Einsatz von Messaging-Diensten und Webkonferenzen in der Sozialversicherung

Einsatz von Messaging-Diensten

Der Einsatz von externen Messaging-Diensten (wie z. B. WhatsApp, Threema oder Signals) ist immer wieder Gegenstand von Anfragen an den Digitalausschuss. Dabei wird aktuell immer häufiger auch die rechtliche Zulässigkeit sog. Business-Varianten der Messaging-Dienste nachgefragt.

Das BAS hat bereits im August 2017 zu diesem Themenkomplex ein Rundschreiben veröffentlicht, in dem die datenschutzrechtlichen Voraussetzungen aufgeführt sind, unter denen solche Dienste genutzt werden dürfen. Werden im Rahmen der Kommunikation mit Versicherten Sozialdaten über einen Messaging-Dienst oder ein soziales Netzwerk übermittelt, dessen Infrastruktur (z. B. Kommunikationsserver) nicht durch den Sozialversicherungsträger selbst, sondern durch einen Fremdanbieter betrieben wird, ist dies regelmäßig nur im Rahmen einer Verarbeitung im Auftrag zulässig (Artikel 28 DSGVO i. V. m. § 80 SGB X). Vor dem Hintergrund einer Entscheidung des Europäischen Gerichtshofs vom 5. Juni 2018 (EuGH, Rechtssache C-210/16), in dem es um den Betrieb von Facebook-Fanpages ging, ist neben der Auftragsverarbeitung auch das durch die Datenschutzgrundverordnung eingeführte Konstrukt der gemeinsamen Verantwortung (Artikel 26 DSGVO) in die Prüfung einzubeziehen. Beide Konstrukte (Auftragsverarbeitung und gemeinsame Verantwortung) haben aber gemeinsam, dass eine individuelle Vereinbarung mit dem Anbieter über Details der Verarbeitung und Verantwortlichkeiten getroffen werden muss.

Dabei ist auch unerheblich, dass die eigentliche Kommunikation durch den Anbieter verschlüsselt wird. Sozialdaten sind nicht ausschließlich auf die Inhalte der Kommunikation zu reduzieren. Auch sog. Meta-Daten (zum Beispiel IP-Adressen, Standorte oder Rufnummern der Kommunikationsteilnehmer) sind personenbezogene Informationen, die im Kontext der Sozialversicherungsträger Sozialdaten darstellen (vgl. hierzu auch das Urteil des EuGH vom 19. Ok-tober 2016, Rechtssache C-582/14).

Wirksame Vereinbarungen konnten dem BAS bislang in den aufgegriffenen Einzelfällen nicht vorgelegt werden, sodass ein Einsatz solcher Dienste bislang im Rahmen der Sozialversicherung nicht rechtmäßig erfolgen konnte. Betroffene Träger wurden von uns entsprechend beraten.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat in einem Rundschreiben vom 14. April 2020 an alle Bundesministerien und oberste Bundesbehörden klargestellt, dass aus den o. a. Gründen auch während der Corona-Krise eine Nutzung des Messaging-Dienstes „WhatsApp“ für Bundesbehörden ausgeschlossen ist. Der BfDI weist darauf hin, dass vor jedem Einsatz neuer Dienste stets die Vereinbarkeit mit den datenschutzrechtlichen Regelungen zu prüfen und zu dokumentieren ist.  

Das Gesetz zur digitalen Modernisierung von Versorgung und Pflege (Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz - DVPMG), welches am 9. Juni 2021 in Kraft getreten ist, sieht vor, dass bis zum 1. April 2022 seitens der gematik die Maßnahmen durchzuführen sind, die erforderlich sind, damit zwischen Versicherten und Leistungserbringern bzw. Versicherten und Krankenkassen eine Kommunikation auch über einen Messaging-Dienst möglich ist (§ 312 Abs. 1 Nr. 9 SGB V). Dabei soll aus Gründen der Datensicherheit und des Datenschutzes ein einheitlicher und sicherer Standard etabliert werden. (BT-Drs. 19/27652, S. 119)

Im Ergebnis ist festzustellen, dass ein Einsatz von Messaging-Diensten grundsätzlich auch in der Sozialversicherung möglich ist, soweit die Voraussetzungen für eine Auftragsverarbeitung bzw. einer gemeinsamen Verantwortung erfüllt und zudem die Besonderheiten der Verarbeitung von Sozialdaten im Inland gemäß § 80 Abs. 2 SGB X gewährleistet werden können.

Einsatz von Webkonferenz- und Messaging-Diensten zur Beschäftigtenkommunikation

Der Einsatz von Webkonferenz- und Messaging-Diensten zur Beschäftigtenkommunikation muss unabhängig vom Einsatz dieser Dienste zur Versichertenkommunikation beurteilt werden. In den Metadaten der Mitarbeiterkommunikation sind i. d. R. personenbezogene Daten der Mitarbeiter enthalten. Hierbei handelt es sich jedoch nicht um Sozialdaten. Soweit die Dienste über die Cloud in Anspruch genommen werden sollen, führt dies zu einer Auftragsverarbeitung im Sinne des Art. 28 DSGVO, nicht jedoch zu einer Anwendung des § 80 SGB X. Da damit die Hürde des § 80 Abs. 2 SGB X entfällt (siehe oben), könnten z. B. auch Dienstleister beauftragt werden, die sich auf Standardvertragsklauseln gemäß Art. 46 DSGVO stützen.

Auf den Endgeräten der Beschäftigten werden sowohl Metadaten (bspw. Rufnummern oder Benutzernamen anderer Beschäftigter) als auch Inhaltsdaten verarbeitet. Nach dem Vorsichtsprinzip sollte davon ausgegangen werden, dass in den Inhaltsdaten auch Sozialdaten enthalten sein können. Die Verantwortung für die Verarbeitung von Daten auf den dienstlichen Endgeräten der Beschäftigten liegt regelmäßig beim Gerätebetreiber, also beim jeweiligen Sozialversicherungsträger und nicht beim Betreiber des Messaging- oder Webkonferenz-Dienstes. Demnach findet hier eine Verarbeitung von personenbezogenen Daten und Sozialdaten in eigener Verantwortung (i. S. d. Art. 24 DSGVO), nicht jedoch eine entsprechende Verarbeitung im Auftrag statt.

Bei der Übermittlung von Nachrichten über Messaging- oder Webkonferenz-Dienste werden die Inhalte vom Endgerät des Absenders über die Infrastrukturen des Anbieters auf das Endgerät des Empfängers übermittelt. Fraglich ist, ob der Anbieter diese in einer identifizierbaren Form verarbeitet. Ist keine oder nur eine schwache oder unzureichend implementierte Ende-zu-Ende-Verschlüsselung des Dienstes vorhanden, muss dem Vorsichtsprinzip folgend davon ausgegangen werden, dass der Anbieter des Messaging-Dienstes auch die Inhaltsdaten und etwaige darin enthaltenen Sozialdaten verarbeitet. In diesem Falle würde es sich folglich um eine Verarbeitung von Sozialdaten im Auftrag im Sinne des § 80 SGB X handeln.

Ist hingegen eine kryptografisch starke und angemessen implementierte Ende-zu-Ende-Verschlüsselung vorhanden, werden die Inhaltsdaten lokal auf dem Endgerät des Absenders verschlüsselt und erst wieder lokal auf dem Endgerät des Empfängers entschlüsselt. Die verschlüsselten Daten (auch als Chiffrat bezeichnet) sind kryptografisch so verändert, dass ihr Inhalt ohne Kenntnis der Schlüssel nicht wiederherstellbar ist. Das Chiffrat selbst ist folglich weder personenbezogen oder personenbeziehbar im Sinne des Art. 4 Nr. 1 DSGVO.

Somit können nur die Inhaber der Schlüssel --- bei einer Ende-zu-Ende-Verschlüsselung die Benutzer der jeweiligen Endgeräte --- die Inhaltsdaten wiederherstellen. Dem Anbieter eines Messaging-Dienstes ist dies hingegen nicht möglich, mit der Folge, dass bezüglich der Inhaltsdaten keine Verarbeitung im Auftrag nach Art. 28 DSGVO i. V. m. § 80 SGB X stattfindet. Ob eine Ende-zu-Ende-Verschlüsselung ausreichend stark und angemessen implementiert ist, muss im Einzelfall durch den jeweiligen Sozialversicherungsträger geprüft und bewertet werden. Dabei ist zum einen zu verifizieren, dass unter Verwendung eines sicheren kryptografischen Verfahrens ausreichend sichere Schlüssel genutzt werden. Ferner muss auch gewährleistet sein, dass das Schlüsselmaterial so geschützt wird, dass nur der Sozialversicherungsträger bzw. dessen Beschäftigte, nicht jedoch ein Dritter --- insbesondere auch nicht der Anbieter des Dienstes --- Zugriff auf die in den Endgeräten gespeicherten Schlüssel hat. Aktuelle Informationen zur Sicherheit von Kryptografischen Verfahren veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik regelmäßig auf seinem Webauftritt.

Im Ergebnis ist festzustellen, dass der Einsatz von Webkonferenz- und Messaging-Diensten zur Mitarbeiterkommunikation aus datenschutzrechtlicher Sicht vertretbar sein kann, auch wenn sich der Anbieter z. B. auf Standardvertragsklauseln (Art. 46 DSGVO) stützt. Voraussetzung ist eine ausreichend sichere Ende-zu-Ende-Verschlüsselung.

(Stand: 14.04.2022)