Ärzte Zeitung, 30.09.2014

Datencloud

Haftungsrisiken vorbeugen

Für die sensiblen Praxisdaten gelten strenge Datenschutzregeln. Deshalb müssen sich Praxen, bevor sie Daten in die Cloud legen, auch vertraglich besonders absichern.

NEU-ISENBURG. Es gilt für alle Unternehmen: Sobald ein Betrieb Rechnerleistung auslagert, kommt er in Berührung mit dem Datenschutzgesetz - und den entsprechenden Haftungsfragen.

Für Arztpraxen kommt aber leider wie so oft noch ein zusätzliches Risikopaket oben drauf: Sie müssen gemäß Paragraf 203 Strafgesetzbuch (StGB) das Privatgeheimnis ihrer Patienten wahren. Und der sogenannte Schweigepflichtsparagraf kann ihnen immerhin bei Verstößen eine Freiheitsstrafe von bis zu einem Jahr einbringen.

Cloud-Verträge für Arztpraxen sollten daher juristisch wasserdicht sein. Und es sollten bestimmte technische Grundvoraussetzungen erfüllt werden.

An oberster Stelle steht, dass jegliche patientenbezogenen Daten nur verschlüsselt an die Cloud übertragen und dort abgelegt werden dürfen.

Da alles, was sich in der Cloud befindet, quasi eine Auftragsdatenverarbeitung ist, greift zudem Paragraf 11 des Bundesdatenschutzgesetzes (BDSG). Die Praxis muss mit dem jeweiligen Anbieter daher auch einen Vertrag zur Auftragsdatenverarbeitung schließen - egal ob sie die Cloud nun als externen Datenspeicher oder gemäß dem Prinzip Software as a Service (SaaS) lediglich einzelne Programme über die Datenwolke nutzt.

Dieser Vertrag sollte unbedingt den genauen Gegenstand und die Dauer des Auftrags, aber auch Umfang, Art und Zweck der Datenverarbeitung beinhalten. Ebenfalls geregelt werden sollte, wer alles mit den Daten in Kontakt kommt - also der Kreis der Betroffenen.

Beim Daten löschen Backup nicht vergessen

Für Ärzte gelten außerdem lange Aufbewahrungsfristen. Patientendaten sind in der Regel mindestens zehn Jahre aufzubewahren, für einzelne Daten kann die Frist sogar 30 Jahre betragen. Die Praxis muss sicherstellen, dass sie wenigstens für diesen Zeitraum an die Daten kommt und diese auch einlesen kann.

Im Vertrag sollte deshalb geregelt werden, dass zum einen regelmäßige Backups vom Cloud-Anbieter gefahren werden. Die Daten, die im Backup landen, sollten ebenfalls in verschlüsselter Form dort abgelegt werden.

Zum anderen sollte festgeschrieben werden, dass die Daten Eigentum der Praxis sind und bei Vertragsaufhebung oder -ende, ebenso wie im Insolvenzfall an die Praxis zurückgegeben werden müssen.

Oft wird zudem vergessen, dass auch eindeutig geregelt sein muss, dass es eine Möglichkeit gibt, Daten wieder zu löschen. Die Löschung muss auch die Daten aus dem Backup beinhalten.

Paragraf 11 BDSG hat aber noch eine Tücke: Der Auftraggeber, also der Praxisinhaber, muss sich nicht nur davon überzeugen, dass sich der Cloud-Anbieter technisch und organisatorisch für das Speichern oder Verarbeiten der sensiblen Patientendaten eignet.

Er muss regelmäßig überprüfen, ob der Anbieter dieser Aufgabe noch gerecht wird. Das ist von den meisten Ärzten natürlich kaum zu leisten. Hier hilft wieder der Vertrag: Die Datenschutzbehörden erkennen Zertifizierungen anerkannter Stellen im Auftrag des Cloud-Anbieters als zulässig an.

Die regelmäßige Zertifizierung etwa nach DIN ISO und eine Aufstellung der getroffenen Sicherheitsmaßnahmen sollten daher ebenfalls Bestandteil des Vertrages sein. (reh)

Schreiben Sie einen Kommentar

Überschrift

Text

Resistente Keime bedrohen Fortschritte aus Jahrzehnten

Jeder vierte Todesfall durch Antibiotika-resistente Keime weltweit wird durch Tuberkulose (TB) bedingt. Um die Situation zu verbessern, reichen neue Arzneien aber nicht aus, betonen TB-Experten. mehr »

Regelmäßiges Frühstück ist offenbar gut fürs Herz

Wer regelmäßig frühstückt, beugt damit offenbar kardiovaskulären Erkrankungen vor, berichtet die American Heart Association (AHA). mehr »

Sperma-Check per Smartphone-App

Millionen von Paaren weltweit wollen ein Kind, doch es klappt nicht. Die Ursachen liegen in etwa der Hälfte der Fälle beim Mann. Ein einfacher Test könnte Männern künftig die Untersuchung ihres Spermas erleichtern. mehr »