Datencloud
Haftungsrisiken vorbeugen
Für die sensiblen Praxisdaten gelten strenge Datenschutzregeln. Deshalb müssen sich Praxen, bevor sie Daten in die Cloud legen, auch vertraglich besonders absichern.
Veröffentlicht:NEU-ISENBURG. Es gilt für alle Unternehmen: Sobald ein Betrieb Rechnerleistung auslagert, kommt er in Berührung mit dem Datenschutzgesetz - und den entsprechenden Haftungsfragen.
Für Arztpraxen kommt aber leider wie so oft noch ein zusätzliches Risikopaket oben drauf: Sie müssen gemäß Paragraf 203 Strafgesetzbuch (StGB) das Privatgeheimnis ihrer Patienten wahren. Und der sogenannte Schweigepflichtsparagraf kann ihnen immerhin bei Verstößen eine Freiheitsstrafe von bis zu einem Jahr einbringen.
Cloud-Verträge für Arztpraxen sollten daher juristisch wasserdicht sein. Und es sollten bestimmte technische Grundvoraussetzungen erfüllt werden.
An oberster Stelle steht, dass jegliche patientenbezogenen Daten nur verschlüsselt an die Cloud übertragen und dort abgelegt werden dürfen.
Da alles, was sich in der Cloud befindet, quasi eine Auftragsdatenverarbeitung ist, greift zudem Paragraf 11 des Bundesdatenschutzgesetzes (BDSG). Die Praxis muss mit dem jeweiligen Anbieter daher auch einen Vertrag zur Auftragsdatenverarbeitung schließen - egal ob sie die Cloud nun als externen Datenspeicher oder gemäß dem Prinzip Software as a Service (SaaS) lediglich einzelne Programme über die Datenwolke nutzt.
Dieser Vertrag sollte unbedingt den genauen Gegenstand und die Dauer des Auftrags, aber auch Umfang, Art und Zweck der Datenverarbeitung beinhalten. Ebenfalls geregelt werden sollte, wer alles mit den Daten in Kontakt kommt - also der Kreis der Betroffenen.
Beim Daten löschen Backup nicht vergessen
Für Ärzte gelten außerdem lange Aufbewahrungsfristen. Patientendaten sind in der Regel mindestens zehn Jahre aufzubewahren, für einzelne Daten kann die Frist sogar 30 Jahre betragen. Die Praxis muss sicherstellen, dass sie wenigstens für diesen Zeitraum an die Daten kommt und diese auch einlesen kann.
Im Vertrag sollte deshalb geregelt werden, dass zum einen regelmäßige Backups vom Cloud-Anbieter gefahren werden. Die Daten, die im Backup landen, sollten ebenfalls in verschlüsselter Form dort abgelegt werden.
Zum anderen sollte festgeschrieben werden, dass die Daten Eigentum der Praxis sind und bei Vertragsaufhebung oder -ende, ebenso wie im Insolvenzfall an die Praxis zurückgegeben werden müssen.
Oft wird zudem vergessen, dass auch eindeutig geregelt sein muss, dass es eine Möglichkeit gibt, Daten wieder zu löschen. Die Löschung muss auch die Daten aus dem Backup beinhalten.
Paragraf 11 BDSG hat aber noch eine Tücke: Der Auftraggeber, also der Praxisinhaber, muss sich nicht nur davon überzeugen, dass sich der Cloud-Anbieter technisch und organisatorisch für das Speichern oder Verarbeiten der sensiblen Patientendaten eignet.
Er muss regelmäßig überprüfen, ob der Anbieter dieser Aufgabe noch gerecht wird. Das ist von den meisten Ärzten natürlich kaum zu leisten. Hier hilft wieder der Vertrag: Die Datenschutzbehörden erkennen Zertifizierungen anerkannter Stellen im Auftrag des Cloud-Anbieters als zulässig an.
Die regelmäßige Zertifizierung etwa nach DIN ISO und eine Aufstellung der getroffenen Sicherheitsmaßnahmen sollten daher ebenfalls Bestandteil des Vertrages sein. (reh)
