MeetOne Ratgeber

Ende-zu-Ende-Verschlüsselung erklärt: Was wirklich geschützt ist

Viele Videosprechstunden-Anbieter werben mit Verschlüsselung. Doch zwischen Transportverschlüsselung und echter Ende-zu-Ende-Verschlüsselung liegt ein entscheidender Unterschied - gerade im Gesundheitswesen.

Ende-zu-Ende-Verschlüsselung erklärt: Was wirklich geschützt ist

Was Ende-zu-Ende-Verschlüsselung tatsächlich bedeutet

Der Begriff "Verschlüsselung" taucht in fast jeder Produktbeschreibung für Videosprechstunden auf. Verschlüsselt wird tatsächlich bei den meisten Anbietern - die Frage ist nur: an welcher Stelle und vor wem?

Ende-zu-Ende-Verschlüsselung (E2E) bedeutet: Die Daten werden auf dem Gerät des Senders verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt. Kein Server dazwischen, kein Anbieter und kein Rechenzentrum kann die Inhalte lesen. Selbst wenn jemand den gesamten Datenverkehr abfangen würde, sähe er nur unbrauchbaren Zeichensalat.

Das klingt nach einem kleinen technischen Detail. Für das Gesundheitswesen ist es ein grundlegender Unterschied.

Transportverschlüsselung vs. Ende-zu-Ende: Wo liegt der Unterschied

Die meisten Anbieter setzen auf TLS (Transport Layer Security). Das ist die gleiche Technik, die auch Online-Banking absichert - erkennbar am Schloss-Symbol im Browser. TLS verschlüsselt die Verbindung zwischen Ihrem Gerät und dem Server des Anbieters.

Das Problem: Auf dem Server selbst liegen die Daten entschlüsselt vor. Der Anbieter könnte sie theoretisch einsehen, speichern oder verarbeiten.

Eine Analogie: Stellen Sie sich vor, Sie schicken einen Brief per Kurier. Transportverschlüsselung bedeutet, dass der Kurier den Brief in einem verschlossenen Koffer transportiert - aber am Umschlagpunkt öffnet er den Koffer, liest den Brief und steckt ihn in einen neuen Koffer für die Weiterfahrt. Ende-zu-Ende-Verschlüsselung bedeutet, dass der Brief in einer Sprache geschrieben ist, die nur Sender und Empfänger verstehen. Der Kurier sieht zwar Papier mit Zeichen, kann aber nichts damit anfangen.

So funktioniert der Schlüsselaustausch

Technisch basiert E2E-Verschlüsselung auf einem Verfahren, das als asymmetrische Kryptographie bezeichnet wird. Jeder Teilnehmer hat zwei Schlüssel: einen öffentlichen und einen privaten.

Der Ablauf vereinfacht dargestellt:

  1. Arzt und Patient erzeugen jeweils ein Schlüsselpaar auf ihrem eigenen Gerät
  2. Sie tauschen ihre öffentlichen Schlüssel aus
  3. Jede Nachricht wird mit dem öffentlichen Schlüssel des Empfängers verschlüsselt
  4. Nur der private Schlüssel des Empfängers kann die Nachricht wieder entschlüsseln

Der private Schlüssel verlässt nie das Gerät des Teilnehmers. Selbst der Anbieter der Software kennt ihn nicht. Deshalb kann auch niemand - weder der Anbieter noch ein Angreifer, der den Server kompromittiert - die Kommunikation entschlüsseln.

Bei Videogesprächen läuft dieses Verfahren kontinuierlich im Hintergrund, für jeden einzelnen Audio- und Videoframe. Das erfordert Rechenleistung, funktioniert auf modernen Geräten aber ohne spürbare Verzögerung.

Warum das für das Gesundheitswesen besonders relevant ist

Gesundheitsdaten gehören nach Art. 9 DSGVO zu den "besonderen Kategorien personenbezogener Daten" und unterliegen einem erhöhten Schutzniveau. Gleichzeitig verpflichtet § 203 StGB Ärzte und andere Heilberufler zur Verschwiegenheit - Verstöße sind strafbar.

Die entscheidende Frage lautet: Ist ein Anbieter, der technisch Zugriff auf die Gesprächsinhalte hat, ein "unbefugter Dritter" im Sinne des § 203 StGB?

Zwar lässt sich ein Anbieter vertraglich zur Verschwiegenheit verpflichten. Doch viele Datenschutzaufsichtsbehörden argumentieren, dass vertragliche Zusicherungen allein nicht ausreichen, wenn der technische Zugriff möglich bleibt. Die Logik: Was technisch möglich ist, kann auch missbraucht werden - sei es durch einen einzelnen Mitarbeiter, einen Hackerangriff auf den Server oder eine behördliche Anordnung.

Ende-zu-Ende-Verschlüsselung löst dieses Problem auf technischer Ebene: Wenn der Anbieter die Daten gar nicht entschlüsseln kann, ist er kein potenzieller Mitwisser.

Technische Details zur MeetOne-Architektur

Erfahren Sie, wie MeetOne Ihre Praxis digitalisiert

Funktionen ansehen

Die KBV-Anforderungen: Was Anlage 31b verlangt

Die Kassenärztliche Bundesvereinigung regelt in Anlage 31b zum Bundesmantelvertrag die technischen Anforderungen an Videosprechstunden-Anbieter. Dort wird Verschlüsselung als Voraussetzung für die Zertifizierung genannt.

Allerdings unterscheiden sich die konkreten Implementierungen erheblich. Die Anlage 31b fordert, dass Videodienstanbieter die Kommunikationsinhalte nicht einsehen können. Ob dies technisch eine echte Ende-zu-Ende-Verschlüsselung im strengen Sinne erfordert, ist in der Auslegung nicht abschließend geklärt. In der Praxis nutzen viele zertifizierte Anbieter eine SFU-Architektur (Selective Forwarding Unit), bei der ein zentraler Server die Video- und Audiostreams verteilt.

Bei einer SFU-Architektur kann der Server die Streams zwar verschlüsselt weiterleiten, aber er muss sie dafür entschlüsseln und neu verschlüsseln - oder er hat zumindest Zugriff auf die Schlüssel. Ob das noch als "Ende-zu-Ende" gelten kann, ist unter Fachleuten umstritten.

Was das praktisch bedeutet

Die KBV-Zertifizierung ist ein wichtiges Qualitätsmerkmal und Voraussetzung für die Abrechnung über den EBM. Sie stellt ein Mindestmaß an Sicherheit sicher. Aber sie garantiert nicht automatisch, dass der Anbieter keinen technischen Zugriff auf die Gesprächsinhalte hat.

Es lohnt sich daher, genauer hinzusehen, welche Architektur ein Anbieter konkret einsetzt.

Verbreitete Missverständnisse

"Unsere Daten sind verschlüsselt"

Diese Aussage ist fast immer richtig - und fast immer unvollständig. Die Frage ist nicht ob, sondern wie und vor wem verschlüsselt wird. Transportverschlüsselung schützt vor Angreifern auf dem Übertragungsweg. Ende-zu-Ende-Verschlüsselung schützt zusätzlich vor dem Anbieter selbst.

"Unsere Server stehen in Deutschland"

Der Serverstandort bestimmt, welches Recht gilt und welche Behörden Zugriff verlangen können. Das ist relevant - aber es sagt nichts darüber aus, ob der Betreiber selbst die Daten einsehen kann. Ein Server in Frankfurt ist nicht automatisch sicherer als einer in Amsterdam, wenn der Betreiber in beiden Fällen die Schlüssel hat.

"Wir sind DSGVO-konform"

DSGVO-Konformität umfasst viele Aspekte: Auftragsverarbeitungsverträge, Datenschutzerklärungen, Löschkonzepte. Verschlüsselung ist ein Teil davon, aber die DSGVO schreibt nicht explizit Ende-zu-Ende-Verschlüsselung vor. Ein Anbieter kann DSGVO-konform sein und trotzdem nur Transportverschlüsselung nutzen.

Die richtigen Fragen an Ihren Anbieter

Wenn Sie einen Videosprechstunden-Anbieter bewerten, helfen diese Fragen, die tatsächliche Sicherheitsarchitektur einzuschätzen:

  • Welche Architektur wird eingesetzt? Peer-to-Peer (direkte Verbindung) oder SFU (Server in der Mitte)? Bei einer SFU: Hat der Server Zugriff auf die unverschlüsselten Streams?
  • Wo werden die Schlüssel erzeugt und gespeichert? Bleiben die privaten Schlüssel auf den Endgeräten oder werden sie auf dem Server verwaltet?
  • Kann der Anbieter technisch auf die Gesprächsinhalte zugreifen? Nicht vertraglich - technisch. Es geht um die Fähigkeit, nicht um die Absicht.
  • Was passiert bei einem Serverangriff? Wenn ein Angreifer den Server kompromittiert, kann er dann laufende oder vergangene Gespräche entschlüsseln?

Ein Anbieter, der diese Fragen offen und konkret beantwortet, verdient Vertrauen. Ein Anbieter, der auf allgemeine Zertifizierungen verweist, ohne die Architektur zu erklären, sollte kritisch hinterfragt werden.

Fragen zur Verschlüsselung bei MeetOne

Wir beantworten alle Ihre Fragen

Kontakt aufnehmen

Die ehrliche Einschränkung: Was E2E nicht schützt

Ende-zu-Ende-Verschlüsselung ist ein starker Schutz - aber kein vollständiger. Es ist wichtig, die Grenzen zu kennen:

Endgeräte-Sicherheit: E2E schützt die Übertragung, nicht die Endpunkte. Wenn das Gerät eines Teilnehmers mit Schadsoftware kompromittiert ist, kann ein Angreifer den Bildschirminhalt oder das Mikrofon direkt abgreifen - noch bevor die Verschlüsselung greift.

Bildschirmaufnahmen: Nichts hindert einen Gesprächsteilnehmer daran, den Bildschirm aufzuzeichnen oder ein Foto zu machen. Das ist kein technisches, sondern ein organisatorisches Problem.

Metadaten: E2E verschlüsselt die Inhalte, aber nicht unbedingt die Metadaten. Wer wann mit wem wie lange kommuniziert hat, kann je nach Implementierung sichtbar bleiben.

Physische Umgebung: Wenn jemand im Raum mithört, hilft keine Verschlüsselung. Die Gesprächsumgebung muss ebenfalls geschützt sein - das gilt für Arzt und Patient gleichermaßen.

Diese Einschränkungen sind kein Argument gegen E2E-Verschlüsselung. Sie zeigen aber, dass Verschlüsselung ein wichtiger Baustein ist, nicht die alleinige Lösung für Vertraulichkeit.

Zusammenfassung: E2E-Verschlüsselung im Gesundheitswesen

  • Ende-zu-Ende-Verschlüsselung stellt sicher, dass nur Sender und Empfänger die Inhalte lesen können - nicht der Anbieter, nicht der Server
  • Transportverschlüsselung (TLS) schützt nur den Übertragungsweg, nicht vor dem Anbieter selbst
  • Für Berufsgeheimnisträger nach § 203 StGB ist die technische Unmöglichkeit des Zugriffs durch Dritte das stärkste Argument
  • Die KBV fordert Verschlüsselung, aber die Implementierungen unterscheiden sich erheblich
  • E2E schützt die Übertragung, nicht die Endgeräte oder die physische Umgebung
Beratung vereinbaren

Fazit

Ende-zu-Ende-Verschlüsselung ist kein Marketing-Feature, sondern eine technische Architekturentscheidung mit konkreten Konsequenzen für den Datenschutz. Für Ärzte und andere Heilberufler, die der Schweigepflicht unterliegen, schafft sie eine klare Grundlage: Wenn der Anbieter die Daten technisch nicht entschlüsseln kann, entfällt das Risiko eines unbefugten Zugriffs auf dieser Ebene. Wer einen Anbieter auswählt, sollte nicht fragen ob verschlüsselt wird, sondern wie - und ob der Anbieter bereit ist, die technische Architektur offenzulegen.

Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle rechtliche oder technische Beratung.