Messenger-App im Krankenhaus

Messenger sind auch im beruflichen Kontext sehr praktisch: Schnell mit Kollegen kommunizieren, Daten versenden und Bilder erhalten – aber wie steht es bei Messengern um den Datenschutz? Der ist insbesondere dann wichtig, wenn sensible Daten verarbeitet werden. Messenger-Apps werden vermehrt im Krankenhaus genutzt, weshalb Datenschutzbehörden nun einen Kriterienkatalog für die datenschutzkonforme Messenger-Nutzung im Gesundheitswesen veröffentlicht haben.

Den Ultraschall whatsappen

Der folgende Fall stellt keine Seltenheit dar: Ein Patient leider an einer Krankheit, die eine umfassende Behandlung und Therapie benötigt. Um zu entscheiden, was die richtigen Schritte sind, zieht ein Arzt den Rat seiner Kollegin hinzu. Anstatt nun zum Telefonhörer zu greifen, nutzt der Arzt den kurzen Weg und fragt die Ärztin per WhatsApp an. Über diesen Weg kann er auch ein paar Fotos vom Patienten und Unterlagen wie eine Ultraschall und Daten zum Behandlungsverlauf mitschicken.

Solche Situationen sind in Krankenhäusern und in niedergelassenen Arztpraxen die Regel, weshalb das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sich veranlasst sah, sich mit der Datensicherheit von üblichen Messengern wie Whatsapp zu beschäftigen.

Tatsächlich ergeben sich bei der Nutzung von Messengern viele datenschutzrechtliche Fragen / Schwierigkeiten:

  • Server-Standort: Server in nicht-europäischen Ländern unterliegen nicht der DSGVO
  • Abschöpfung von Daten: Messenger wie WhatsApp sind mit datenschutzbedenklichen Social-Media-Plattformen wie Facebook verbunden
  • Datenspeicherung: sensible Gesundheitsdaten liegen in der Cloud
  • Löschung von Daten: Wie kann die Löschung gemäß DSGVO nachvollzogen werden?
  • Wurde die Einwilligung des Patienten eingeholt?

Mit dem Kippen des Privacy Shield-Abkommens ist die Nutzung von Messengerdiensten, deren Datenübertragung über die USA laufen quasi nicht mehr nutzbar, da es keine Rechtssicherheit in Bezug auf die Datenverarbeitung gibt.

Um Unternehmen im Gesundheitsbereich wie etwa Krankenhäuser für den Datenschutz bei Messengern zu sensibilisieren, hat das DKS dazu in einem White Paper konkrete Handlungsempfehlungen zusammengefasst, die Unternehmen und Organisationen im Gesundheitsbereich dabei helfen sollen, geeignete Messenger-Dienste auswählen, die den Datenschutzanforderungen gemäß DSGVO entsprechen.


Kriterien für den sicheren Messenger-Einsatz im Krankenhaus

Hier werden die wichtigsten Kriterien für den datenschutzkonformen Einsatz von Messenger-Diensten im Krankenhaus und anderen Einrichtungen im Gesundheitswesen erläutert.

Messenger-Applikation: Datenschutz-Konfiguration von App

  • Unterrichtung der Nutzer über die Datenverarbeitung gemäß Art. 13 DS-GVO in einem klar erkennbaren Bereich
  • Authentifizierung (z. B. PIN, Fingerabdruck etc.) im Messenger, um auf Daten im Verlauf zuzugreifen
  • Kontaktdaten von (beruflichen) Messenger-Kontakten müssen separat vom allgemeinen Smartphone-Adressbuch abgespeichert werden
  • Nachrichten und Dateianhänge (Bilder, Videos, Dokumente etc.) müssen verschlüsselt innerhalb des Messengers abgespeichert werden können
  • bei Nutzung von elektronischen Signaturen / elektronischer Zertifikate braucht es ein Zertifikatsmanagement, kompromittierte Schlüssel bzw. Zertifikat müssen unbrauchbar gemacht werden können
  • Daten (Nachrichten, Daten etc.) müssen gezielt oder allgemein löschbar sein
  • Einbindung von Diensten Dritter zur Fehleranalyse:

– muss offen erkennbar und als optional gekennzeichnet sein

– Datenkategorien zur Übermittlung bei der Fehlersuche müssen klar erkennbar sein

– Datenübermittlung muss in Voreinstellung deaktiviert sein

– Sicherstellung von Datensicherheit für sensible Patientendaten sowie Daten über Nutzungsverhalten

  • Verfügbarkeit der Daten gemäß Art. 32 Abs. 1 lit. b DSGVO muss möglich sein
  • Konfigurationseinstellungen müssen Art. 25 Abs. 2 DSGVO entsprechen

Kommunikation: Sichere Verbindung für sensible Daten

  • Ende-zu-Ende-Verschlüsselung für Sicherstellung von Vertraulichkeit und Integrität
  • Sicherstellung von Empfang der Daten, beispielsweise bei Versenden von mehreren Nachrichten wegen großer Datenmengen
  • Integration von Prüfmechanismus zum Sicherstellen des Empfangs aller Nachrichten (z. B. „Nachricht x von y“)
  • Speicherung von Verbindungsdaten nur solange und soweit wie für Übermittlung von Nachrichten und Dokumentation notwendig,
  • Nutzung von Kommunikations- bzw. Metadaten nur für Zwecke des Krankenhauses, nicht für andere Zwecke des Messenger-Anbieters oder Dritte

Sicherheit der Endgeräte: Zugang sichern

  • Zugriffschutz beispielsweise durch PIN / Passphrase, biometrische Lösungen
  • Verschlüsselung des internen Speichers
  • Betriebssystemversionen werden mit aktuellen Sicherheitspatches versorgt
  • sichere Konfiguration der Geräte und Datenverbindungen durch Dienst für Mobile Device Management (MDM) für Minimierung folgender Risiken:

– Einschleusen von Schadcodes

– unbefugten Zugang von Dritten auf Gerät und verarbeitete Daten

  • Unterbindung von Datenverarbeitung, wenn Betriebssystem gegen vorab genannte Anforderungen verstößt

Plattform / Betrieb: Verantwortlichkeiten klären

  • öffentlich zugängliche Telekommunikationsdienste i.S.d. § 3 Nr. 17a Telekommunikationsgesetz (TKG) müssen Anforderungen der DSGVO und des TKG erfüllen
  • Registrierungsprozess oder Autorisierungs-/Authentifizierungsmechanismen zur Sicherstellung, dass nur zugelassene Nutzer am Nachrichtenaustausch teilnehmen
  • Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO bei umfangreichen Verarbeitungstätigkeiten
  • regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit aller getroffenen Sicherheitsmaßnahmen
  • Bei Zusammenarbeit mit Auftragsverarbeitern Sicherstellung von Einhaltung der DSGVO und relevanter Vorschriften des Gesundheitswesens sowie Schließung eines Auftragsverarbeitungs-Vertrages
  • beim Dienstleister gespeicherte Daten aus dem Messenger sind regelmäßig zu löschen
  • alle personenbezogene Patientendaten werden auf Servern des verantwortlichen gespeichert
  • Durchführung von (sicherheitsrelevanten) Updates der Messenger App zeitnah auf allen Geräte

Die vorgestellten Kriterien, Auf- und Vorgaben stellen Muss-Kriterien vor, was bedeutet, dass sie für den datenschutzkonformen Messenger-Einsatz in Krankenhäusern unbedingt einzuhalten sind. Weitere Informationen und weichere Soll-Kriterien können Sie im Paper nachlesen.

Möchten Sie Ihren Mitarbeitern die berufliche Nutzung von Messenger-Diensten ermöglichen oder haben Fragen zur Einführung neuer betrieblicher Software? Dann lassen Sie sich gern von uns zu Ihren datenschutzrechtlichen Pflichten und Rechten beraten und nehmen Sie Kontakt auf.

Sie wollen mehr erfahren
Kontaktieren Sie Uns!
Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!

Tags: