gms | German Medical Science

GMDS 2013: 58. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS)

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie

01. - 05.09.2013, Lübeck

Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit

Meeting Abstract

Suche in Medline nach

  • Bernd Schütze - Gesellschaft für klinische Dienstleistungen Düsseldorf mbH, Düsseldorf, DE

GMDS 2013. 58. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS). Lübeck, 01.-05.09.2013. Düsseldorf: German Medical Science GMS Publishing House; 2013. DocAbstr.128

doi: 10.3205/13gmds039, urn:nbn:de:0183-13gmds0399

Veröffentlicht: 27. August 2013

© 2013 Schütze.
Dieser Artikel ist ein Open Access-Artikel und steht unter den Creative Commons Lizenzbedingungen (http://creativecommons.org/licenses/by-nc-nd/3.0/deed.de). Er darf vervielfältigt, verbreitet und öffentlich zugänglich gemacht werden, vorausgesetzt dass Autor und Quelle genannt werden.


Gliederung

Text

Einleitung: Die Verfügbarkeit mobiler IT-Geräte ermöglicht eine zeitnahe Erfassung des Geschehens beim Patienten, Anwender wie beispielsweise der ärztliche oder pflegerische Dienst können Patientendaten zeitnah und aktuell direkt am Patienten erfassen. Der Vorteil der mobilen Geräte beinhaltet zugleich auch einen Nachteil: mobile Geräte gehen leicht verloren. Daher müssen die Patientendaten entsprechend den gesetzlichen Bestimmungen vor unbefugtem Zugriff geschützt werden. Diese Arbeit untersucht die diesbezüglichen grundlegenden Anforderungen.

Material und Methode: Basierend auf den datenschutzrechtlichen Bestimmungen werden die Anforderungen an den Einsatz mobiler Endgeräte dargestellt. Untersucht werden hierzu die bundesrechtlichen wie auch landes- und kirchenrechtlichen gesetzlichen Bestimmungen.

Ergebnisse: Eine Vielzahl von derzeit verfügbaren Apps ist aus datenschutzrechtlicher Sicht nicht verwendbar, z.T. werden Passworte für die Remote-Administration unverschlüsselt gespeichert, so dass bei Verlust des Gerätes ein Unbefugter potentiellen administrativen Zugriff auf das Netzwerk hat. Der Einsatz privater mobiler Geräte, Stichwort BYOD, bringt verschiedene Herausforderungen mit sich, die alle gemeistert werden müssen: datenschutzrechtlich muss gewährleistet werden, dass keine Übermittlung personenbeziehbarer (Patienten-) Daten stattfindet, was nur durch den Einsatz von Krypto-Containern gewährleistet werden kann. Neben dem Datenschutz müssen arbeitsrechtliche Fragen ebenso geklärt werden wie Fragen zu Lizenz- und Urheberrecht [5], [6], [8]. Steuerrechtliche und strafrechtliche Fragestellungen sowie Fragen des Haftungsrechts ergänzt durch Anforderungen zum unternehmerischen Geheimhaltungsschutz, wie ihn beispielsweise das UWG fordert, erschweren den Einsatz privater Geräte zusätzlich [3], [5], [11], [12]. Eine Nutzung einer extern betriebenen Cloud zur Speicherung von Patientendaten ist unter derzeitigen gesetzlichen Bestimmungen nahezu nicht möglich, das auch für Firmen mit Tochtergesellschaften wie beispielsweise bei der Telekom in den USA ein aus deutscher Sicht unberechtigter Zugriff auf die Daten nicht verhindert werden kann [2], [7], [10]. Zudem verlangen mehrere Bundesländer die Speicherung von Patientendaten auf Speichermedien, die sich physikalisch innerhalb der erhebenden Einrichtung befinden.

Diskussion: Der Einsatz einer extern betriebenen Cloud zur Speicherung von Patientendaten ist unter den derzeitigen rechtlichen Rahmenbedingungen kaum möglich [10]. Zur Nutzung von mobilen Geräten muss eine Richtlinie existieren, die Rechte und Pflichten der jeweiligen Mitarbeiter klar definiert [4], [9]. BYOD ist ohne Betriebsvereinbarung nicht einsetzbar, zusätzlich zur Betriebsvereinbarung [1] muss aber eine individuelle Vereinbarung mit jedem einzelnen Mitarbeiter geschlossen werden.


Literatur

1.
Arning M, Moos F, Becker M. Vertragliche Absicherung von Bring Your Own Device - Was in einer Nutzungsvereinbarung zu BYOD mindestens enthalten sein sollte. CR. 2012: 592ff
2.
Becker P, Nikolaeva J. Das Dilemma der Cloud-Anbieter zwischen US Patriot Act und BDSG - Zur Unmöglichkeit rechtskonformer Datenübermittlung für gleichzeitig in USA und Deutschland operierende Cloud-Anbieter. CR. 2012: 170ff
3.
Bierekoven C. Bring your own Device: Schutz von Betriebs- und Geschäftsgeheimnissen - Zum Spannungsverhältnis zwischen dienstlicher Nutzung privater Mobilgeräte und Absicherung sensibler Unternehmensdaten. ITRB. 2012: 106ff
4.
Conrad I, Antoine L. Betriebsvereinbarungen zu IT- und TK-Einrichtungen - Betriebsverfassungs- und datenschutzrechtliche Aspekte im Überblick. ITRB 2006: 90ff
5.
Göpfert B, Wilke E. Nutzung privater Smartphones für dienstliche Zwecke. NZA. 2012: 765ff
6.
Heidrich J, Wegener C. Sichere Datenwolken -Cloud Computing und Datenschutz. MMR 2010: 803ff
7.
Heidrich J, Wegener C. Sichere Datenwolken -Cloud Computing und Datenschutz. MMR 2010: 803ff
8.
Herrnleben G. BYOD – die rechtlichen Fallstricke der Software-Lizenzierung für Unternehmen. MMR. 2012: 205ff
9.
Kramer S. Gestaltung betrieblicher Regelungen zur IT-Nutzung. ArbRAktuell. 2010: 164ff
10.
Schröder C, Haag NC. Neue Anforderungen an Cloud Computing für die Praxis - Zusammenfassung und erste Bewertung der „Orientierungshilfe – Cloud Computing“. ZD. 2011: 147ff
11.
Söbbing T, Müller NR. Bring your own Device: Haftung des Unternehmens für urheberrechtsverletzenden Inhalt - Absicherung einer urheberrechtskonformen Hard- und Softwarenutzung für Unternehmenszwecke. ITRB. 2012: 15ff
12.
Söbbing T, Müller NR. Bring your own Device: Strafrechtliche Rahmenbedingungen - Vorkehrungen gegen Datenmissbrauch bei Nutzung privater Geräte im Unternehmen. ITRB. 2012: 263ff