MeetOne Ratgeber

Schweigepflicht bei Videokonsultationen: Technische und organisatorische Anforderungen

§ 203 StGB gilt auch in der Videosprechstunde. Was Berufsgeheimnisträger technisch und organisatorisch sicherstellen müssen, um die Schweigepflicht im digitalen Behandlungsraum zu wahren.

Schweigepflicht bei Videokonsultationen: Technische und organisatorische Anforderungen

§ 203 StGB kennt keine Ausnahme für digitale Kanäle. Wer als Arzt, Therapeut, Apotheker oder Sozialarbeiter eine Videokonsultation führt, trägt die gleiche strafrechtliche Verantwortung wie im Behandlungszimmer. Was das technisch und organisatorisch bedeutet, bleibt in vielen Praxen unklar.

Was § 203 StGB mit Videotechnik zu tun hat

§ 203 StGB stellt die unbefugte Offenbarung von Privatgeheimnissen unter Strafe. Betroffen sind alle Angehörigen der Heilberufe sowie weitere Berufsgeheimnisträger wie Psychologen, Sozialarbeiter, Berater in Schwangerschaftskonflikten und Apotheker. Das Offenbaren muss nicht absichtlich geschehen. Es reicht, wenn ein Dritter durch die Handlung des Geheimnisträgers Kenntnis von schutzbedürftigen Informationen erlangen kann.

Der Begriff "Offenbaren" im Sinne des § 203 StGB ist weit gefasst. Nach einem Teil der strafrechtlichen Literatur ist dieser Begriff so weit zu verstehen, dass bereits die technische Zugriffsmöglichkeit genügt: Wenn ein Videodienstanbieter technisch in der Lage ist, ein Gespräch mitzulesen, mitzuhören oder aufzuzeichnen, ohne dass der Berufsgeheimnisträger dies verhindert, kann darin bereits ein tatbestandsmäßiges Offenbaren liegen. Entscheidend wäre danach nicht, ob der Dienstleister tatsächlich auf die Daten zugreift, sondern ob er theoretisch dazu in der Lage wäre.

Das ist der zentrale Unterschied zu einer rein datenschutzrechtlichen Betrachtung nach der DSGVO: Datenschutzrecht fragt nach tatsächlicher Verarbeitung. Das Strafrecht fragt nach der technischen Möglichkeit.

Technische Anforderungen: Was die Architektur entscheidet

Ende-zu-Ende-Verschlüsselung als Mindeststandard

Für Videokonsultationen im Gesundheitsbereich ist Ende-zu-Ende-Verschlüsselung (E2EE) keine optionale Zusatzfunktion, sondern Voraussetzung. Bei einer Ende-zu-Ende-verschlüsselten Verbindung werden die Mediadaten bereits auf dem Endgerät der sendenden Person verschlüsselt und erst auf dem Endgerät der empfangenden Person wieder entschlüsselt. Kein dazwischenliegender Server kann den Inhalt einsehen.

Der Gegensatz dazu ist die Transportverschlüsselung (TLS), bei der die Verbindung zwischen Nutzer und Server zwar verschlüsselt ist, der Server selbst aber die Daten im Klartext verarbeiten kann. Viele allgemeine Videokonferenzsysteme, die ursprünglich für Unternehmen entwickelt wurden, arbeiten nach diesem Prinzip.

Peer-to-Peer-Architektur versus Server-Architektur

Eng verwandt mit der Verschlüsselungsfrage ist die Frage der Übertragungsarchitektur:

Peer-to-Peer (P2P): Die Mediendaten fließen direkt zwischen den Endgeräten der Gesprächspartner. Ein Server vermittelt den Verbindungsaufbau, hat aber keinen Zugriff auf die übertragenen Inhalte. Diese Architektur ist technisch die sicherste Variante, stößt aber bei schlechten Netzwerkbedingungen an ihre Grenzen.

Serverbasierte Architektur (SFU/MCU): Ein zentraler Server (Selective Forwarding Unit oder Multipoint Control Unit) empfängt die Mediastreams aller Teilnehmer und verteilt sie weiter. Das ermöglicht bessere Performance bei schwacher Internetverbindung und Gruppenkonferenzen, bedeutet aber, dass der Server technisch Zugriff auf die Mediadaten hätte, sofern keine E2EE implementiert ist.

Für Berufsgeheimnisträger stellt sich deshalb die Frage konkret: Kann der Anbieter meines Videodienstes technisch auf Gesprächsinhalte zugreifen? Diese Frage lässt sich nicht allein durch das Lesen von Datenschutzerklärungen beantworten. Sie erfordert eine technische Auseinandersetzung mit der Systemarchitektur.

KBV-Zertifizierung als Orientierungspunkt

Die Kassenärztliche Bundesvereinigung (KBV) zertifiziert Videodienste für die vertragsärztliche Versorgung gemäß Anlage 31b zum Bundesmantelvertrag Ärzte. Die Zertifizierung prüft unter anderem Datensicherheitsanforderungen, Serverstandorte und Verschlüsselung. Sie bietet für niedergelassene Kassenärzte und angestellte Ärzte in zugelassenen Einrichtungen eine gute Orientierung, welche Dienste den Mindeststandards genügen.

Die ehrliche Einschränkung: Die KBV-Zertifizierung deckt nicht alle Berufsgruppen ab. Therapeuten, Apotheker, Hebammen und Sozialarbeiter sind nicht an die Anlage 31b gebunden. Für sie gibt es keine vergleichbare, verbindliche technische Zertifizierung. Das bedeutet jedoch nicht, dass beliebige Videotools genutzt werden dürfen. § 203 StGB gilt unabhängig davon.

Technische Anforderungen: So ist MeetOne aufgebaut

Erfahren Sie, wie MeetOne Ihre Praxis digitalisiert

Funktionen ansehen

Organisatorische Anforderungen: Der Raum zählt mit

Technische Schutzmaßnahmen schützen die Übertragung. Organisatorische Maßnahmen schützen die Umgebung bevor und nachdem das Signal das Netzwerk verlässt. Beide Seiten sind für die Schweigepflicht relevant.

Auf der Behandlerseite

Raumwahl: Die Videokonsultation sollte in einem abgeschlossenen Raum stattfinden, in dem Dritte weder den Bildschirm einsehen noch das Gespräch mithören können. Ein geteiltes Büro oder ein offener Großraum ist keine geeignete Umgebung. Das gilt auch für das Homeoffice: Ein separates Arbeitszimmer mit geschlossener Tür erfüllt die Anforderung; der Küchentisch nicht.

Headset: Bei Videosprechstunden ist ein Headset keine Komfortlösung, sondern eine Sicherheitsmaßnahme. Lautsprecher erlauben auch bei geschlossener Tür einen erheblichen Schallpegel nach außen. Das Gespräch mit dem Patienten über vertrauliche Diagnosen ist über Lautsprecher im nicht schallisolierten Raum nur schwer zuverlässig zu schützen.

Bildschirmposition: Der Bildschirm sollte so aufgestellt sein, dass Passanten, andere Praxismitarbeiter oder Wartezimmerpatienten keine Inhalte einsehen können. Das betrifft nicht nur das Videobild des Patienten, sondern auch angezeigte Patientenakten oder eingeblendete Dokumente.

Praxisteam und Mehrfachauthentifizierung: Wenn das Praxisteam Zugang zum Videosprechstunden-System hat, gelten die gleichen Anforderungen wie für den behandelnden Arzt. Zugänge sollten durch Multi-Faktor-Authentifizierung (MFA) gesichert sein. Gemeinsam genutzte Passwörter ohne zusätzliche Absicherung sind sowohl ein Datenschutz- als auch ein Schweigepflichtsrisiko.

Auf der Patientenseite

Berufsgeheimnisträger können die Umgebung des Patienten nicht kontrollieren, tragen aber eine Verantwortung dafür, Risiken anzusprechen. Das bedeutet konkret: Zu Beginn jeder Videokonsultation sollte kurz abgeklärt werden, ob der Patient allein ist und ob er das Gespräch ungestört führen kann.

Diese Frage ist keine Formalität. In manchen Lebenssituationen ist ein Dritter anwesend, ohne dass die behandelnde Person das weiß. Das kann ein Familienmitglied sein, ein Partner oder in seltenen Fällen auch eine Person mit Kontrollmotiven. Für sensible Gesprächsinhalte gilt: Wenn der Patient die Situation nicht bestätigen kann, sollte das Gespräch auf einen anderen Zeitpunkt verschoben oder auf unkritische Inhalte beschränkt werden.

Die Dokumentation dieser Abklärung in der Patientenakte ist sinnvoll. Sie belegt, dass der Behandler seiner Sorgfaltspflicht nachgekommen ist.

§ 203 Abs. 3 StGB: Wenn Dienstleister involviert sind

§ 203 Abs. 3 StGB regelt, dass Berufsgeheimnisträger Dienstleistern, die für sie tätig sind, Geheimnisse zugänglich machen dürfen, soweit dies für deren Tätigkeit erforderlich ist und der Dienstleister zur Verschwiegenheit verpflichtet wurde. Das ist die rechtliche Grundlage, auf der Auftragsverarbeitungsverträge (AVV) im Bereich Gesundheitsdaten basieren.

Warum vertragliche Absicherung allein nicht ausreicht

Ein AVV ist notwendig, aber nicht hinreichend. Der Vertrag regelt die Pflichten des Dienstleisters gegenüber dem Verantwortlichen. Er ändert jedoch nichts an der technischen Realität: Wenn ein Videodienst architektonisch in der Lage ist, auf Gesprächsinhalte zuzugreifen, bleibt diese Möglichkeit bestehen, egal was im Vertrag steht.

§ 203 Abs. 3 StGB setzt nach verbreiteter strafrechtlicher Auslegung voraus, dass der Berufsgeheimnisträger zumutbare technische und organisatorische Maßnahmen ergriffen hat, um den Zugriff auf das notwendige Minimum zu beschränken. Ein Anbieter, der technisch jederzeit auf Gesprächsaufzeichnungen zugreifen könnte, der aber vertraglich versichert, dies nicht zu tun, erfüllt diesen Maßstab möglicherweise nicht.

Die Konsequenz: Technische Schutzmaßnahmen sind rechtlich belastbarer als vertragliche Zusicherungen. Ein Videodienst, der durch E2EE oder P2P-Architektur strukturell keinen Zugriff auf Inhalte hat, bietet eine stärkere Grundlage als einer, der Zugriff hätte, ihn aber per Vertrag ausschließt.

Vor jedem Videogespräch: Sieben Punkte zur Orientierung

Die folgende Aufstellung ersetzt keine umfassende rechtliche Prüfung, gibt aber eine praxisnahe Orientierung:

  1. Befindet sich der verwendete Videodienst auf der KBV-Zertifizierungsliste oder verfügt er über eine gleichwertige technische Absicherung durch E2EE?
  2. Ist bekannt, ob der Dienstleister technisch auf Gesprächsinhalte zugreifen kann?
  3. Findet das Gespräch auf der Behandlerseite in einem abgeschlossenen Raum ohne Mithörmöglichkeit statt?
  4. Wird ein Headset verwendet?
  5. Ist der Bildschirm vor Einsicht durch Dritte geschützt?
  6. Wurde zu Beginn des Gesprächs kurz abgeklärt, ob der Patient allein ist?
  7. Wurde der Videodienst-Anbieter im Rahmen eines AVV zur Vertraulichkeit verpflichtet?

Konkrete Fragen zur Systemauswahl? Beratung vereinbaren

Wir beantworten alle Ihre Fragen

Kontakt aufnehmen

Konsequenzen bei Verstößen

Strafrechtliche Ebene

§ 203 StGB ist gemäß § 205 StGB ein Antragsdelikt - die Strafverfolgung setzt grundsätzlich einen Strafantrag des Betroffenen voraus, sofern die Staatsanwaltschaft nicht ein besonderes öffentliches Interesse an der Strafverfolgung bejaht. Die Norm sieht Freiheitsstrafe bis zu einem Jahr oder Geldstrafe vor. In der Praxis werden Strafverfahren nach § 203 StGB selten bis zum Urteil geführt; sie haben aber erhebliche Konsequenzen bereits durch die Einleitung eines Ermittlungsverfahrens.

Berufsrechtliche Ebene

Verstöße gegen die Schweigepflicht sind in allen Heilberufsordnungen auch berufsrechtlich sanktioniert. Zuständig sind die jeweiligen Berufskammern. Mögliche Sanktionen reichen von der Ermahnung bis zum berufsgerichtlichen Verfahren.

Zivilrechtliche Ebene

Patienten, die durch eine Verletzung der ärztlichen Schweigepflicht in ihren Rechten verletzt wurden, können zivilrechtliche Schadensersatzansprüche geltend machen, unter anderem nach § 823 Abs. 2 BGB in Verbindung mit § 203 StGB und nach dem allgemeinen Persönlichkeitsrecht.

Die ehrliche Einschränkung: Was bleibt ein Restrisiko

Kein technisches System eliminiert alle Risiken. Selbst bei E2EE und P2P-Architektur bleiben Angriffsvektoren: Endgeräte können kompromittiert sein. Mitarbeitende mit legitimem Systemzugang können missbrauchen. Der Patient kann das Gespräch unbemerkt aufnehmen.

Was technische und organisatorische Schutzmaßnahmen leisten, ist die Senkung des Risikos auf ein vertretbares Maß und der Nachweis sorgfältigen Handelns. Letzteres ist im Zweifel das entscheidende Argument: Wer dokumentieren kann, dass er die zumutbaren Schritte unternommen hat, steht bei einer Prüfung oder einem Verfahren deutlich besser da als derjenige, der ohne Nachdenken irgendeinen Videodienst geöffnet hat.

Schweigepflicht in der Videosprechstunde: Die wichtigsten Punkte

  • Nach verbreiteter strafrechtlicher Auslegung stellt § 203 StGB schon auf die technische Möglichkeit des Zugriffs ab, nicht erst auf die tatsächliche Datenweitergabe.
  • Ende-zu-Ende-Verschlüsselung und P2P-Architektur sind technisch belastbarer als rein vertragliche Schutzversprechen.
  • Organisatorische Maßnahmen (Raumwahl, Headset, Bildschirmschutz) sind rechtlich genauso relevant wie technische.
  • Auf Patientenseite muss aktiv abgeklärt werden, ob Dritte anwesend sind.
  • AVV und Verpflichtungserklärungen sind notwendig, reichen aber allein nicht aus.
  • Verstöße können strafrechtliche, berufsrechtliche und zivilrechtliche Konsequenzen haben.
Beratung vereinbaren

Fazit

Die Schweigepflicht nach § 203 StGB ist in der Videosprechstunde keine abstraktere Pflicht als im Behandlungszimmer. Sie stellt aber andere Anforderungen: technische Anforderungen an Verschlüsselung und Übertragungsarchitektur sowie organisatorische Anforderungen an Raum, Geräte und Gesprächsvorbereitung. Wer diese Anforderungen kennt und systematisch umsetzt, kann Videokonsultationen sicher und rechtskonform führen. Wer sie ignoriert, geht ein kalkulierbares Risiko ein, das sich durch vertragliche Zusicherungen allein nicht absichern lässt.

Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle rechtliche Beratung. Bei konkreten Fragen zu Ihrer spezifischen Situation empfehlen wir die Beratung durch einen auf Medizinrecht spezialisierten Rechtsanwalt oder Ihre zuständige Berufskammer.