So klappt`s trotz Schweigepflicht

Cloud Computing liegt im Trend. Zumindest wenn es um den Austausch privater Daten geht, nutzen auch viele Ärzte die Speicherkapazitäten in der Datenwolke bereits.

Ob nun Apples iCloud, Google Drive oder die Dropbox-Cloud, der Zugriff zu Speicherplatz und mitunter auch ganzen Programmen, die über die Cloud verfügbar gemacht werden, ist heute nur noch wenige Klicks entfernt.

Der Vorteil: Geringe oder gar keine Betriebskosten, Daten, die von überall aus abrufbar sind und eine Technik, die immer auf dem aktuellen Stand ist.

Doch lässt sich diese Technik auch für die Arztpraxis nutzen? In der Wirtschaft ist Cloud-Computing schon seit Jahren nichts Ungewöhnliches mehr.

Der Cloud-Monitor 2014, den die Bitkom Research GmbH im Auftrag der Unternehmensberatung KPMG erstellt hat, zeigt, dass im vergangenen Jahr 40 Prozent der Unternehmen in Deutschland mit 20 und mehr Mitarbeitern Cloud-Computing-Lösungen bereits im Einsatz hatten.

Weitere 29 Prozent planten oder diskutierten den Einsatz der Clouds. Befragt wurden über 400 Führungspersonen.

KBV und BÄK ziehen nach

Im medizinischen Bereich waren es bislang allerdings eher die Kliniken als große Betriebseinheiten oder mit mehreren Standorten, die eigene Cloud-Lösungen, sogenannte Private Clouds, implementierten. Oder Ärztenetze, die für gewisse Daten zentrale Servernetzwerke etablierten.

Der Markt hat sich jedoch gewandelt. Die Praxissoftware-Anbieter haben erkannt, dass es durchaus einen Bedarf für Cloud-Dienste gibt und gar nicht nur die großen Praxiseinheiten oder Kliniken an der Rechenkapazität aus der Wolke interessiert sind.

Kein Wunder also, dass nun auch Bundesärztekammer (BÄK) und Kassenärztliche Bundesvereinigung (KBV) reagiert haben und ihre "Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis" den neuen Marktbedingungen angepasst haben.

Wobei für Ärzte vor allem die Hinweise in der "Technischen Anlage" interessant sind.

Knackpunkt für Ärzte ist wie immer die ärztliche Schweigepflicht, die durch keine Datenverarbeitung oder -speicherung gebrochen werden darf. Sie ist nicht nur in Paragraf 9 der Musterberufsordnung Ärzte geregelt, sondern auch in Paragraf 203 Strafgesetzbuch.

Ein Verstoß gegen letzteren Paragrafen kann Ärzten nicht nur eine Geldbuße einbringen, möglich ist auch eine Freiheitsstrafe von bis zu einem Jahr. Insofern ist es wichtig, sich - bevor die Praxis Cloud-Dienste nutzt -, einmal zu vergegenwärtigen, wie die Cloud funktioniert.

Wo liegen die Daten?

Die Cloud bzw. deren Anbieter macht nichts anderes, als der Praxis IT-Ressourcen via Netzwerk zur Verfügung zu stellen. Programme, Rechenleistung, aber auch ganze Betriebssysteme ebenso wie Speicherplatz werden über solche Online-Netzwerke bereitgestellt.

Dabei liegen die Daten auf Zentralservern, auf die per Internet zugegriffen wird. Der Rechner in der Praxis wird im Prinzip nur für zwei Dinge benötigt: als Anbindung ans Internet und als Workstation, damit man mit den Programmen aus der Cloud auch arbeiten kann.

Das Problem: Wo genau die Server stehen, auf denen Daten abgelegt werden, wissen zumindest bei vielen Öffentlichen Clouds nur die Anbieter.

Und hier gibt es noch ein Unterscheidungsmerkmal: Public Clouds sind solche, die IT-Infrastrukturen für die breite Öffentlichkeit oder zumindest einen größeren, unterschiedlichen Nutzerkreis über das Internet zur Verfügung stellen.

Meist wird nach dem tatsächlichen Nutzungsgrad bzw. Verbrauch für diesen Service gezahlt. Die Private Cloud hingegen stellt bestimmte IT-Infrastrukturen innerhalb der eigenen Organisation - etwa der Klinik oder dem Ärztenetz - zur Verfügung.

Der Zugriff läuft in der Regel über gesicherte Intranetverbindungen. Dann gibt es noch die Hybrid Cloud, die den Zugang zu öffentlichen und privaten Datenwolken kombiniert. Etwa indem Gesetzestexte über die Public Cloud, Patientendaten aber nur über die Private Cloud zugänglich gemacht werden.

Nur verschlüsselte Systeme nutzen

Generell sehen BÄK und KBV die Nutzung von Clouds in Arztpraxen kritisch - daher empfehlen sie sie auch eher nicht.

In vielen Punkten ist das nachvollziehbar: Wird die komplette Praxissoftware bei einem Dienstleister außerhalb der Praxis betrieben, besteht zunächst rein technisch immer die Möglichkeit, dass von extern auf sensible Patientendaten zugegriffen werden kann.

Dennoch erachten BÄK und KBV in ihrer technischen Anlage die externe Speicherung von Daten einer Praxis unter folgenden Bedingungen "als zulässig":

Die Daten müssen bereits in der Praxis - also bevor sie in die Cloud gehen - ausreichend verschlüsselt werden. Auch die Entschlüsselung darf nur in der Praxis erfolgen.

Die Datenübertragung von Praxis zu Cloud und andersherum darf nur über einen verschlüsselten Kanal erfolgen.

Beide Eckpunkte der Kommunikation müssen sich gegenseitig authentifizieren. Das heißt, die Praxis muss als solche vom Cloud-Anbieter zu erkennen sein und andersherum. Dabei ist die Authentifizierung nur mit Username und Passwort nicht ausreichend.

Beschlagnahmeschutz möglich?

Die Integrität und die Authentizität der Daten müssen gewährleistet sein, etwa mit Einsatz einer technischen Signatur.

Wichtig ist BÄK und KBV, dass die Schlüssel für Ver- und Entschlüsselung der Daten in alleiniger Hand des Arztes liegen und durch Soft- und Hardware in der Praxis generiert, also nicht vom Dienstanbieter vorgegeben werden.

Zudem sollte der Anbieter verschlüsselte medizinische Daten getrennt von anderen Datenarten speichern, denn nur so lasse sich der Beschlagnahmeschutz der medizinischen Daten gemäß Paragraf 97 Abs. 2 Strafprozessordnung gewährleisten.