DSGVO und WhatsApp: Was eine Praxis über Gesundheitsdaten wissen muss
Die Kommunikation mit Patienten über WhatsApp wirft berechtigte Fragen auf: Wo werden die Daten gespeichert, wer hat Zugriff darauf und was passiert im Falle einer behördlichen Überprüfung?

Gesundheitsdaten gehören zu den Kategorien, die durch die DSGVO am stärksten geschützt werden – und das zu Recht. Eine Klinik, die sich dafür entscheidet, mit Patienten über WhatsApp zu kommunizieren, trägt daher eine größere Verantwortung als ein Geschäft oder ein Restaurant: Es reicht nicht aus, dass die Kommunikation effektiv ist, sie muss auch den Vorschriften entsprechen.
Was ändert sich, wenn es sich um Gesundheitsdaten handelt?
Schon die Vereinbarung eines Termins an sich ist eine Angabe, die Aufschluss über die Gesundheit einer Person gibt – allein die Tatsache, dass ein Termin bei einem bestimmten Facharzt vereinbart wurde, kann sensibel sein. Das bedeutet, dass jedes System, das zur Verwaltung dieser Kommunikation verwendet wird, die Anforderungen an die Verarbeitung sensibler Daten erfüllen muss: Datenminimierung, Zweckbindung und Kontrolle darüber, wer auf die Informationen zugreift.
Wo befinden sich die Daten?
Die eigene Infrastruktur von WhatSMS – auf der die von der Plattform verwalteten Unterhaltungen und Kontaktdaten gespeichert werden – befindet sich auf europäischen Servern, was dem von der Plattform beschriebenen Ansatz für Datenschutz und Datensicherheit entspricht. Dies allein löst jedoch nicht das gesamte Problem: WhatsApp wird von Meta betrieben, und jede über diesen Kanal gesendete Nachricht durchläuft die Infrastruktur von Meta als Unterauftragsverarbeiter, unabhängig davon, wo WhatSMS seine eigene Kopie speichert. Eine Klinik, die Gesundheitsdaten über WhatsApp übermittelt, muss dies bei ihrer Risikoanalyse berücksichtigen – es handelt sich nicht um ein Problem, das sich allein dadurch löst, dass man eine Plattform mit Servern in Europa wählt.
Einwilligung und Transparenz
Die DSGVO schreibt vor, dass die betroffene Person wissen muss, wie ihre Daten verarbeitet werden. In der Praxis bedeutet dies, dass die Klinik die Patienten darüber informieren muss, dass die Kommunikation über WhatsApp über eine Plattform abgewickelt wird – was durch einen einfachen Hinweis in der ersten Nachricht oder im Rahmen des Patientenaufnahmeprozesses geregelt werden kann.
Zugang für das Team
Nicht jeder in der Praxis muss alle Unterhaltungen einsehen können. Das System ermöglicht es, festzulegen, wer innerhalb des Teams Zugriff auf welche Informationen hat – was besonders dann wichtig ist, wenn mehrere Fachkräfte tätig sind und nur einige von ihnen die Krankengeschichte eines bestimmten Patienten einsehen dürfen.
Was die Klinik nicht voraussetzen sollte
In einem Punkt muss man ganz klar sein: Kein Tool allein sorgt dafür, dass eine Praxis „automatisch“ die Anforderungen der DSGVO erfüllt. Die Konformität hängt auch von den internen Prozessen der Klinik ab – wer Zugriff auf welche Daten hat, wie Daten gelöscht werden, wenn sie nicht mehr benötigt werden, und wie auf einen Antrag eines Patienten auf Auskunft oder Löschung reagiert wird. Die Plattform bietet die technische Grundlage – Daten in Europa, Zugriffskontrolle, Datenexport –, doch die Nutzungsrichtlinien liegen weiterhin in der Verantwortung der Klinik.
Wenn Sie konkrete Fragen zu Ihrem Fall haben, sollten Sie diese klären, bevor Sie die Kommunikation der Praxis auf einen neuen Kanal umstellen — ein kostenloses Konto zu erstellen ermöglicht es Ihnen, die technische Funktionsfähigkeit der Plattform zu testen, während diese Prüfung stattfindet.
Häufig gestellte Fragen
Wie lange werden die Daten eines Patienten auf der Plattform gespeichert?
Die Aufbewahrung muss dem Grundsatz der Datenminimierung der DSGVO folgen – die Daten dürfen nur so lange aufbewahrt werden, wie sie für den Zweck der Kommunikation erforderlich sind, und die konkrete Aufbewahrungsrichtlinie wird von der Praxis festgelegt und nicht von der Plattform vorgegeben.
Muss der Patient ausdrücklich zustimmen, über WhatsApp kontaktiert zu werden?
Die DSGVO verlangt Transparenz hinsichtlich der Datenverarbeitung – die Klinik muss den Patienten darüber informieren, dass die Kommunikation über eine Plattform erfolgt, beispielsweise durch einen Hinweis in der ersten Nachricht oder im Rahmen des Aufnahmeprozesses.
Kann ein Patient verlangen, dass seine Daten gelöscht werden?
Ja, das Recht auf Löschung ist eines der in der DSGVO vorgesehenen Rechte, und die Bearbeitung dieses Antrags liegt weiterhin in der Verantwortung der Klinik, die dabei durch die technischen Tools der Plattform zum Export und zur Löschung von Daten unterstützt wird.
Ist die Verwendung von WhatsApp zur Übermittlung von Gesundheitsdaten an sich durch die DSGVO verboten?
Es ist nicht verboten, erfordert jedoch eine sorgfältige Risikoanalyse, da WhatsApp von Meta als Unterauftragsverarbeiter betrieben wird – die Klinik sollte dies berücksichtigen, wenn sie entscheidet, welche Informationen sie über diesen Kanal weitergibt.
Stellt die Plattform die Praxis automatisch in Übereinstimmung mit der DSGVO?
Nein. Die Plattform bietet die technische Grundlage – Daten in Europa, Zugriffskontrolle, Datenexport –, doch die Einhaltung der Vorschriften hängt auch von den internen Abläufen der Praxis ab.
Bereit, WhatSMS auszuprobieren?
14 Tage kostenlos, ohne Kreditkarte. Fügen Sie eine Kreditkarte hinzu und erhalten Sie 30 Tage.
Kostenlos starten