Cyberattacken auf Krankenhäuser - Wie sieht es mit der Haftung bei Webapplikationen und BYOD aus?

Prof. Dr. Dr. Christian Dierks

 

Die Cyberattacken auf die Krankenhäuser haben Verunsicherungen herbeigeführt. Viele Häuser prüfen jetzt Verbote von Webapplikationen und BYOD. Wie sieht es da eigentlich mit der Haftung aus?


In vielen Häusern, aber auch in Pflegeheimen, Wundzentren und MVZ herrscht leider immer noch ein munteres Miteinander von KIS, PVS, Stand-Alone-Lösungen und BYOD. Auch wenn die Einfallstore der Attacken noch nicht alle identifiziert sind, wird jedem klar sein, dass ein solch buntes Bild mit gemischten oder sogar fehlenden Verantwortlichkeiten eine Risikoerhöhung darstellt.

 

Entscheidend für die Zuordnung der Haftung beim potenziellen Einfallstor „eigenes Device“ ist die Frage, ob in den Einrichtungen ein Mobile Device Management (MDM) eingerichtet wurde. Und das ergibt sich geradezu zwangsläufig aus der jeder Verarbeitung personenbezogener Gesundheitsdaten vorausgehenden Risikoanalyse. MDM muss klare Instruktionen an das Personal enthalten, welche Funktionen auf eigenen Devices laufen dürfen (wenn überhaupt). Alle Devices sind zu erfassen, Vorgaben für die Trennung der Applikationen von privaten Tools und Regelungen für Updates, Verschlüsselung, Verlust, Austausch, Personalwechsel sind essenziell.

 

Hat die Einrichtung diese Vorgaben in einer MDM-Dienstanweisung (an den Personal- bzw. Betriebsrat denken!) erlassen, sinkt das Haftungsrisiko deutlich. Verstöße gegen die MDM können dann aber die Haftung zum Personal verschieben. Die Grenzen der Arbeitnehmerhaftung unter gefahrgeneigter Tätigkeit relativieren dies freilich. Trotzdem wird eine solche heterogene Architektur nie so sicher sein wie ein KIS oder ein PVS aus einem Guss, ohne Verästelungen. Deshalb ist es auch richtig, wenn die Häuser und Zentren jetzt Konsequenzen ziehen und wie ein Arborist bei einem Baum die IT-Struktur von Wucherungen befreien.