THEMEN DER ZEIT

Mobile Anwendungen: Dienstliche Nutzung privater Geräte

Dtsch Arztebl 2012; 109(31-32): A-1545 / B-1330 / C-1310

Albrecht, Urs-Vito; Weiß, Ralf Gerhard; Pramann, Oliver

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Werden private Smartphones oder Tablet-PCs im Krankenhaus auch beruflich genutzt, sind bestimmte rechtliche und technische Voraussetzungen zu beachten.

Erreichbarkeit, Mobilität und die damit verbundene Flexibilität haben im privaten wie dienstlichen Umfeld einen hohen Stellenwert. Smartphones und Tablet-PCs unterstützen dies durch ihr Design und ihre Funktionalität wie kaum ein anderes technisches Gerät. Sie prägen den modernen „Lifestyle“ und sind ständige Begleiter. Ihre Anwendungsfelder reichen weit über die persönliche Kommunikation hinaus und umfassen zum Beispiel Navigation, Unterhaltung und Information (1). Mit der Änderung des Arbeitsverhaltens, das heute weniger trennscharf den „Feierabend“ vom „Arbeitstag“ unterscheidet, vermischen sich auch der private und dienstliche Gebrauch der Mobilgeräte. Häufig sind hierfür praktische Gründe ausschlaggebend. Das Angebot an professionellen Anwendungen für die Geräte macht den Zugang einfacher und lässt die Problematik der Daten(un)sicherheit zugunsten des Komforts und der schnelleren Aufgabenbewältigung bei dieser Vermischung verblassen. Die Folge ist, dass zunehmend private Geräte mitgebracht und dienstlich genutzt werden. Das unter dem Schlagwort „Bring Your Own Device“ (BYOD) zusammengefasste Phänomen betrifft immer häufiger auch medizinische Einrichtungen.

Prinzipiell bedarf der Einsatz privater Endgeräte im Betrieb des Arbeitgebers dessen Erlaubnis. Setzt der Arbeitnehmer ohne Einwilligung des Arbeitgebers sein mobiles Endgerät zu betrieblichen Zwecken ein, kann Gefahr für die Sicherheit des Betriebs drohen. Für den Arbeitnehmer kann dies wiederum zu arbeitsrechtlichen Konsequenzen führen. Schließlich sind Schäden möglich, die auf den Einsatz des Endgeräts zurückführbar sein können. Bei unerlaubter Datenspeicherung dienstlicher Information auf dem privaten Endgerät sind Verstöße gegen den Schutz des Betriebsgeheimnisses denkbar, die durchaus in mehrere rechtliche Dimensionen reichen. Für Arbeitgeber und Arbeitnehmer birgt „Bring Your Own Device“ daher Problempotenzial in unterschiedlichen Rechtsbereichen wie Datenschutz- und Arbeitsrecht, Medizinprodukterecht (CE-Zulassung), Zivilrecht (Eigentum, Kosten bei Verlust), Wettbewerbsrecht, aber auch Lizenzrecht und sogar Strafrecht (2).

Erlaubnis des Arbeitgebers erforderlich

Vor diesem Hintergrund sollte jeder Arbeitgeber den Einsatz mobiler Endgeräte in seinem Betrieb präventiv regeln (3, 4). Der Inhalt einer solchen Regelung kann sich sowohl auf die Nutzung privater Endgeräte in einer medizinischen Einrichtung als auch auf die Nutzung betrieblicher Endgeräte im Privatbereich erstrecken (5). Die jeweiligen Details der Nutzung sollten vertraglich bestimmt werden, wobei diese Absprachen den Arbeitnehmer weder unangemessen benachteiligen noch ihn überraschen dürfen. Gerade die Nutzung eines privaten Gerätes kann nicht Gegenstand einer Verpflichtung sein, wenn eine vertragliche Regelung fehlt (6).

Spezielle Risiken im Zusammenhang mit dem Einsatz mobiler Endgeräte stellt die Möglichkeit der Kontamination mit Krankheitserregern dar. Auch hier sollte das Krankenhaus entsprechende Regelungen treffen, um Haftungsprobleme zu umgehen (7).

BYOD ist vor allem unter dem Aspekt des Datenschutzes für medizinische Einrichtungen eine besondere Herausforderung (8). Vertraulichkeit der Kommunikation, Dokumentation und Archivierung sind für Krankenhäuser von übergeordneter Bedeutung. Die technische Verantwortung zur Sicherung der datenschutzrechtlichen Interessen liegt bei der Unternehmens-IT, die mit der Eingliederung privater Mobilgeräte (technisch wie konzeptionell) in die Sicherheitsstruktur des Unternehmens vor einer hochkomplexen Aufgabe steht. Durch besondere Vorkehrungen muss sie zusätzlich für die Aufrechterhaltung der Sicherheitsbarrieren nach Außen sorgen, etwa in Form von Pflege und Wartung vorhandener Sicherheitssysteme von Firewall bis Virenscanner, was durch unterschiedliche Betriebssysteme noch erschwert wird.

Eine Regulierung durch innerbetriebliche IT-Richtlinien, die nach dem aktuellen Stand der Technik auch Mobilgeräte wie Smartphones und Tablet-PCs einschließen und die genannten Problembereiche umfassen sollten, kann die „Bring-Your-Own-Device“-Problematik abfedern, ohne mobile Endgeräte völlig zu verbieten. Letzteres wäre im Ergebnis sicherlich nicht gewünscht und auch kaum durchsetzbar.

Innerbetriebliche IT-Richtlinie

Mit einer verständlichen und klar strukturierten IT-Richtlinie lässt sich ein Sicherheitsstandard kommunizieren, der für alle Mitarbeiter ein referenzierbares Instrument darstellt und neben einer Problemsensibilisierung auch Sicherheit für die Nutzer schafft. Diese müssen letztendlich die Vorgaben umsetzen, und dies setzt primär die Information und das Verständnis von Problem und Problemlösung voraus.

Das Bundesamt für Sicherheit in der Informationstechnik hat in seiner Vorgabe „Mobile Endgeräte und mobile Applikationen: Sicherheitsgefährdungen und Schutzmaßnahmen“ bereits Empfehlungen zur sicheren Integration veröffentlicht, die als Grundlage für die Entwicklung neuer oder die Anpassung vorhandener IT-Richtlinien im Unternehmen dienen können (9). Diese Empfehlungen datieren von 2006, insofern ist der technische Fortschritt der vergangenen Jahre nicht berücksichtigt. Dennoch benennen sie im Grundsatz die zu berücksichtigenden Komponenten und sind daher sehr hilfreich.

Eine aktualisierte Richtlinie sollte weitere Aspekte berücksichtigen wie die physische Gerätesicherung, den Schutz der Daten auf dem Gerät, den Schutz vor Angriffen auf die Kommunikation, Maßnahmen bei Außerbetriebnahme und allgemeine Hinweise, wie sie etwa an der Medizinischen Hochschule Hannover exemplarisch dargelegt sind (10). Sie könnte neben allgemeinen Empfehlungen wie dem Datensparsamkeitsgebot auch Empfehlungen zur Verwendung von Passwörtern, Benutzerauthentifikation und Verschlüsselung aussprechen, die den derzeit gültigen Anforderungen hinsichtlich Passwortlänge und Komplexität entsprechen (Kasten).

Zusammenfassend ist zu konstatieren, dass medizinische Einrichtungen sich zunehmend mit der Thematik BYOD auseinandersetzen müssen. Namentlich unter den Aspekten Datenschutz und Datensicherheit sind präventiv Maßnahmen zu ergreifen, die den Umgang mit privaten mobilen Endgeräten reglementieren und auf das jeweilige medizinische Umfeld anpassen.

  • Zitierweise dieses Beitrags:
    Dtsch Arztebl 2012; 109(31/32): A 1545–6

Anschrift für die Verfasser
Dr. med. Urs-Vito Albrecht, MPH
P.-L.-Reichertz-Institut für Medizinische Informatik
Medizinische Hochschule Hannover
Carl-Neuberg-Straße 1, 30625 Hannover
Albrecht.Urs-Vito@mh-hannover.de

@Literatur im Internet:
www.aerzteblatt.de/lit3112

Aspekte der IT-Richtlinie

Die physische Sicherung soll dazu dienen, mobile Geräte als Datenträger sowie als Zugangsmöglichkeit ins betriebliche Datennetz vor dem direkten Zugriff durch Dritte zu schützen. Eine (auch vorübergehende) Weitergabe des Mobilgeräts an Externe ist nicht erlaubt. Zudem sind allgemeine Vorkehrungsmaßnahmen zum Schutz vor Diebstahl zu treffen. So darf etwa auch im verschlossenen Fahrzeug das Gerät nicht sichtbar liegen gelassen werden. Der Verlust des Geräts ist der ausgebenden Stelle unverzüglich anzuzeigen.

Der Schutz der Daten auf dem Gerät soll durch Aktivierung der Identifizierungsmaßnahmen für den Nutzer, wie Einschaltkennwort oder -PIN, und durch die automatische passwortgeschützte Sperrung bei Inaktivität (Bildschirm-/Tastensperre), gestärkt werden. Der Zeitraum der Inaktivität bis zur Sperrung sollte nicht mehr als 20 Minuten betragen. Generell sollen personal- und patientenbezogene Daten, wenn sie überhaupt auf dem Gerät gespeichert werden müssen, nur temporär vorgehalten und verschlüsselt werden. Das Speichern dieser sensiblen Daten auf externen Datenträgern ist nur verschlüsselt zulässig. Die externe Speicherung außerhalb des betriebseigenen Datennetzes („in der Cloud“) erfordert eine Genehmigung. Sensible Daten dürfen zu keiner Zeit „in der Cloud“ gespeichert werden.

Bei der Installation von Software („Apps“) auf dem mobilen Gerät dürfen der Software keine Zugriffsrechte eingeräumt werden, die den Schutz sensibler Daten kompromittieren. Passwörter dürfen nicht lokal und insbesondere niemals im Klartext auf dem Gerät gespeichert werden.

Zum Schutz vor Angriffen auf die Kommunikation sind sämtliche Funk-, Infrarot- und andere Kommunikationsschnittstellen zu deaktivieren, sofern diese nicht aktiv benutzt werden. Innerhalb des betriebseigenen Datennetzes dürfen dessen Sicherheitsmechanismen (Firewall, Proxy, Virenschutz et cetera) nicht umgangen werden. Auch innerhalb des Betriebs ist die parallele Nutzung von GPRS/UMTS und LAN/WLAN für die Datenkommunikation nicht erlaubt.

Nach Möglichkeit muss jegliche Datenübertragung über verschlüsselte Kanäle erfolgen.

Vor Außerbetriebnahme eines Geräts sind alle darauf gespeicherten Daten bei Bedarf zu sichern und in jedem Fall unwiederbringlich zu löschen. Die Konfiguration des Geräts ist zurückzusetzen, so dass ein Rückgriff auf Unternehmensressourcen wie etwa E-Mails ausgeschlossen ist.

Anzeige
1.
Pramann O, Gärtner A, Albrecht UV: Medi- cal Apps: Mobile Helfer am Krankenbett. Dtsch Arztebl 2012; 109(22/23): A-1201. VOLLTEXT
2.
Bierekoven C: Bring your own Device: Schutz von Betriebs- und Geschäftsgeheimnissen, ITRB 2012, 106–8.
3.
Conrad I: Einsatz von Data Loss Prevention-Systemen im Unternehmen: Geheimnis-, Konkurrenz- und Datenschutz in Zeiten von „Consumerization“ und „Bring Your Own Device“, CR 2011, 797–805.
4.
Söbbing T, Müller NR: Bring your own Device: Haftung des Unternehmens für urheberrechtsverletzenden Inhalt, ITRB 2012, 15–7.
5.
So hat das Hessische Landesarbeitsgericht entschieden, dass unerlaubte Privatnutzung eines vom Arbeitgeber zur Verfügung gestellten Internetanschlusses u. a. dann an sich geeignet sein kann, einen wichtigen Grund im Sinne des § 626 Abs. 1 BGB für eine außerordentliche Kündigung des Arbeitsverhältnisses zu bilden, wenn das Betriebsmittel unberechtigt in Anspruch genommen wird und hierdurch zusätzliche Kosten entstehen (Urteil vom 25.07.2011, Az. 17 Sa 1818/10, zitiert nach juris).
6.
Koch FA: Arbeitsrechtliche Auswirkungen von „Bring your own Device“: Die dienstliche Nutzung privater Mobilgeräte und das Arbeitsrecht, ITRB 2012, 35–9.
7.
Pramann O, Graf A, Albrecht UV: Tablet-PC im Krankenhaus: Hygienische Aspekte be- achten. Dtsch Arztebl 2012; 109(14): A-706. VOLLTEXT
8.
Conrad I, Schneider J: Einsatz von „privater IT“ im Unternehmen: Kein privater USB-Stick, aber „Bring your own device“ (BYOD)?, ZD 2011, 153ff.
9.
Bundesamt für Sicherheit in der Informati- onstechnik (Hrsg.): Mobile Endgeräte und mobile Applikationen: Sicherheitsgefähr- dungen und Schutzmaßnahmen (2006) .
10.
Zentrum für Informationsmanagement: Richtlinien zum Umgang mit mobilen Geräten im Datennetz der MHH. Version: 2.0 vom 13.06.2012.
P.-L.-Reichertz-Institut für Medizinische Informatik, Medizinische Hochschule Hannover:
Dr. med. Albrecht, Dr. jur. Pramann
Zentrum für Informationsmanagement, Medizinische Hochschule Hannover: Weiß
Kanzlei 34 Rechtsanwälte und Notare, Hannover: Dr. jur. Pramann
1. Pramann O, Gärtner A, Albrecht UV: Medi- cal Apps: Mobile Helfer am Krankenbett. Dtsch Arztebl 2012; 109(22/23): A-1201. VOLLTEXT
2. Bierekoven C: Bring your own Device: Schutz von Betriebs- und Geschäftsgeheimnissen, ITRB 2012, 106–8.
3. Conrad I: Einsatz von Data Loss Prevention-Systemen im Unternehmen: Geheimnis-, Konkurrenz- und Datenschutz in Zeiten von „Consumerization“ und „Bring Your Own Device“, CR 2011, 797–805.
4. Söbbing T, Müller NR: Bring your own Device: Haftung des Unternehmens für urheberrechtsverletzenden Inhalt, ITRB 2012, 15–7.
5. So hat das Hessische Landesarbeitsgericht entschieden, dass unerlaubte Privatnutzung eines vom Arbeitgeber zur Verfügung gestellten Internetanschlusses u. a. dann an sich geeignet sein kann, einen wichtigen Grund im Sinne des § 626 Abs. 1 BGB für eine außerordentliche Kündigung des Arbeitsverhältnisses zu bilden, wenn das Betriebsmittel unberechtigt in Anspruch genommen wird und hierdurch zusätzliche Kosten entstehen (Urteil vom 25.07.2011, Az. 17 Sa 1818/10, zitiert nach juris).
6. Koch FA: Arbeitsrechtliche Auswirkungen von „Bring your own Device“: Die dienstliche Nutzung privater Mobilgeräte und das Arbeitsrecht, ITRB 2012, 35–9.
7. Pramann O, Graf A, Albrecht UV: Tablet-PC im Krankenhaus: Hygienische Aspekte be- achten. Dtsch Arztebl 2012; 109(14): A-706. VOLLTEXT
8. Conrad I, Schneider J: Einsatz von „privater IT“ im Unternehmen: Kein privater USB-Stick, aber „Bring your own device“ (BYOD)?, ZD 2011, 153ff.
9.Bundesamt für Sicherheit in der Informati- onstechnik (Hrsg.): Mobile Endgeräte und mobile Applikationen: Sicherheitsgefähr- dungen und Schutzmaßnahmen (2006) .
10. Zentrum für Informationsmanagement: Richtlinien zum Umgang mit mobilen Geräten im Datennetz der MHH. Version: 2.0 vom 13.06.2012.

    Leserkommentare

    E-Mail
    Passwort

    Registrieren

    Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

    Fachgebiet

    Zum Artikel

    Alle Leserbriefe zum Thema

    Login

    Loggen Sie sich auf Mein DÄ ein

    E-Mail

    Passwort

    Anzeige