Zoom, Teams, Google Meet: Warum diese Tools für Psychotherapeuten und psychologische Beratung problematisch sind

Das Problem ist konkreter als gedacht

In unserem Artikel über Videokonferenzen für Geheimnisträger haben wir erklärt, warum auch deutsche Anbieter problematisch sein können, wenn sie auf zentrale Server-Architekturen setzen. Die Kernfrage: Kann der Betreiber technisch auf die Kommunikationsinhalte zugreifen?

Für Psychotherapeuten und Anbieter psychologischer Beratung ist diese Frage besonders brisant. Denn hier geht es nicht um Geschäftszahlen oder Vertragsdetails – sondern um intimste persönliche Informationen: psychische Krisen, Traumata, Suizidgedanken, Suchtprobleme, familiäre Konflikte.

Und genau für diesen Bereich haben die deutschen Datenschutzaufsichtsbehörden eine klare Aussage getroffen.

Was die Datenschutzkonferenz sagt

Die Datenschutzkonferenz (DSK) – der Zusammenschluss aller deutschen Landesdatenschutzbeauftragten sowie des Bundesdatenschutzbeauftragten – hat Ende 2022 ihre Position zu Microsoft 365 und Teams bekräftigt:

Microsoft Teams und die Office-Cloud-Services können derzeit nicht datenschutzkonform eingesetzt werden.

Das ist keine Einzelmeinung, sondern ein einstimmiger Beschluss aller deutschen Datenschutzaufsichtsbehörden.

Die Berliner Datenschutzbeauftragte wurde noch deutlicher und hat eine explizite Warnung für den therapeutischen Bereich ausgesprochen:

„Weit verbreitete Anbieter aus dem privaten Bereich kommen nicht für die Videotherapie infrage. Zoom, Google Meet oder Microsoft Teams sollten Sie daher unbedingt meiden – selbst wenn Sie nicht von den KBV-Vorgaben betroffen sind."

Die Begründung: Diese Dienste werden weder den geltenden Datenschutzvorgaben zum Schutz von Patientendaten gerecht, noch kann damit die Schweigepflicht gewahrt werden. Unbefugte können auf zentralen Servern im Ausland auf Patientendaten zugreifen.

Warum Psychotherapie besonders sensibel ist

Psychotherapeutische Gespräche gehören zu den sensibelsten Daten überhaupt:

Strafrechtlicher Schutz: Psychotherapeuten sind explizit in § 203 Abs. 1 Nr. 1 StGB als Berufsgeheimnisträger genannt. Die Verletzung der Schweigepflicht ist strafbar.

Höchste DSGVO-Schutzstufe: Gesundheitsdaten fallen unter Art. 9 DSGVO – die besondere Kategorie personenbezogener Daten mit den strengsten Schutzanforderungen. Psychische Gesundheitsdaten sind dabei nochmals besonders sensibel.

Berufsrechtliche Vorgaben: Die Berufsordnungen der Psychotherapeutenkammern verlangen technisch-organisatorische Maßnahmen, die die Vertraulichkeit gewährleisten.

Ein konkretes Szenario: Ein Patient erzählt in der Videosprechstunde von Suizidgedanken. Bei Microsoft Teams läuft dieser Stream über Server, auf die Microsoft technisch Zugriff hat – und auf die US-Behörden unter dem CLOUD Act Zugriff verlangen können. Selbst wenn Microsoft vertraglich zusichert, nicht mitzuhören: Die technische Möglichkeit besteht.

Was die KBV verlangt

Die Kassenärztliche Bundesvereinigung (KBV) hat in der Anlage 31b zum Bundesmantelvertrag-Ärzte klare technische Anforderungen für Videosprechstunden definiert:

„Die Übertragung der Videosprechstunde soll über eine Peer-to-Peer-Verbindung zwischen Vertragsarzt und Patienten, ohne Nutzung eines zentralen Servers, erfolgen."

Das bedeutet: Die KBV hat erkannt, dass zentrale Server-Architekturen für medizinische Kommunikation problematisch sind. Peer-to-Peer ist der Standard – und nur wenn das nicht möglich ist, muss ein „angemessenes Schutzniveau" auf anderem Wege gewährleistet werden.

Microsoft Teams, Zoom und Google Meet erfüllen diese Anforderung nicht. Sie nutzen alle eine zentrale Server-Architektur (SFU) und sind daher nicht auf der Liste der KBV-zertifizierten Videodienstanbieter.

Was ist mit psychologischer Beratung?

Anbieter psychologischer Beratung – wie etwa Plattformen, die Bachelor-Psychologen für niedrigschwellige Beratungsgespräche vermitteln – argumentieren manchmal, dass sie keine Psychotherapie im engeren Sinne anbieten und daher weniger strenge Anforderungen gelten.

Das ist ein Trugschluss.

Zwar greift § 203 StGB bei Bachelor-Psychologen möglicherweise nicht direkt. Aber:

Art. 9 DSGVO gilt trotzdem. Gespräche über Stress, psychische Belastungen, Konflikte oder persönliche Krisen sind Gesundheitsdaten im Sinne der DSGVO – und unterliegen damit den höchsten Schutzanforderungen.

Das Vertrauensversprechen zählt. Wer mit Vertraulichkeit und „sicherem Raum" wirbt, muss das auch technisch einlösen können. Wenn die Video-Infrastruktur auf Servern läuft, auf die der Anbieter oder US-Behörden zugreifen können, ist dieses Versprechen hohl.

Klienten erwarten Diskretion. Menschen, die über ihre psychischen Probleme sprechen, gehen davon aus, dass niemand mithört. Bei Microsoft Teams ist das technisch nicht garantiert.

Das konkrete Risiko für Plattform-Anbieter

Wer eine Plattform für psychologische Beratung oder Online-Therapie betreibt und dabei Microsoft Teams, Zoom oder Google Meet als Video-Infrastruktur nutzt, hat ein mehrfaches Problem:

Rechtliches Risiko: Die DSK hat klar gesagt, dass diese Tools nicht datenschutzkonform einsetzbar sind. Bei einer Beschwerde oder Prüfung durch die Aufsichtsbehörde ist die Position schwach.

Reputationsrisiko: Wenn bekannt wird, dass sensible Beratungsgespräche über US-Server laufen, kann das Vertrauen der Klienten erschüttert werden.

Wettbewerbsnachteil: Anbieter, die auf datenschutzkonforme Lösungen setzen, können das aktiv vermarkten – und Klienten werden zunehmend sensibel für diese Themen.

Die Lösung: Datenschutzkonforme Video-Infrastruktur

Die gute Nachricht: Es gibt Alternativen. Die KBV führt eine Liste zertifizierter Videodienstanbieter, die die Anforderungen an Datenschutz und IT-Sicherheit erfüllen.

Die technischen Anforderungen im Überblick:

• Peer-to-Peer-Verbindung (oder gleichwertiges Schutzniveau)
• Ende-zu-Ende-Verschlüsselung während der gesamten Übertragung
• Keine Einsicht oder Speicherung der Kommunikationsinhalte durch den Anbieter
• Server in der EU (kein CLOUD Act)
• Zertifizierung nach Anlage 31b BMV-Ä

MeetOne: Für Praxen und Plattformen

Mit MeetOne bieten wir eine Lösung, die genau diese Anforderungen erfüllt – und die sowohl für einzelne Praxen als auch für Plattform-Anbieter funktioniert.

Für Psychotherapeuten und Praxen:

• Echte Peer-to-Peer-Verbindung ohne zentralen Server
• KBV-zertifiziert für die Abrechnung mit der GKV
• Ende-zu-Ende-Verschlüsselung – auch beim TURN-Fallback
• Warteraum-Funktion für strukturierte Sprechstunden
• Einfacher Zugang für Patienten ohne App-Installation
• Abrechnungsziffern für GOÄ und EBM

Für Plattform-Anbieter – die MeetOne Video-API:

Wer bereits eine Plattform für psychologische Beratung oder Online-Therapie betreibt, muss nicht alles neu bauen. Unsere Video-API lässt sich mit wenigen Handgriffen in bestehende Systeme integrieren.

Das bedeutet: Sie behalten Ihre Terminbuchung, Ihr Beraternetzwerk und Ihre Nutzeroberfläche – und tauschen nur die Video-Infrastruktur gegen eine datenschutzkonforme Lösung aus.

Fazit

Die deutschen Datenschutzaufsichtsbehörden haben eine klare Position bezogen: Microsoft Teams, Zoom und Google Meet sind für therapeutische Videosprechstunden nicht geeignet.

Für Psychotherapeuten bedeutet das: Wer diese Tools nutzt, riskiert nicht nur Probleme bei der Abrechnung, sondern auch berufsrechtliche und strafrechtliche Konsequenzen.

Für Anbieter psychologischer Beratungsplattformen bedeutet das: Die Video-Infrastruktur ist kein Nebenschauplatz, sondern ein zentrales Element des Datenschutzkonzepts. Wer auf US-Tools setzt, baut auf einem wackeligen Fundament.

Die Alternative: KBV-zertifizierte Anbieter mit echter Peer-to-Peer-Architektur und Ende-zu-Ende-Verschlüsselung. Die Technik existiert – sie muss nur eingesetzt werden.

Dieser Artikel dient der allgemeinen Information und ersetzt keine rechtliche Beratung im Einzelfall.