Die Videosprechstunde hat in den letzten Jahren immer mehr an Bedeutung gewonnen, insbesondere während der Corona-Pandemie. Das digitale Gespräch zwischen Behandler und Patient bietet viele Vorteile, birgt aber auch Risiken im Hinblick auf den Datenschutz.
Der Verbraucherzentrale Bundesverband e. V. (vzbv) hat sich kürzlich mit dem Thema Videosprechstunde und Datenschutz beschäftigt und Anfang Februar 2023 einen Bericht mit dem Titel „Datenschutz bei Videosprechstunden“ über die Ergebnisse einer Untersuchung von neun Telemedizin-Plattformen und Arzttermin-Portalen, die Videosprechstunden anbieten, veröffentlicht. Dabei wurden solche Videodienstanbieter für die Untersuchung ausgewählt, „bei denen Verbraucher:innen die Initiative des Kontaktes, der zur Videosprechstunde führt, übernehmen“ (vzbv-Bericht, S. 7). Von den neun untersuchten Anbietern sind acht auf der Liste der Kassenärztlichen Bundesvereinigung (KBV) als zertifizierte Anbieter geführt und ein Anbieter hat kein Zertifikat (vgl. vzbv-Bericht, S. 8).
Die Inhaltsanalyse fand laut vzbv auf Basis der Datenschutzerklärungen (DSE) der Videosprechstundenanbieter statt, wobei eine Prüfung der Videosprechstunde selbst nicht erfolgte. Im Bericht heißt es dazu: „Grundlage der Prüfung sind die frei zugänglichen Informationen auf der Webseite und in der jeweiligen App. Es erfolgte keine Teilnahme an einer Videosprechstunde“ (vzbv-Bericht, S. 9).
Auch der Untertitel des Berichts – „Eine Analyse der Datenschutzerklärungen von Telemedizin-Plattformen und Arzttermin-Portalen“ – macht den Fokus deutlich. Doch ist das alleine schon ausreichend, um Aussagen über den Datenschutz bei solchen Tools treffen zu können?
Die Prüfung von Videosprechstunden
Bevor wir weiter auf den Analysebericht des vzbv eingehen, ist es wichtig zu wissen, wie der „offizielle“ Evaluationsprozess von Videosprechstunden durch Prüfstellen verläuft. Denn: Alle kassenärztlich abrechenbaren Videosprechstunden müssen datenschutzrechtlich und sicherheitstechnisch zertifiziert sein. Die Evaluierung orientiert sich hierbei an den Vorschriften der DSGVO sowie an den speziellen Vorgaben der Anlage 31b BMV-Ä auf der Grundlage des § 365 SGB V.
Die Evaluierung erfolgt anhand eines vordefinierten Prüfkriterienkatalogs der Zertifizierungsstelle. Zunächst wird im Rahmen eines Auftaktgesprächs zusammen mit dem Videosprechstundenanbieter der Evaluationsgegenstand sehr konkret definiert. Folglich sind sonstige Datenverarbeitungsprozesse außerhalb der Videosprechstunde, etwa andere Websites der Anbieter oder deren Social-Media-Auftritte nicht Gegenstand der Evaluierung. Das ergibt Sinn, da auf den anderen Webauftritten schließlich keine Videosprechstunde stattfindet.
Folgendes Beispiel soll dies verdeutlichen: Ein Anbieter betreibt die Websites www.beispielkunde.de und www.videosprechstunde.beispielkunde.de. Geprüft wird dann nur die Website www.videosprechstunde.beispielkunde.de, da nur über diese URL die Videosprechstunde erreichbar ist. Diese (Sub-)Domain bzw. die URL ist dann der Evaluierungsgegenstand der Zertifizierung. Wichtig: Im späteren Zertifikat (genaugenommen erteilen wir einen Prüfnachweis), das nach einer erfolgreichen Prüfung ausgestellt wird, ist die geprüfte Website dann auch explizit genannt. Es können auch mehrere Websites des Anbieters Gegenstand der Evaluation sein, dann werden aber dementsprechend mehrere URLs im Zertifikat aufgelistet. Wie ein solches Zertifikat aussieht, sehen Sie bspw. hier, indem Sie auf einen beliebigen Prüfnachweis klicken.
Aber zurück zum Evaluationsprozess: Sodann erfolgt eine ausführliche Prüfung durch Experten. Die Ergebnisse der Evaluation werden dokumentiert und der Zertifizierungsstelle vorgelegt. Sind alle Anforderungen an den Datenschutz und die Informationssicherheit der Videosprechstunde erfüllt, kann ein Zertifikat vergeben werden. Zertifizierte Anbieter sind bei der KBV gelistet, wie oben bereits erwähnt.
Handwerkliche Mängel im Bericht des vzbv: Was wurde überhaupt geprüft?
Beim Vergleich dieses komplexen Evaluationsprozesses mit dem Analysebericht des vzbv stellt sich besonders aus zwei Gründen die Frage, wie aussagekräftig dieser Bericht überhaupt sein kann. Zum einen erfolgte, wie anfangs schon beschrieben, die Untersuchung bzw. Inhaltsanalyse seitens des vzbv nach eigener Aussage lediglich auf Basis der Datenschutzerklärung und auf Grundlage der für die Öffentlichkeit frei zugänglichen Informationen. Die Videosprechstunde selbst wurde nicht geprüft.
Zum anderen ist es die unzureichende Dokumentation der Untersuchung im Bericht, die es schwierig macht, nachzuvollziehen, was denn nun überhaupt geprüft wurde. Also schlicht die Frage: Zu welcher Website gehörte denn die jeweilige Datenschutzerklärung? Im Analysebericht des vzbv wird dies nicht explizit dargelegt. Sofern auf die Datenschutzerklärungen Bezug genommen wird, werden in den Fußnoten nur die Namen der Anbieter, nicht aber die jeweiligen URLs erwähnt. Hier fehlt ein transparenter Verweis auf die geprüften URLs. Kann es also möglich sein, dass Datenschutzerklärungen geprüft worden sind, die gar nicht zur Website der Videosprechstunde gehören, sondern vielleicht zu einer sog. Präsentationsseite, auf der der Anbieter sein Tool nur vorstellt? Nehmen wir nochmal das Beispiel vom Anfang, dann wäre www.beispielkunde.de die Website, auf der sich der Anbieter präsentiert, aber die Website www.videosprechstunde.beispielkunde.de ist die Website, die ein Patient besuchen würde, um die Anwendung zu nutzen. Also zwei unterschiedliche Dinge und ein ganz entscheidender Punkt.
Die Frage, welche Datenschutzerklärung und damit welche Website überhaupt analysiert wurde, stellt sich u. a. angesichts der folgenden Aussage im Bericht des vzbv: „Die Analyse der angegebenen Zwecke zeigt bei allen Anbietern bis auf einen in der DSE die Einbindung von Tracking-Anbietern, die das Verhalten von Nutzer:innen, zum Beispiel für Marketingzwecke, Profiling, Social Media oder Nutzungsanalysen u. a. über Cookies, verfolgen, sammeln und verwerten können“ (vzbv-Bericht, S. 12). Des Weiteren soll festgestellt worden sein, dass Übermittlungen in Länder außerhalb der EU stattgefunden haben, teils sogar mehrheitlich in die USA (vgl. vzbv-Bericht, S. 15).
ABER: Wäre das tatsächlich der Fall, dann hätten die jeweiligen Anbieter niemals zertifiziert werden dürfen. Die Einbindung solcher Dienste wäre den Evaluatoren bei der Prüfung ebenso aufgefallen wie die Übermittlung in Drittländer. Und somit gäbe es auch kein Zertifikat.
Daher liegt hier die Vermutung nahe, dass bei der Untersuchung des vzbv die Verfasser nicht die Website der Videosprechstunde und die dazugehörige Datenschutzerklärung einer Prüfung unterzogen haben, sondern eine andere Website des Anbieters (und die dazugehörige Datenschutzerklärung). Damit wären dann die Schlussfolgerungen, die die Verfasser daraus im Bericht ziehen, natürlich falsch.
Um es noch einmal deutlich zu sagen: Nur die Videosprechstunden-Website ist Gegenstand der Evaluierung. Hier findet die Videosprechstunde zwischen Behandler und Patient statt und nur diese Datenverarbeitung ist für die Zertifizierung letztendlich relevant. Welche Dienste ggf. auf einer anderen Website des Anbieters verwendet werden, ist nicht ausschlaggebend.
Im Gegensatz zur reinen Prüfung der Datenschutzerklärung erfolgt im Rahmen des Evaluationsprozesses eine intensive datenschutz- und informationssicherheitstechnische Prüfung der Videosprechstunden-Website. Kritische Datenverarbeitungen, wie der Einsatz von Reichweitenmessungen oder Datenübermittlungen in Drittstaaten, fallen daher im Rahmen einer Evaluation direkt auf.
Zwischen den Evaluatoren erfolgt eine Simulation einer Videosprechstunde in der Rolle eines Behandlers und eines Patienten. In dieser Simulation liegt das Hauptaugenmerk u. a. auf der Einhaltung der Ende-zu-Ende-Verschlüsselung. Ferner erfolgt die Prüfung, ob und welche Cookies im Einzelfall auf der Videosprechstunden-Webseite verwendet werden. Es wird genau unter die Lupe genommen, ob diese den Anforderungen der Anlage 31b BMV-Ä entsprechen und ob diese Informationen über die Datenverarbeitungen („Datenschutzerklärung“) den Art. 12 ff. DSGVO entsprechen, also DSGVO-konform erfolgen.
So sind Session-Cookies, die teilweise bei der Durchführung der Videosprechstunde verarbeitet werden, grundsätzlich unbedenklich, da diese sofort nach Beendigung der Videosprechstunde gelöscht und eine Übermittlung an weitere Instanzen nicht erfolgt.
Auf der anderen Seite ist die Verwendung sog. Tracking-Cookies, bei denen ferner eine Übermittlung in Länder außerhalb der EU stattfindet, nach aktueller Rechtslage (insbesondere im Falle der Übermittlung in die USA) anhand der engen Vorgaben der Anlage 31b BMV-Ä bei Videosprechstunden unzulässig. Sollten die Evaluatoren eine solche unzulässige Datenverarbeitung feststellen, so kann die Videosprechstunde bis zur Behebung dieses „Mangels“ nicht zertifiziert werden.
Fazit
Die Freude daran, dass die Videosprechstunden-Thematik endlich etwas ins Rampenlicht gerückt wird, verblasst leider mit dem Analysebericht des vzbv und hinterlässt einen eher bitteren Nachgeschmack. Weder die Herangehensweise (reine Fokussierung auf Datenschutzerklärungen) noch die Art der Dokumentation im Bericht (der Gegenstand der Untersuchung, sprich die URL, wird nicht angegeben) lassen fundierte Aussage über eine Datenschutzkonformität bei den betrachteten Videosprechstundenanbietern zu.
Die Analyse des vzbv kritisiert sicherlich zu Recht den oftmals lapidaren oder sogar rechtswidrigen Umgang mit Datenschutzerklärungen. Ganz klar verdienen Anbieter, die die Anforderungen des Datenschutzes nicht beachten, einen Vertrauensverlust seitens der Verbraucher und Anwender. Eine generelle Kritik an Videosprechstunden ist jedoch nicht gerechtfertigt, basiert sie hier doch eher auf einer ungeeigneten Methodik der Untersuchung.
Fehler können die Anbieter nur beheben, wenn diese konkret benannt werden. Daher muss der Bericht vom vzbv dringend überarbeitet und mit den Details der Untersuchung ergänzt werden. Dies betrifft nicht nur die Angabe der Websites, sondern es fehlt an einigen Stellen im Bericht auch eine nachweisbare Herleitung der kritisierten Aspekte.