Ein Instant Messenger wie WhatsApp ist im Alltag der meisten Ärzte unverzichtbar: 98% aller Klinikärzte in Deutschland nutzen diese Dienste intensiv. Und obwohl die Technologie unbestreitbar praktisch und hilfreich ist, bringt die Nutzung von privat ausgerichteten Diensten große Risiken, die mit Einführung der europäischen Datenschutzverordnung (EU-DSGVO) für die betroffene Klinik zu großen Schwierigkeiten bis hin zum wirtschaftlichen Exitus führen kann.
Für Dr. Katharina Dohm, Ärztin der Notfallambulanz einer Düsseldorfer Klinik, begann alles wie in einem schlechten Film. Der Anruf kam Dienstag vormittags von der Schulleitung. Ihr zwölfjähriger Sohn habe ein paar „verstörende Bilder“ verbreitet, auf denen dramatische Verletzungen zu sehen seien. Es waren nicht irgendwelche Bilder, es waren schwere Verbrennungstraumata. Die Abbildungen waren auch nicht aus dem Pschyrembel, es waren ihre eigenen Aufnahmen gewesen. Aufnahmen von ihrem eigenen Smartphone. Wie konnte das bloß passiert sein?
Seit Jahren war es für die Notärztin Usus geworden: Fotos besonderer Traumata teilte sie per WhatsApp schon nach Erstbehandlung innerhalb der Klinik; das half dem weiteren Behandlungsverlauf und auch der eigenen Dokumentation. Es war eine kleine Nachlässigkeit, die automatische Synchronisierung zum Cloudspeicher der Familie nicht zu unterbinden – eigentlich nahm sie an, dass die Bilder relativ geschützt nur auf ihrem Smartphone lagen. Von den laufend erzeugten Kopien ahnte sie nichts - spannendes Gruselmaterial, dass man den Klassenkameraden nicht einfach vorenthalten konnte. Schlimmer noch: Genauer Ort, Gerät und natürlich auch Uhrzeit waren Teil der Bilddatei und mit wenig Recherche schnell zuzuordnen. Unheimliche Konsequenzen bauten sich vor ihrem geistigen Auge auf, wobei der Verstoß gegen die ärztliche Schweigepflicht noch das unmittelbarste persönliche Risiko für Frau Dr. Dohm darstellte.
Dabei ist der Fall nicht mal außergewöhnlich, sondern erwartbar gewesen: Die Nutzung von Messenger Apps von WhatsApp, Facebook Messenger oder Telegram hat längst Einzug in den Klinikalltag gehalten. Das Deutsche Datenschutzinstitut (DDI) hat in einer Umfrage ermittelt, dass 98% aller Klinikärzte so kommunizieren. Warum auch sollten sie sich da von anderen Berufsgruppen unterscheiden, nur dass auch Sie in der Regel keine von ihrem Arbeitgeber gestellte Lösung nutzen, sondern ihre private Anwendung mit der beruflichen Nutzung vermischt haben. Wenn es darum geht, Patientendaten zu verbergen, verschanzten sich 54% der Befragten hinter Ausflüchten: Man arbeite mit Kürzeln, dass sei nicht zuzuordnen und im Zweifel doch verschlüsselt. Datenschützer müssen über diese Naivität schmunzeln, denn selbst bei kreativen Codes sind die Metadaten weiterhin vollständig auslesbar. Wer die erzeugten Daten danach nutzt, wer sie evtl. verteilt oder wo sie überhaupt gespeichert werden, darüber herrscht völlige Intransparenz, wie die FAZ bei der Nutzung von Messengern im deutschen Klinikalltag dokumentierte.
Gerade die Verschlüsselung von Nachrichten, die WhatsApp mit großem Tamtam nach ersten Skandalen eingeführt hatte, erweist sich bei genauerem Hinsehen als ein Feigenblatt. Eine Verschlüsselung von Nachrichten ist nur ein Baustein eines Sicherheitskonzeptes und alleine nicht ausreichend. Die organisatorischen Vorkehrungen, die man für den gesetzeskonformen Datenschutz eigentlich zu treffen hätte, bleiben vollständig außen vor. Ganz davon zu schweigen, dass die Dateien selbst natürlich unverschlüsselt auf dem Client, also Smartphone App und angeschlossenen Diensten wie Cloudspeichern, vorliegen. Organisatorische Maßnahmen wären bspw. eine echte Administrationsfähigkeit, also welcher Nutzer eine Anwendung überhaupt nutzen darf und wer innerhalb der Anwendung Daten verteilen kann, wo sie gespeichert werden und was passiert, wenn der Nutzer bspw. die Klinik endgültig verlässt. Eine Rechtevergabe in der Umgebung des Messengers darf nicht vom einzelnen Nutzer bestimmt werden. Bei Diensten wie WhatsApp ist es besonders problematisch, denn niemand steuert dieses Peer-to-Peer Netzwerke zentral, in dem jeder mit jedem einfach alles ohne Autorisierung teilen kann. Dem Betreiber bleibt kaum etwas geheim, Kontaktdaten werden schon bei der ersten Nutzung des Dienstes verraten, natürlich auch die der ärztlichen Kollegen.
Das versehentliche Teilen von schützenswerten Daten mit einer unbeteiligten Person ist schnell passiert. Wenn sich im verdichteten Alltag private Chats und berufliche Neuigkeiten vermischen, ist die sorgfältige Trennung von Datencontainern eigentlich nur dann möglich, wenn Sie von vornherein „idiotensicher“ angelegt ist. Das mag dem Habitus einiger Kollegen vielleicht nicht so schmeicheln, doch auch ihre Fehleranfälligkeit in diesen Fragen liegt auf „rein menschlichem Niveau“. Einige glauben, sie könnten auf vermeintlich sicherere Alternativen wie Threema oder Telegram auszuweichen, jedoch sind diese Alternativen keine echten Alternativen. Auch wer solche Dienste nutzt, büßt „die alleinige Verfügungsgewalt über die Daten ein, da diese außerhalb der eigenen IT-Systeme gespeichert werden“, so warnen Henning Kropp und Uwe Günther von der Beratungsfirma Savonis jüngst im „Deutschen Ärzteblatt“. Da die Betreiber der Dienste oft Unternehmen aus dem außereuropäischen Ausland sind, handelt es sich sehr selten um rechtsfähige Partner sind, mit denen man eine einklagbare Geschäftsbeziehung mit allen Rechten und Pflichten unterhalten kann. Ausgerechnet im Notfall steht man dann juristisch gesehen im Merkelschen„Neuland“.
Was ist also die Lösung: WhatsApp & Co seitens der Klinikleitung untersagen? Apropos Untersagen, gab es je eine Dienstanweisung zur Nutzung von privaten Messenger-Diensten innerhalb Ihrer Einrichtung? Wenn nicht, dann stünde das ärztliche Personal bei der Haftung allein auf weiter Flur. Messenger generell zu untersagen wäre allerdings ein Fehler, denn nicht ohne Grund nutzen Ärzte die Dienste so intensiv: Sie erleichtern Prozesse, reduzieren Kosten und erhöhen gleichzeitig die Qualität der ärztlichen Kommunikation. Die Abstimmung wird einfacher, die Kommunikation effektiver. Verzichten will darauf niemand mehr, gerade deswegen hat sich die Schatten-IT auf den Smartphones der Ärzteschaft so vergrößert. Es steht dem gegenüber ein Mangel an eigenen Angeboten in der IT-Landschaft der Klinik, ein Mangel dem man jedoch mit geringem Aufwand begegnen kann.
Die bei Privatnutzern populären Dienste wie Skype, Dropbox oder WhatsApp bieten einen hohen Nutzerkomfort. Gleichzeitig ist das datenschutzrechtliche Risiko gigantisch – das klingt zunächst wie eine Übertreibung, wer aber die neue EU-Datenschutzgrundverordnung (EU-DSGVO) beachtet, die ab 26. Mai 2018 verbindlich ist, stimmt dem sicher zu: Bis zu 4% vom Umsatz oder 20 Millionen Euro an Bußgeld könnten vor Gericht eingefordert werden, wenn die Klinik nicht effektive Maßnahmen und Vorkehrungen zum Datenschutz getroffen hat. Es reicht hier im Zweifel vor Gericht der klagenden Partei aus, dass der Nachweis eines sicheren Verfahrens seitens der Klinik nicht erbracht werden konnte. Wer also diese Dienste auch nur wissentlich toleriert, geht Risiken ein.
Um weiter die mit Messengern gewonnene Produktivität und Qualitätsverbesserungen zu halten, sollten Krankenhäuser über ein eigenes Messengerangebot nachdenken. Der Nutzerkomfort sollte sich dabei von den populären Diensten nicht unterscheiden. Kosten in geringem Umfang sind aber zu erwarten, denn Dienste, die nicht von der Auswertung und dem Verkauf der Datensätze leben, brauchen eine monatliche Nutzungsgebühr, um das Angebot betreiben zu können. Wichtiger ist es jedoch zunächst, das Thema überhaupt zu adressieren und Lösungen zu suchen. In der Notfallversorgung ist der Vorteil von Messengern jedem offensichtlich, große Datenmengen können dank Messenger schon vor Eintreffen des Patienten in der Klinik schnell verbreitet werden und zeitliche Verzögerungen in der Behandlung werden effektiv reduziert. Aber auch die Abstimmung auf der Abteilungsebene wird massiv vereinfacht. Das spart Kosten in der Klinik und erhöht die Erfolgschancen jeder Behandlung. Die Kliniken sind also gut beraten, eigene Lösungen zu finden und diese proaktiv anzubieten.
Quiply ist ein sicherer Messenger, der sowohl technologische als auch organisatorische Maßnahmen zum Datenschutz umsetzt. Natürlich steht die Konformität zur EU-DSGVO genauso im Fokus wie die technologische Architektur, die ein höchst sicheres Angebot im Cloud SaaS Umfeld darstellt (siehe Whitepaper Security). Auch die Umsetzung auf Ihrer eigenen Umgebung (On-Premise) ist möglich. Die Anwendung verschlüsselt dabei alle Daten in der Kommunikation und sichert sie nur auf deutschen Servern. Hierbei erfüllt Quiply auch die Regularien des Bundesdatenschutzgesetzes zu 100%. Bei der Benutzerführung unterscheidet sich die Quiply-App kaum von den bekannten populären Diensten, so dass die Nutzung intuitiv gelingt.
Der Unterschied zu einem reinen Messenger, die nur die Verschlüsselung von Chats anbieten, liegt im organisatorischen Sicherheitskonzept von Quiply. Zugangsrechte, Rollen und Benutzer können von Administratoren sicher verwaltet werden, eine versehentliche Weiterleitung von Fotos außerhalb der Umgebung ist ausgeschlossen.
Ein Messenger ist mehr oder weniger eine Art Basiswerkzeug geworden. Den großen Unterschied zu einem sicheren Messenger allein stellen die erweiterten Möglichkeiten der Quiply-App dar. Zusätzlich zum Messenger verbindet Quiply die Technologie mit einem mobilen und sozialen Intranet. Quiply liefert somit eine vollumfängliche Mitarbeiter-App. Der Vorteil gegenüber einem reinen Messenger ist, dass die Mitarbeiter einerseits ein wichtiges Kommunikationswerkzeug für Ihren Alltag an die Hand bekommen. Andererseits erhält die Klinik durch die regelmäßige Nutzung der Oberfläche die Möglichkeit, Nachrichten zentral an alle Mitarbeiter zu veröffentlichen. Dies führt zu deutlich erhöhten Leseraten gegenüber dem herkömmlichen Intranet, dass nur von Desktop-Rechnern aus einsehbar war und für Einweg-Kommunikation steht. Durch die Quiply Veröffentlichungskanäle (News-Channels) ist es auch möglich, von zentraler Stelle Nachrichten selektiv zu verbreiten und mit allen Mitarbeitern zu interagieren. Das bedeutet allerdings nicht, dass hunderte von Nutzern miteinander chatten, sondern dass dieser Prozess in selektiven Informationsangeboten mit Berechtigungen umgesetzt wird. So soll am Ende jeder Nutzer die Informationen einsehen können, die er braucht und die er auch wirklich sehen darf.
Lauffähig auf mobilen Geräten als auch als Web-App auf jedem Browser bleibt die Nutzung nicht nur dem ärztlichen Personal vorbehalten, sondern kann sich bis hin zum Service-Personal erstrecken. Prozessunterstützung und Self-Service Angebote wie „Dienstpläne einsehen“ oder „Schichtübergaben lesen“ lassen sich dann in der Quiply-App genauso abbilden wie der Intranet-Klassiker „Kantinenplan“ oder die Erzeugung von Pinnwänden zum kollegialen, eher privaten Austausch. Es wird besonders für die kaufmännische Geschäftsführung, die interne Kommunikation oder die Qualitätssicherung deutlich leichter, mit dem Personal zu kommunizieren und organisatorische Veränderungen zu begleiten.
Lassen Sie uns am praktischen Beispiel anderer Gesundheitsunternehmen aufzeigen, wie Quiply auch in Ihrem Klinikalltag zu einer festen Säule in der Kommunikation werden kann und fordern Sie noch heute ein unverbindliche Demonstration an.