Bedenklicher Service |
 | 16.01.2017 10:39 Uhr |
Von Patricia Kühnel / Der Mitteilungsdienst WhatsApp ist sehr populär. Auch viele Apotheken nutzen die Smartphone-Anwendung und bieten ihren Kunden darüber einen Bestellservice für Medikamente an. Datenschutzrechtlich ist dies höchst fraglich.
WhatsApp wird als populäre Nachrichtenapp weltweit nicht nur zur Übermittlung privater Nachrichten genutzt. Auch zahlreiche Apotheken möchten von dieser schnellen und unkomplizierten Kommunikationsform profitieren und bieten ihren Kunden einen Bestellservice unter Nutzung von WhatsApp an. Dabei kann der Kunde beispielsweise ein Medikament per App schriftlich oder durch Übermittlung eines Rezeptfotos an die Apotheke vorbestellen. Das bietet den Vorteil, dass das Medikament bereits vorrätig ist, wenn der Kunde in die Apotheke kommt und damit zusätzliche Wege oder der Einsatz des Botendienstes vermieden werden können.
Foto: Shutterstock/chaivit chana
Was so bequem und naheliegend erscheint, ist datenschutzrechtlich jedoch bedenklich. Denn der Kunde teilt bei einer Bestellung per WhatsApp in der Apotheke neben den Angaben zu seiner Person auch Daten zu Medikamenten mit. Solche Daten und Rezeptkopien sind besonders sensible Gesundheitsdaten. Im Sinne des Bundesdatenschutzgesetzes handelt es sich um sogenannte besondere Arten personenbezogener Daten.
Spezieller Schutz
Darüber hinaus sind auch Telefonnummer und IP-Adresse personenbezogene Daten. Solche Daten genießen einen speziellen Schutz und müssen in besonderer Weise, zum Beispiel bei der Datenübermittlung, gesichert werden.
Bei der Nachrichtenübermittlung per WhatsApp soll laut Anbieter eine sogenannte Ende-zu Ende-Verschlüsselung erfolgen. Das bedeutet, dass Inhalte, also Nachrichten, Fotos, Videos, Sprachnachrichten, Dokumente und Anrufe verschlüsselt übermittelt werden und nur der Absender und der Empfänger diese lesen können.
Ungeachtet dessen besteht jedoch die Möglichkeit, sogenannte Metadaten zu erheben, wovon der Anbieter WhatsApp dem Vernehmen nach auch Gebrauch macht. Dabei handelt es sich um Informationen zu anderen Daten, wie etwa um Tag und Dauer der Datenübertragung, Datenumfang, IP-Adresse, Telefonnummer oder Ähnliches.
Detaillierte Profile
Werden diese Metadaten in großen Mengen gesammelt, besteht die Möglichkeit, ziemlich genaue Benutzerprofile anzulegen. Hinzu kommt, dass nicht eindeutig geklärt ist, ob und wenn ja welche Daten an den Mutterkonzern Facebook weitergegeben werden. WhatsApp ist ein amerikanischer Dienstleister, der für die US-Behörden Zugriffsmöglichkeiten bereithalten muss.
Sofern die Apotheke WhatsApp für die geschäftliche Nutzung verwenden will, wären darüber hinaus umfangreiche vertragliche Regelungen zur Auftragsdatenverarbeitung im Sinne von § 11 Bundesdatenschutzgesetz zwischen der Apotheke und WhatsApp erforderlich, deren Vereinbarung und Umsetzung sich problematisch darstellen dürfte.
Im Ergebnis erscheint die geschäftliche Nutzung von WhatsApp für die Übertragung sensibler Daten nicht geeignet. Die Verantwortung für die Nutzung solcher Dienste liegt zwar primär bei der Person (Kunde), die diese anwendet, um beispielsweise unter Nutzung der Kontaktdaten entsprechende Artikel in der Apotheke vorzubestellen. Die Apotheke sollte jedoch davon Abstand nehmen, gezielt Werbung für diese Möglichkeit zu betreiben und den Kunden nicht ausdrücklich zur Nutzung von WhatsApp für die Bestellung von Medikamenten auffordern.
Sensible Daten
Bietet die Apotheke dem Kunden bestimmte Bestellmöglichkeiten als konkreten Apothekenservice an, muss sie einen dem Inhalt der Datenübermittlung entsprechenden – also in diesem Fall für sensible Daten – adäquaten und sicheren Weg anbieten. Darüber hinaus sollte sich die Apotheke gründlich informieren, wie WhatsApp aktuell Datenschutz und Datensicherheit der Daten seiner Nutzer sicherstellt. /
