Zum Hauptinhalt springen
whatsapp

WhatsApp Business und die DSGVO im Gesundheitswesen: Medizinische Unterlagen und erste kostenlose Kopie

durch 26. Februar 2026Keine Kommentare

WhatsApp Business und die DSGVO im Gesundheitswesen: Was ist neu für die Patientenakten?

WhatsApp Business und die DSGVO im Gesundheitswesen sind zunehmend eng mit der digitalen Verwaltung von Patientenakten und -daten verknüpft. WhatsApp Business und die DSGVO definieren einen neuen Rahmen von Rechten, Pflichten und Prozessen, den Gesundheitsunternehmen nicht länger ignorieren können.

Das jüngste Urteil des EuGH in der Rechtssache C-307/22 hat endgültig bestätigt, dass die Erstausfertigung personenbezogener Daten in einer Patientenakte gemäß Artikel 15 der DSGVO (Verordnung (EU) 2016/679) kostenlos ist, selbst wenn die Anfrage zu rechtlichen Zwecken gestellt wird. Dieser Grundsatz hat Vorrang vor nationalen Regelungen, die Gebühren für den Anfragenden vorsehen, und ist Teil des Kontextes zunehmender Digitalisierung, sofortiger Kommunikation und Automatisierung von Prozessen im Gesundheitswesen.

Im modernen digitalen Ökosystem, in dem Kanäle wie E-Mail, Webportale und dialogbasierte Tools – einschließlich API-integrierter Kanäle wie WhatsApp Business – integraler Bestandteil der Patienteninteraktion geworden sind, spielt die korrekte Verwaltung von Datenzugriffsrechten eine Schlüsselrolle für Compliance, Effizienz und Kundenzufriedenheit.

WhatsApp Business und die DSGVO: Grundsätze des EuGH-Urteils C-307/22

Im Zentrum der Debatte steht das Urteil des Gerichtshofs der Europäischen Union im Fall C-307/22, der seinen Ursprung in Deutschland hatte. Ein Patient hatte seinen Zahnarzt um eine Kopie seiner Krankenakte gebeten, um mögliche Behandlungsfehler zu überprüfen; der Zahnarzt hatte die Herausgabe gemäß § 630g des Bürgerlichen Gesetzbuches (BGB) von der Erstattung seiner Auslagen abhängig gemacht.

Der Patient sah sein Recht auf eine kostenlose Kopie gemäß Artikel 15 DSGVO als anwendbar an und wandte sich an die deutschen Gerichte, darunter den Bundesgerichtshof, der den Fall dem EuGH zur Vorlage vorlegte. Der Gerichtshof definierte einige Grundsätze, die auch Auswirkungen darauf haben, wie Institutionen digitale Prozesse und Kontaktkanäle (einschließlich automatisierter Kanäle wie Chatbots oder integrierter Systeme) organisieren. WhatsApp Business) und Dokumentenmanagementsystemen.

Kostenlos, unabhängig vom Zweck

Der EuGH hat klargestellt, dass die Pflicht zur kostenlosen Übergabe einer ersten Kopie der verarbeiteten personenbezogenen Daten an die betroffene Person beim Verantwortlichen liegt, selbst wenn die Anfrage einem anderen Zweck dient als den in Erwägungsgrund 63 der DSGVO genannten. Dies gilt auch für Anfragen zur Einleitung rechtlicher Schritte gegen den Gesundheitsdienstleister.

Dieser Grundsatz stärkt die Wirksamkeit des Auskunftsrechts und verhindert, dass die “defensiven” Motive des Datenverantwortlichen – beispielsweise die Angst vor Rechtsstreitigkeiten – das Recht des Betroffenen einschränken oder erschweren.

Verbot belastender nationaler Vorschriften

Das Gericht entschied, dass ein nationales Gesetz, selbst wenn es vor der DSGVO erlassen wurde, die betroffene Person nicht verpflichten darf, für die erste Kopie ihrer personenbezogenen Daten zu bezahlen, wenn dies dem Schutz der wirtschaftlichen Interessen des Verantwortlichen dient. Ein solcher Mechanismus würde das Auskunftsrecht gemäß Artikel 15 und dessen Wirksamkeit beeinträchtigen.

Für nationale Gesundheitssysteme bedeutet dies die Anpassung interner Vorschriften, Tarife und Verwaltungspraktiken, den Übergang von einem auf “Urheberrechten” basierenden Modell zu einem, das effiziente digitale Prozesse wertschätzt, möglicherweise unterstützt durch Automatisierung und intelligente Kanäle wie WhatsApp Business für die Anfrage oder den Bearbeitungsstand von Anfragen (nicht für die Übermittlung sensibler Gesundheitsdaten).

Ausführliche Definition von “Kopie” und garantierter Mindestinhalt

Die vom EuGH angenommene Definition von “Kopie” ist weit gefasst: Im Arzt-Patienten-Verhältnis umfasst das Recht auf Erhalt einer Kopie personenbezogener Daten die Bereitstellung einer getreuen und verständlichen Wiedergabe aller dieser Daten. Soweit dies zur Gewährleistung von Richtigkeit, Vollständigkeit und Verständlichkeit erforderlich ist, kann dies eine vollständige Kopie der in der Patientenakte enthaltenen Dokumente bedeuten.

In jedem Fall umfasst der Mindestumfang der garantierten Inhalte Daten wie Diagnosen, Testergebnisse, Einschätzungen der behandelnden Ärzte sowie durchgeführte Therapien oder Interventionen. Um mehr über den regulatorischen Rahmen zu erfahren, empfiehlt es sich, den Text des/der [Name der Verordnung/des Gesetzes/etc.] zu konsultieren. Verordnung (EU) 2016/679 und die verfügbaren Fachanalysen, beispielsweise auf dem Portal von Garant für den Schutz personenbezogener Daten.

DSGVO-Datenzugriff und Dokumentenzugriff: zwei unterschiedliche Ebenen

Im italienischen Kontext verdeutlichte das Urteil den – nur scheinbaren – Konflikt zwischen dem Recht auf Auskunft über personenbezogene Daten gemäß Artikel 15 der DSGVO und dem Recht auf Akteneinsicht gemäß Gesetz 241/1990. Die beiden Rechtsakteure beziehen sich zwar möglicherweise auf denselben Gegenstand (z. B. Krankenakten), haben aber unterschiedliche Voraussetzungen, Zwecke und Folgen.

Zugriff auf personenbezogene Daten gemäß Art. 15 DSGVO

Dies ist das Recht der betroffenen Person, vom Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden, und falls ja, auf diese Daten zuzugreifen und eine Kopie davon zu erhalten. Die erste Kopie ist kostenlos, bedarf keiner Begründung und gilt für jeden Verantwortlichen, ob öffentlich oder privat.

Die betroffene Person übt ausschließlich persönliche Rechte aus: Im Mittelpunkt stehen die Daten, nicht unbedingt das Dokument selbst. Aus diesem Grund müssen Organisationen in ihren Arbeitsabläufen und Formularen zwischen Auskunftsersuchen (DSGVO) und Anfragen nach Kopien von Verwaltungsdokumenten unterscheiden können.

Zugang zu Dokumenten gemäß Gesetz 241/1990

Der Zugang zu Verwaltungsdokumenten gemäß Gesetz 241/1990 setzt ein unmittelbares, konkretes und aktuelles Interesse voraus, kann nur gegenüber öffentlichen Verwaltungen geltend gemacht werden und ist mit der Zahlung von Reproduktionskosten verbunden. Gegenstand des Zugangs ist das Verwaltungsdokument, das personenbezogene oder Gesundheitsdaten enthalten kann.

Die Behörde hat wiederholt Gesundheitseinrichtungen kritisiert, die Anfragen auf Auskunft über personenbezogene Daten in Patientenakten gemäß Artikel 15 DSGVO als Anfragen auf Akteneinsicht behandeln und dafür Gebühren erheben. Die erste Kopie der personenbezogenen Daten muss jedoch kostenlos zur Verfügung gestellt werden.

Der Verantwortliche für die Datenverarbeitung muss prüfen, ob zur Gewährleistung der Richtigkeit, Vollständigkeit und Verständlichkeit der Daten die Bereitstellung einer vollständigen Kopie der Krankenakte erforderlich ist. Bei allgemeinen Anfragen kann der Verantwortliche die betroffene Person bitten, anzugeben, ob sie personenbezogene Daten, Dokumente oder beides anfordert.

Organisatorische Auswirkungen auf Gesundheitsunternehmen und die Rolle der Digitalisierung

Es ist anzunehmen, dass das Urteil C-307/22 zu einem deutlichen Anstieg der Anträge auf Akteneinsicht gemäß Artikel 15 DSGVO geführt hat. Dieser Anstieg wirkt sich unmittelbar auf die Kosten und die interne Organisation von Gesundheitseinrichtungen aus.

Der Anstieg der Anfragen

Zu den wichtigsten Faktoren zählen:

WhatsApp Business und die DSGVO im Gesundheitswesen: Medizinische Unterlagen und erste kostenlose Kopie
  • Größeres BewusstseinDie Medienberichterstattung über das Urteil informierte die Bürger über ihr Recht, die erste Kopie ihrer Krankenakte kostenlos zu erhalten.
  • Wirtschaftliche BequemlichkeitDie Gebühren für die Ausstellung einer Papier- oder digitalen Kopie können zwischen 8 und über 30 Euro liegen, was die Inanspruchnahme des Rechts auf freien Zugang fördert.
  • Vorprozessuale ZweckeAnwaltskanzleien und Patientenvertretungsgruppen haben sich für die Nutzung von Artikel 15 der DSGVO zur Analyse von Krankenakten im Hinblick auf mögliche Ansprüche wegen ärztlicher Behandlungsfehler eingesetzt.

Verwaltungsaufwand und Kosten

Der Anstieg der Anfragen verursacht Kosten im Zusammenhang mit:

  • Reproduktion (Papier, Toner, digitale Medien, Gerätewartung);
  • Mitarbeiter (Recherche, Vervielfältigung, Überprüfung, Zustellung von Dokumenten);
  • Versand (im Falle einer Postzustellung);
  • Organisation (Schulungen, Verfahren, Beschwerdemanagement).

Diese Kosten, die zuvor über Vervielfältigungsrechte gemäß Gesetz 241/1990 gedeckt wurden, belasten nun die Budgets von Gesundheitsunternehmen, zumindest für die erste gemäß DSGVO veröffentlichte Kopie. Daher ist es notwendig, die Digitalisierungs- und Automatisierungsprozesse zu beschleunigen, auch durch den Einsatz von Kommunikations- und Workflow-Tools, die dialogbasierte Kanäle wie … integrieren können. WhatsApp Business für unkritische Benachrichtigungen und Interaktionen.

Digitale Krankenakten, elektronische Gesundheitsakten und Prüfungen durch den Rechnungshof

In Italien hat die Förderung elektronischer Patientenakten (EHRs) ihre Grundlage im Gesetz Nr. 35 vom 4. April 2012, Artikel 47-bis, der die elektronische Verwaltung klinischer Abläufe priorisiert und ab dem 1. Januar 2013 die digitale Aufbewahrung von Aufzeichnungen in Übereinstimmung mit dem Gesetz über die digitale Verwaltung (Gesetzesdekret 82/2005) und den Datenschutzgesetzen ermöglicht.

Trotzdem sind die meisten Dateien noch immer im analogen Format gespeichert, was die Reproduktion teuer macht, im Gegensatz zu dem, was eine vollständige Digitalisierung mit nativen digitalen Archiven und Standardkonservierung ermöglichen würde. Rechnungshof, Mit Beschluss Nr. 84 vom 30. Mai 2025 (Piedmont Regional Control Section, Geschäftsjahr 2022) wurden die Praktiken zur Ausstellung von Kopien medizinischer Unterlagen analysiert, wobei eine starke Diskrepanz bei der Preisgestaltung und Anwendung zwischen den Gesundheitsunternehmen hervorgehoben wurde.

Lediglich die Turiner Gesundheitsbehörde (ASL) hat die Einhaltung des EuGH-Urteils erklärt und stellt die erste Kopie der Patientenakte kostenlos aus; ein weiteres Unternehmen hat seine Absicht bekundet, dem Urteil nach Fertigstellung der digitalen Patientenakte Folge zu leisten. Die Regionalabteilung hofft auf eine einheitliche Anwendung der EU-Rechtsprechung.

Anforderungsmanagement, Anforderungslimits und operative Lösungen

Eine korrekte Auslegung des Rechtsrahmens, auch unter Berücksichtigung der FAQs der Datenschutzbehörde, erfordert eine Unterscheidung zwischen dem Recht auf Auskunft über personenbezogene Daten und dem Recht auf Akteneinsicht. Artikel 15 der DSGVO betrifft personenbezogene Daten, nicht notwendigerweise alle Dokumente.

Priorisierung von Anfragen und die Rolle des Datenschutzbeauftragten

Gesundheitseinrichtungen sollten klare Verfahren zur Unterscheidung einführen:

  • ausdrückliche Anfragen nach einem kostenlosen Erstexemplar gemäß Artikel 15 der DSGVO, die zur kostenlosen Herausgabe führen müssen;
  • allgemeine Anfragen, bei denen der Datenverantwortliche den Antragsteller kontaktieren und klären muss, ob dieser das Recht auf Auskunft über personenbezogene Daten oder auf Auskunft über Dokumente ausüben möchte;
  • Anträge gemäß Gesetz 241/1990, für die Unternehmenstarife gelten.

Der Datenschutzbeauftragte (DSB) koordiniert diese Abläufe und gewährleistet die Einhaltung der Fristen gemäß Artikel 12 DSGVO. Die für die Vervielfältigung zuständigen Stellen müssen die Ausstellung der ersten Kopie für jede Datei und jede betroffene Person in einem internen Register erfassen. Dies ist Voraussetzung für die Rechtfertigung etwaiger Gebühren für weitere Kopien.

Digitale Prozesse, Automatisierung und unterstützende Technologien

Die effektivste Lösung zur Begrenzung der Kosten der ersten kostenlosen Kopie besteht in der Optimierung interner Prozesse und der Beschleunigung der Digitalisierung. Einige wichtige Hebel:

  • Automatisierung: Verwendung von Verwaltungssoftware, die das Suchen, Extrahieren und Erstellen von Ordnerkopien automatisiert.
  • Digitale Identität: Verwendung von SPID/CIE zum Einreichen von Anfragen und zum Zugriff auf die elektronische Patientenakte.
  • Ausbildung: spezifische Schulungen zu den verschiedenen Zugriffsregelungen gemäß DSGVO und Gesetz 241/1990.

Die Einführung digitaler elektronischer Patientenakten, die Übermittlung per zertifizierter E-Mail, sicherer E-Mail oder über spezielle Portale sowie die systematische Verknüpfung mit der elektronischen Patientenakte reduzieren die Grenzkosten und den Bedarf an Kopien. Maßnahmen zur Begrenzung offensichtlich unbegründeter oder übermäßiger Anfragen sind in Artikel 12 Absatz 5 der DSGVO vorgesehen. Dieser erlaubt es dem Verantwortlichen, eine angemessene Gebühr zu erheben oder wiederholte Anfragen abzulehnen, sofern er deren übermäßigen Charakter nachweisen kann.

WhatsApp Business und die DSGVO im Gesundheitswesen: Auswirkungen auf Marketing und Geschäftsentwicklung

WhatsApp Business und die DSGVO im Gesundheitswesen gehen über die Einhaltung gesetzlicher Bestimmungen hinaus; sie beeinflussen direkt Marketing, Kommunikation und Positionierung von Gesundheitsorganisationen und -unternehmen. Der Umgang mit Datenzugriff, Patiententransparenz und der Digitalisierung von Arbeitsabläufen wirkt sich auf Markenwahrnehmung und Vertrauen aus.

Eine Einrichtung, die klar kommuniziert, moderne Kanäle (Websites, Portale, App-Benachrichtigungen und Chat-Funktionen) nutzt und Anfragen wie das Kopieren von Patientenakten vereinfacht, beweist Kundenorientierung. In diesem Zusammenhang, WhatsApp Business Es kann zu einem Kommunikationskanal werden für:

  • Versenden von Terminerinnerungen und Benachrichtigungen über den Status der Anfrage (ohne Übermittlung sensibler Daten im Klartext);
  • automatisierte Informationsunterstützung per Chatbot zu Rechten, Fristen und erforderlichen Dokumenten;
  • Einholen von Feedback zur Qualität der Dienstleistungen und zum Patientenablauf.

Für private Gesundheitsunternehmen, Klinikgruppen, ambulante Kliniken und Versicherungsgesellschaften ermöglicht WhatsApp Business und die DSGVO-konforme Verwaltung die Integration des Kanals in CRM-Systeme des Gesundheitswesens, die Nachverfolgung von Interaktionen und die Durchführung von Präventions- oder Rückrufaktionen auf eine Weise, die den Vorschriften und Einwilligungserfordernissen entspricht.

Durch die Automatisierung wiederkehrender Anfragen und Informationen ergeben sich neue Geschäftsmöglichkeiten, die auf gesteigerte Kundenbindung, höhere Patientenzufriedenheit und geringere Kosten im Empfangsbereich zurückzuführen sind. Entscheidend ist die strikte Trennung der Marketingkommunikation von der Kommunikation über Gesundheitsdaten durch geeignete Richtlinien, Informationen und technische Hilfsmittel.

Wie SendApp bei WhatsApp Business und der DSGVO im Gesundheitswesen helfen kann

Um WhatsApp Business und die Anforderungen der DSGVO im Gesundheitswesen strukturiert zu verwalten, benötigen Gesundheitsorganisationen professionelle Plattformen, die offizielle APIs, Automatisierung, Einwilligungsmanagement und eine zentrale Zugriffskontrolle integrieren können. Hier setzt das SendApp-Ökosystem an.

Mit SendApp Official, Organisationen können die Offizielle WhatsApp Business APIs Um skalierbare und sichere Kommunikation zu gewährleisten: Terminbenachrichtigungen, Testerinnerungen und Benachrichtigungen zur Dokumentenverfügbarkeit – stets in Übereinstimmung mit den WhatsApp-Richtlinien und der DSGVO. Die Integration mit Systemen für das Gesundheitsmanagement und CRM ermöglicht die Speicherung von Daten in kontrollierten Infrastrukturen und reduziert so das Missbrauchsrisiko.

SendApp Agent Es ermöglicht Ihnen die teamorientierte Verwaltung von Patientengesprächen mit Chat-Zuweisungen, benutzerdefinierten Tags, internen Notizen und Berichten. So kann die Rezeption Anfragen zu Zugriffsrechten, Antragsstatus und Behandlungspfaden einheitlich und nachvollziehbar beantworten, während sensible Gesundheitsdaten außerhalb dieses Kanals bleiben und über sicherere Kanäle übertragen werden.

Für komplexere Szenarien, SendApp Cloud Es bietet Funktionen für Marketingautomatisierung und Omnichannel-Workflows: Es ist möglich, Abläufe zu konfigurieren, die den Patienten nach vorheriger Einwilligung über regelmäßige Kontrolluntersuchungen, Präventionskampagnen oder Service-Updates informieren, wobei WhatsApp Business mit E-Mail, SMS und anderen Kontaktpunkten integriert wird, stets unter Einhaltung der Sicherheits- und Datenschutzbestimmungen.

In einer Zeit, in der das Recht auf Zugang zu Gesundheitsdaten immer wichtiger wird und die Digitalisierung rasant voranschreitet, ermöglicht die Nutzung einer strukturierten Plattform wie SendApp, Compliance in einen echten Mehrwert zu verwandeln: weniger Zeitaufwand für repetitive Aufgaben, mehr Fokus auf Patientenbeziehungen und Servicequalität. Für Gesundheitsorganisationen, die ihre Kommunikation optimieren und WhatsApp Business an die DSGVO im Gesundheitswesen anpassen möchten, ist jetzt der ideale Zeitpunkt für eine individuelle Beratung und eine kostenlose Testphase der SendApp-Lösungen.

Hinterlasse eine Antwort