Herausforderung „Homeoffice” im Arbeitsfeld der Gesundheits- und Sozialwirtschaft

​veröffentlicht am 22. September 2020; Autoren: Jürgen Schwestka, Maximilian S. Dachlauer

Bis Anfang 2020 war Homeoffice im Bereich der Gesundheits- und Sozialwirtschaft unüblich, teilweise sogar unerwünscht. Die Arbeit sollte vor Ort in den Häusern erfolgen. Insbesondere beim pflegerischen Personal ist das auch nicht anders möglich – denn die Arbeit erfolgt am Bewohner oder Patienten.

Durch den Anstieg der Fallzahlen von an Covid-19 erkrankten Personen änderte sich die Situation schlagartig. Für Heime wurden Besuchsverbote ausgesprochen und alle Mitarbeiter, die es irgendwie konnten, sollten von zu Hause aus arbeiten. Quasi von heute auf morgen.

Doch wie sollte dies funktionieren? Mangels ausreichender Vorbereitung wurde versucht, so weiterzuarbeiten wie bisher, nur eben von zu Hause aus. Akten wurden in Papierform mit nach Hause genommen, Dateien wurden auf die Geschäftsnotebooks kopiert (sofern vorhanden) oder man hat sie gar per USB-Stick auf private Notebooks oder PCs übertragen und dann damit gearbeitet.

Aus Sicht der Informationssicherheit ist dies ein großes Problem! Denn Daten auf privaten Geräten sind nicht gesichert, sie können verloren gehen, wenn es zu technischen Problemen kommt. Noch dazu sind die Geräte evtl. nicht verschlüsselt, sodass auch vertrauliche Informationen bekannt werden können.

Bei Geschäftsnotebooks ist es etwas besser: Diese sollten mittlerweile verschlüsselt sein. Aber auch sie sind i. d. R. nicht in das Backup eingebunden, sodass Unterlagen bei einem technischen Defekt verloren gehen können. Aber wie bekommt man dann die Daten sicher ins Büro oder ins Homeoffice? Glück haben diejenigen, die sich über VPN in das Unternehmensnetzwerk einwählen können – doch das sind im Bereich der Pflege i. d. R. höchstens die Geschäftsführer oder Heimleiter. Bei allen anderen Mitarbeitenden war es bisher einfach nicht notwendig. Ein Versand per E-Mail ist keine Lösung, denn E-Mails sind wie Postkarten – jeder kann sie lesen, sofern sie nicht verschlüsselt sind.

Da eine zweite Welle von Covid-19-Infektionen nicht ausgeschlossen werden kann, wollen wir ein paar Tipps zur Vorbereitung auf eine verstärkte Homeoffice-Nutzung unterbreiten:

Sicherer Mailverkehr

Vertrauliche und personenbezogene Daten sollten nicht per unverschlüsselter E-Mail versendet werden. Abhelfen können hier verschiedene Lösungen:

• Vertrauliche Informationen in einer zip-Datei speichern und diese mit einem Passwort sichern. Das Passwort wird z. B. per SMS oder Telefon weitergegeben.
• Elektronische Zertifikate für die Verschlüsselung von E-Mails über S/MIME oder alternativ über PGP. Dies setzt voraus, dass der Empfänger auch über entsprechende Tools und Möglichkeiten verfügt.
• Nutzung eines Secure Mail Gateways, das E-Mails verschlüsselt überträgt, sofern die Gegenstelle dies kann oder die E-Mails zum Abruf auf dem eigenen Server zur Verfügung stellt.

Der Aufwand nimmt von a) nach c) zu, allerdings steigen im gleichen Maße die Benutzerfreundlichkeit und die Möglichkeit zum flächendeckenden Einsatz.

Sicherer Datentausch

Unabhängig vom Übertragungsweg dürfen vertrauliche Dokumente oder Dokumente mit sensiblen personenbezogenen Daten nicht ungesichert übertragen werden. Es sollten dabei die folgenden Mindestanforderungen beachtet werden:

• Kein ungeschützter Versand per E-Mail.
• Keine Nutzung von Datenaustauschportalen aus dem privaten Umfeld – es muss eine Lösung genutzt werden, bei der die Datenhaltung, die Datensicherungen und auch der Support in Europa erfolgen, damit die Einhaltung der Datenschutz-Grundverordnung (DSGVO) leichter garantiert werden kann.

Dabei ist auch zu beachten, dass durch den Wegfall des EU-US Privacy Shields durch das Urteil des Europäischen Gerichtshofes vom 16.7.2020 (Aktenzeichen: C-311/18, „Schrems II“) eine Datenübermittlung in die USA an unter dem Privacy Shield zertifizierte Unternehmen nicht mehr ohne Weiteres datenschutzrechtlich erlaubt ist. Bei der Nutzung von Cloud-Dienstleistern ist daher genau zu prüfen, wo die Datenhaltung erfolgt und welche Sub-Dienstleister genutzt werden. Dies sollte vertraglich exakt festgehalten werden.

Sichere Kommunikation im Team

Durch das verteilte Arbeiten an unterschiedlichen Standorten im Homeoffice wurden neue Kommunikationsmöglichkeiten im Team benötigt. Aktuelle Anwendungen bieten die folgenden Möglichkeiten:

• Telefon- und Videokonferenzen mit Ende-zu-Ende-Verschlüsselung
• Nutzung der eigenen Festnetz-Telefonnummer
• Teilen des Bildschirminhalts während der Konferenzen

Hierbei ist ebenfalls sicherzustellen, dass eine etwaige Datenübermittlung in die USA nur rechtmäßig erfolgt. Um die Kommunikation mit Dritten zu erleichtern, sollte geprüft werden, wie verbreitet die Anwendung ist und ob für die Nutzung eine Installation notwendig wird oder ob sie direkt über den Browser gestartet werden kann. Ansonsten sind spontane Meetings mit Mitarbeitern aus anderen Unternehmen oder Einrichtungen evtl. nur eingeschränkt möglich.

Workflowsysteme

Einen großen Vorteil hatten Einrichtungen, bei denen eine elektronische Rechnungsverarbeitung bereits eingeführt wurde. Dies sind insbesondere öffentliche Auftraggeber, bei denen eine gesetzliche Verpflichtung zur Verarbeitung von elektronischen Rechnungen seit April 2020 besteht. Dabei ist zu beachten, dass es sich hier ausdrücklich nicht um klassische PDF-Rechnungen handelt, sondern um Rechnungen in strukturierter Form (XRechnung, ZUGFeRD 2.0).

Zwar haben manche Bundesländer erlaubt, während der Lockdown-Phase Rechnungen per E-Mail zu erhalten, weiterzuleiten und per E-Mail freizugeben, es ist aber unklar, wie lange dies bestehen bleibt, da die Lösung nicht die Anforderungen aus den GoBD erfüllt. Denn elektronisch empfangene Rechnungen müssen im elektronischen Original archiviert und anschließend weiterverarbeitet werden. Hierzu wird ein Workflow-System zur Prüfung und Freigabe der Rechnungen benötigt. Für jede einzelne Aktivität während des Workflows wird ein Eintrag in einem Workflow-Protokoll erstellt, sodass jederzeit nachvollziehbar ist, durch wen ein Beleg geprüft und freigegeben wurde.

Der große Vorteil ist, dass mit entsprechenden Zugangsmöglichkeiten zum Firmennetzwerk die Belege von überall bearbeitet werden können – sei es per Computer, Tablet oder Smartphone. Lediglich für die Digitalisierung der Belege müssen Mitarbeiter im Büro sein. Wenn die Rechnungen ausschließlich per E-Mail empfangen werden, so ist auch dies nicht mehr notwendig.

Sicherheit des System

Durch die zunehmende Digitalisierung ist auch die Sicherheit der IT-Systeme von immer größerer Bedeutung. Denn wenn die IT-Systeme ausfallen, können die Mitarbeiter nicht mehr auf die Systeme und Belege zugreifen. Insbesondere wenn von einem Ausfall auch Systeme betroffen sind, die für die Pflege relevant sind, kann das eine erhebliche Einschränkung für den Betrieb bedeuten.

Gleichzeitig steigt die Gefahr, dass Kriminelle die Situation ausnutzen und massenweise Cyberangriffe starten. Die einfachste Form ist dabei der Weg über die Mitarbeiter. Technische Systeme können vor einer Vielzahl von Bedrohungen schützen, am Ende genügt ein Klick in einer E-Mail und der Virus oder Trojaner ist im Haus. Die Krux dabei ist auch, dass die Qualität der Schadmails immer besser wird – früher konnte man leicht anhand von Rechtschreibfehlern merken, dass hier vielleicht etwas nicht stimmt. Mittlerweile werden persönliche An reden genutzt und die Absender stammen auf den ersten Blick vermeintlich aus dem Umfeld des Mailempfängers.

Umso wichtiger ist es daher, die Mitarbeiter im sicheren Umgang mit den IT-Systemen zu schulen und dabei auch auf die Gefahren aus dem Cyber-Raum einzugehen.

Zusammenfassend empfehlen wir folgende Maßnahmen zur Vorbereitung auf den Herbst, wenn neben Covid-19 die normale Grippe und Erkältungswelle aufkommt und Mitarbeiter somit sicherheitshalber nach Hause geschickt werden:

1. Erstellung einer IT-Strategie wie Mitarbeiter ohne größere Einschränkungen von zu Hause aus arbeiten können. Hierzu gehören die sichere Mailübertragung, die Übermittlung von Dateien oder Konferenzsysteme. Bei der Auswahl der Systeme ist es wichtig, zunächst die Anforderungen in einem Lastenheft zu definieren und dann zu vergleichen, welche Lösung die Anforderungen am besten abdeckt.
2. Bei der Einführung der Systeme sind die Anforderungen aus dem Datenschutz sowie der Informationssicherheit zu berücksichtigen. Dies gilt schon während des Vertragsabschlusses (z. B. Serverstandorte), aber auch während der gesamten Implementierungsphase, insbesondere wenn darüber auch Bewohner- oder Patientendaten übermittelt werden sollen.
3. Bei der Einführung von Workflow-Systemen ist auf die Einhaltung der Anforderungen aus den GoBD zu achten. Insbesondere was den Aufbewahrungsort für die digitalen Belege angeht. Hier empfiehlt es sich, ein Gespräch mit einem Wirtschaftsprüfer Ihrer Wahl zu führen, um nicht nach der Einführung während der ersten Betriebsprüfung böse Überraschungen zu erleben. 
4. Mitarbeiter sollten spezielle Schulungen zur Informationssicherheit erhalten. Im Bereich von Krankenhäusern ist dies zum Teil bereits gesetzlich vorgeschrieben (z. B. Betreiber kritischer Infrastrukturen), aber auch in allen anderen Fällen ist es sehr empfehlenswert, dies durchzuführen.
5. Arbeiten die Mitarbeiter im Homeoffice, ist der Arbeitgeber als datenschutzrechtlich Verantwortlicher für die Bewohner- , Gesundheits- oder auch Beschäftigtendaten gehalten, dafür zu sorgen, dass die Anforderungen der DSGVO von den Mitarbeitern auch im Homeoffice eingehalten werden. Es sollten daher entsprechende Arbeitsanweisungen formuliert oder Vereinbarungen mit den Mitarbeitern geschlossen werden. Als Arbeitgeber sollte auch darauf geachtet werden, dass die Mitarbeiter wirksam wieder aus dem Homeoffice zurückgeholt werden können und nicht aufgrund einer sogenannten betrieblichen Übung plötzlich ungewollt Anspruch auf dauerhaftes Homeoffice besteht.