Datenschutz

Rechtssicher in die Cloud - geht das?

Sobald ein Betrieb Rechnerleistung auslagert, kommt er in Berührung mit dem Datenschutzgesetz - und den entsprechenden Haftungsfragen. Für Arztpraxen kann das besonders kritisch werden.

Rebekka HöhlVon Rebekka Höhl Veröffentlicht:
Personenbezogene Daten sollten nur verschlüsselt an Cloud-Diensteübermittelt werden.

Personenbezogene Daten sollten nur verschlüsselt an Cloud-Diensteübermittelt werden.

© maxkabakov / fotolia.com

HANNOVER. Cloud Computing war eines der großen Themen auf der diesjährigen CeBIT. Doch während die "Rechenleistung aus der Wolke" - wie es das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt - für den Privatnutzer haftungsrechtlich unproblematisch ist, sieht die Sache im betrieblichen und vor allem im Bereich der Arztpraxen ganz anders aus.

Denn hier werden Daten anderer Personen erhoben, verarbeitet und genutzt - damit greifen die Regeln des Bundesdatenschutzgesetzes (BDSG). Wie Betriebe trotzdem rechtssicher Cloud-Dienste nutzen können, erklärte der Berliner Jurist Matthias Bergt aus der Kanzlei von Boetticher Rechtsanwälte.

Dabei stellte er klar: Das derzeitige Datenschutzgesetz sichert Berufsgeheimnisträger - zu denen auch Ärzte zählen - nicht ausreichend ab. "Hier muss der Gesetzgeber ran", so Bergt.

Solange bräuchten Berufsgeheimnisträger eigentlich das Einverständnis der einzelnen Personen, deren Daten sie über die Cloud verarbeiten.

Ob Ärzten Cloud-Dienste deshalb völlig versagt bleiben, ist allerdings ein sehr strittiges Thema. Zunächst einmal heißt Cloud Computing ja nicht immer, dass auch Daten bei dem Dienstanbieter abgelegt werden.

Zum Teil wird einfach nur Software- und Hardwareleistung - etwa für eine Konferenzschaltung - genutzt. Doch auch diese Software as a Service (SAS) fällt unter das Datenschutzgesetz. Wichtig für Ärzte ist hier, dass sie nur gesicherte Verbindungen in die Cloud nutzen und die Daten auch nur verschlüsselt übertragen werden.

Der Vertrag sollte wasserdicht sein

Hierbei sollte die Verschlüsselung in der Praxis stattfinden und der sogenannte Schlüssel für diesen Prozess sollte sich ebenfalls in den Händen des Arztes befinden, sodass weder der Cloud-Anbieter noch Dritte imstande sind, die Daten zu lesen. Diese Meinung vertreten zumindest einige Juristen.

Aber auch wenn Bergt selbst die Berufsgeheimnisträger noch nicht ausreichend geschützt sieht, so bieten die Tipps, die er auf der Special Conference Open Source gab, Ärzten doch eine gewisse Orientierung.

Denn wer sich absichern wolle als Unternehmer, der benötige einen Auftragsdatenverarbeitungsvertrag, erklärte der Berliner Jurist. Auch nur die Auslagerung der Wartung der eigenen Systeme sei schon eine Auftragsdatenverarbeitung, so Bergt.

Wichtig sind die Mindestinhalte, die so ein Vertrag nach Paragraf 11 Satz 2 BDSG beinhalten sollte: So sind unbedingt der genaue Gegenstand und die Dauer des Auftrags, aber eben auch Umfang, Art und Zweck der Datenverarbeitung sowie der Kreis der Betroffenen festzuhalten.

Oft vergessen wird laut Bergt, dass ebenso eindeutig geregelt sein muss, dass es eine Möglichkeit gibt, Daten wieder zu löschen. "Die Löschung muss auch die Daten aus dem Backup beinhalten", mahnte Bergt - also aus den Sicherungskopien, die der Cloud-Anbieter vornimmt.

Die Datensicherung bzw. das Backup spielt aber auch bei der Datensicherheit eine Rolle: Daten die im Backup landen, sollten laut Bergt ebenfalls in verschlüsselter Form dort abgelegt werden.

Cloud-Nutzer ist immer verantwortlich

Es gibt aber noch einen weiteren kritischen Punkt, der vertraglich gut geregelt sein sollte: Auch bei der Auftragsdatenverarbeitung obliegt dem Auftraggeber die Pflicht, sich vor Beginn der Datenverarbeitung und anschließend regelmäßig von der Einhaltung von Sicherheitsmaßnahmen zu überzeugen.

"Ich muss allerdings nicht selber kontrollieren", sagte Bergt. Die Datenschutzbehörden würden Zertifizierungen anerkannter Stellen auch im Auftrag des Cloud-Anbieters für zulässig ansehen.

Die regelmäßige Zertifizierung und eine Aufstellung der getroffenen Sicherheitsmaßnahmen sollten daher Bestandteil des Vertrages sein. Das schützt den Auftraggeber zumindest teilweise, denn bei weisungswidriger Verwendung der Daten haftet dann der Cloud-Anbieter.

Generell bleibt der Cloud-Nutzer aber für die Einhaltung der Regeln des Datenschutzgesetzes verantwortlich und damit auch haftbar. Die Kontrolle bzw. Zertifizierung muss dabei allerdings durch einen Sachkundigen erfolgen - der Auftraggeber sollte sich also genau ansehen, welche Zertifikate der Cloud-Anbieter vorlegt.

Und: die regelmäßigen Kontrollen und Rezertifizierungen müssen dokumentiert werden vom Dienstanbieter. Wichtig insbesondere für Ärzte ist auch: Die Server, auf denen die Daten verarbeitet werden, sollten innerhalb der EU bzw. des europäischen Wirtschaftsraumes stehen, denn sonst ist die Datensicherheit kaum nachvollziehbar.

Und auch das im Datenschutzgesetz eingeforderte Schutzniveau kaum einzuhalten, da außerhalb des europäischen Raumes zum Teil seichtere Datenschutzregeln gelten.

Ihr Newsletter zum Thema
Mehr zum Thema

Praxis-IT

Augen auf bei der Wahl des PVS-Dienstleisters

Umstellung der Verschlüsselung

KVWL: Ablaufdaten bei eHBA und SMC-B-Karte prüfen

Sechs Monate elektronische Patientenakte

ePA im Praxistest – zwischen Pionierarbeit und PVS-Frust

Kommentare
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Haben Sie schon unsere Newsletter abonniert?

Von Diabetologie bis E-Health: Unsere praxisrelevanten Themen-Newsletter.

Jetzt neu jeden Montag: Der Newsletter „Allgemeinmedizin“ mit praxisnahen Berichten, Tipps und relevanten Neuigkeiten aus dem Spektrum der internistischen und hausärztlichen Medizin.

Top-Thema: Erhalten Sie besonders wichtige und praxisrelevante Beiträge und News direkt zugestellt!

Newsletter bestellen »

Top-Meldungen

Prävention vor HIV

WHO empfiehlt Lenacapavir zur HIV-PrEP

Neues Verfahren mit Potenzial

Das bringt die elektronische Ersatzbescheinigung den Praxen

Sie fragen – Experten antworten

IgA-Mangel: Wie gegen Meningokokken impfen?

Lesetipps
So sieht meine Praxis aus: Die Oberärztin und Internistin Dr. Anika Dietrich (li.) lässt sich Fotos von Hausärztin Dr. Annette Theewen aus Sindelfingen zeigen.

© Silicya Roth

Neues Veranstaltungsformat

Speeddating mit möglichen Praxisnachfolgern: Stimmt die Chemie?

Einer schwangeren Frau wird Blut abgenommen.

© RFBSIP / stock.adobe.com

Studie findet signifikante Assoziation

Anämie der Mutter als Ursache für kindliche Herzfehler?

Ein Mann sitzt auf einem Stuhl und hält sich den Kopf.

© Quality Stock Arts / stock.adobe.com

US-Studie

Chronische Rückenschmerzen: Gabapentin könnte Demenzrisiko erhöhen