MeetOne Ratgeber

Datenschutz bei Videosprechstunden: Was rechtlich gilt und was technisch dahintersteckt

Videosprechstunden unterliegen strengen Datenschutzanforderungen. Ein Überblick über die rechtlichen Grundlagen und technischen Voraussetzungen.

Datenschutz bei Videosprechstunden: Was rechtlich gilt und was technisch dahintersteckt

Die rechtlichen Grundlagen

Wer eine Videosprechstunde anbietet, muss mehrere rechtliche Anforderungen erfüllen. Sie überschneiden sich teilweise, haben aber unterschiedliche Wurzeln.

Die ärztliche Schweigepflicht (§ 203 StGB)

Die Schweigepflicht ist strafrechtlich verankert. Sie verbietet Ärzten, Geheimnisse zu offenbaren, die ihnen in ihrer beruflichen Eigenschaft anvertraut wurden.

Für die Videosprechstunde bedeutet das: Die Kommunikation muss so gestaltet sein, dass unbefugte Dritte keinen Zugriff auf die Inhalte haben. Das betrifft sowohl den technischen Dienstleister als auch mögliche Angreifer.

Die DSGVO

Die Datenschutz-Grundverordnung regelt die Verarbeitung personenbezogener Daten. Gesundheitsdaten gelten als "besondere Kategorien" mit erhöhtem Schutzbedarf.

Für Ärzte bedeutet das unter anderem:

  • Dokumentation der Datenverarbeitung
  • Auftragsverarbeitungsvertrag mit dem Videodienstanbieter
  • Information der Patienten über die Datenverarbeitung
  • Technische und organisatorische Maßnahmen zum Schutz der Daten

Die KBV-Anforderungen

Für die Abrechnung von Videosprechstunden über den EBM ist ein KBV-zertifizierter Anbieter erforderlich. Die Zertifizierung prüft technische und organisatorische Anforderungen:

  • Ende-zu-Ende-Verschlüsselung
  • Serverstandort in Deutschland oder der EU
  • Keine Datenweitergabe an Dritte
  • Dokumentation der Sicherheitsmaßnahmen

Die KBV-Zertifizierung ist keine Garantie für maximale Sicherheit, aber sie stellt ein Mindestmaß sicher.

Sicherheitsfunktionen von MeetOne

Erfahren Sie, wie MeetOne Ihre Praxis digitalisiert

Funktionen ansehen

Was "Ende-zu-Ende-Verschlüsselung" bedeutet – und was nicht

Der Begriff wird oft verwendet, aber selten erklärt. Echte Ende-zu-Ende-Verschlüsselung bedeutet: Die Daten werden beim Sender verschlüsselt und erst beim Empfänger wieder entschlüsselt. Der Dienstleister dazwischen sieht nur verschlüsselte Daten.

Transport-Verschlüsselung vs. Ende-zu-Ende-Verschlüsselung

Viele Anbieter werben mit "Verschlüsselung", meinen aber nur die Transportverschlüsselung. Dabei ist die Verbindung zum Server verschlüsselt, aber auf dem Server liegen die Daten im Klartext vor.

Das ist wie der Unterschied zwischen einem verschlossenen Briefumschlag und einem Brief, der unterwegs in einem Tresor transportiert, aber am Ziel geöffnet wird.

Die Architektur macht den Unterschied

Die meisten Videokonferenzlösungen nutzen eine SFU-Architektur (Selective Forwarding Unit): Ein zentraler Server empfängt alle Video- und Audiostreams und leitet sie an die Teilnehmer weiter. Auf diesem Server liegen die Daten vor – zumindest kurzzeitig.

MeetOne nutzt eine andere Architektur: Peer-to-Peer. Die Verbindung läuft direkt zwischen Arzt und Patient, ohne dass die Daten über einen zentralen Server fließen. Das ist technisch aufwendiger, bietet aber echte Ende-zu-Ende-Verschlüsselung.

Die Frage der Server-Standorte

Warum der Standort relevant ist

Server in den USA unterliegen dem CLOUD Act: US-Behörden können von US-Unternehmen die Herausgabe von Daten verlangen – auch wenn diese auf Servern in der EU liegen.

Das betrifft bekannte Anbieter wie Zoom, Microsoft Teams oder Google Meet, deren Muttergesellschaften in den USA sitzen.

Deutsche Server als Minimum

Die KBV verlangt Server in Deutschland oder der EU. Das schließt den direkten Zugriff nach CLOUD Act aus, löst aber nicht alle Probleme.

Auch auf deutschen Servern kann der Betreiber technisch auf die Daten zugreifen, wenn er die Schlüssel hat. Nur bei echter Ende-zu-Ende-Verschlüsselung ist das ausgeschlossen.

Die MeetOne-Architektur

Bei MeetOne laufen Video- und Audiostreams nicht über zentrale Server, sondern direkt zwischen den Teilnehmern. Für den Verbindungsaufbau und als Fallback bei schwierigen Netzwerkbedingungen nutzen wir Server in Deutschland.

Auch wenn der Fallback-Server (TURN) zum Einsatz kommt, sind die Daten verschlüsselt. Der Server leitet verschlüsselte Pakete weiter, ohne sie entschlüsseln zu können.

MeetOne kennenlernen

Sehen Sie MeetOne in Aktion

Demo buchen

Praktische Anforderungen für die Praxis

Der Auftragsverarbeitungsvertrag

Wer einen Videodienstanbieter nutzt, braucht einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Dieser regelt, wie der Anbieter mit den Daten umgehen darf.

Seriöse Anbieter stellen einen standardisierten AVV zur Verfügung. Bei MeetOne ist dieser Bestandteil der Nutzungsvereinbarung.

Patienteninformation

Patienten müssen vor der ersten Videosprechstunde informiert werden:

  • Welche Daten werden verarbeitet?
  • Zu welchem Zweck?
  • Wer ist der Dienstleister?
  • Wie lange werden Daten gespeichert?

Eine kurze schriftliche Information – per E-Mail oder Aushang – erfüllt diese Pflicht.

Einwilligung

Für die Videosprechstunde selbst ist keine schriftliche Einwilligung erforderlich. Die mündliche Zustimmung reicht, wenn der Patient freiwillig teilnimmt.

Allerdings empfiehlt sich eine dokumentierte Einwilligung für Aufzeichnungen oder wenn die Praxis bestimmte Funktionen nutzen möchte.

Häufige Missverständnisse

"Telemedizin ist nicht DSGVO-konform"

Das stimmt nicht. Mit einem KBV-zertifizierten Anbieter ist die Videosprechstunde problemlos DSGVO-konform umsetzbar. Die Anforderungen sind klar definiert und erfüllbar.

"Deutsche Anbieter sind automatisch sicher"

Auch deutsche Anbieter können technisch auf Kommunikationsinhalte zugreifen, wenn sie eine SFU-Architektur nutzen. Der Standort allein sagt nichts über die Sicherheitsarchitektur.

"Verschlüsselung ist Verschlüsselung"

Nein. Transport-Verschlüsselung und Ende-zu-Ende-Verschlüsselung sind grundlegend verschieden. Bei der ersten kann der Betreiber mitlesen, bei der zweiten nicht.

Worauf bei der Anbieterwahl achten?

Drei Fragen helfen bei der Einschätzung:

1. Wo sitzt der Anbieter?
Unternehmen mit Sitz in den USA unterliegen dem CLOUD Act. Deutsche oder europäische Anbieter nicht.

2. Welche Architektur wird genutzt?
SFU-Architektur bedeutet: Der Server hat Zugriff auf die Daten. Peer-to-Peer bedeutet: Die Daten fließen direkt zwischen den Teilnehmern.

3. Ist der Anbieter KBV-zertifiziert?
Für die Abrechnung ist die Zertifizierung erforderlich. Sie stellt ein Mindestmaß an Sicherheit sicher.

Fazit

Datenschutz bei Videosprechstunden ist kein Hindernis, sondern eine Voraussetzung. Die rechtlichen Anforderungen sind klar, die technischen Lösungen verfügbar.

Die Unterschiede zwischen den Anbietern liegen im Detail: Wer bietet echte Ende-zu-Ende-Verschlüsselung? Wer nutzt welche Architektur? Wer kann technisch auf die Kommunikation zugreifen?

Für Ärzte als Berufsgeheimnisträger sind diese Fragen nicht akademisch. Die ärztliche Schweigepflicht verlangt, dass keine Unbefugten Zugriff auf Patientenkommunikation haben – auch nicht theoretisch.

Fragen zum Datenschutz bei MeetOne?

Wir beantworten alle Ihre Fragen

Kontakt aufnehmen

Dieser Artikel gibt einen Überblick über datenschutzrechtliche Aspekte der Videosprechstunde und ersetzt keine individuelle rechtliche Beratung.