Page 44 - index
P. 44
IT-Management Lizensierung von MS 365-Produkten
in der Krankenhauspraxis
Dieser Beitrag knüpft an den Teil 1 „Datenschutz- und IT-Sicherheitsfragen bei der Nutzung von
Microsoft 365 (MS 365) im Krankenhaus“ an. Im Fokus steht in diesem Teil die Auseinandersetzung
mit den wichtigsten Fallstricken der Lizenzierung im Rahmen der Einführung von MS 365.
Bestandteil der Compliancebetrachtung aus Sicht der IT und anderer beteiligter Stakeholder
ist auch die vertragliche Struktur bzw. das von Microsoft bereitgestellte Vertragswerk.
Von Jan Morgenstern, Rechtsanwalt & Fachanwalt für IT-Recht, und Anna Flor, Rechtsanwältin,
MORGENSTERN Rechtsanwaltsgesellschaft mbH
Wie sieht die Lizenzpraxis im Krankenhaus
eigentlich aus?
Zumeist aus Kostengründen gehen viele Organisationen dazu
über, auf Kombinationen verschiedener Lizenzmodelle zu set-
zen. So werden für zentrale Unterstützungsbereiche (insbeson-
dere die IT) und die Verwaltung in der Regel Volumenlizenzen
beschafft, andere Krankenhausbereiche wie das Gebäudema-
nagement erhalten Lizenzen im Einzelbezug oder es werden
– insbesondere im ärztlichen und pflegerischen Bereich – Lizen-
zen aus der „F3“-Reihe beschafft, welche die Arbeit auf mobilen
Geräten und Apps ermöglichen.
Es gibt elementare Unterschiede in den
Sicherheitszusagen von Microsoft.
Das Vertragswerk von MS 365 wird formal über die „Product Jan Morgenstern, Rechtsanwalt & Fachanwalt für IT-Recht,
Terms“[1] (früher auch bekannt als „Online Service Terms“) MORGENSTERN Rechtsanwaltsgesellschaft mbH
ausgerollt, über deren Inhalt sich Anwender und Entscheider
die für sie relevanten Bestimmungen zusammenstellen können.
Ergänzend zu den Product Terms gilt seit September 2022 ein Gerade in Bezug auf den hohen Schutzbedarf des Informa-
neues „Data Protection Addendum“ (DPA)[2]. Hierin ent- tionsverbunds eines Krankenhauses könnte man daher davon
halten sind insbesondere die neuen Standard-Vertragsklauseln ausgehen, dass (vorausgesetzt die Konfiguration erfolgt im Ein-
(ab Dezember 2022 für Organisationen verpflichtend, wenn zelnen nach dem Grundsatz der Datenminimierung und ent-
eine Drittlandübermittlung - wie im Fall der Auftragsverarbei- sprechend der Vorgaben des Grundsatzes Privacy by Design)
tung durch Microsoft - stattfindet). Bestandteil des DPA sind durch die Einbeziehung des neuen DPA ein schutzbedarfsge-
zudem umfassende Sicherheitszusagen von Microsoft in Bezug rechter Einsatz möglich sei.
auf Daten und Informationen, wie der Schutz vor unbefugtem Das hängt allerdings davon ab, ob das Krankenhaus tatsäch-
Zugriff, Bestimmungen zu additional Safeguards und Verschlüs- lich alle Bereiche innerhalb einer Volumenlizenz abbildet oder
selungsmaßnahmen. nicht. Aus dem DPA geht nämlich hervor:
Über das DPA werden zudem die umfassenden technischen „Microsoft geht die in diesem DPA beschriebenen Ver-
und organisatorischen Maßnahmen von Microsoft Vertragsbe- pflichtungen gegenüber allen Kunden mit Volumenlizenzver-
standteil. trägen ein.“
Krankenhaus-IT Journal 6 /2022
44