Alternativen zu Messenger-Diensten im Gesundheitswesen

Lesen Sie den originalen Artikel: Alternativen zu Messenger-Diensten im Gesundheitswesen


Messenger-Dienste wie Whatsapp werden auch im Gesund-heitswesen gerne genutzt. Doch sie sind alles andere als si-cher.

Ärzte schicken sich in einer privaten Gruppe des Messenger-Dienstes Whatsapp Fotos von EKGs oder Operationen zu und diskutieren munter über die Patienten und deren Krankheiten: Solche Situationen sind ein Alptraum jedes Datenschützers – und doch lei-der Alltag im deutschen Gesundheitswesen.

Laut Umfragen wie etwa des Deutschen Datenschutz-Instituts (DDI) nutzt die Mehrheit des Klinikpersonals Messenger-Dienste. Nicht wenige greifen auf den Marktführer WhatsApp zu, um sich mit Kollegen über medizinische Befunde auszutauschen, mit Rettungsdiensten, Arztpraxen und Patienten zu kommunizieren oder Dienstpläne zu organisieren. Das ist zunächst einmal nachvollzieh-bar: Der Messenger ist einfach, schnell und fast jeder hat die App auf dem Handy. Gleichzeitig birgt die Nutzung solcher Dienste große Risiken, die mit Einführung der EURpäischen Datenschutzverordnung (EU-DSGVO) für Kliniken und andere Gesundheitsdienstleister zu ernsthaften Schwierigkeiten bis hin zum wirtschaftlichen „Exitus“ führen kann.

Verschlüsselung spielt bei Whatsapp im Gegensatz zu Telgram und anderen Messenger-Diensten keine Rolle

Messenger-Dienste wie WhatsApp sind nicht für den Einsatz im Gesundheitswesen konzipiert. Mehr noch: Die Nutzungsbedingungen untersagen jede berufliche Verwendung – es sei denn Arbeit-geber und alle hinterlegten Kontakte genehmigen dies ausdrücklich, was nahezu nie der Fall ist. Da der Messenger täglich alle Kontakte, auch die der Nicht-WhatsApp-Nutzer ausliest, findet gemäß den Regelungen der DSGVO eine rechtswidrige Übertragung personenbezogener Daten statt. Das ist aber nur ein Teil des Problems. Seit 2016 sind die Chats zwar über das Signal-Protokoll ver-schlüsselt. Das Röntgenbild, das außerhalb der Dienstzeit an den Oberarzt geschickt wird, um sich einen Rat zu holen, kann der Messenger also nicht auslesen. Aber alle Metadaten: Die Facebook-Tochter Whatsapp weiß, wer, wann, mit wem und wie oft kommuniziert und wie groß die übertragene Datenmenge ist. Werden zudem die Cloud-Backups nicht extra verschlüsselt – was von jedem Nutzer zunächst einmal selbst konfiguriert werden muss –, liegen die Röntgenbilder genauso offen in der Cloud wie Urlaubsfotos. Auf dem Smartphone selbst sind sowohl die Bilder wie auch der gesamte Chatverlauf dazu unverschlüsselt abgespeichert, was im Falle eines Geräteverlustes oder unerlaubten Zugriffs weitreichen-de Konsequenzen haben kann.

Aber auch das datenschutzrechtliche Risiko ist nicht zu unterschätzen: Bis zu vier Prozent vom Umsatz oder 20 Mio. EUR an Bußgeld können vor Gericht eingefordert werden, wenn die Klinik nicht effektive Maßnahmen und Vorkehrungen getroffen hat. Es reicht hier im Zweifel vor Gericht der klagenden Partei aus, dass der Nachweis eines sicheren Verfahrens nicht erbracht werden konnte. Ein Hauptziel der DSGVO mit Blick auf das Gesundheitswesen ist der Schutz sensibler Gesundheitsdaten vor dem Gebrauch für kommerzielle Zwecke. Darauf aufbauend veröffentlich-te die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im November 2019 ein Whitepaper, das die technische Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich beschreibt. Darunter fällt unter anderem die Möglichkeit, Kontaktdaten von Kommunikationsteilnehmern in einem eigenen, vom allgemeinen Adressbuch des Smartphones getrennten Speicher abzulegen. Ein App muss zudem in der Lage sein, Nachrichten sowie Dateianhänge wie Bilder, Videos oder Dokumente ebenfalls in einem eigenen Bereich in verschlüsselter Form abzulegen. Beides ist eine Muss-Forderung und des-halb zwingend von den Kliniken umzusetzen.

https://www.sicherheit.info/fitness-app-identifiziert-geheimdienstler

Gesundheitswesen und Kliniken brauchen sichere und datenschutzkonforme Lösungen als Alternative

Da niemand auf die Vorzüge einer schnellen und zuverlässigen mobilen Kommunikation verzichten möchte, müssen Alternativen für die Mitarbeiter gefunden werden. Diese sollten auf die Bedürfnisse des Gesundheitssektors angepasst sein und den Schutz sensibler Patientendaten gewährleisten. Auf der sicheren Seite sind die Betreiber von Krankenhäusern, Pflegediensten und anderen Ein-richtungen nur, wenn die auf dem jeweiligen Gerät vorhandenen privaten und dienstlichen Daten sowie Anwendungen strikt voneinander abgeschottet sind.

Realisieren lässt sich dieses Zwei-Systeme-Konzept mit einer so-genannten Container-Lösung. Der so abgeschottete Messenger ermöglicht eine verschlüsselte, DSGVO-konforme Kommunikation sowohl One-to-One als auch in Gruppen, inklusive Videoübertragung, Verschicken von Dokumenten und Bildern sowie Mitteilung von Live-Standorten. Private Apps haben damit grundsätzlich keinen Zugriff auf die Inhalte des Containers. Das heißt, WhatsApp kann keine Kontaktdaten auslesen. Alle Daten auf dem Gerät sind wie auch bei der Übertragung (Ende-zu-Ende) verschlüsselt, wodurch Krankenhäuser das Risiko hoher Strafzahlungen nach Verstößen gegen die Datenschutzbestimmungen vermeiden können.

https://www.sicherheit.info/wie-sicherheitsrisiken-in-kliniken-minimiert-werden

Eine umfassende sichere mobile Kommunikationslösung sollte neben Messaging und Telefonie weitere wichtige Funktionen abdecken: verschlüsselte E-Mail, gehärteter Internet-Browser für Intranet-Zugriffe, sicheres File-Sharing, Kalender und Aufgaben.

Wenn Patientendaten verschickt werden, muss durch digitale Sig-naturen garantiert sein, dass der angeschriebene Empfänger auch tatsächlich der richtige Empfänger ist. Bei öffentlichen Messengern wie WhatsApp erfolgt die Teilnehmererkennung nur durch eine Telefonnummer – wer sich letztlich dahinter verbirgt, lässt sich nicht genau feststellen. Bei einer modernen Container-Lösung dagegen werden die Kommunikationsteilnehmer in zentralen Directories gespeichert und müssen sich per PIN oder Touch- beziehungsweise Face-ID authentifizieren.

https://www.sicherheit.info/coronakrise-so-bereichert-sich-google-mit-steuergeldern

Zudem muss die Lösung benutzerfreundlich sein, sonst greifen die Mitarbeiter wieder zu einer gewohnten, aber unsicheren App. Und zu guter Letzt sollte sie mit möglichst vielen MDM (Mobile Device Management)-Systemen kompatibel sein, um eine konsistente Sicherheitsstrategie zu ermöglichen.

Eine solche sichere mobile Kommunikationslösung gibt Organisationen im Gesundheitswesen die volle Kontrolle über die eigenen Daten – insbesondere von Patienten – zurück. Durch die strikte Trennung von Dienstlichem und Privatem wird zudem eine hundertprozentige DSGVO-Konformität sichergestellt. Gleichzeitig wird im Fall eines beruflich genutzten Privat-Smartphones auch die Privatsphäre der Mitarbeiter geschützt.

Ein großer Krankenhausverbund im Nordwesten Deutschlands vertraut auf Secure PIM. Die im Rahmen einer Byod (Bring Your Own Device)-Regelung genutzten, privaten Geräte der Mitarbeiter werden so gegen Verstöße der DSGVO-Bestimmungen und unberechtigte Zugriffe von außen abgesichert. Secure PIM wird dabei als zusätzliche Sicherheitskomponente in die vorhandene MDM-Lösung integriert, ein MDM alleine reichte den Verantwortlichen als Schutzmaßnahme nicht aus.

Erlauben statt verbieten, muss die Devise sein. Messenger generell zu untersagen, ist definitiv nicht der richtige Weg. Nicht ohne Grund nutzen Ärzte und Klinikpersonal die Dienste so intensiv: Sie erleichtern Prozesse, indem etwa Abstimmungen beschleunigt werden, reduzieren Kosten und erhöhen gleichzeitig die Qualität der Kommunikation – das alles zum Wohle der Patienten.

Anwendungsfall aus dem Pflegebereich

Sensible Daten werden auch im ambulanten Pflegebereich ausgetauscht. Dr. Christian Schieder, Bundesgeschäftsführer beim ABVP (Arbeitgeber- und Berufsverband Private Pflege e.V.) kennt die Ausgangssituation: Von schriftlichen Team-Übergaben mit Zetteln über eine in die Pflege-Software eingebettete Messenger-Funktion bis hin zu privaten Diensten wie WhatsApp reichen die Kommunikationswege in den Einrichtungen. Auf den Diensthandys der eigenen Mitarbeiter hat der Rechtsanwalt, der unter anderem zum Thema Datenschutz Webinare und Inhouse-Schulungen hält, den Einsatz von WhatsApp verboten und nutzt dafür die sichere Alternative Secure PIM. Aus seiner Sicht ist Datenschutz nicht „sexy“, aber extrem wichtig – bei Verletzungen der DSGVO, die inzwischen stärker geahndet werden, drohen hohe Strafzahlungen und Reputations-Verlust. Durch einen bewussten Umgang mit den besonders schützenswerten Patientendaten ist es vielmehr möglich, sich deutlich von den Mitbewerbern zu differenzieren.

Autor: Sascha Wellershoff, CEO der Virtual Solution AG


Lesen Sie den originalen Artikel: Alternativen zu Messenger-Diensten im Gesundheitswesen