Stellungnahme 2018_01_1 WhatsApp Apotheke

 

 

Stellungname 2018/001

Einsatz von WhatsApp in der Apotheke

Version 1.1 vom 30.1.2018

Zusammenfassung

Die Nutzung von WhatsApp ist nach Auffassung des Datenschutzbeauftragten der Apotheke zur Vorbestellung auch rezeptpflichtiger Medikamente zulässig, wenn geeignete Maßnahmen zum Schutz von persönlichen Daten Dritter getroffen werden.

 

Begründung

Sachverhalt

Die Löwen-Apotheke Aschaffenburg hat die App „WhatsApp“ der Firma WhatsApp Inc., 1601 Willow Road, Menlo Park, California 94025, Vereinigte Staaten von Amerika zur Vorbestellung von Arzneimitteln (auch rezeptpflichtigen Arzneimitteln) und anderen Abgabeartikeln der Apotheke im Einsatz.

An den Datenschutzbeauftragten der Löwen-Apotheke Aschaffenburg wurde die Frage nach der Zulässigkeit von WhatsApp zur Bestellung herangetragen und um eine datenschutzrechtliche Bewertung des Einsatzes von WhatsApp für Arzneimittelvorbestellungen gebeten.

 

Funktionsweise von WhatsApp

WhatsApp ist eine Messanger App für die private Nutzung auf Smartphones. Sie ermöglicht es Nachrichten, Bilder, Videos u.ä. zwischen zwei oder mehr Benutzern von WhatsApp auszutauschen. Die App ist der mit Abstand am häufigsten genutzte Messenger-Dienst in Deutschland und weltweit. In Deutschland wird die Nutzerzahl auf ca. 37 Mio. Nutzer geschätzt (Quelle: buggisch.wordpress.com) geschätzt.

Inzwischen ist auch eine „WhatsApp“ Business Version erhältlich, die funktional WhatsApp für Privatpersonen gleicht, sich aber ausdrücklich an KMU richtet und einige zusätzliche Funktionen bietet, wie z.B. die Möglichkeit einer Firmendarstellung.

An einer Funktion zum Auslesen der eigenen persönlichen Daten aus WhatsApp wird nach Aussagen der Firma gearbeitet.

Nach eigenen Aussagen überträgt WhatsApp die Daten End-to-End verschlüsselt von einem Nutzeraccount zum anderen. Damit ist nach Aussagen von WhatsApp sichergestellt, dass niemand, auch WhatsApp nicht, die Daten lesen kann.

Die Daten werden bei der Übertragung über weltweite Server geleitet. WhatsApp ist dem Privacy Shield Abkommen beigetreten, welches ein ähnliches Datenschutzniveau wie in Europa sicherstellen soll (https://www.privacyshield.gov/participant?id=a2zt0000000TSnwAAG&status=Active)

Bei der Installation von WhatsApp muss der Nutzer weitreichende Rechte auf die Daten seines Smartphones gewähren. So liest WhatsApp u.A. die auf dem Smartphone gespeicherten Kontakte inkl. Der Telefonnummern aus um anderen Nutzern anzuzeigen, ob eine Person über WhatsApp erreichbar ist oder nicht.

Datenschutzrechtliche Beurteilung

Nach derzeitigem Kenntnisstand ist die Übertragung der persönlichen Daten eines Benutzers sowie die Arzneimittel- und Rezeptdaten bei einer WhatsApp Nutzung ausreichend gegen Fremdzugriff geschützt.

Laut einem Test des Magazins renommierten IT-Magazins Heise.de ist die Verschlüsselung ausreichend und funktioniert. (https://www.heise.de/security/artikel/Test-Hinter-den-Kulissen-der-WhatsApp-Verschluesselung-3165567.html)

Aus Sicht des Datenschutzes ist die Tatsache problematisch, dass WhatsApp bisher anscheinend keine Verträge zur Auftragsdatenverarbeitung anbietet, auch nicht für die Business-Version. Auf Nachfrage kam von WhatsApp diesbezüglich bisher keine Antwort (Anfrage am 21.4.2018). Eine verbindliche vertragliche Regelung ist aber nach Art. 28, Abs 3 bei der Übertragung persönlicher Daten erforderlich.

Ein zweites Problem ist die Übertragung der Kontaktdaten aus dem Smartphone des Benutzers an WhatsApp, da i.d.R. keine Einwilligung der Personen aus dem Kontaktspeicher zur Übertragung an Dritte vorliegt. Eine Einwilligung ist aber nach Art. 6 Abs. 1 lit. a DSGVO notwendig.

Ein weiteres Problem könnte im Privacy Shield Abkommen liegen. Das Abkommen soll zwar ähnliche Datenschutzniveaus sicherstellen, die „Gruppe-29“, ein Zusammenschluss verschiedener Datenaufsichtsbehörden, hat aber Zweifel an dem Abkommen geäußert.

 

Abschlussbewertung

Die wirtschaftliche Bedeutung von WhatsApp als Bestellkanal ist für die Löwen-Apotheke Aschaffenburg erheblich. Nahezu alle Bestellungen erreichen die Apotheke über WhatsApp. Die alternativ angebotene, sichere Bestellmöglichkeit über ein Web-Formular wird nur in Einzelfällen genutzt. Durch die große Reichweite von WhatsApp wird die Bedeutung noch zunehmen.

Die datenschutzrechtlichen Bedenken können aus Sicht des Datenschutzbeauftragten durch einfache Maßnahmen zwar nicht beseitigt werde, aber nichts desto trotz auf ein akzeptables Maß verringert werden.

Daher ist aus Sicht des Datenschutzbeauftragten ein Einsatz von WhatsApp zur Vorbestellung von Arzneimitteln (auch rezeptpflichtigen Arzneimitteln) und anderen Abgabeartikeln nach Art. 6 Abs. 1 lit. f DSGVO, „Interesse des Verantwortlichen“ möglich, wenn folgende Maßnahmen ergriffen werden:

  1. WhatsApp muss auf einem nur zu diesem Zweck genutzten Smartphone installiert werden.
  2. Auf diesem Smartphone dürfen keine Kontakte gespeichert werden.
  3. Es muss eine alternative, sichere Bestellmöglichkeit angeboten werden, um Kunden, die eine Verwendung von WhatsApp ablehnen eine Möglichkeit zur Vorbestellung zu geben.
  4. Die Nutzer sind auf der Webseite im Bereich für Vorbestellungen der Löwen-Apotheke Aschaffenburg über die datenschutzrechtlichen Bedenken und Gefahren beim Einsatz von WhatsApp hinzuweisen. Da die Nutzung von WhatsApp nicht an die Webseite gebunden ist, entfällt die Möglichkeit einer expliziten Einwilligung. Daher ist der Nutzer darauf hinzuweisen, dass er bei Benutzung von WhatsApp für eine Bestellung bestätigt, die Anmerkungen zur Nutzung von WhatsApp gelesen und verstanden zu haben.
    Wenn möglich sollte vor Mitteilung der Telefonnummer ein Popupfenster mit Kenntnisnahme erfolgen.
  5. Nach Abholung der Arzneimittel ist der WhatsApp Chatverlauf komplett zu löschen.
  6. Es sollte WhatsApp Business verwendet werden. Dabei sollte eine automatische Antwort auf jede Kontaktaufnahme eingestellt werden.

Ferner ist zu prüfen, ob WhatsApp Inc. für WhatsApp Business einen Vertrag zur Auftragsverarbeitung zur Verfügung stellt. In diesem Fall sollte der Verantwortliche den Vertrag abschließen.

Die Bedingungen zur Nutzung von WhatsApp sollten ferner in die Datenschutzerklärung der Webseite aufgenommen werden.

10.5.18
Michael Jost

Datenschutzbeauftragter

 

Version

Datum

Verantwortlicher

Änderungen

1.0

20.4.18

Jost

Erstellung

1.1

2.5.18

Jost

Update, Sprachregelung WhatsApp Business

 

 

 

 

 

 

Anhang

Vorschlag zum Hinweis auf der Webseite und im Firmenprofil von WhatsApp Business zur Nutzung von WhatsApp

Der Schutz der gesundheitsbezogenen Daten unserer Kunden ist uns sehr wichtig

Daher stellen wir eine Lösung zur Vorbestellung von Medikamenten zur Verfügung, die eine sichere Kommunikation zwischen Patient und Apotheke gewährleisten und den Inhalt der Nachricht verschlüsselt und vor jeglichem Dritten schützen. Das heißt, dass selbst der App Betreiber keine Möglichkeit hat den Klartext (unverschlüsselte Daten) zu lesen. Diesen Service finden Sie hier.

Alternativ können Sie Ihre Bestellung auch telefonisch bei uns durchführen.

Sollten Sie dennoch WhatsApp nutzen wollen, möchten wir Sie darauf hinweisen, dass ausschließlich die die AGB und Datenschutzrichtlinien von WhatsApp Inc. gelten.

Da wir die Nutzung von WhatsApp aus Datenschutzgründen nicht empfehlen, übernimmt unsere Apotheke keine Haftung oder Verantwortung für Ihre Daten bei der Nutzung von WhatsApp.

Aus Datenschutzgründen wird bei einer Nutzung von WhatsApp Ihre Telefonnummer nicht gespeichert, nicht für Werbezwecke genutzt und nach Abholung Ihrer Bestellung der komplette Chatverlauf in WhatsApp gelöscht. Antworten auf Nachfragen werden ohne Ihre personenbezogenen Daten erfolgen.

Mit der Nutzung von WhatsApp akzeptieren Sie die o.g. Bedingungen.

 

Hinweis in Whatsapp Business (automatische Antwort)

" Herzlichen willkommen bei unserer Apoheke.
Da wir die Nutzung von WhatsApp aus Datenschutzgründen nicht empfehlen, bitten wir Sie Bestellungen telefonische oder über die Bestellfunktion auf unserer Webseite zu tätigen.
Bei Nutzung von WhatsApp gelten nur die WhatsApp-Datenschutzbedingungen. Mit der Nutzung von WhatsApp akzeptieren Sie unsere WhatsApp-Bedingungen unter Link. [Link auf den WhatsApp Text auf der Webseite]."