Eine sichere Datenwolke für Praxen?

NEU-ISENBURG/DÜSSELDORF. Cloud-Computing liegt im Trend. Doch für Arztpraxen gilt es - zumindest wenn es um Patientendaten geht - als zu gefährlich.

Trotzdem arbeitet der Health-IT-Anbieter CompuGroup Medical (CGM) derzeit an einer Medical Cloud für Arztpraxen und Ärztenetze. Und will dabei ein ganz besonderes Sicherheitsnetz bieten.

Dr. Adrian Spalka, Head of IT-Security bei der CompuGroup, gehört zu jenen, die immer wieder darauf aufmerksam machen, dass Ärzte in Sachen Online-Dienste und Auslagerung von Daten nicht nur an strengere Datenschutzregeln gebunden sind, sondern sich auch strafrechtlich verantworten müssen, wenn Patientendaten in falsche Hände geraten.

"Paragraf 203 Strafgesetzbuch ist der große Spielverderber beim Outsourcen von Daten", sagt Spalka.

Der Paragraf ahndet die Verletzung von Privatgeheimnissen und besagt dabei auch ganz eindeutig, dass Ärzte, die persönliche Informationen von Patienten weitergeben mit einer Geldstrafe oder sogar einer Freiheitsstrafe von bis zu einem Jahr rechnen müssen.

Es kommt auf die Verschlüsselung an

Und die Cloud ist ja gerade dafür gedacht, Elemente der Praxis-IT outzusourcen. Denn Cloud-Anbieter machen nichts anderes, als der Praxis IT-Ressourcen via Netzwerk zur Verfügung zu stellen.

Programme, Rechenleistung, aber auch ganze Betriebssysteme ebenso wie Speicherplatz werden über solche Online-Netzwerke bereitgestellt. Die Daten liegen irgendwo auf Zentralservern und werden via Web abgelegt und aufgerufen.

Die Zusicherung von Rechenzentren, dass rein technisch Unbefugte keinen Zugriff auf die Daten hätten, reicht nach Ansicht von Spalka nicht, um die Anforderungen von Paragraf 203 StGB "hinreichend zu erfüllen".

Alle Praxisdaten, die auf den Servern der Rechenzentren lagern, müssten auch so verschlüsselt werden, dass sie nur von einer Stelle einsehbar sind: dem Arzt oder zugriffsberechtigten Medizinischen Fachangestellten (MFA).

Genau hier setzt das Konzept der Medical Cloud an. Alle Daten werden bereits in der Praxis verschlüsselt und dann erst in der Cloud abgelegt.

CGM versichert dabei, dass die Verschlüsselung auch alle Anforderungen des Beschlagnahmeschutzes erfüllt - will heißen, sich die Daten nur mit dem Schlüssel des Arztes wieder in lesbare Form umwandeln lassen.

Das Besondere dabei: Obwohl die Daten nicht in Klartext vorliegen, werden sie dennoch mit einem Index versehen, damit Ärzte unkompliziert in der Cloud nach Patientendaten suchen können.

Und damit sie eben nicht vor dem Problem stehen, dass - wenn sie etwa herausfinden wollen, welche Patienten wieder für einen Check-up oder eine andere Präventionsleistung angesprochen werden müssen - alle verschlüsselten Datensätze zunächst auf ihren Praxisrechner herunterladen müssen.

Um dann die Daten komplett zu entschlüsseln und eine Klartextsuche starten zu können. Spalka: "Wenn Sie einen Datensatz zurückholen müssen, ist das o.k., wenn Sie aber 20.000 Datensätze erst herunterladen und dann entschlüsseln müssen, sieht es schon anders aus."

Dass die Suche in den verschlüsselten Daten funktioniert, zeigte das Unternehmen vergangenen November auf der Medica in Düsseldorf. Wer nach den Daten eines speziellen Patienten sucht, gibt dessen Namen ein und hat in wenigen Sekunden alle Infos parat.

Fast so, als lägen die Daten direkt auf dem Praxisrechner vor Ort. Das System bietet zusätzlich eine phonetische Suche, falls die MFA am Empfang den Patientendaten einmal nicht richtig verstanden hat.

Datensuche in Sekundenschnelle

Praxen können aber auch ihre gewohnten Schnellstatistiken etwa zu den Patienten, die in den nächsten Tagen Geburtstag haben oder - wie bereits erwähnt - die das Team demnächst wieder auf eine Präventionsleistung ansprechen könnte, weiter nutzen. Auch hier liefert die Suche in der Cloud zügig die Daten.

Dabei erhält jede Praxis in der Cloud ihre eigene Datenbank, erklärte Dr. Tobias Rho, Sicherheitsexperte bei CGM. Beim ersten Prototypen, den der Health-IT-Anbieter in Düsseldorf vorstellte, legt sich die Praxis ihren Schlüssel für den Zugriff auf die Cloud und die Verschlüsselung der Daten selbst an.

Während dieses Prozesses wird für die Praxis eine sogenannte "Super-PIN" generiert. Mit dieser kann die Praxis, ähnlich wie bei Handyverträgen, einen neuen Zugriffsschlüssel generieren, falls der Arzt einmal seinen Schlüssel vergisst oder durch mehrfache Falscheingabe blockiert.

CGM kann den Schlüssel nicht zurücksetzen. Damit soll sichergestellt werden, dass tatsächlich niemand außer dem Arzt die Daten entschlüsseln kann. Die Super-PIN sollte sich die Praxis daher gut aufbewahren. Ist diese weg, kommt nämlich keiner mehr an die Daten.

Was die Medical Cloud ebenfalls möglich macht: Es können verschiedene Schlüsselarten für verschiedene Zugriffsrechte vergeben werden. So erhält eine Praxismitarbeiterin, die nur für die Abrechnung beschäftigt wird, beispielsweise nur einen Schlüssel für den Zugriff auf Abrechnungsdaten.

Und: Es lassen sich verschiedene Schlüssel für unterschiedliche Praxiseinheiten anlegen. Das ist laut CGM etwa für MVZ interessant. Denn dort könnten sich einzelne Ärzte in der Cloud eine eigene Dateneinheit anlegen.

Der Zugriff auf die Medical Cloud wird aber nicht nur über feststehende Rechner oder Notebooks möglich sein. Auch mobile Geräte wie Tablet-PC können mit der Cloud kommunizieren. Allerdings nutzt CGM erst einmal nur Android-Systeme.