MeetOne Ratgeber

Datenschutz-Besonderheiten in der Online-Psychotherapie

Psychotherapeutische Gespräche gehören zu den sensibelsten Daten im Gesundheitswesen. Welche besonderen Datenschutzanforderungen gelten für Videotherapie - und wo lauern Risiken, die oft übersehen werden?

Datenschutz-Besonderheiten in der Online-Psychotherapie

Warum Datenschutz in der Psychotherapie besonders streng ist

Im Gesundheitswesen sind alle Patientendaten schützenswert. Aber psychotherapeutische Daten nehmen eine Sonderstellung ein. Die Kombination aus Gesundheitsdaten nach Art. 9 DSGVO und dem Inhalt therapeutischer Gespräche - psychische Diagnosen, Traumata, Suizidgedanken, Suchterkrankungen, familiäre Konflikte - ergibt eine Datenkategorie mit der höchsten Schutzstufe, die das Datenschutzrecht kennt.

Das hat praktische Konsequenzen. Während bei einer orthopädischen Videokonsultation ein Befund über ein Knieproblem übertragen wird, geht es in der Psychotherapie um Informationen, deren Bekanntwerden existenzielle Folgen für Patienten haben kann: Stigmatisierung, berufliche Nachteile, Beziehungskonflikte.

Für Psychotherapeuten, die Videositzungen anbieten, bedeutet das: Die technischen und organisatorischen Anforderungen an den Datenschutz gehen über das hinaus, was für andere medizinische Videosprechstunden gilt.

§ 203 StGB: Schweigepflicht ohne Abstufung

Psychologische Psychotherapeuten sind in § 203 Abs. 1 Nr. 1 StGB explizit als Berufsgeheimnisträger genannt - gleichrangig mit Ärzten. Die Verletzung der Schweigepflicht ist eine Straftat, nicht nur ein Datenschutzverstoß.

Was das für die Videotherapie bedeutet: Jede technische Infrastruktur, über die therapeutische Gespräche laufen, muss so gestaltet sein, dass Dritte keinen Zugriff auf die Kommunikationsinhalte erlangen können. „Dritte" sind dabei nicht nur Hacker oder unbefugte Personen im Haushalt des Patienten. Es sind auch die Betreiber der Videokonferenz-Plattform selbst.

Wenn ein Anbieter die Videodaten über zentrale Server leitet und dort technisch entschlüsseln kann, entsteht ein Problem: Der Therapeut ermöglicht einem Dritten potenziell Zugang zu geschützten Informationen. Ob der Anbieter tatsächlich mithört, ist strafrechtlich irrelevant - die technische Möglichkeit reicht als Risiko aus.

Auftragsverarbeitung schützt nicht vollständig

Viele Therapeuten verlassen sich auf einen Auftragsverarbeitungsvertrag (AVV) mit ihrem Videoanbieter. Ein AVV ist notwendig, löst aber das Kernproblem nicht: Wenn der Anbieter technisch auf die Daten zugreifen kann, besteht das Risiko unabhängig von vertraglichen Zusicherungen. Im Bereich der Psychotherapie hat dieses Restrisiko ein anderes Gewicht als bei einer Terminverwaltungssoftware.

Besondere Risiken bei der Videotherapie

Die Risiken einer Videositzung unterscheiden sich grundlegend von denen einer Präsenzsitzung. In der Praxis kontrolliert der Therapeut die Umgebung: geschlossene Türen, Schallschutz, kein Publikumsverkehr. Bei der Videotherapie liegt ein Teil der Verantwortung beim Patienten - in einer Umgebung, die der Therapeut nicht kontrollieren kann.

Mithören durch Dritte im Haushalt

Ein Patient sitzt im Wohnzimmer, der Mitbewohner im Nebenzimmer. Oder ein Elternteil nutzt den gleichen Raum wie das Kind, das in Therapie ist. In der Präsenzsitzung wäre das undenkbar. Bei der Videotherapie passiert es regelmäßig, oft ohne dass der Therapeut es bemerkt.

Geteilte Geräte und Browser-Verläufe

Wenn ein Patient den Familien-Laptop nutzt, können andere Haushaltsmitglieder im Browserverlauf sehen, dass eine Videotherapiesitzung stattgefunden hat - einschließlich des Namens des Therapeuten und möglicherweise der Diagnoserichtung.

Screenshots und Bildschirmaufnahmen

Technisch kann jeder Teilnehmer einer Videositzung Screenshots erstellen oder den Bildschirm aufzeichnen. Das lässt sich softwareseitig nicht vollständig verhindern. Für therapeutische Sitzungen, in denen hochsensible Inhalte besprochen werden, ist das ein Risiko, über das Patienten informiert sein sollten.

Unsichere Netzwerke

Ein Patient, der die Videositzung aus einem Café oder über ein öffentliches WLAN führt, setzt die Verbindung zusätzlichen Risiken aus - selbst wenn die Verbindung verschlüsselt ist, können Metadaten (wann, wie lange, mit wem) sichtbar werden.

Technische Anforderungen an die Videoplattform

Aus den rechtlichen Rahmenbedingungen ergeben sich konkrete technische Anforderungen, die ein Videodienstanbieter für die Psychotherapie erfüllen muss:

Ende-zu-Ende-Verschlüsselung

Die Verbindung zwischen Therapeut und Patient muss so verschlüsselt sein, dass niemand außer den beiden Gesprächspartnern die Inhalte entschlüsseln kann - auch nicht der Plattformbetreiber. Eine reine Transportverschlüsselung (TLS) reicht nicht aus, weil dabei die Daten auf dem Server des Anbieters im Klartext vorliegen können.

Keine Aufzeichnungsfunktion

Für psychotherapeutische Sitzungen sollte die Plattform keine Aufzeichnungsfunktion anbieten - oder diese muss deaktivierbar sein. Eine Aufzeichnung therapeutischer Gespräche wäre in den meisten Fällen weder therapeutisch sinnvoll noch datenschutzrechtlich vertretbar.

Kein Cloud-Speicher für Sitzungsdaten

Sitzungsdaten, Chatverläufe oder geteilte Dokumente dürfen nicht in einer Cloud gespeichert werden, auf die der Plattformbetreiber Zugriff hat. Im Idealfall werden nach Sitzungsende keinerlei Inhalte auf Servern des Anbieters vorgehalten.

Technische Details zur MeetOne-Architektur ansehen

Erfahren Sie, wie MeetOne Ihre Praxis digitalisiert

Funktionen ansehen

Warum Messenger für Terminabsprachen problematisch sind

Viele Therapeuten nutzen WhatsApp, Signal oder Telegram für die Kommunikation mit Patienten - zumindest für Terminabsprachen. Das erscheint harmlos, ist aber datenschutzrechtlich problematisch.

WhatsApp gleicht das Adressbuch des Nutzers mit den Meta-Servern ab. Sobald ein Therapeut WhatsApp beruflich nutzt, übermittelt er die Telefonnummern aller seiner Kontakte - einschließlich der Patienten - an Meta. Das ist ohne Einwilligung der betroffenen Personen ein DSGVO-Verstoß.

Signal ist technisch deutlich besser aufgestellt (echte Ende-zu-Ende-Verschlüsselung, minimale Metadaten). Aber auch hier gilt: Allein die Tatsache, dass eine Person mit einem Psychotherapeuten über einen Messenger kommuniziert, ist eine schützenswerte Information. Wenn jemand Zugriff auf das Smartphone des Patienten erhält, sieht er den Kontakt zum Therapeuten.

Die ehrliche Einschränkung: Es gibt derzeit keine Messenger-Lösung, die für die therapeutische Kommunikation uneingeschränkt empfehlenswert wäre. Die sicherste Option bleibt die Kommunikation über die Videoplattform selbst oder über verschlüsselte E-Mail - auch wenn das weniger komfortabel ist.

Dokumentation: Was gehört in die Akte?

Bei Videositzungen stellen sich besondere Dokumentationsfragen. Grundsätzlich gilt: Die Dokumentationspflichten sind die gleichen wie bei Präsenzsitzungen.

Was dokumentiert werden sollte

  • Dass die Sitzung als Videositzung stattgefunden hat (Format vermerken)
  • Dass die Einwilligung des Patienten zur Videotherapie vorliegt
  • Welcher zertifizierte Videodienstanbieter genutzt wurde
  • Bei technischen Problemen: ob und wie die Sitzung fortgesetzt wurde

Was nicht dokumentiert werden darf

  • Eine Aufzeichnung der Videositzung selbst
  • Screenshots aus der Sitzung
  • Chatverläufe, die während der Sitzung entstanden sind (es sei denn, sie sind therapeutisch relevant und der Patient hat zugestimmt)

Die Dokumentation der Videositzung in der Patientenakte dient dem Nachweis, dass die Behandlung ordnungsgemäß durchgeführt wurde. Sie ersetzt nicht die inhaltliche Dokumentation der Therapiesitzung, die wie gewohnt erfolgt.

Doppelte Einwilligung: Fernbehandlung und Datenschutz

In der Psychotherapie ist die Einwilligung besonders sorgfältig zu handhaben. Patienten müssen zwei separate Einwilligungen erteilen:

Einwilligung in die Fernbehandlung: Der Patient stimmt zu, dass die Therapiesitzung per Video stattfindet und nicht in Präsenz. Dabei muss aufgeklärt werden, dass nicht alle therapeutischen Situationen per Video angemessen behandelt werden können.

Einwilligung in die Datenverarbeitung: Der Patient stimmt der Verarbeitung seiner Gesundheitsdaten über die Videoplattform zu. Hier muss konkret benannt werden, welcher Anbieter genutzt wird und wie die Daten verarbeitet werden.

Beide Einwilligungen sollten schriftlich dokumentiert werden. In der Psychotherapie ist das besonders wichtig, weil die Einwilligungsfähigkeit des Patienten - je nach Störungsbild - eingeschränkt sein kann. Im Zweifel sollte die Einwilligung in einer Phase erteilt werden, in der die Einwilligungsfähigkeit gegeben ist.

Fragen zur Umsetzung? Beratung vereinbaren

Wir beantworten alle Ihre Fragen

Kontakt aufnehmen

Umgang mit Datenschutzvorfällen

Was passiert, wenn während einer Videositzung ein Datenschutzvorfall eintritt? Beispiele: Ein Familienmitglied betritt unerwartet den Raum des Patienten und hört einen Teil des Gesprächs mit. Oder die Verbindung bricht ab und der Patient wählt sich über ein unsicheres Netzwerk erneut ein.

Sofortmaßnahmen

Wenn der Therapeut bemerkt, dass ein Dritter mithört oder mithören könnte, sollte er das Gespräch sofort unterbrechen und den Patienten darauf ansprechen. Gegebenenfalls wird die Sitzung auf einen späteren Zeitpunkt verschoben oder in Präsenz fortgesetzt.

Dokumentation und Meldung

Ob ein solcher Vorfall meldepflichtig nach Art. 33 DSGVO ist, hängt vom konkreten Fall ab. Wenn tatsächlich sensible Therapieinhalte von einem unbefugten Dritten wahrgenommen wurden, kann eine Meldepflicht bei der zuständigen Datenschutzaufsichtsbehörde bestehen - innerhalb von 72 Stunden.

Die ehrliche Einschränkung: Die Abgrenzung zwischen einem meldepflichtigen Vorfall und einer alltäglichen Situation (kurzes Klopfen an der Tür, Kind kommt herein) ist nicht immer eindeutig. Im Zweifel empfiehlt sich eine kurze Beratung mit dem Datenschutzbeauftragten oder der zuständigen Kammer.

Praktische Tipps für ein sicheres Videotherapie-Setting

Die folgenden Maßnahmen lassen sich ohne großen Aufwand umsetzen und reduzieren die häufigsten Datenschutzrisiken:

Für Therapeuten:
- Nutzen Sie einen separaten, schallisolierten Raum - wie in der Präsenztherapie
- Verwenden Sie ein Headset, damit der Ton nicht über Lautsprecher im Raum zu hören ist
- Schließen Sie vor der Sitzung alle nicht benötigten Programme und Browsertabs
- Nutzen Sie einen KBV-zertifizierten Videodienstanbieter mit echter Ende-zu-Ende-Verschlüsselung

Für Patienten (als Hinweis vom Therapeuten):
- Suchen Sie sich einen ruhigen, privaten Raum für die Sitzung
- Verwenden Sie nach Möglichkeit Kopfhörer
- Nutzen Sie kein öffentliches WLAN für die Videositzung
- Teilen Sie den Zugangslink nicht mit anderen Personen

Warum die technische Architektur entscheidend ist

  • Bei Peer-to-Peer-Verbindungen fließen die Videodaten direkt zwischen Therapeut und Patient - kein Server kann mitlesen
  • Ende-zu-Ende-Verschlüsselung stellt sicher, dass nur die Gesprächspartner die Inhalte entschlüsseln können
  • MeetOne nutzt eine Peer-to-Peer-Architektur, bei der keine Videodaten auf zentralen Servern verarbeitet werden
Live-Demo vereinbaren

Fazit

Datenschutz in der Online-Psychotherapie ist kein Formalismus, sondern schützt die verletzlichsten Informationen, die ein Mensch teilen kann. Die Kombination aus strafrechtlicher Schweigepflicht, höchster DSGVO-Schutzstufe und der Unkontrollierbarkeit der Patientenumgebung macht besondere Sorgfalt bei der Wahl der Technik, der Einholung von Einwilligungen und der Gestaltung des Settings erforderlich. Wer diese Anforderungen ernst nimmt, schafft die Grundlage für eine Videotherapie, der Patienten vertrauen können.

Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle rechtliche Beratung. Bei konkreten Fragen zum Datenschutz in Ihrer Praxis wenden Sie sich an Ihren Datenschutzbeauftragten oder Ihre Psychotherapeutenkammer.