Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI NRW) berichtet in einer Pressemitteilung vom 28.10.2025 über einen skandalösen Fall, bei dem es um die Weitergabe von Gesundheitsdaten von Kunden durch ein Taxiunternehmen ging. Dass der Umgang mit Gesundheitsdaten ein besonders hohes Maß an Sorgfalt erfordert, gilt nicht nur für medizinische Einrichtungen, sondern für alle Unternehmen, die mit solchen Informationen in Berührung kommen. Der Fall aus Nordrhein-Westfalen zeigt, dass dieses Bewusstsein in der Praxis nicht überall vorhanden ist.
Datenweitergabe über Messenger-Dienste
Ein Taxiunternehmen soll über längere Zeit hinweg besonders schützenswerte Kundendaten in WhatsApp-Gruppen an sämtliche Fahrer, ohne Einwilligung der betroffenen Personen, verteilt haben. Der Sinn habe in der Koordinierung von Krankenfahrten und Abrechnungen gelegen. Das betroffene Unternehmen habe zwei WhatsApp-Gruppen genutzt und unter anderem Namen, Adressen, ein Foto eines Kunden von Social Media, Angaben zu körperlichen Einschränkungen, ärztliche Verordnungen und Termine, Rezepte, Klinikziele und sogar Kopien von Schwerbehinderten- und Personalausweisen geteilt. WhatsApp erschien dem Unternehmen als einfacher, schneller und für alle Mitarbeitenden zugänglicher Kommunikationsweg.
Das habe zu einem vollständigen Verlust der Kontrolle über die verarbeiteten Daten geführt. So habe eine ausgeschlossene Person weiterhin auf zuvor geteilte Inhalte zugreifen können, da die Bilder automatisch in der Fotogalerie ihres Endgerätes gespeichert worden waren.
Rechtswidrige Datenverarbeitung
LDI NRW sah hierin einen schwerwiegenden Verstoß gegen die Datenschutzgrundverordnung (DSGVO). Sie erklärt, dass die DSGVO Gesundheitsdaten unter einen besonderen Schutz stellt. Solche Informationen dürfen grundsätzlich nur verarbeitet werden, wenn eine ausdrückliche, informierte und freiwillige Einwilligung der betroffenen Person vorliegt oder wenn ein eng definierter gesetzlicher Erlaubnistatbestand greift. Im Fall des Taxiunternehmens war jedoch weder eine ausdrückliche Einwilligung eingeholt worden, noch war die Datenweitergabe im Rahmen des Transportvertrags erforderlich.
Selbst wenn einzelne Kunden wahrgenommen haben sollten, dass ihre Daten weitergegeben werden, ersetze dies nicht die rechtlich notwendige transparente und dokumentierte Zustimmungserklärung. Der Hinweis „das machen wir so, das wissen alle“ genüge nicht.
Hinzu komme, dass die Weitergabe der Daten nicht auf einzelne berechtigte Mitarbeitende beschränkt war, sondern pauschal und unkontrolliert an eine Vielzahl von Fahrern erfolgt sei. Je größer der Kreis der zugriffsberechtigten Personen, desto höher das Risiko eines Missbrauchs oder unbeabsichtigten Datenabflusses.
Konsequenzen und Erwartungen an Unternehmen
Die LDI NRW hat die Nutzung der WhatsApp-Gruppen untersagt und prüft ein Bußgeldverfahren. Laut ihrer Pressemitteilung soll das Unternehmen daraufhin das Vorgehen eingestellt haben. Darüber hinaus macht sie darauf aufmerksam, dass ähnliche Praktiken auch in anderen Taxiunternehmen nicht ausgeschlossen werden können. Der Fall dient daher ausdrücklich als Warnung. Unternehmen, die personenbezogene Daten im Rahmen von Transport- oder Betreuungsdienstleistungen verarbeiten, müssen ihre internen Prozesse kritisch überprüfen. Das gilt insbesondere dort, wo sensible Informationen wie Gesundheitsdaten betroffen sind.
Fazit
Der Fall über die Weitergabe von Gesundheitsdaten durch das Taxiunternehmen unterstreicht, dass selbst vergleichsweise kleine Betriebe mit alltäglichen Dienstleistungen in die Lage kommen können, besonders schützenswerte personenbezogene Daten zu verarbeiten und entsprechend strengen datenschutzrechtlichen Anforderungen unterliegen. Die Nutzung privater Messenger-Dienste ist dafür keine geeignete Lösung. Unternehmen müssen sicherstellen, dass Daten nur für legitime Zwecke verarbeitet und effektiv vor unbefugtem Zugriff geschützt werden. Für die Praxis bedeutet dies, Kommunikations- und Dokumentationsprozesse bewusst zu gestalten, Mitarbeitende zu sensibilisieren und datenschutzkonforme Systeme einzusetzen. Anderenfalls drohen nicht nur Bußgelder und der Vertrauensverlust von Kunden. Beim Einrichten entsprechender Prozesse können Externe Datenschutzbeauftragte helfen.
