Im November 2019 formulierte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder kurz DSK in einem Whitepaper die technische Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich.

Unmittelbar nach der Veröffentlichung prüften wir WhatsApp anhand des Kriterienkataloges. Das Ergebnis können Sie auf unserem Blog nachlesen.

Glücklicherweise ist WhatsApp nicht alternativlos. Es gibt mittlerweile eine Vielzahl an Messenger-Diensten, zum Teil sind diese bereichsspezifisch für ganz konkrete Anwendungsszenarien. Wir haben uns zwei Messenger, Siilo und stashcat, unter zu Hilfenahme des Kriterienkatalogs etwas näher angeschaut.

 Heute geht es um Siilo, stashcat werden wir uns morgen genauer ansehen.

Siilo ist ein Messenger-Dienst der Siilo Holding B.V. Der Anbieter stammt aus den Niederlanden und hat seinen Hauptsitz in Amsterdam. Zielgruppe sind Angehörige der medizinischen- und Heilberufe

Mit dem „Siilo Messenger“ sollen sich Ärzte- und Pflegeteams ortsunabhängig austauschen können. Dabei bietet die App sämtliche Funktionen, die auch von anderen Messenger-Diensten bekannt sind.

Eine vollumfängliche Prüfung anhand des Whitepapers der DSK wird in diesem Beitrag nicht erfolgen. Vielmehr haben wir uns verschiedene Punkte ausgesucht, die wir detaillierter betrachten. Im Rahmen unserer Prüfung, die in Teilen summarisch war, hatten wir die Gelegenheit, die verschiedenen Funktionen der App zu testen. Darüber konnten wir Gespräche mit Herrn Pourasghar, Vice President bei Siilo, führen, der uns eine Vielzahl an Hintergrundinformationen zur Verfügung stellte.

Angehörige der medizinischen- und Heilberufe

Der Messenger besteht aus zwei Ebenen. Auf der ersten Ebene kann dieser von jedermann genutzt werden. Spannend wird es auf der zweiten Ebene, dem medizinischen Bereich. Um Zugang zu diesem zu erhalten, und damit auf die Kontaktdaten sämtlicher registrierten Angehörigen der medizinischen- und Heilberufe zu bekommen, bedarf es einer Authentifizierung und Identifizierung. Dieser Prozess erfolgt zweistufig. Zunächst muss die Angehörigkeit zu einem Gesundheitsberuf nachgewiesen werden. Im zweiten Schritt erfolgt die Identifikation mittels eines Ausweisdokumentes. Wir haben diesen Prozess getestet:

Zur Überwindung der ersten Stufe habe ich ein Foto meiner Promotionsurkunde übersandt. Dieses habe ich vorab mit der Fotobearbeitungsfunktion – dazu gleich-  etwas bearbeitet. Die fehlende Zugehörigkeit zu einem Gesundheitsberuf wurde sofort festgestellt. Und der Authentifizierungsprozess, aus datenschutzrechtlicher Sicht, erfolgreich abgebrochen. (Mit einem Klick auf das Bild öffnet sich dieses in besserer Qualität in einem neuen Tab.)

Registrierung

In seiner Grundfunktion kann der Messenger kostenfrei von jedem genutzt werden. Die App ist sowohl für Android als auch für iOS Geräte verfügbar. Nachdem die App heruntergeladen wurde, muss man sich mit einem Vor- und Nachnamen, seinem Beruf, es stehen verschiedene medizinische und Heilberufe sowie die Möglichkeit „sonstige“ zur Auswahl, der Mobilfunknummer und der dienstlichen E-Mail-Adresse anmelden und einen 5-stelligen Sicherheitscode festlegen. Siilo sendet dann einen 6-stelligen Bestätigungscode per SMS, mit dessen Eingabe die Registrierung abgeschlossen wird. Im Rahmen des Registrierungsprozesses kann der Nutzer dann u.a. auch entscheiden, ob er Siilo auf seine Kontakte zugreifen lassen will. Dass der Messenger auch ohne einen Zugriff auf die Kontakte im Handy funktioniert, ist positiv zu bewerten.

Fotos

Siilo verfügt über eine Kamera-Funktion. Hierbei handelt es sich laut Aussage von Herrn Pourasghar um eine Eigenprogrammierung. Bilder, die über Siilo aufgenommen werden, werden nur in der Siilo App gespeichert. Es findet eine strikte Trennung zur Foto-App des Smartphones/ Tablets statt. Dadurch erfolgt auch keine Synchronisation mit Cloud-Dienstleistern, wie beispielsweise iCloud.

Eine besondere Funktionalität bietet die Option des „Verwischens“ an. Hierdurch ist es möglich, vor dem Versenden des Fotos, bestimmte Teile unkenntlich zu machen. Bei der Einholung eines Konsils zu einem komplizierten Bruch können so die Angaben zum Patienten geschwärzt werden. (Mit einem Klick auf das Bild öffnet sich dieses in besserer Qualität in einem neuen Tab.)

Datenspeicherung

Siilo ist so konfiguriert, dass eine Löschung der Kommunikation standardmäßig nach spätestens 30 Tagen erfolgt. Es besteht jedoch die Option, dass die Kommunikation bis zu einer manuellen Löschung aufbewahrt wird. (Mit einem Klick auf das Bild öffnet sich dieses in besserer Qualität in einem neuen Tab.)

 

Eine Speicherung der Daten auf den Kommunikations-Servern erfolgt nach Aussage von Siilo nur temporär. Der Absender einer Nachricht veranlasst durch den Versand die Speicherung der Kommunikation auf den Servern. Diese Speicherung ist wie ein Briefkasten zu verstehen. Sobald das Gerät des Empfängers eine Verbindung zum Server aufgebaut hat und die Nachricht zugestellt wurde, ist sie aus dem Briefkasten und damit vom Server gelöscht. Ein Zugriff auf die Kommunikation ist dann nur noch über die Endgeräte von Sender und Empfänger möglich.

Aus diesem Grunde erschöpft sich die Beantwortung eines Auskunftsersuchens nach Art. 15 DS-GVO auch auf die Anmeldedaten sowie die Daten, die im Rahmen der Kommunikation mit dem Support ausgetauscht werden. Das entsprechende Auskunftsersuchen wird zeitnah, im Test binnen 24 Stunden, ungesetzt.

Nutzung von Adressbuchdaten

Zu den Adressbuchdaten findet sich folgende Erklärung in der Datenschutzerklärung:

„Wir erfassen die Telefonnummern Ihrer Kontaktlisten und/oder Ihres Adressbuchs („Adressbuchdaten“) nur mit Ihrer ausdrücklichen Genehmigung. Es werden keine weiteren Kontaktinformationen, wie z.B. die Namen oder E-Mail-Adressen, die mit den Telefonnummern zusammenhängen, erfasst oder verwendet. Durch die Erfassung der Telefonnummern können wir die Siilo-Nutzer zusammenbringen und in entsprechenden Nutzergruppen zusammenfassen.  Daher können wir Ihnen auch anzeigen, welche Mitglieder Ihrer Netzwerke ebenfalls Siilo-Nutzer sind, um umgekehrt Ihren Verbindungen entsprechende Informationen über Sie zukommen lassen. Dank dieser Funktionalität können Sie mit anderen Nutzern von Siilo in Kontakt treten, und andere Nutzer von Siilo können direkt miteinander kommunizieren. Zu diesem Zweck und um sicherzustellen, dass wir den Nutzern die aktuellsten Informationen zukommen lassen, überprüfen wir Ihre Kontaktlisten und / oder Adressbuchdaten regelmäßig auf Updates. Adressbuchdaten (sofern der Nutzer seine Zustimmung erteilt hat) werden nur in gehashter Form an den Server gesendet und außerdem durch branchenübliche Transport-Layer-Security (TLS) geschützt. Dabei werden nur übereinstimmende Adressbuchdaten (in gehashter Form) gespeichert. Es werden keine Adressbuchdaten von Nichtnutzern gespeichert. Keinesfalls werden Adressbuchdaten an Drittparteien weitergeleitet oder für Werbezwecke verwendet.“

Die Grundidee, dass sich medizinisches Personal über den Siilo austauschen soll, führt (bei Freigabe des Adressbuchs) dazu, dass jedem Nutzer alle Kontakte seines Adressbuchs, die ebenfalls Siilo nutzen, angezeigt werden. Das ist möglich, da bei jedem Öffnen der App das Adressbuch in gehashter Form an Siilo übertragen wird. Alle Hashwerte von Telefonnummern, die nicht mit einem Hashwert eines registrierten Nutzers übereinstimmen, werden umgehend gelöscht. Bei den anderen kann Siilo dem Nutzer nun aber anzeigen, dass der Kontakt im eigenen Adressbuch auch bei Siilo ist.

Zusätzlich besteht die Möglichkeit, dass Siilo interessante Kontakte vorschlägt. Das ist zwar aus datenschutzrechtlicher Sicht nicht ideal, ist aber der Tatsache geschuldet, dass Siilo einen Austausch unter Medizinern und Angehörigen der Heilberufe fördern will. So wird dem Orthopäden evtl. ein Kollege in einer anderen Stadt angezeigt.

Aspekte der Sicherheit

Der Zugriff auf die App ist mittels fünstelligem PIN-Code sowie Touch- bzw. Face-ID geschützt. Die Kommunikation ist Ende-zu Ende-verschlüsselt. Hierzu wird die Open-Source-Bibliothek NaCL verwendet, die auch beim Messenger Threema zum Einsatz kommt. Die Server stehen in Europa.

Fazit

Im Rahmen unserer summarischen Prüfung, sind uns keine Punkte aufgefallen, die eine Abweichung von den Vorgaben des Whitepapers der DSK bedeuten. Insbesondere der Autorisierungs- und Identifizierungsprozess für Nutzer medizinischer- und Heilberufe sowie die Möglichkeit der Bildbearbeitung sind besonders positiv hervorzuheben. Einziges kleines Manko ist der Umgang mit dem Adressbuch. Allerdings stellt dies keine Abweichung vom DSK-Papier dar. Hier muss jeder selbst entscheiden, wie er diesen Umstand bewertet.

Aus aktuellem Anlass

Siilo bietet derzeit kostenlose Tools zur Unterstützung von Medizinern während des COVID-19-Notfalls an.  Informationen dazu finden Sie hier.

Weitergehende Informationen