Schatten-IT in der Pflege: Wenn Mitarbeiter eigene Tools nutzen
In deutschen Krankenhäusern nutzen Mitarbeiter massenhaft private Messenger, Cloud-Dienste und eigene Geräte für dienstliche Zwecke. Die Gründe liegen in der mangelhaften IT-Ausstattung – die Risiken sind erheblich.
Wer heute durch eine Klinik geht, erlebt sie überall – kleine, unscheinbare Hilfssysteme außerhalb der offiziellen IT-Welt. Dienstpläne, die über WhatsApp verschickt werden. Fotos von Implantaten, die auf privaten Handys zirkulieren. Feedbackbögen, die auf privaten Laptops entstehen. Schatten-IT ist längst Teil des Pflegealltags – nicht aus Bequemlichkeit, sondern aus Notwendigkeit.
Ob Messenger, private Clouds oder Heimarbeit mit dem eigenen Laptop – Mitarbeiter greifen zu privaten Lösungen, weil offizielle Systeme zu träge oder unpraktisch sind. Wer im OP steht oder Schichtwechsel koordiniert, kann sich keine langen Anmeldezeiten leisten. Mehrfach-Log-ins, gesperrte Bildschirme und fehlende Endgeräte führen dazu, dass man sich behelfen muss. Auch kleine Tools, die verhindern, dass der Bildschirm sich sperrt, gehören zum Alltag.
Ein weiteres Problem verschärft die Situation: Nicht jede Pflegekraft oder jeder externe Mitarbeiter verfügt über eine dienstliche E-Mail-Adresse oder ein mobiles Klinikgerät. Zeitarbeiter und Aushilfen werden deshalb häufig über private Kanäle eingebunden. Auch Chefärzte umgehen Richtlinien, wenn bestimmte Software fehlt – etwa ein PDF-Reader oder eine Bildbearbeitung. Die IT-Abteilung steht dann unter Druck: „Ich brauche das sofort.“ Ohne klare Regelwerke fehlt ihr die Grundlage, solche Anforderungen abzuwehren.
Patientendaten in ungesicherten Clouds: DSGVO-Verstöße drohen
Diese pragmatischen Lösungen bergen erhebliche Gefahren. Über ungesicherte Messenger oder Cloud-Dienste gelangen Patientendaten leicht in falsche Hände. Sobald personenbezogene Gesundheitsinformationen verarbeitet werden, greifen die strengen Vorgaben der Datenschutzgrundverordnung (DSGVO) und des Paragrafen 75c SGB V: Schutz nach dem Stand der Technik. Fehlen Nachweise über Auftragsverarbeitung oder technische Kontrollen, drohen Bußgelder und Haftungsfragen.
Eine neue Dimension erreicht das Problem durch die sogenannte Schatten-KI. Ärztinnen und Pflegeleitungen nutzen frei verfügbare KI-Tools wie ChatGPT oder Copilot, um Arztbriefe oder Entlassungsberichte zu erstellen. Dabei landen Notizen oder Patientendaten ungefiltert in externen Systemen. Meist geschieht das aus Effizienzgründen, nicht aus Nachlässigkeit. Doch auch hier gilt: Sobald sensible Daten in fremden Clouds verarbeitet werden, verlässt man den rechtssicheren Raum.
Praktikable Lösungen statt Verbote gefordert
Was lässt sich tun? Kliniken benötigen Policies, die in der Praxis funktionieren – keine Verbote, sondern praktikable Leitplanken. Ein klares Regelwerk hilft IT-Teams, sich auf Compliance zu berufen, wenn Druck entsteht. Ebenso wichtig sind sichere Alternativen: dienstliche Messenger mit Ende-zu-Ende-Verschlüsselung (zum Beispiel Siilo, Threema Work), gemanagte Mobilgeräte und zentrale SaaS-Kontrolle mittels Cloud Access Security Broker. Schulungen sollten reale Alltagssituationen aufgreifen – warum WhatsApp eben nicht harmlos ist und welche Alternativen funktionieren.
Schatten-IT ist kein Fehlverhalten, sondern ein Symptom. Wer sie eindämmen will, muss die Arbeitsrealität der Pflege verstehen – unter Zeitdruck, mit Personalmangel und wenig IT-Ausstattung. Sicherheitsbewusstsein entsteht nicht durch Regeln, sondern durch praktikable Lösungen. Nur wenn Krankenhäuser sichere und einfache Alternativen bieten, verschwindet Schatten-IT aus dem Alltag – und Informationssicherheit wird endlich Teil der Routine.
Dieser Text stammt aus dem kostenlosen <kes> Briefing: Healthcare Security Insights. Anmeldung unter: https://www.kes-informationssicherheit.de/newsletter/