Deutsche Krankenhausgesellschaft verbietet „Bring Your Own Device“

von Robert Nagel, am 19.11.2020

Die Deutsche Krankenhausgesellschaft (DKG) rät dringend von der Nutzung privater mobiler Endgeräte („Bring Your Own Device“ = BYOD) in Krankenhäusern ab. Aus einer Formulierungshilfe für Krankenhäuser, die die Nutzung von Messenger-Diensten im Gesundheitswesen adressiert, geht dies unmissverständlich hervor.

BYOD im Krankenhaus

Hintergrund: Messenger-Dienste im Krankenhaus

Die DKG (Deutsche Krankenhausgesellschaft) setzt sich als Dachverband der Krankenhausträger für die Interessen und Belange deutscher Krankenhäuser ein. Die Formulierungshilfe der DKG dient dazu, die insgesamt 28 Mitgliedsverbände von Krankenhausträgern (16 Landesverbände, 12 Spitzenverbände) über den rechtssicheren Umgang mit Messenger-Diensten zu informieren. Das Papier liegt everphone vor.

Es enthält einerseits Muster-Dienstanweisungen für den Gebrauch dieser Dienste sowie eine „Muster-Vereinbarung über die Überlassung und Nutzung eines Dienst-Mobiltelefons“, andererseits sind auch Ausführungen zu den rechtlichen Hintergründen und den technisch-organisatorischen Maßnahmen (TOM) rund um die Endgeräte enthalten.

BYOD im Krankenhausalltag

Bereits im Jahr 2012 stellte CIO Stefan Walther am Universitätsklinikum Düsseldorf fest, man sei damit konfrontiert, dass medizinisches und pflegerisches Personal private mobile Endgeräte wie Smartphones oder Tablets mitbrächte und in seiner beruflichen Tätigkeit nutze (Quelle). Das Phänomen ist also nicht neu.

Lesen Sie hierzu mehr in unserem Whitepaper „BYOD und EU-DSGVO“. Klicken Sie  hier für den Download.

Dieses Vorgehen nennt man „Bring Your Own Device“ (BYOD). Als Grund hierfür nannte Walther, dass die Privatgeräte oft eine bessere technische Ausstattung aufwiesen, als die IT-Infrastruktur der Krankenhäuser selbst. So seien etwa private Tablets aufgrund der dort eingesetzten Displaytechnologie (IPS, OLED) den stationären Desktop-PCs deutlich überlegen, was die Bildqualität anginge.

Neue Kommunikationsformen

Durch den Siegeszug und die rasante Entwicklung mobiler Technologien haben Nutzer aber auch ihre Kommunikationsgewohnheiten geändert: Kommuniziert wird eben gerne in Messenger-Diensten: Hier kann man ganze Gruppen in Echtzeit mit Informationen versorgen und zum Beispiel Bilder und andere Dateien verschicken. Das ist natürlich sehr praktisch und wird deshalb auch gerne genutzt.

BYOD Krankenhaus
Die Nutzung mobiler Endgeräte wie Tablets in Hospitälern und Krankenhäusern erstreckt sich zunehmend auch auf Messenger-Dienste

In der Praxis bedeutet das aber im schlimmsten Fall: Das Krankenhauspersonal bringt ohne Wissen der IT-Abteilung eigene BYOD-Geräte mit (Stichwort: Dark-BYOD) und nutzt auf diesen Geräten Messenger-Dienste, die nicht mit der DSGVO in Einklang zu bringen sind (Stichwort: WhatsApp), um über oder mit Patienten zu kommunizieren.

Im schlimmsten Fall werden also Screenshots von Patientenakten, Fotos von Patienten und dergleichen in einem stationseigenen WhatsApp-Chat munter herumgereicht. Weitere denkbare Szenarien für den Messenger-Einsatz: konsiliarische Abstimmungen innerhalb des Krankenhauses, aber auch mit Rettungsdiensten, Arztpraxen, anderen Leistungserbringern und schließlich auch die Kommunikation mit den Patientinnen und Patienten selbst.

So lobenswert es auch sein mag, moderne Kommunikationsmittel im Sinne der effizientesten Patientenversorgung zu nutzen – juristisch ergeben sich hierbei zahlreiche Fallstricke.

Messenger-Dienste haben für den Austausch von Nachrichten enorm an Bedeutung gewonnen und erfreuen sich als Kommunikationsform großer Beliebtheit. Während sie aus dem privaten Alltag kaum mehr wegzudenken sind, kann ihre Verwendung auch den bereits existierenden IT-Einsatz im Krankenhausbereich sinnvoll ergänzen und zu verbesserten Kommunikationsprozessen führen. Da zahlreiche Vorkehrungen zu treffen sind, um die Verwendung rechtssicher zu gestalten, erfolgen im Rahmen anliegender DKG-Hinweise zunächst allgemeine Ausführungen zu den juristischen sowie technischen Datenschutzanforderungen, der Frage der Nutzung privater Geräte der Arbeitnehmer, den unterschiedlichen Nutzungsszenarien, der Auswahl eines Messenger-Dienstes für den Betrieb usw.“
Aus dem Papier der Deutschen Krankenhausgesellschaft

Eklatante Datenschutzverstöße laut DSGVO

BYOD ist im Krankenhaus aus datenschutzrechtlicher Sicht von besonderer Brisanz: Denn die EU-Datenschutz-Grundverordnung („DSGVO“) stellt einige Kategorien personenbezogener Daten unter einen besonderen Schutz. Ganz ausdrücklich gehören hier auch die sogenannten Gesundheitsdaten, wie sie in Krankenhäusern erhoben werden, dazu. Nach Einschätzung der DKG umfasst dies „sämtliche behandlungsbezogenen Daten wie Krankenblätter, Arztbriefe, Laborbefunde, Fotos von Patienten und so weiter“.

Verarbeitung von Gesundheitsdaten in der DSGVO

Dazu stellt Art. 9 Abs.1 der DSGVO unmissverständlich fest: „Die Verarbeitung (...) von Gesundheitsdaten (...) ist untersagt.“ Ausgenommen sind hiervon lediglich eine Reihe von Fällen. Für Krankenhäuser insbesondere maßgeblich ist Art. 9 Abs. 2h. Dieser formuliert als Voraussetzung für die Verarbeitung von Gesundheitsdaten:

(...) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich (...) erforderlich.

Dass es im Rahmen von Datenschutzkontrollen auch für Krankenhäuser ernst wird, zeigen die Bußgelder, die seit Inkrafttreten der DSGVO bei Datenschutzkontrollen anfielen. Das liegt daran, dass Gesundheitsdaten von der DSGVO prinzipiell als besonders schützenswert erachtet werden.

Messenger-Dienste und DSGVO

In Bezug auf Messenger-Dienste wie WhatsApp, Telegram oder Threema gibt es zahlreiche datenschutzrechtliche Fußangeln. Insbesondere beim beliebtesten Messenger in Deutschland, WhatsApp, gibt es das Problem, dass der Dienst personenbezogene Daten an Server außerhalb der EU überträgt.

Lesen Sie zu diesem Thema: DSGVO und WhatsApp – wo ist das Problem?

Dazu kommen im Krankenhausumfeld noch weitere zusätzliche Anforderungen, beispielsweise in den Bereichen Authentifizierung, Verschlüsselung und Zertifikatsmanagement.

DKG rät dringend von BYOD-Szenarien ab

Auf die eben genannten Voraussetzungen beziehen sich auch die DKG-Formulierungshilfen. Die DKG stellt dazu fest, dass erstens die sorgfältige Auswahl eines Messenger-Dienstes notwendig ist, der den datenschutzrechtlichen Anforderungen gerecht wird und die betriebliche Nutzung nicht ausschließt.

Zweitens muss es für die Angestellten klare Regeln geben, wie die gewählte Messenger-App zu nutzen ist. Dazu gehören Regelungen darüber, „auf welchen Geräten [der Dienst] genutzt werden darf, mit wem kommuniziert werden darf (nur innerhalb des Krankenhauses oder auch nach außen?), wie mit ausgetauschten Nachrichten zu verfahren ist (z.B. Speicherung, Dauer, Löschung) usw.“

Trügerische Sicherheit

Aus eigener Erfahrung wissen wir bei everphone, dass das Vorhandensein klarer Arbeitsanweisungen und Nutzungsvorgaben von vielen Unternehmen fälschlicherweise bereits als technisch-organisatorische Maßnahme (TOM) angesehen wird. Das ist aber nicht der Fall. Der Krankenhausverband ist sich dessen auch sehr wohl bewusst. So heißt es weiter im Papier:

(...) Kritisch zu betonen [sic!] ist die Vorgehensweise hinsichtlich der Frage der Zulässigkeit der Nutzung privater mobiler Endgeräte der Mitarbeiter in Krankenhäusern. Die Datenschützer vertreten eindeutig die Auffassung, dass der Einsatz von privaten mobilen Endgeräten der Mitarbeiter in den Krankenhäusern nicht zulässig ist.“

Hier nimmt die die Krankenhausgesellschaft Bezug auf ein Whitepaper der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“. Das im November 2019 erschienene Positionspapier definiert technische Standards zu Mobilgeräten im Krankenhaus.

Der DKG kritisiert allerdings das Whitepaper insofern, als dass es zu BYOD-Fragen nicht angemessen Stellung beziehe und die Krankenhäuser in trügerischer Sicherheit hinterließe.

Der Kritikpunkt besteht insofern darin, dass sich die Krankenhäuser ‚in falscher Sicherheit wiegen', auch private Endgeräte einsetzen zu dürfen, während die Nutzung der privaten Geräte für die Messenger-Dienste strengstens verboten ist und im Rahmen von Kontrollen der Landesdatenschützer geahndet wird.“

iPhone 5 - BYOD KrankenhausEin gängiges Problem bei BYOD:
der Einsatz veralteter Modelle mit abgelaufenem Betriebssystem-Support

BYOD im Krankenhausbereich „nicht geduldet“

Zusammenfassend stellt die DKG-Formulierungshilfe weiter fest, warum ein BYOD-Szenarium potenziell Datenschutzverstöße befördert.

  • Auf BYOD-Geräten werden sowohl private als auch dienstliche Daten und gegebenenfalls sensibelste Patientendaten vorgehalten.
  • Unbefugte könnten Zugriff auf diese Daten haben, zum Beispiel Familienangehörige.
  • Die Verschlüsselungen sind nicht durchgängig gewährleistet. 
  • Backups und Datensicherungen werden gegebenenfalls in Nicht-EU-Ländern erstellt (z. B. USA) angelegt.
  • Dienstliche und private Kontakte werden nicht explizit getrennt, wie von der DSGVO gefordert.
  • Anbieter von Messenger-Diensten erhalten Zugriff auf Kontakte, die der Verarbeitung personenbezogener Daten nicht zugestimmt haben.

Lesen Sie hierzu mehr: BYOD-Risiken: Das sind die neun größten Gefahren

Eine sichere Nutzung von Messenger-Diensten ist demnach auf mitgebrachten Privatgeräten nicht möglich. Hierfür kommen nur Dienstgeräte in Betracht, die entsprechend den geltenden Datenschutzbestimmungen sauber in das Krankenhausnetzwerk integriert sind und mittels eines Mobile-Device-Management-Systems administriert werden. 

Wie zuvor dargestellt ist die Nutzung von Messenger-Diensten im Krankenhausbereich also – nach Auffassung der Datenschutzaufsichtsbehörden – ausschließlich auf vom Krankenhausträger zur Verfügung gestellten Dienst-Mobiltelefonen zulässig. Die Nutzung privater Geräte der Arbeitnehmer („bring your own device“ – „BYOD“) wird nicht geduldet.“

Private Nutzung von Dienstgeräten

Anders sieht es aus, wenn Dienstgeräte auch für den privaten Gebrauch freigegeben werden sollen. Dies befürwortet die DKG sogar, weil damit die Nutzung der Geräte insgesamt auf eine höhere Akzeptanz stößt und die „heimliche“ Nutzung privater Geräte (Dark-BYOD) dadurch abnimmt.

Des Weiteren stellt sich die Frage, ob ein vom Krankenhausträger zur Verfügung gestelltes Dienst-Mobiltelefon auch privat genutzt werden darf. Erlaubt der Krankenhausträger dies, erhöht es die Akzeptanz der Nutzung des Verwenders. Dabei müssen die oben bereits genannten Punkte, z.B. die Trennung privater und geschäftlicher Nutzung, usw. geregelt werden.“

Bei den erwähnten „Punkten“ bezieht sich die DKG auf eine Liste der „branchenspezifischen Sicherheitsstandards (B3S) für Krankenhäuser“ des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Standards definieren auch technische Anforderungen an Mobilgeräte im Krankenhaus. 

Zu diesen Anforderungen gehören unter anderem Regelungen zur Datentrennung bei privater/beruflicher Mischnutzung („Containerisierung“), Fernzugriff und Fernlöschung sensibler Daten bei Geräteverlust („Remote Wipe“) und das Erzwingen sicherer Sperrmethoden und Passkeys für das jeweilige Endgerät.

Eine vollständige Liste der Anforderungen finden Sie auf S.77 des PDFs. Allerdings stellt auch das BSI fest:

Aufgrund der besonderen Herausforderungen im Hinblick auf Administration und Nutzungsverhalten SOLL BYOD nur in begründeten Ausnahmefällen zum Einsatz kommen, insbesondere die Nutzung privater (vom Nutzer administrierter) Endgeräte (z. B. Smartphones) MUSS kritisch geprüft werden. Dies schließt Vorgaben für die Speicherung personenbezogener Daten auf privaten Geräten ausdrücklich ein.“

Fazit: BYOD im Krankenhausumfeld nicht rechtssicher

Das DKG-Paper analysiert die rechtlichen Voraussetzungen der Messenger-Nutzung im Krankenhausumfeld und kommt zu dem Schluss, dass diese auf im Krankenhaus eingesetzten Privatgeräten nicht rechtssicher zu bewerkstelligen ist (siehe oben).

Lediglich auf administrierten Dienstgeräten, wie sie beispielsweise von everphone über „Phone as a Service“ in einem Mietservice zu beziehen sind, ist der DSGVO-konforme Einsatz von Messenger-Apps überhaupt möglich. Technische Grundlage hierfür ist die Trennung der privaten und dienstlichen Daten durch eine MDM-Software.

Weblinks: BYOD im Krankenhaus

Whitepaper DSGVO und BYOD


Bitte bewerten Sie unseren Artikel!
 
Themen:InsiderEU-DSGVOBring Your Own DeviceDatenschutzMobile Security

Kommentare