Rechtssicher in die Cloud - geht das?

HANNOVER. Cloud Computing war eines der großen Themen auf der diesjährigen CeBIT. Doch während die "Rechenleistung aus der Wolke" - wie es das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt - für den Privatnutzer haftungsrechtlich unproblematisch ist, sieht die Sache im betrieblichen und vor allem im Bereich der Arztpraxen ganz anders aus.

Denn hier werden Daten anderer Personen erhoben, verarbeitet und genutzt - damit greifen die Regeln des Bundesdatenschutzgesetzes (BDSG). Wie Betriebe trotzdem rechtssicher Cloud-Dienste nutzen können, erklärte der Berliner Jurist Matthias Bergt aus der Kanzlei von Boetticher Rechtsanwälte.

Dabei stellte er klar: Das derzeitige Datenschutzgesetz sichert Berufsgeheimnisträger - zu denen auch Ärzte zählen - nicht ausreichend ab. "Hier muss der Gesetzgeber ran", so Bergt.

Solange bräuchten Berufsgeheimnisträger eigentlich das Einverständnis der einzelnen Personen, deren Daten sie über die Cloud verarbeiten.

Ob Ärzten Cloud-Dienste deshalb völlig versagt bleiben, ist allerdings ein sehr strittiges Thema. Zunächst einmal heißt Cloud Computing ja nicht immer, dass auch Daten bei dem Dienstanbieter abgelegt werden.

Zum Teil wird einfach nur Software- und Hardwareleistung - etwa für eine Konferenzschaltung - genutzt. Doch auch diese Software as a Service (SAS) fällt unter das Datenschutzgesetz. Wichtig für Ärzte ist hier, dass sie nur gesicherte Verbindungen in die Cloud nutzen und die Daten auch nur verschlüsselt übertragen werden.

Der Vertrag sollte wasserdicht sein

Hierbei sollte die Verschlüsselung in der Praxis stattfinden und der sogenannte Schlüssel für diesen Prozess sollte sich ebenfalls in den Händen des Arztes befinden, sodass weder der Cloud-Anbieter noch Dritte imstande sind, die Daten zu lesen. Diese Meinung vertreten zumindest einige Juristen.

Aber auch wenn Bergt selbst die Berufsgeheimnisträger noch nicht ausreichend geschützt sieht, so bieten die Tipps, die er auf der Special Conference Open Source gab, Ärzten doch eine gewisse Orientierung.

Denn wer sich absichern wolle als Unternehmer, der benötige einen Auftragsdatenverarbeitungsvertrag, erklärte der Berliner Jurist. Auch nur die Auslagerung der Wartung der eigenen Systeme sei schon eine Auftragsdatenverarbeitung, so Bergt.

Wichtig sind die Mindestinhalte, die so ein Vertrag nach Paragraf 11 Satz 2 BDSG beinhalten sollte: So sind unbedingt der genaue Gegenstand und die Dauer des Auftrags, aber eben auch Umfang, Art und Zweck der Datenverarbeitung sowie der Kreis der Betroffenen festzuhalten.

Oft vergessen wird laut Bergt, dass ebenso eindeutig geregelt sein muss, dass es eine Möglichkeit gibt, Daten wieder zu löschen. "Die Löschung muss auch die Daten aus dem Backup beinhalten", mahnte Bergt - also aus den Sicherungskopien, die der Cloud-Anbieter vornimmt.

Die Datensicherung bzw. das Backup spielt aber auch bei der Datensicherheit eine Rolle: Daten die im Backup landen, sollten laut Bergt ebenfalls in verschlüsselter Form dort abgelegt werden.

Cloud-Nutzer ist immer verantwortlich

Es gibt aber noch einen weiteren kritischen Punkt, der vertraglich gut geregelt sein sollte: Auch bei der Auftragsdatenverarbeitung obliegt dem Auftraggeber die Pflicht, sich vor Beginn der Datenverarbeitung und anschließend regelmäßig von der Einhaltung von Sicherheitsmaßnahmen zu überzeugen.

"Ich muss allerdings nicht selber kontrollieren", sagte Bergt. Die Datenschutzbehörden würden Zertifizierungen anerkannter Stellen auch im Auftrag des Cloud-Anbieters für zulässig ansehen.

Die regelmäßige Zertifizierung und eine Aufstellung der getroffenen Sicherheitsmaßnahmen sollten daher Bestandteil des Vertrages sein. Das schützt den Auftraggeber zumindest teilweise, denn bei weisungswidriger Verwendung der Daten haftet dann der Cloud-Anbieter.

Generell bleibt der Cloud-Nutzer aber für die Einhaltung der Regeln des Datenschutzgesetzes verantwortlich und damit auch haftbar. Die Kontrolle bzw. Zertifizierung muss dabei allerdings durch einen Sachkundigen erfolgen - der Auftraggeber sollte sich also genau ansehen, welche Zertifikate der Cloud-Anbieter vorlegt.

Und: die regelmäßigen Kontrollen und Rezertifizierungen müssen dokumentiert werden vom Dienstanbieter. Wichtig insbesondere für Ärzte ist auch: Die Server, auf denen die Daten verarbeitet werden, sollten innerhalb der EU bzw. des europäischen Wirtschaftsraumes stehen, denn sonst ist die Datensicherheit kaum nachvollziehbar.

Und auch das im Datenschutzgesetz eingeforderte Schutzniveau kaum einzuhalten, da außerhalb des europäischen Raumes zum Teil seichtere Datenschutzregeln gelten.