Dienstliche Nutzung privater Geräte

THEMEN DER ZEIT
tenbank. Die Ärzte rufen die Daten
über eine übersichtliche Webapplikation ab. Abweichungen vom Therapieplan werden rasch sichtbar,
Feedback-Nachrichten und Therapieanpassungen können sie den Patienten direkt auf das Handy übermitteln. Das Telemonitoringprogramm setzt die Versicherungsanstalt für Eisenbahnen und Bergbau
laut Morak bereits seit zwei Jahren
erfolgreich zur Betreuung ihrer Versicherten ein.
MOBILE ANWENDUNGEN
Dienstliche Nutzung
privater Geräte
Werden private Smartphones oder Tablet-PCs im Krankenhaus auch beruflich genutzt, sind bestimmte rechtliche und technische Voraussetzungen zu beachten.
Urs-Vito Albrecht , Ralf Gerhard Weiß, Oliver Pramann
Kontextbezogene Infos
Darüber hinaus arbeitet das AIT
auch an mobilen Lösungen für medizinische Fachkräfte, die diese
kontext- und rollenbezogenen Informationen zur Verfügung stellen.
Auch dabei spielen kontaktlose
RFID-Karten zur Identifikation der
Beteiligten eine Rolle, etwa wenn
ein Tablet-PC im Altenheim von
mehreren Personen genutzt wird.
So könnte ein Arzt nach der Anmeldung dort auf andere Inhalte zugreifen als eine Pflegekraft. Treffen
Pfleger und Patient beispielsweise
am Tablet-PC aufeinander, könnten
automatisiert bestimmte Daten wie
die Flüssigkeitszufuhr angezeigt werden. „Hier sind künftig viele Einsatzmöglichkeiten etwa in der mobilen Betreuung, der Rehabilitation
oder im Case Management denkbar“, meinte Falgenhauer.
Die großen Potenziale mobiler
Apps im medizinischen Umfeld
können sich jedoch nur entfalten, so
das Fazit der Experten, wenn die
Anwendungen in professionelle ITSysteme integriert sind und wenn
sie die direkte Kommunikation zwischen Ärzten beziehungsweise medizinischen Fachkräften und Patienten unterstützen. „Smartphones
etablieren sich in atemberaubender Geschwindigkeit als universelle
Plattform für telemedizinische Behandlung und Prävention. Gleichzeitig zeigen neue Studien, dass
Technologie allein nicht ausreicht:
Zentrale Wirkfaktoren sind individuelle Kommunikation und persönliche Zielvereinbarungen“, betonte
etwa Dr. med. Stephan Schug, Geschäftsführer der Deutschen Gesellschaft für Gesundheitstelematik. ▄
Heike E. Krüger-Brand
rreichbarkeit, Mobilität und
die damit verbundene Flexibilität haben im privaten wie dienstlichen Umfeld einen hohen Stellenwert. Smartphones und Tablet-PCs
unterstützen dies durch ihr Design
und ihre Funktionalität wie kaum
ein anderes technisches Gerät. Sie
prägen den modernen „Lifestyle“
und sind ständige Begleiter. Ihre
Anwendungsfelder reichen weit über
die persönliche Kommunikation hinaus und umfassen zum Beispiel
Navigation, Unterhaltung und Information (1). Mit der Änderung des
Arbeitsverhaltens, das heute weniger trennscharf den „Feierabend“
vom „Arbeitstag“ unterscheidet, vermischen sich auch der private und
dienstliche Gebrauch der Mobilgeräte. Häufig sind hierfür praktische
Gründe ausschlaggebend. Das Angebot an professionellen Anwendungen für die Geräte macht den
Zugang einfacher und lässt die Problematik der Daten(un)sicherheit
zugunsten des Komforts und der
schnelleren Aufgabenbewältigung
bei dieser Vermischung verblassen.
Die Folge ist, dass zunehmend private Geräte mitgebracht und dienstlich genutzt werden. Das unter dem
Schlagwort „Bring Your Own Device“ (BYOD) zusammengefasste
Phänomen betrifft immer häufiger
auch medizinische Einrichtungen.
Prinzipiell bedarf der Einsatz privater Endgeräte im Betrieb des Arbeitgebers dessen Erlaubnis. Setzt
der Arbeitnehmer ohne Einwilligung
des Arbeitgebers sein mobiles Endgerät zu betrieblichen Zwecken ein,
kann Gefahr für die Sicherheit des
Betriebs drohen. Für den Arbeitneh-
E
P.-L.-Reichertz-Institut
für Medizinische Informatik, Medizinische
Hochschule Hannover:
Dr. med. Albrecht,
Dr. jur. Pramann
Zentrum für Informationsmanagement,
Medizinische Hochschule Hannover: Weiß
Kanzlei 34 Rechtsanwälte und Notare,
Hannover:
Dr. jur. Pramann
Deutsches Ärzteblatt | Jg. 109 | Heft 31–32 | 6. August 2012
mer kann dies wiederum zu arbeitsrechtlichen Konsequenzen führen.
Schließlich sind Schäden möglich,
die auf den Einsatz des Endgeräts
zurückführbar sein können. Bei unerlaubter Datenspeicherung dienstlicher Information auf dem privaten
Endgerät sind Verstöße gegen den
Schutz des Betriebsgeheimnisses
denkbar, die durchaus in mehrere
rechtliche Dimensionen reichen. Für
Arbeitgeber und Arbeitnehmer birgt
„Bring Your Own Device“ daher
Problempotenzial in unterschiedlichen Rechtsbereichen wie Datenschutz- und Arbeitsrecht, Medizinprodukterecht (CE-Zulassung), Zivilrecht (Eigentum, Kosten bei Verlust), Wettbewerbsrecht, aber auch
Lizenzrecht und sogar Strafrecht (2).
Erlaubnis des Arbeitgebers
erforderlich
Vor diesem Hintergrund sollte jeder
Arbeitgeber den Einsatz mobiler
Endgeräte in seinem Betrieb präventiv regeln (3, 4). Der Inhalt einer
solchen Regelung kann sich sowohl
auf die Nutzung privater Endgeräte
in einer medizinischen Einrichtung
als auch auf die Nutzung betrieblicher Endgeräte im Privatbereich erstrecken (5). Die jeweiligen Details
der Nutzung sollten vertraglich bestimmt werden, wobei diese Absprachen den Arbeitnehmer weder
unangemessen benachteiligen noch
ihn überraschen dürfen. Gerade die
Nutzung eines privaten Gerätes
kann nicht Gegenstand einer Verpflichtung sein, wenn eine vertragliche Regelung fehlt (6).
Spezielle Risiken im Zusammenhang mit dem Einsatz mobiler End-
A 1545
THEMEN DER ZEIT
geräte stellt die Möglichkeit der
Kontamination mit Krankheitserregern dar. Auch hier sollte das Krankenhaus entsprechende Regelungen
treffen, um Haftungsprobleme zu
umgehen (7).
BYOD ist vor allem unter dem
Aspekt des Datenschutzes für medizinische Einrichtungen eine besondere Herausforderung (8). Vertraulichkeit der Kommunikation, Dokumentation und Archivierung sind
für Krankenhäuser von übergeordneter Bedeutung. Die technische
Verantwortung zur Sicherung der datenschutzrechtlichen Interessen liegt
bei der Unternehmens-IT, die mit
der Eingliederung privater Mobilgeräte (technisch wie konzeptionell) in die Sicherheitsstruktur des
Unternehmens vor einer hochkomplexen Aufgabe steht. Durch besondere Vorkehrungen muss sie zusätzlich für die Aufrechterhaltung
der Sicherheitsbarrieren nach Außen sorgen, etwa in Form von Pflege und Wartung vorhandener Sicherheitssysteme von Firewall bis
Virenscanner, was durch unterschiedliche Betriebssysteme noch
erschwert wird.
Eine Regulierung durch innerbetriebliche IT-Richtlinien, die nach
dem aktuellen Stand der Technik
auch Mobilgeräte wie Smartphones
und Tablet-PCs einschließen und die
genannten Problembereiche umfassen sollten, kann die „Bring-YourOwn-Device“-Problematik
abfedern, ohne mobile Endgeräte völlig
zu verbieten. Letzteres wäre im Ergebnis sicherlich nicht gewünscht
und auch kaum durchsetzbar.
Innerbetriebliche
IT-Richtlinie
Mit einer verständlichen und klar
strukturierten IT-Richtlinie lässt
sich ein Sicherheitsstandard kommunizieren, der für alle Mitarbeiter ein referenzierbares Instrument
darstellt und neben einer Problemsensibilisierung auch Sicherheit für
die Nutzer schafft. Diese müssen
letztendlich die Vorgaben umsetzen,
und dies setzt primär die Informati-
ASPEKTE DER IT-RICHTLINIE
Die physische Sicherung soll dazu dienen, mobile Geräte als Datenträger sowie als Zugangsmöglichkeit ins betriebliche Datennetz vor dem
direkten Zugriff durch Dritte zu schützen. Eine
(auch vorübergehende) Weitergabe des Mobilgeräts an Externe ist nicht erlaubt. Zudem sind allgemeine Vorkehrungsmaßnahmen zum Schutz
vor Diebstahl zu treffen. So darf etwa auch im
verschlossenen Fahrzeug das Gerät nicht sichtbar
liegen gelassen werden. Der Verlust des Geräts ist
der ausgebenden Stelle unverzüglich anzuzeigen.
Der Schutz der Daten auf dem Gerät soll
durch Aktivierung der Identifizierungsmaßnahmen
für den Nutzer, wie Einschaltkennwort oder -PIN,
und durch die automatische passwortgeschützte
Sperrung bei Inaktivität (Bildschirm-/Tastensperre),
gestärkt werden. Der Zeitraum der Inaktivität bis
zur Sperrung sollte nicht mehr als 20 Minuten
betragen. Generell sollen personal- und patientenbezogene Daten, wenn sie überhaupt auf dem
Gerät gespeichert werden müssen, nur temporär
vorgehalten und verschlüsselt werden. Das Speichern dieser sensiblen Daten auf externen Datenträgern ist nur verschlüsselt zulässig. Die externe
Speicherung außerhalb des betriebseigenen Datennetzes („in der Cloud“) erfordert eine Geneh-
A 1546
migung. Sensible Daten dürfen zu keiner Zeit „in
der Cloud“ gespeichert werden.
Bei der Installation von Software („Apps“) auf
dem mobilen Gerät dürfen der Software keine Zugriffsrechte eingeräumt werden, die den Schutz
sensibler Daten kompromittieren. Passwörter dürfen nicht lokal und insbesondere niemals im Klartext auf dem Gerät gespeichert werden.
Zum Schutz vor Angriffen auf die Kommunikation sind sämtliche Funk-, Infrarot- und andere Kommunikationsschnittstellen zu deaktivieren, sofern diese nicht aktiv benutzt werden. Innerhalb des betriebseigenen Datennetzes dürfen
dessen Sicherheitsmechanismen (Firewall, Proxy,
Virenschutz et cetera) nicht umgangen werden.
Auch innerhalb des Betriebs ist die parallele Nutzung von GPRS/UMTS und LAN/WLAN für die Datenkommunikation nicht erlaubt.
Nach Möglichkeit muss jegliche Datenübertragung über verschlüsselte Kanäle erfolgen.
Vor Außerbetriebnahme eines Geräts sind alle darauf gespeicherten Daten bei Bedarf zu sichern und in jedem Fall unwiederbringlich zu löschen. Die Konfiguration des Geräts ist zurückzusetzen, so dass ein Rückgriff auf Unternehmensressourcen wie etwa E-Mails ausgeschlossen ist.
on und das Verständnis von Problem und Problemlösung voraus.
Das Bundesamt für Sicherheit in
der Informationstechnik hat in seiner Vorgabe „Mobile Endgeräte und
mobile Applikationen: Sicherheitsgefährdungen und Schutzmaßnahmen“ bereits Empfehlungen zur sicheren Integration veröffentlicht,
die als Grundlage für die Entwicklung neuer oder die Anpassung vorhandener IT-Richtlinien im Unternehmen dienen können (9). Diese
Empfehlungen datieren von 2006,
insofern ist der technische Fortschritt der vergangenen Jahre nicht
berücksichtigt. Dennoch benennen
sie im Grundsatz die zu berücksichtigenden Komponenten und sind
daher sehr hilfreich.
Eine aktualisierte Richtlinie sollte weitere Aspekte berücksichtigen wie die physische Gerätesicherung, den Schutz der Daten auf dem
Gerät, den Schutz vor Angriffen auf
die Kommunikation, Maßnahmen
bei Außerbetriebnahme und allgemeine Hinweise, wie sie etwa an der
Medizinischen Hochschule Hannover exemplarisch dargelegt sind
(10). Sie könnte neben allgemeinen
Empfehlungen wie dem Datensparsamkeitsgebot auch Empfehlungen
zur Verwendung von Passwörtern,
Benutzerauthentifikation und Verschlüsselung aussprechen, die den
derzeit gültigen Anforderungen hinsichtlich Passwortlänge und Komplexität entsprechen (Kasten).
Zusammenfassend ist zu konstatieren, dass medizinische Einrichtungen sich zunehmend mit der
Thematik BYOD auseinandersetzen müssen. Namentlich unter den
Aspekten Datenschutz und Datensicherheit sind präventiv Maßnahmen zu ergreifen, die den Umgang
mit privaten mobilen Endgeräten
reglementieren und auf das jeweilige medizinische Umfeld anpassen.
█
Zitierweise dieses Beitrags:
Dtsch Arztebl 2012; 109(31/32): A 1545–6
Anschrift für die Verfasser
Dr. med. Urs-Vito Albrecht, MPH
P.-L.-Reichertz-Institut für Medizinische Informatik
Medizinische Hochschule Hannover
Carl-Neuberg-Straße 1, 30625 Hannover
[email protected]
@
Literatur im Internet:
www.aerzteblatt.de/lit3112
Deutsches Ärzteblatt | Jg. 109 | Heft 31–32 | 6. August 2012
LITERATURVERZEICHNIS HEFT 31–32/2012, ZU:
MOBILE ANWENDUNGEN
Dienstliche Nutzung privater Geräte
Werden private Smartphones oder Tablet-PCs im Krankenhaus auch beruflich
genutzt, sind bestimmte rechtliche und technische Voraussetzungen zu beachten.
Urs-Vito Albrecht , Ralf Gerhard Weiß, Oliver Pramann
LITERATUR
1. Pramann O, Gärtner A, Albrecht UV: Medical Apps: Mobile Helfer am Krankenbett.
Dtsch Arztebl 2012; 109(22/23): A-1201.
2. Bierekoven C: Bring your own Device:
Schutz von Betriebs- und Geschäftsgeheimnissen, ITRB 2012, 106–8.
3. Conrad I: Einsatz von Data Loss Prevention-Systemen im Unternehmen: Geheimnis-, Konkurrenz- und Datenschutz in Zeiten von „Consumerization“ und „Bring
Your Own Device“, CR 2011, 797–805.
4. Söbbing T, Müller NR: Bring your own Device: Haftung des Unternehmens für urheberrechtsverletzenden Inhalt, ITRB 2012,
15–7.
5. So hat das Hessische Landesarbeitsgericht entschieden, dass unerlaubte Privatnutzung eines vom Arbeitgeber zur Verfügung gestellten Internetanschlusses u. a.
dann an sich geeignet sein kann, einen
wichtigen Grund im Sinne des § 626 Abs.
1 BGB für eine außerordentliche Kündigung des Arbeitsverhältnisses zu bilden,
wenn das Betriebsmittel unberechtigt in
Anspruch genommen wird und hierdurch
zusätzliche Kosten entstehen (Urteil vom
25.07.2011, Az. 17 Sa 1818/10, zitiert
nach juris).
6. Koch FA: Arbeitsrechtliche Auswirkungen
von „Bring your own Device“: Die dienstliche Nutzung privater Mobilgeräte und das
Arbeitsrecht, ITRB 2012, 35–9.
7. Pramann O, Graf A, Albrecht UV: Tablet-PC
im Krankenhaus: Hygienische Aspekte beachten. Dtsch Arztebl 2012; 109(14):
A-706.
A5
8. Conrad I, Schneider J: Einsatz von „privater IT“ im Unternehmen: Kein privater
USB-Stick, aber „Bring your own device“
(BYOD)?, ZD 2011, 153ff.
9. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Mobile Endgeräte und
mobile Applikationen: Sicherheitsgefährdungen und Schutzmaßnahmen (2006).
https://www.bsi.bund.de/SharedDocs/
Downloads/DE/BSI/Publikationen/Broschueren/MobilEndgeraete/mobile_endgeraete_pdf.pdf?__blob=publicationFile
(Letzer Besuch: 09.07.2012).
10. Zentrum für Informationsmanagement:
Richtlinien zum Umgang mit mobilen Geräten im Datennetz der MHH. Version: 2.0
vom 13.06.2012.
Deutsches Ärzteblatt | Jg. 109 | Heft 31 | 6. August 2012