Zurück zur Übersicht
23.12.2020

Messenger-Dienste im Krankenhaus

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hat im Berichtszeitraum das Whitepaper „Technische Anforderungen an Messenger-Dienste im Krankenhaus“ verabschiedet. Das Papier soll als Grundlage für Gespräche mit Verbänden im Krankenhausbereich dienen. Es wurde federführend vom Unterarbeitskreis „Digitalisierung im Gesundheitswesen“ erarbeitet, der von den Arbeitskreisen „Gesundheit und Soziales“ und „Technik“ der Datenschutzkonferenz getragen wird.

Messenger-Dienste haben parallel zur Verbreitung von Smartphones in den letzten Jahren zentrale Bedeutung für den Austausch von Nachrichten erlangt. Sie haben andere Kommunikationsdienste wie E-Mail oder SMS vielfach ersetzt und zählen im privaten Alltag zu den beliebtesten Kommunikationsformen. Deshalb wird auf diese Messenger-Dienste auch im Gesundheitsbereich zunehmend zurückgegriffen, häufig verbunden mit der Nutzung eines privaten Endgerätes.

Der berufliche oder gewerbliche Einsatz von Messenger-Diensten unterliegt gesetzlichen Datenschutzvorgaben, denen gängige Messenger-Dienste bislang nicht oder nur bedingt entsprechen. Insbesondere der verbreitet genutzte Dienst WhatsApp führt bei einer geschäftlichen Nutzung zu einer Reihe von Problemen, die einen Einsatz im Krankenhaus weitgehend ausschließen. Ähnliches gilt für andere im privaten Bereich häufig genutzte Dienste.

Die im Papier beschriebenen Anforderungen beziehen sich vorrangig auf die eigentliche Messenger-Applikation, die Kommunikation zwischen den Teilnehmern, die genutzte Plattform sowie die eingesetzten Endgeräte. Der eigentliche Betrieb von Messenger-Diensten im Krankenhaus findet nur insoweit Berücksichtigung, als dass es sich um allgemeine Anforderungen handelt. Dies ist der Tatsache geschuldet, dass die Einsatzbedingungen in den Krankenhäusern erfahrungsgemäß sehr heterogen sind. Das Whitepaper geht insbesondere auf folgende Einzelaspekte ein:

Verlangt wird beispielsweise, dass man die Messenger-Applikation nur nach zusätzlicher Authentifikation nutzen kann. Es darf also nicht ausreichen, das Gerät lediglich zu entsperren. Die Kontaktdaten des Messengers müssen separat verwaltet werden; sie dürfen nicht mit denen anderer Apps vermischt sein.

Inhalts- und Verkehrsdaten müssen regelmäßig gelöscht werden. Insbesondere auf den Endgeräten muss dies automatisiert geschehen. Längerfristige Speicherungen von personenbezogenen Daten von Patienten sind nur auf den Servern des Krankenhauses oder seiner Auftragsverarbeiter zulässig.

Unbedingt erforderlich ist auch, dass der Messenger eine Ende-zu-Ende-Verschlüsselung unterstützt. Die Daten des Messengers müssen darüber hinaus auch auf dem verwendeten Endgerät verschlüsselt gespeichert werden. Es ist sicherzustellen, dass das Endgerät regelmäßig mit Sicherheits-Updates versorgt wird. Hierzu ist erforderlich, dass der Hersteller der Betriebssystemplattform die verwendete Version des Betriebssystems aktuell pflegt, dass der Gerätehersteller die vom Betriebssystemhersteller gelieferten Patches kurzfristig an das Gerät anpasst und ausliefert und dass die Anwenderinnen und Anwender diese Patches unverzüglich einspielen.

Wegen der besonderen Schutzbedürftigkeit der verarbeiteten Daten müssen die Endgeräte in ein Mobile Device Management (MDM) eingebunden sein. Mit einer solchen Lösung kann der für die Verarbeitung Verantwortliche überprüfen, ob das Endgerät den Sicherheitsvorgaben genügt. Kann das MDM die Einhaltung dieser Vorgaben nicht erzwingen, so löscht es bei Verstößen oder Verlust automatisch relevante Daten auf dem Endgerät.

Beim Einsatz eines MDM sind deshalb auch Fragen des Arbeitnehmerdatenschutzes zu beachten. Dies gilt insbesondere dann, wenn die Beschäftigten ihre privaten Endgeräte verwenden.

Der Unterarbeitskreis „Digitalisierung im Gesundheitswesen“ verfolgt das Ziel, über die in dem vorliegenden Papier beschriebenen Anforderungen möglichst einen Konsens mit den Fachverbänden im Krankenhausbereich zu erzielen. Gleichzeitig sind die Inhalte sinngemäß auch auf andere Branchen übertragbar, die sensible personenbezogene Daten im Sinne von Art. 9 DSGVO verarbeiten. Hierzu gehören insbesondere Altenpflege und soziale Einrichtungen.

Wir empfehlen den Verantwortlichen in Krankenhäusern, bei Planungen und beim Betrieb von Messenger-Diensten die Anregungen des Whitepapers „Technische Anforderungen an Messenger-Dienste im Krankenhaus“ zu berücksichtigen und sich an der Diskussion zur Weiterentwicklung des Papiers zu beteiligen.

Quelle: LfDI M-V

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks