Messenger-Dienste wie Whatsapp werden auch im Gesund-heitswesen gerne genutzt. Doch sie sind alles andere als si-cher.
Foto: Virtual Solution

Kommunikation

Alternativen zu Messenger-Diensten im Gesundheitswesen

Messenger-Dienste wie Whats App werden auch im Gesundheitswesen gerne genutzt. Doch vor allem Whats App ist alles andere als sicher. Alternativen werden benötigt.

Ärzte schicken sich in einer privaten Gruppe des Messenger-Dienstes Whats App Fotos von EKGs oder Operationen zu und diskutieren munter über die Patienten und deren Krankheiten: Solche Situationen sind ein Alptraum jedes Datenschützers – und doch leider Alltag im deutschen Gesundheitswesen.

Laut Umfragen wie etwa des Deutschen DatenschutzInstituts (DDI) nutzt die Mehrheit des Klinikpersonals Messenger-Dienste. Nicht wenige greifen auf den Marktführer Whats App zu, um sich mit Kollegen über medizinische Befunde auszutauschen, mit Rettungsdiensten, Arztpraxen und Patienten zu kommunizieren oder Dienstpläne zu organisieren. Das ist zunächst einmal nachvollziehbar: Der Messenger ist einfach, schnell und fast jeder hat die App auf dem Handy. Gleichzeitig birgt die Nutzung solcher Dienste große Risiken, die mit Einführung der Europäischen Datenschutzverordnung (EU-DSGVO) für Kliniken und andere Gesundheitsdienstleister zu ernsthaften Schwierigkeiten bis hin zum wirtschaftlichen „Exitus“ führen kann.

Verschlüsselung spielt bei Whats App im Gegensatz zu Telgram und anderen Messenger-Diensten keine Rolle

Messenger-Dienste wie Whats App sind nicht für den Einsatz im Gesundheitswesen konzipiert. Mehr noch: Die Nutzungsbedingungen untersagen jede berufliche Verwendung – es sei denn Arbeitgeber und alle hinterlegten Kontakte genehmigen dies ausdrücklich, was nahezu nie der Fall ist. Da der Messenger täglich alle Kontakte, auch die der Nicht-Whats App-Nutzer ausliest, findet gemäß den Regelungen der DSGVO eine rechtswidrige Übertragung personenbezogener Daten statt. Das ist aber nur ein Teil des Problems. Seit 2016 sind die Chats zwar über das Signal-Protokoll verschlüsselt. Das Röntgenbild, das außerhalb der Dienstzeit an den Oberarzt geschickt wird, um sich einen Rat zu holen, kann der Messenger also nicht auslesen. Aber alle Metadaten: Die Facebook-Tochter Whats App weiß, wer, wann, mit wem und wie oft kommuniziert und wie groß die übertragene Datenmenge ist. Werden zudem die Cloud-Backups nicht extra verschlüsselt – was von jedem Nutzer zunächst einmal selbst konfiguriert werden muss –, liegen die Röntgenbilder genauso offen in der Cloud wie Urlaubsfotos. Auf dem Smartphone selbst sind sowohl die Bilder wie auch der gesamte Chatverlauf dazu unverschlüsselt abgespeichert, was im Falle eines Geräteverlustes oder unerlaubten Zugriffs weitreichende Konsequenzen haben kann.

Aber auch das datenschutzrechtliche Risiko ist nicht zu unterschätzen: Bis zu vier Prozent vom Umsatz oder 20 Mio. EUR an Bußgeld können vor Gericht eingefordert werden, wenn die Klinik nicht effektive Maßnahmen und Vorkehrungen getroffen hat. Es reicht hier im Zweifel vor Gericht der klagenden Partei aus, dass der Nachweis eines sicheren Verfahrens nicht erbracht werden konnte. Ein Hauptziel der DSGVO mit Blick auf das Gesundheitswesen ist der Schutz sensibler Gesundheitsdaten vor dem Gebrauch für kommerzielle Zwecke. Darauf aufbauend veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im November 2019 ein Whitepaper, das die technische Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich beschreibt. Darunter fällt unter anderem die Möglichkeit, Kontaktdaten von Kommunikationsteilnehmern in einem eigenen, vom allgemeinen Adressbuch des Smartphones getrennten Speicher abzulegen. Ein App muss zudem in der Lage sein, Nachrichten sowie Dateianhänge wie Bilder, Videos oder Dokumente ebenfalls in einem eigenen Bereich in verschlüsselter Form abzulegen. Beides ist eine MussForderung und deshalb zwingend von den Kliniken umzusetzen.

Fitness-App identifiziert Geheimdienstler

Eine Fitness-App zeigt manchmal mehr Informationen an, als sie eigentlich sollte. Nach Strava trifft es dieses Mal den Hersteller Polar – dessen App ermöglicht über eine Verknüpfung von Workouts die Identifizierung einzelner Mitarbeiter etwa von Militärs oder Geheimdiensten.
Artikel lesen >

Gesundheitswesen und Kliniken brauchen sichere und datenschutzkonforme Lösungen als Alternative

Da niemand auf die Vorzüge einer schnellen und zuverlässigen mobilen Kommunikation verzichten möchte, müssen Alternativen für die Mitarbeiter gefunden werden. Diese sollten auf die Bedürfnisse des Gesundheitssektors angepasst sein und den Schutz sensibler Patientendaten gewährleisten. Auf der sicheren Seite sind die Betreiber von Krankenhäusern, Pflegediensten und anderen Einrichtungen nur, wenn die auf dem jeweiligen Gerät vorhandenen privaten und dienstlichen Daten sowie Anwendungen strikt voneinander abgeschottet sind.

Realisieren lässt sich dieses Zwei-Systeme-Konzept mit einer sogenannten Container-Lösung. Der so abgeschottete Messenger ermöglicht eine verschlüsselte, DSGVO-konforme Kommunikation sowohl One-to-One als auch in Gruppen, inklusive Videoübertragung, Verschicken von Dokumenten und Bildern sowie Mitteilung von LiveStandorten. Private Apps haben damit grundsätzlich keinen Zugriff auf die Inhalte des Containers. Das heißt, Whats App kann keine Kontaktdaten auslesen. Alle Daten auf dem Gerät sind wie auch bei der Übertragung (EndezuEnde) verschlüsselt, wodurch Krankenhäuser das Risiko hoher Strafzahlungen nach Verstößen gegen die Datenschutzbestimmungen vermeiden können.

Wie Sicherheitsrisiken in Kliniken minimiert werden

Wenn Kapazitäten in Kliniken und neue Kommunikationswege im Pflegebereich ausgebaut werden, können Consumer-Endgeräte schnell zu Sicherheitsrisiken werden.
Artikel lesen >

Eine umfassende sichere mobile Kommunikationslösung sollte neben Messaging und Telefonie weitere wichtige Funktionen abdecken: verschlüsselte E-Mail, gehärteter InternetBrowser für IntranetZugriffe, sicheres FileSharing, Kalender und Aufgaben.

Wenn Patientendaten verschickt werden, muss durch digitale Signaturen garantiert sein, dass der angeschriebene Empfänger auch tatsächlich der richtige Empfänger ist. Bei öffentlichen Messengern wie Whats App erfolgt die Teilnehmererkennung nur durch eine Telefonnummer – wer sich letztlich dahinter verbirgt, lässt sich nicht genau feststellen. Bei einer modernen Container-Lösung dagegen werden die Kommunikationsteilnehmer in zentralen Directories gespeichert und müssen sich per PIN oder Touch beziehungsweise Face-ID authentifizieren.

Coronakrise: So bereichert sich Google mit Steuergeldern

In der Corona-Krise besteht Google gegenüber Reiseanbietern auf Rechnungen in Millionenhöhe. Hilfskredite aus Steuergeldern landen so beim Internetriesen.
Artikel lesen >

Zudem muss die Lösung benutzerfreundlich sein, sonst greifen die Mitarbeiter wieder zu einer gewohnten, aber unsicheren App. Und zu guter Letzt sollte sie mit möglichst vielen MDM (Mobile Device Management)Systemen kompatibel sein, um eine konsistente Sicherheitsstrategie zu ermöglichen.

Eine solche sichere mobile Kommunikationslösung gibt Organisationen im Gesundheitswesen die volle Kontrolle über die eigenen Daten – insbesondere von Patienten – zurück. Durch die strikte Trennung von Dienstlichem und Privatem wird zudem eine hundertprozentige DSGVO-Konformität sichergestellt. Gleichzeitig wird im Fall eines beruflich genutzten PrivatSmartphones auch die Privatsphäre der Mitarbeiter geschützt.

Ein großer Krankenhausverbund im Nordwesten Deutschlands vertraut auf Secure PIM. Die im Rahmen einer Byod (Bring Your Own Device) Regelung genutzten, privaten Geräte der Mitarbeiter werden so gegen Verstöße der DSGVO-Bestimmungen und unberechtigte Zugriffe von außen abgesichert. Secure PIM wird dabei als zusätzliche Sicherheitskomponente in die vorhandene MDM-Lösung integriert, ein MDM alleine reichte den Verantwortlichen als Schutzmaßnahme nicht aus.

Erlauben statt verbieten, muss die Devise sein. Messenger generell zu untersagen, ist definitiv nicht der richtige Weg. Nicht ohne Grund nutzen Ärzte und Klinikpersonal die Dienste so intensiv: Sie erleichtern Prozesse, indem etwa Abstimmungen beschleunigt werden, reduzieren Kosten und erhöhen gleichzeitig die Qualität der Kommunikation – das alles zum Wohle der Patienten.

Anwendungsfall aus dem Pflegebereich

Sensible Daten werden auch im ambulanten Pflegebereich ausgetauscht. Dr. Christian Schieder, Bundesgeschäftsführer beim ABVP (Arbeitgeber und Berufsverband Private Pflege e.V.) kennt die Ausgangssituation: Von schriftlichen Team-Übergaben mit Zetteln über eine in die Pflege-Software eingebettete Messenger-Funktion bis hin zu privaten Diensten wie Whats App reichen die Kommunikationswege in den Einrichtungen. Auf den Diensthandys der eigenen Mitarbeiter hat der Rechtsanwalt, der unter anderem zum Thema Datenschutz Webinare und Inhouse-Schulungen hält, den Einsatz von Whats App verboten und nutzt dafür die sichere Alternative Secure PIM. Aus seiner Sicht ist Datenschutz nicht „sexy“, aber extrem wichtig – bei Verletzungen der DSGVO, die inzwischen stärker geahndet werden, drohen hohe Strafzahlungen und ReputationsVerlust. Durch einen bewussten Umgang mit den besonders schützenswerten Patientendaten ist es vielmehr möglich, sich deutlich von den Mitbewerbern zu differenzieren.

Autor: Sascha Wellershoff, CEO der Virtual Solution AG

Cyber-Sicherheit spielt bei Kritis-Betreibern eine zentrale Rolle.
Foto: Pixabay

IT-Sicherheit

Cybersicherheit und mobile Kommunikation in Kritis

Kritis-Betreiber müssen besonders auf die Cybersicherheit bei der mobilen Kommunikation, etwa per Handy oder Tablet, achten.

Krankenhäuser und Gesundheitseinrichtungen stehen im Fokus aktueller Cyber-Bedrohungen.
Foto: WavebreakmediaMicro - stock.adobe.com

IT-Sicherheit

Wie man Cyberbedrohungen für Krankenhäuser mildert

Krankenhäuser und Gesundheitseinrichtungen stehen im Fokus aktueller Cyberbedrohungen. Welche wirksamen IT-Lösungsansätze gibt es für den E-Health-Sektor?

Foto: Kalscheuer

BHE-Fachkongress

Sicherheitskonzepte für Krankenhäuser

Unterliegt die Gesundheit eines Menschen dem Datenschutz? Und ist in der Krankenhaus-Cafeteria eine Aufzeichnung mit Videokameras erlaubt? Der BHE-Kongress zu Sicherheitskonzepten für Krankenhäuser gab am 26. und 27. Mai 2009 Antworten auf diese Fragen.

NTT zeigt, warum viele deutsche Krankenhäuser ihre IT-Systeme noch nicht ausreichend vor Cyberattacken schützen.
Foto: Gorodenkoff Productions OU

IT-Sicherheit

Krankenhäuser unterschätzen Gefahr durch Cyberattacken

NTT zeigt, warum viele deutsche Krankenhäuser ihre IT-Systeme noch nicht ausreichend vor Cyberattacken schützen.