank an: Elisabeth, Rolf, Reinald, Ruth, Sandra, Aenne, Hinnerk, Daniel, Rebekka, Karl, Dennis, Monika, Ilka und Helga
Redaktion: Philipp Daum; Schlussredaktion: Vera Fröhlich; Bildredaktion: Verena Mayer.