Sichere PatientInnenkommunikation per WhatsApp?

Von Mag. Isabell Feil | med.ium 9+10/2025

Die Frage, ob und wie ÄrztInnen WhatsApp für die PatientInnenkommunikation nützen können, sorgt immer wieder für Diskussionen. Aufgrund der Vorteile der Nutzung von Messenger-Diensten ist dies auch im Gesundheitswesen zu überlegen. Ein großer Vorteil liegt insbesondere in der schnellen und unkomplizierten Kommunikation mit den PatientInnen und der schnellen gegenseitigen Erreichbarkeit im Berufsalltag. Auch PatientInnen nehmen dieses Angebot gerne in Anspruch, da sie auf diese Weise eine schnelle Nachricht an die behandelnden ÄrztInnen übermitteln können und sich dadurch längere Wege ersparen.

WhatsApp stößt aber bei der digitalen PatientInnenkommunikation an seine Grenzen. Aus praktischen Gründen wäre, wie bereits ausgeführt, die Nutzung von WhatsApp für PatientInnen insbesondere für Terminvereinbarungen, Nachfragen zu Befunden oder die rasche Einschätzung von Symptomen ideal. Die Herausforderungen beginnen jedoch damit, dass WhatsApp für die private Kommunikation entwickelt wurde und nicht für die Übermittlung sensibler PatientInnendaten.

Die rechtlichen Problemfelder, die sich hier ergeben, sind die Einhaltung der ärztlichen Verschwiegenheitspflicht sowie das Datenschutzrecht:

1. ärztliche Verschwiegenheitspflicht:

   ÄrztInnen unterliegen gemäß § 54 Ärztegesetz der Verschwiegenheit. Daher dürfen ÄrztInnen Informationen, die ihnen von PatientInnen anvertraut worden sind, nicht ohne Weiteres an Dritte weitergeben. Die ärztliche Verschwiegenheit stellt den Grundpfeiler und zentralen Bestandteil des ärztlichen Berufsrechtes und dem vertrauensvollen ÄrztInnen-PatientInnen-Verhältnis dar. WhatsApp verarbeitet jedoch Metadaten, sprich wie, wer, wann, mit wem schreibt. Konkret bedeutet dies, dass bei der Nutzung von WhatsApp auf sämtliche im Mobilgerät gespeicherten Daten zugegriffen werden kann, diese auch abgeglichen werden können und somit die Behandlungsbeziehung offengelegt ist. Folglich können daraus auch Rückschlüsse auf das ÄrztInnen-PatientInnen-Verhältnis und auf die Art der Behandlung gezogen werden. Daraus ist bereits ein potentieller Verstoß gegen die ärztliche Verschwiegenheit abzuleiten. 

   Inwieweit eine konkrete Kommunikation über WhatsApp einen Verstoß gegen die ärztliche Verschwiegenheit darstellt, hängt davon ab, ob überhaupt eine rechtsgültige PatientInneneinwilligung zustande kommen kann und wie diese im konkreten Einzelfall zu beurteilen ist. Eine gefestigte Rechtsprechung dazu gibt es noch nicht. Derzeit ungeklärt bleibt – im Zusammenhang mit der ärztlichen Verschwiegenheitspflicht – die Frage, ob eine konkludente PatientInneneinwilligung in die Kommunikation mit WhatsApp dann als rechtsgültig anzusehen ist, wenn PatientInnen selbst WhatsApp nutzen und von sich aus die Kommunikation mit den ÄrztInnen aufnehmen. Der Gesetzgeber und die Rechtsprechung verlangen jedenfalls, dass die Bedeutung und Tragweite der Entscheidung überblickt werden kann und über die Einschaltung und Zugriff Dritter unterrichtet wird. Dies ist aufgrund der Komplexität und Undurchsichtigkeit bei WhatsApp fragwürdig.

2. datenschutzrechtliche Problematiken:

   Sobald WhatsApp auf dem Smartphone installiert wird, greift die App automatisch auf alle gespeicherten Kontakte zu und sohin auch auf PatientInnenkontakte, welche die App selbst gar nicht nutzen. Es findet somit eine Verarbeitung personenbezogener Daten statt. Werden im Chat Diagnosen, Befunde oder andere Gesundheitsdaten übermittelt, findet darüber hinaus noch eine Verarbeitung besonderer Kategorien personenbezogener Daten, der Gesundheitsdaten, statt, die als besonders schützenswert zu qualifizieren sind. Es landen jedenfalls alle Daten auf den Servern von Meta, dem Mutterkonzern von WhatsApp. Die Server befinden sich jedoch häufig außerhalb der EU und dort gelten meist nicht die strengen Datenschutzstandards bzw. jedenfalls andere Vorschriften.

Kann datenschutzrechtlich Abhilfe durch eine rechtskonforme PatientInneneinwilligungserklärung geschaffen werden?

Es liegt nahe anzunehmen, dass durch eine einfache unterschriebene Einwilligungserklärung der PatientInnen die oben angeführten Problematiken vermieden werden können. Rechtlich betrachtet trifft diese Beurteilung jedoch nicht zu. Auch mit der Einwilligung bleibt die Nutzung von WhatsApp für ÄrztInnen problematisch. Eine Einwilligung in die Verarbeitung personenbezogener Daten ist dann als rechtmäßig zu beurteilen, wenn diese für einen bestimmten Zweck erteilt wurde. Dies könnte auch in Form einer eindeutigen bestätigenden Handlung erfolgen. Offen bleibt die Frage, ob die Kontaktaufnahme durch PatientInnen durch den installierten WhatsApp-Dienst als eine solch bestätigende Handlung zu qualifizieren ist. Doch selbst dies entbindet ÄrztInnen nicht, sorgsam mit PatientInnendaten umzugehen. Hier ist Zurückhaltung geboten. Eine Einwilligung hinsichtlich der Offenlegung von Gesundheitsdaten bedarf darüber hinaus jedenfalls einer ausdrücklichen Einwilligung.

Darüber hinaus kann eine Einwilligung in die Verarbeitung personenbezogener bzw. sensibler Daten nur rechtskonform erfolgen, wenn ÄrztInnen ihre PatientInnen hinsichtlich einer undurchsichtigen Datenverarbeitung als NichtjuristInnen über sämtliche Risiken, die mit der Art der Datenverarbeitung und der Datenweitergabe an Dritte (Server von WhatsApp außerhalb der EU – Verstoß gegen DSGVO) verbunden sind, aufklären können. Eine derart weitgehende Aufklärung ist für ÄrztInnen wohl unmöglich zu bewerkstelligen.

Selbst wenn Nachrichten Ende-zu-Ende verschlüsselt sind, bietet die App keinen Schutz vor der Verarbeitung von Metadaten oder unberechtigten Zugriffen, die in den Medienspeicher des jeweiligen ärztlichen Smartphones gelangen können. Es ist festzuhalten, dass es ÄrztInnen nicht möglich ist, durch geeignete technische organisatorische Maßnahmen die Sicherheit bei der Verarbeitung von personenbezogenen Daten oder Gesundheitsdaten im Rahmen der WhatsApp Kommunikation gewährleisten zu können. 

Über welche Kanäle/Plattform kann PatientInnenkommunikation rechtskonform erfolgen?

Mittlerweile wurde WhatsApp Business API für Unternehmen entwickelt. In Kombination mit sicheren Messaging-Plattformen aus Österreich oder Deutschland kann somit WhatsApp genutzt werden, ohne die sensiblen Daten der PatientInnen zu gefährden. 

Bei WhatsApp Business API erfolgt die Speicherung nicht mehr auf WhatsApp-Servern und viele Anbieter garantieren die Datenverarbeitung über Server in Österreich und Deutschland. Dies sollte vom jeweiligen Anbieter auch schriftlich bestätigt werden. Weiters gibt es bei der Nutzung ein Opt-in-Verfahren, d.h. PatientInnen müssen aktiv zustimmen, bevor sie Nachrichten erhalten. Es gibt zudem eine einheitliche Oberfläche, damit Nachrichten über verschiedene Kanäle verwaltet werden können, ohne den Überblick zu verlieren.

In der PatientInnenkommunikation kann auch auf andere vergleichbare Apps, die explizit für das Gesundheitswesen entwickelt wurden und hohe datenschutzrechtliche Standards aufweisen, umgestellt werden. Hier sind beispielsweise die Messenger-Dienste von medSpeak, Siilo, MediOne oder Hospify anzuführen.

Zusammengefasst festzuhalten ist, dass WhatsApp zwar für den privaten Bereich eine komfortable Kommunikationsmöglichkeit darstellt, im beruflichen Umfeld jedoch nur in Form von WhatsApp Business API genutzt werden sollte, um eine sichere PatientInnenkommunikation im Sinne des Datenschutzes und der ärztlichen Verschwiegenheit gewährleisten zu können. Ansonsten stehen zur rechtskonformen und adäquaten Nutzung noch explizit für das Gesundheitswesen entwickelte Messenger-Dienste zur Verfügung.