BYOD im Gesundheitswesen: Chance oder Compliance-Risiko?

Pflegekräfte, die zwischen Patienten wechseln, Ärzte, die zwischen Station, OP und Ambulanz pendeln – sie alle kommunizieren bereits heute über ihr privates Smartphone. Die Frage ist nicht mehr, ob private Geräte für dienstliche Kommunikation genutzt werden. Die Frage ist, ob das unter kontrollierten Bedingungen passiert oder unkontrolliert über WhatsApp-Gruppen.

‍

Laut einer Studie der European Society of Cardiology nutzen fast 80 % der Ärzte WhatsApp zum Teilen von Patientendaten. Das ist keine Randerscheinung, sondern gelebte Praxis in deutschen Kliniken und Pflegeeinrichtungen. Und es ist ein erhebliches Compliance-Risiko, das sich mit dem richtigen Ansatz beheben lässt.

‍

BYOD (Bring Your Own Device) bedeutet, dass Mitarbeitende ihr privates Endgerät für dienstliche Zwecke nutzen. Im Gesundheitswesen ist das kein Tabu, sondern für viele Einrichtungen die pragmatisch sinnvollste Lösung – vorausgesetzt, die eingesetzte Kommunikationslösung ist von Grund auf für dieses Szenario konzipiert.

‍

Vier Gerätestrategien im Vergleich: Was passt zu welcher Einrichtung?

Bevor eine Einrichtung eine BYOD-Entscheidung trifft, lohnt ein Blick auf die vier gängigen Gerätestrategien. Sie unterscheiden sich grundlegend in Kostenstruktur, Kontrolltiefe und Praxistauglichkeit.

‍

‍

Für die meisten Pflegedienste und viele Krankenhäuser ist BYOD die einzig realistische Option: Die Ausstattung aller Mitarbeitenden mit Dienstgeräten ist finanziell oft nicht darstellbar, und Mitarbeitende nutzen ihre privaten Geräte ohnehin – ob erlaubt oder nicht. Laut einer Ivanti-Befragung aus 2025 berichten drei von vier IT-Verantwortlichen, dass private Geräte für Arbeitszwecke regelmäßig genutzt werden. Ein erheblicher Teil der Beschäftigten tut das auch dann, wenn es offiziell untersagt ist.

‍

Warum WhatsApp auf dem Privatgerät kein akzeptables Risiko ist

WhatsApp bietet Ende-zu-Ende-Verschlüsselung – das stimmt. Was viele übersehen: Cloud-Backups liegen unverschlüsselt vor, Metadaten (wer kommuniziert wann mit wem) werden erfasst, und der Zugriff auf das Telefonbuch des Geräts bedeutet, dass Kontaktdaten aller Patienten an Meta-Server übertragen werden. Das ist ein eigenständiger DSGVO-Verstoß, unabhängig vom Inhalt der Nachrichten.

‍

Gesundheitsdaten fallen unter Art. 9 DSGVO, der besondere Kategorien personenbezogener Daten schützt. Eine Verletzung des Schutzes dieser Daten kann Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes nach sich ziehen. Hinzu kommt die ärztliche Schweigepflicht nach § 203 StGB: Wer Patientendaten unbefugt offenbart, macht sich strafbar – auch dann, wenn es „nur" über eine unsichere App passiert.

‍

Das NIS-2-Umsetzungsgesetz, das seit dem 6. Dezember 2025 ohne Übergangsfrist in Kraft ist, verschärft die Lage weiter. Nahezu alle Krankenhäuser in Deutschland sind betroffen. Mobile Sicherheit und BYOD werden darin explizit als Risikobereiche benannt. Bei Verstößen haften Geschäftsleiter persönlich. Bußgelder für besonders wichtige Einrichtungen können bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes betragen. Unkontrollierte BYOD-Nutzung mit WhatsApp ist unter NIS-2 damit kein Kavaliersdelikt mehr, sondern ein direktes Haftungsrisiko für die Geschäftsführung.

‍

Das Container-Prinzip: Wie der TI-Messenger BYOD sicher macht

Der entscheidende Unterschied zwischen WhatsApp auf dem Privatgerät und einem gematik-zertifizierten TI-Messenger liegt nicht nur in der Verschlüsselung, sondern in der vollständigen Datentrennung auf App-Ebene.

‍

Ein TI-Messenger, der für BYOD konzipiert ist, funktioniert nach dem Container-Prinzip: Die App bildet einen verschlüsselten, abgeschlossenen Bereich auf dem Gerät, der von privaten Daten vollständig getrennt ist. Das bedeutet konkret:

• Kein Zugriff auf das Telefonbuch: Kontakte werden über den Verzeichnisdienst (VZD) der Telematikinfrastruktur gefunden, nicht über das private Adressbuch des Geräts.
• Kein Zugriff auf die Fotogalerie: Bilder, die über den Messenger aufgenommen oder empfangen werden, landen in einem separaten, verschlüsselten Medienspeicher, nicht in der privaten Galerie.
• Screenshots deaktiviert: Patientendaten können nicht versehentlich in die Zwischenablage oder andere Apps gelangen.
• Automatische PIN-Sperre: Nach kurzer Inaktivität wird die App gesperrt, unabhängig vom Gerätesperrbildschirm.
• Keine Cloud-Backups: Nachrichten werden nicht in privaten Cloud-Diensten (iCloud, Google Drive) gesichert.

Famedly setzt dieses Prinzip in seinem TI-Messenger konsequent um. Die BYOD-Fähigkeit ist kein nachträgliches Add-on, sondern ein Kernelement der Architektur: unabhängig von der Handynummer, ohne Adressbuchzugriff, mit separater Datenbasis und deaktivierten Screenshots. Das macht die App selbst zum Crypto-Container, ohne dass ein separates Mobile Device Management (MDM) System zwingend erforderlich ist.

‍

MDM oder App-basierte Sicherheit: Was wirklich nötig ist

MDM-Systeme ermöglichen die zentrale Verwaltung aller mobilen Endgeräte in einer Organisation. Sie sind sinnvoll, wenn Einrichtungen vollständige Kontrolle über Geräte benötigen, zum Beispiel für Firmware-Updates, App-Whitelisting oder Remote-Wipe bei Geräteverlust. Für den spezifischen Anwendungsfall „sichere Kommunikation auf Privatgeräten" ist ein MDM jedoch keine zwingende Voraussetzung, wenn die eingesetzte App selbst die notwendige Datenisolation gewährleistet.

‍

‍

Für viele Pflegeeinrichtungen und mittelgroße Kliniken ist der Einstieg mit einer Container-App der pragmatische erste Schritt. MDM kann ergänzend eingeführt werden, wenn die Einrichtung ihre Mobile-Security-Strategie weiter ausbauen möchte.

‍

BYOD datenschutzkonform einführen: Ein Praxis-Leitfaden in fünf Schritten

BYOD ohne Strategie ist ein Datenschutzrisiko. BYOD mit der richtigen Struktur ist eine effiziente, compliant betreibbare Lösung. Der folgende Leitfaden orientiert sich an Best Practices für das Gesundheitswesen.

‍

Schritt 1: BYOD-Richtlinie erstellen

Eine schriftliche BYOD-Richtlinie ist keine Kür, sondern Pflicht. Sie regelt die Rahmenbedingungen und schützt sowohl die Einrichtung als auch die Mitarbeitenden. Mindestinhalte einer BYOD-Policy im Gesundheitswesen:

• Zugelassene Betriebssysteme und Mindest-OS-Versionen (z.B. iOS 16+, Android 12+)
• Pflicht zur Gerätesperre (PIN, biometrisch) und aktuellen Sicherheitsupdates
• Ausschließlich zugelassene Apps für dienstliche Kommunikation (explizit: kein WhatsApp)
• Verhalten bei Geräteverlust oder -diebstahl (sofortige Meldepflicht)
• Klarer Offboarding-Prozess: Wie werden dienstliche Daten beim Ausscheiden entfernt?
• Hinweis auf das Verbot privater Cloud-Backups für dienstliche Inhalte
• Datenschutzhinweise und Einwilligungserklärung der Mitarbeitenden

Schritt 2: Datenschutz-Folgenabschätzung durchführen

Bei der Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO) auf privaten Endgeräten ist eine Datenschutz-Folgenabschätzung (DSFA) in der Regel erforderlich. Das ist ein Punkt, den viele Einrichtungen übersehen. Die DSFA dokumentiert die Risiken, bewertet die technischen und organisatorischen Schutzmaßnahmen und ist bei einer Prüfung durch die Datenschutzaufsicht der zentrale Nachweis für eine strukturierte Risikoabwägung. Der Datenschutzbeauftragte der Einrichtung sollte frühzeitig eingebunden werden.

‍

Schritt 3: Pilotprojekt starten, dann skalieren

Bewährt hat sich der Einstieg mit einer überschaubaren Pilotgruppe. Bei der Medizinischen Hochschule Hannover (MHH) startete der Rollout von Famedly zunächst mit acht Nutzern in der IT-Abteilung. Nach der Freigabe durch Datenschutz und IT wurde der erste Fachbereich, die Dermatologie, angebunden. Die Akzeptanz war sofort hoch: Ärzte und Pflegekräfte waren überzeugt, weitere Abteilungen forderten den Messenger aktiv an. Stand April 2026 sind bereits 780 von geplanten 5.000 Nutzern produktiv. Dieser Ansatz reduziert das Risiko eines gescheiterten Großrollouts erheblich und schafft interne Fürsprecher, die den weiteren Ausbau vorantreiben.

‍

Schritt 4: Mitarbeitende einbinden und schulen

Technische Maßnahmen allein reichen nicht aus. Mitarbeitende müssen verstehen, warum WhatsApp für Patientenkommunikation nicht zulässig ist und wie der TI-Messenger im Alltag funktioniert. Erfahrungsgemäß ist der Schulungsaufwand bei intuitiv gestalteten Lösungen gering. Das Zitat von Dr. med. Matthias Schefzyk, Oberarzt in der Dermatologie der MHH, bringt es auf den Punkt: „Intuitiv und praxisnah – zugleich sicher und DSGVO-konform."

‍

Schritt 5: Offboarding-Prozess definieren

Was passiert, wenn ein Mitarbeiter die Einrichtung verlässt oder die BYOD-Berechtigung entzogen wird? Dieser Prozess muss vor dem Rollout definiert sein. Bei einem TI-Messenger ohne MDM erfolgt das Offboarding über die Deaktivierung des Nutzerkontos: Der Zugriff auf alle dienstlichen Chaträume und Daten wird sofort entzogen. Auf dem Privatgerät verbleiben keine Patientendaten, da diese ausschließlich im verschlüsselten App-Container gespeichert waren. Eine schriftliche Bestätigung des Offboardings durch den Mitarbeitenden empfiehlt sich als Dokumentation.

‍

Praxis-Szenarien: So sieht BYOD mit dem TI-Messenger im Alltag aus

‍

Ambulante Pflege: Wundversorgung ohne Telefonschleife

Problem: Eine Pflegekraft ist beim Patienten zu Hause und stellt eine Wundverschlechterung fest. Der zuständige Hausarzt ist telefonisch schwer erreichbar, die Praxis verweist auf einen Rückruf in zwei Stunden.

‍

Lösung: Die Pflegekraft fotografiert die Wunde direkt über den TI-Messenger. Das Bild landet im verschlüsselten App-Speicher, nicht in der privaten Galerie. Sie sendet es über den TI-Messenger an den Hausarzt, der im Verzeichnisdienst der Telematikinfrastruktur auffindbar ist.

‍

Ergebnis: Der Arzt bewertet die Situation asynchron, gibt innerhalb von Minuten eine Einschätzung und entscheidet, ob ein Praxisbesuch notwendig ist. Keine Telefonschleife, keine unnötige Fahrt, keine Verzögerung in der Versorgung. Beim Seniorendienst Rötzel, der Famedly im Pflegealltag einsetzt, wurde nach der Einführung eine ca. 90 % dokumentierte Kommunikationsquote und eine Reduktion der Kommunikationsbeteiligten um ca. 50 % erreicht.

‍

Krankenhaus: Rückfrage im Hintergrunddienst

Problem: Eine Assistenzärztin in der Unfallchirurgie ist unsicher bei der Bewertung eines Röntgenbildes. Die Oberärztin ist im Hintergrunddienst und nicht direkt erreichbar. Ein Anruf würde bedeuten, die Oberärztin aus einer anderen Situation herauszureißen.

‍

Lösung: Die Assistenzärztin fotografiert das Röntgenbild über den TI-Messenger und sendet es mit einer kurzen Einschätzung an die Oberärztin im Hintergrunddienst. Die Oberärztin antwortet, sobald sie einen Moment hat.

‍

Ergebnis: Keine unnötige Unterbrechung, keine Informationsverluste, rechtssichere Dokumentation des Austauschs. Die Kommunikation bleibt vollständig im verschlüsselten Bereich des TI-Messengers, unabhängig davon, ob die Ärztin ihr Privatgerät oder ein Dienstgerät nutzt.

‍

Pflegeheim: Schichtübergabe ohne WhatsApp-Gruppe

Problem: Die Nachtschicht hat relevante Informationen zu mehreren Bewohnern, die die Frühschicht kennen muss. Die bisherige Praxis: Mündliche Übergabe mit hohem Informationsverlust oder inoffizielle WhatsApp-Gruppe.

‍

Lösung: Die Pflegekraft dokumentiert die Übergabe im TI-Messenger, direkt auf dem Privatgerät. Die Frühschicht kann die Informationen nachlesen, auch wenn die Übergabe zeitversetzt stattfindet.

‍

Ergebnis: Strukturierte, nachvollziehbare Übergaben, kein Informationsverlust, keine Datenschutzverstöße durch private Messenger. Weitere Informationen zu Anwendungsfällen in der Pflege finden Sie auf der TI-Messenger-Seite von Famedly sowie in den Erfolgsgeschichten aus der Praxis.

‍

Rechtliche Rahmenbedingungen auf einen Blick

Für Datenschutzbeauftragte und IT-Leitungen ist eine klare Übersicht der relevanten Rechtsgrundlagen hilfreich:

‍

‍

Die Datenschutzkonferenz (DSK) hat zudem in einem Whitepaper einen Kriterienkatalog für den Einsatz von Messenger-Diensten im Gesundheitsbereich veröffentlicht. Ende-zu-Ende-Verschlüsselung ist darin nur eines von mehreren Kriterien. Metadaten-Sparsamkeit, Serverstandort, Zugriffsrechte und Datentrennung sind ebenso entscheidend – Anforderungen, die gematik-zertifizierte TI-Messenger erfüllen müssen, WhatsApp jedoch nicht.

‍

Wenn Sie prüfen möchten, ob Ihre Einrichtung für den Einstieg in den TI-Messenger bereit ist, bietet Famedly einen kostenfreien TI-Check an, um die konkrete Ausgangssituation zu bewerten.

‍

Häufige Fragen zum TI-Messenger auf privaten Geräten

Dürfen Mitarbeitende den TI-Messenger auf ihrem privaten Smartphone nutzen?

Ja, BYOD ist im Gesundheitswesen grundsätzlich zulässig – vorausgesetzt, die Einrichtung hat eine schriftliche BYOD-Richtlinie, eine Datenschutz-Folgenabschätzung durchgeführt und eine technische Lösung implementiert, die Patientendaten vom privaten Bereich des Geräts trennt. Ein gematik-zertifizierter TI-Messenger mit Container-Prinzip erfüllt diese Anforderungen. Ein pauschales Verbot ist weder rechtlich geboten noch praxistauglich, da Mitarbeitende private Geräte ohnehin nutzen.

‍

Was passiert, wenn ein Mitarbeiter sein Privatgerät verliert?

Bei einem TI-Messenger mit Container-Prinzip sind Patientendaten auch bei Geräteverlust geschützt: Der App-Container ist verschlüsselt und durch PIN gesichert. Zusätzlich kann der IT-Administrator das Nutzerkonto sofort deaktivieren, womit der Zugriff auf alle dienstlichen Daten entzogen wird. Patientendaten sind nicht in der privaten Fotogalerie, in Cloud-Backups oder anderen Apps des Geräts gespeichert. Dieser Prozess muss in der BYOD-Richtlinie klar definiert sein, einschließlich der Meldepflicht der Mitarbeitenden bei Geräteverlust.

‍

Brauchen wir zwingend ein MDM-System für BYOD?

Nicht zwingend, wenn der eingesetzte TI-Messenger selbst eine vollständige Datentrennung auf App-Ebene gewährleistet. Ein MDM kann ergänzend sinnvoll sein, wenn die Einrichtung eine umfassende Mobile-Security-Strategie verfolgt oder vollständige Geräteverwaltung benötigt. Für den spezifischen Anwendungsfall sichere Kommunikation auf Privatgeräten ist eine zertifizierte Container-App jedoch eine eigenständige, compliant betreibbare Lösung.

‍

Ist eine Datenschutz-Folgenabschätzung bei BYOD wirklich erforderlich?

Bei der Verarbeitung von Gesundheitsdaten auf privaten Endgeräten ist eine DSFA nach Art. 35 DSGVO in der Praxis nahezu immer erforderlich, da Gesundheitsdaten als besondere Kategorie personenbezogener Daten (Art. 9 DSGVO) einem erhöhten Schutzbedarf unterliegen. Die DSFA dokumentiert die Risikoabwägung und ist bei einer Prüfung durch die Datenschutzaufsicht der zentrale Nachweis für eine strukturierte Vorgehensweise. Der Datenschutzbeauftragte sollte frühzeitig eingebunden werden.

‍

Können auch Pflegekräfte ohne elektronischen Heilberufsausweis (eHBA) den TI-Messenger nutzen?

Ja. Innerhalb einer Einrichtung können alle durch die Organisation autorisierten Nutzer den TI-Messenger verwenden, auch ohne eigenen eHBA. Die Einrichtung authentifiziert sich über die SMC-B-Karte und kann Nutzerkonten für alle Mitarbeitenden anlegen. Ein eHBA ist für Leistungserbringer relevant, die sich eigenständig im Verzeichnisdienst (VZD) der Telematikinfrastruktur eintragen möchten, zum Beispiel niedergelassene Ärzte.

‍

Gilt der TI-Messenger auch für die einrichtungsübergreifende Kommunikation?

Ja, das ist einer der zentralen Vorteile gegenüber proprietären Messenger-Lösungen. Über den Verzeichnisdienst der Telematikinfrastruktur können alle im VZD registrierten Einrichtungen und Leistungserbringer gefunden und direkt kontaktiert werden, unabhängig davon, welchen gematik-zertifizierten TI-Messenger sie nutzen. Das ermöglicht sichere Kommunikation zwischen Krankenhaus und Pflegedienst, zwischen Arztpraxis und Apotheke und zwischen Klinik und Zuweisern, ohne dass alle Beteiligten denselben Anbieter verwenden müssen.