Datenschutz bei der Nutzung von WhatsApp in Verbindung mit Ihrer Apotheke

Die Herausforderungen

Wer als Inhaber einer Apotheke Messenger-Dienste, allen voran WhatsApp, als Kommunikationskanal anbietet, ist dafür auch verantwortlich. Dies betrifft v.a. die Gewährleistung einer sicheren Datenübermittlung. Konkrete datenschutzrechtliche Herausforderungen sind in diesem Zusammenhang:

• In seinen Grundversionen synchronisiert WhatsApp automatisch alle Kontakte mit dem Anbieter, d.h. es kommt zu Übertragungen der im Endgerät gespeicherten Daten. Eine eindeutige Rechtsgrundlage hierfür ist nicht ersichtlich.
• Ist die automatische Backup-Funktion aktiviert, werden Chat-Verläufe unverschlüsselt z.B. in der Google- oder Apple-Cloud gespeichert. Ein Zugriff Unbefugter kann dabei nicht sicher ausgeschlossen werden.
• Insbesondere bei der Übermittlung von sensiblen Daten (z.B. Gesundheitsdaten) ist grundsätzlich auf eine Verschlüsselung dieser Daten Wert zu legen.
• Da es sich bei übermittelten Patientendaten zudem um strafrechtliche geschützte sog. Berufsgeheimnisse handelt, dürfen diese Dritten (WhatsApp) nicht ohne weiteres offenbart werden.
• Sofern Daten in sog. Drittstaaten übermittelt werden, bedarf dies einer zusätzlichen Rechtfertigung.

Die Lösung

Ihre Apotheke arbeitet mit 360dialog - einem genehmigten Business Solution Provider - und weiteren Softwareanbietern zusammen, um WhatsApp als Kommunikationsmittel in der Apotheke anbieten zu können. Folgende Aspekte führen dabei zu einem DSGVO-konformen Einsatz:

• Im Rahmen der Nutzung der WhatsApp-Infrastruktur erfolgt die Übermittlung Ende-zu-Ende-verschlüsselt, d.h. (sensible) Nachrichteninhalte können insoweit nicht eingesehen werden
• Im Übrigen erfolgt zumindest eine sog. Transportverschlüsselung, wobei zusätzlich eine Einwilligung der Nutzer in diese Übermittlungsform eingeholt wird.
• Nachrichten werden automatisch nach konfigurierter Zeit (90 Tage) gelöscht und können darüber hinaus können jederzeit manuell von der jeweiligen Apotheke gelöscht werden.
• Zwischen allen beteiligten Anbietern bestehen Datenschutzvereinbarungen, die rechtskonforme Datenübermittlungen sicherstellen.
• Die gesetzliche Pflicht der Apotheken, Patientendaten vertraulich zu behandeln, wird mittels entsprechender Verpflichtungserklärungen in der gesamten „Kette“ – von der Apotheke über die involvierten Anbieter bis hin zum Endnutzer – gewährleistet.

Senden Sie uns eine Nachricht per WhatsApp wird diese von WhatsApp verschlüsselt und Ende-zu Ende zunächst an das WhatsApp-Netzwerk und schließlich an 360dialog übergeben – lediglich Metadaten (z.B. zu Absender und Empfänger, Uhrzeit, Nachrichtentyp) sind für WhatsApp zugreifbar, aber zu keiner Zeit die Inhalte Ihrer Nachricht!

360dialog ist offizieller WhatsApp Business API Partner, deren Server sich in Deutschland befinden und der eine spezielle Software von WhatsApp auf eigener Infrastruktur betreibt.

360dialog entschlüsselt Ihre Nachricht und sendet diese an Server von Healvi und Digitale Offizin, die auch ihre Standorte in Deutschland haben. Healvi und Digitale Offizin stellen Ihrer Apotheke die Software zur Verfügung, mit der die Bearbeitung Ihrer Nachrichten stattfindet. Dies geschieht über eine Server-zu-Server Verbindung, gesichert mittels SSL (ein Protokoll, das sich zwischen den Webserver und den Client schaltet, um die Datenübertragung zu verschlüsseln).

Antwortet Ihre Apotheke Ihnen verläuft der Weg umgekehrt, und die Nachricht der Apotheke wird erst auf Ihrem Endgerät entschlüsselt.