Page 44 - index
P. 44

IT-Management  Lizensierung von MS 365-Produkten









           in der Krankenhauspraxis





               Dieser Beitrag knüpft an den Teil 1 „Datenschutz- und IT-Sicherheitsfragen bei der Nutzung von
               Microsoft 365 (MS 365) im Krankenhaus“ an. Im Fokus steht in diesem Teil die Auseinandersetzung
               mit den wichtigsten Fallstricken der Lizenzierung im Rahmen der Einführung von MS 365.
               Bestandteil der Compliancebetrachtung aus Sicht der IT und anderer beteiligter Stakeholder
               ist auch die vertragliche Struktur bzw. das von Microsoft bereitgestellte Vertragswerk.
              Von Jan Morgenstern, Rechtsanwalt & Fachanwalt für IT-Recht, und Anna Flor, Rechtsanwältin,

               MORGENSTERN Rechtsanwaltsgesellschaft mbH






          Wie sieht die Lizenzpraxis im Krankenhaus
          eigentlich aus?
          Zumeist aus Kostengründen gehen viele Organisationen dazu
          über, auf Kombinationen verschiedener Lizenzmodelle zu set-
          zen. So werden für zentrale Unterstützungsbereiche (insbeson-
          dere die IT) und die Verwaltung in der Regel Volumenlizenzen
          beschafft, andere Krankenhausbereiche wie das Gebäudema-
          nagement erhalten Lizenzen im Einzelbezug oder es werden
          – insbesondere im ärztlichen und pflegerischen Bereich – Lizen-
          zen aus der „F3“-Reihe beschafft, welche die Arbeit auf mobilen
          Geräten und Apps ermöglichen.

          Es gibt elementare Unterschiede in den
          Sicherheitszusagen von Microsoft.
          Das Vertragswerk von MS 365 wird formal über die „Product   Jan Morgenstern, Rechtsanwalt & Fachanwalt für IT-Recht,
          Terms“[1] (früher auch bekannt als „Online Service Terms“)   MORGENSTERN Rechtsanwaltsgesellschaft mbH
          ausgerollt, über deren Inhalt sich Anwender und Entscheider
          die für sie relevanten Bestimmungen zusammenstellen können.
          Ergänzend zu den Product Terms gilt seit September 2022 ein   Gerade in Bezug auf den hohen Schutzbedarf des Informa-
          neues „Data Protection Addendum“ (DPA)[2]. Hierin ent-  tionsverbunds eines Krankenhauses könnte man daher davon
          halten sind insbesondere die neuen Standard-Vertragsklauseln   ausgehen, dass (vorausgesetzt die Konfiguration erfolgt im Ein-
          (ab Dezember 2022 für Organisationen verpflichtend, wenn   zelnen nach dem Grundsatz der Datenminimierung und ent-
          eine Drittlandübermittlung  - wie im Fall der Auftragsverarbei-  sprechend der Vorgaben des Grundsatzes Privacy by Design)
          tung durch Microsoft - stattfindet). Bestandteil des DPA sind   durch die Einbeziehung des neuen DPA ein schutzbedarfsge-
          zudem umfassende Sicherheitszusagen von Microsoft in Bezug   rechter Einsatz möglich sei.
          auf Daten und Informationen, wie der Schutz vor unbefugtem   Das hängt allerdings davon ab, ob das Krankenhaus tatsäch-
          Zugriff, Bestimmungen zu additional Safeguards und Verschlüs-  lich alle Bereiche innerhalb einer Volumenlizenz abbildet oder
          selungsmaßnahmen.                                   nicht. Aus dem DPA geht nämlich hervor:
             Über das DPA werden zudem die umfassenden technischen   „Microsoft geht die in diesem DPA beschriebenen Ver-
          und organisatorischen Maßnahmen von Microsoft Vertragsbe-  pflichtungen gegenüber allen Kunden mit Volumenlizenzver-
          standteil.                                          trägen ein.“




                                                                                   Krankenhaus-IT Journal 6 /2022
      44
   39   40   41   42   43   44   45   46   47   48   49