Patientendaten in die Wolke
Was erlaubt der Datenschutz?
Für Arztpraxen gelten beim Cloud-Computing strenge Datenschutzregeln. Doch die Praxen können sich zum Teil mit ganz praktikablen Lösungen behelfen.
Veröffentlicht:
Wenn Ärzte Daten erst verschlüsseln, bevor sie in die Cloud gehen, sind sie auf der sicheren Seite.
© momius / Fotolia.com
WIESBADEN. Cloud Computing wird immer beliebter und hat gerade auch im Gesundheitswesen seinen Reiz.
Denn die Anbieter versprechen nicht nur kostengünstige Online-Backups, Datensynchronisation oder Plattformen für den Datenaustausch, auch die gängigen und vor allem aktuellen Programme sind schnell und günstig verfügbar.
Davon profitieren längst nicht nur Kliniken, sondern auch Arztpraxen. Doch was sagt der Datenschutz dazu?
"Alles, was sich in der Cloud befindet, ist quasi eine Auftragsdatenverarbeitung", sagte Dr. Peter Münch auf der Fachtagung "Datenschutz in der Medizin - Update 2013" in Wiesbaden. Und damit greife Paragraf 11 des Bundesdatenschutzgesetzes (BDSG).
Münch war nicht nur selbst mehrfach als Datenschutzbeauftragter unterwegs, das Ehrenmitglied der Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.) bildet auch Datenschutzbeauftragte mit aus.
Das Tückische am Paragrafen 11 ist: Der Auftraggeber, also etwa der Praxisinhaber muss sich nicht nur davon überzeugen, dass sich der Cloud-Anbieter technisch und organisatorisch für das Speichern oder Verarbeiten der sensiblen Patientendaten eignet. Er müsste auch regelmäßig überprüfen, ob der Anbieter dieser Aufgabe noch gerecht wird.
Sind Server im Ausland ein Problem?
Ärzte haben kaum die Zeit und technische Kenntnis, um Anbieter zu prüfen, deren Server in Deutschland stehen. Cloud Computing ist oft aber gerade deshalb so kostengünstig, weil die Datenserver weltweit verteilt werden.
Münch: "Wenn die Datenserver in den USA stehen, greift zusätzlich noch der Datenübermittlungsparagraf 4b." Damit bleibt die Verantwortung, wenn Daten in falsche Hände geraten, erst einmal beim Übermittler, also der Arztpraxis.
Per se tabu sind Cloud-Lösungen für Arztpraxen deshalb nicht. Ärzte müssen aber viel genauer ihren Anbieter prüfen, als dies vielleicht Industrieunternehmen tun. Die meisten Cloud-Provider versprechen laut Münch, die Daten durchaus nach den aktuellen Standards zu verschlüsseln - das wäre derzeit die 256-Bit AES-Verschlüsselung. Doch das allein hilft Praxen nicht.
Denn solange sich die kryptografischen Schlüssel in den Händen des Anbieters befinden, ist der technisch-organisatorische Datenschutz laut Münch fraglich - und auf diesen kommt es im Bundesdatenschutzgesetz an.
Knackpunkt ist die Verschlüsselung
Die Lösung: ein Cloud-System, bei dem der Arzt die Verschlüsselung selbst anstößt - und zwar noch in der Praxis, also bevor die Daten in die Cloud einlaufen. Außerdem muss die Praxis einziger Inhaber des kryptografischen Schlüssels sein. Dann kann der Cloud-Anbieter die Daten nämlich nicht einfach auslesen.
Es gibt aber noch ein Problem: Die Auftragsdatenverarbeitung von Patientendaten, die hier greife, sei bislang gesetzlich nicht hinreichend geklärt, so Münch. "Würden die Auftragnehmer als ärztliche Gehilfen im Sinne der Musterberufsordnung eingestuft, dann wäre auch eine gesetzliche Klarstellung notwendig."
Doch solange dies nicht gegeben ist, müssen Ärzte einen wasserdichten Vertrag mit ihrem Anbieter schließen. Darin sollte, wie Münch erklärte, eindeutig stehen: dass der Auftraggeber rechtlich Herr der Daten bleibt, der Auftragnehmer die Daten nur zum - ebenfalls im Vertrag - festgelegten Zweck verwahren darf, und dass der Auftragsnehmer keine Entscheidungsbefugnis hat.
Schwierig wird es, wenn der Cloud-Anbieter weitere Subunternehmer mit ins Boot holt. Deshalb sollten Ärzte im Vertrag festschreiben, dass der Anbieter seine vertraglichen Pflichten - insbesondere die Datenschutzpflichten - an die Kette, die hinten dranhängt, weitergibt.
Einwilligung nötig
Um nach dem Datenschutzgesetz Cloud-Dienste für das Speichern und Verarbeiten von Patientendaten nutzen zu können, brauchen Ärzte laut Münch aber noch etwas: die Einwilligung des Patienten. Dass Patientendaten gemäß der Sozialgesetzgebung für die Abrechnung der Leistungen mit den Krankenkassen erhoben und weitergeleitet werden dürfen, spielt dabei keine Rolle.
Denn dafür ist weder eine Auslagerung in eine Daten-Cloud, noch auf eine Austausch-Plattform notwendig (für die Kommunikation mit anderen Leistungserbringern). Der Patient müsste also, am besten schriftlich, einwilligen, dass seine Daten erfasst und weiterverarbeitet werden bzw. über eine Plattform ein Austausch mit anderen Fachkollegen stattfindet.
In vielen Verträgen zur Integrierten oder hausarztzentrierten Versorgung wird das Problem gleich über das Einschreibeformular gelöst.Für Münch stellt sich aber insbesondere im Klinikbereich die Frage: "Inwieweit kann der Patient unter dem Druck, dass er behandelt werden will, überhaupt eine freie Entscheidung treffen?"
Er hält es auch für fraglich, ob Patienten überhaupt überschauen können, was es heißt, wenn "ihre Daten weitergeleitet werden". In der Arztpraxis gibt es da eher die Möglichkeit, bei der Medizinischen Fachangestellten oder direkt beim Arzt nachzufragen.
![Muster 16. DiGA-Verordnungen sind als „Gebühr frei“ zu kennzeichnen (1). Im BVG-Feld (2) steht eine „6“, wenn nach Bundesversorgungs- oder -entschädigungsgesetz Anspruch auf die Verordnung besteht. Im Verordnungsfeld (3) darf maximal eine DiGA verordnet werden. Anzugeben sind „Digitale Gesundheitsanwendung“, die PZN und der Name der jeweiligen DiGA [7]. Pfizer Deutschland GmbH](/Bilder/Muster-16-DiGA-Verordnungen-sind-als-Gebuehr-frei-zu-209550.jpg "Chronischer Schmerz: Digitalisierung hält Einzug")
