Praxis konkret
Cloud Computing in Arztpraxen
Was erlaubt der Datenschutz?
C
loud Computing wird immer beliebter und hat gerade auch im Gesundheitswesen seinen Reiz, denn die Anbieter versprechen nicht nur kostengünstige Online-Backups, Datensynchronisation oder Plattformen für den Datenaustausch, auch die gängigen und vor allem aktuellen Programme sind schnell und günstig verfügbar. Davon profitieren längst nicht nur Kliniken, sondern auch Arztpraxen. Doch was sagt der Datenschutz dazu? „Alles, was sich in der Cloud befindet, ist quasi eine Auftragsdatenverarbeitung“, sagte Dr. Peter Münch auf der Fachtagung „Datenschutz in der Medizin – Update 2013“ in Wiesbaden. Und damit greife § 11 des Bundesdatenschutzgesetzes (BDSG). Münch war nicht nur selbst mehrfach als Datenschutzbeauftragter unterwegs, das Ehrenmitglied der Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.) bildet auch Datenschutzbeauftragte mit aus. Das Tückische am § 11 ist: Der Auftraggeber, also etwa der Praxisinhaber, muss sich nicht nur davon überzeugen, dass sich der Cloud-Anbieter technisch und organisatorisch für das Speichern oder Verarbeiten der sensiblen Patientendaten eignet. Er müsste auch regelmäßig überprüfen, ob der Anbieter dieser Aufgabe noch gerecht wird.
Server im Ausland problematisch? Ärzte haben kaum die Zeit und technische Kenntnis, um Anbieter zu prüfen, deren Server in Deutschland stehen. Cloud Computing ist oft aber gerade deshalb so kostengünstig, weil die Datenserver weltweit verteilt werden. Münch: „Wenn die Datenserver in den USA stehen, greift zusätzlich noch der § 4b.“ Damit bleibt die Verantwortung, wenn Daten in falsche Hände geraten, URO-NEWS 2013; 17 (12)
erst einmal beim Übermittler, also der Arztpraxis. Per se tabu sind CloudLösungen für Arztpraxen deshalb nicht. Ärzte müssen aber viel genauer ihren Anbieter prüfen als dies vielleicht Industrieunternehmen tun. Die meisten Cloud-Provider versprechen laut Münch, die Daten durchaus nach den aktuellen Standards zu verschlüsseln – das wäre derzeit die 256-Bit AES-Verschlüsselung. Doch das allein hilft Praxen nicht, denn solange sich die kryptografischen Schlüssel in den Händen des Anbieters befinden, ist der technisch-organisatorische Datenschutz laut Münch fraglich – und auf diesen kommt es im BDSG an.
Knackpunkt ist die Verschlüsselung Die Lösung: ein Cloud-System, bei dem der Arzt die Verschlüsselung selbst anstößt – und zwar noch in der Praxis, also bevor die Daten in die Cloud einlaufen. Außerdem muss die Praxis einziger Inhaber des kryptografischen Schlüssels sein. Dann kann der Cloud-Anbieter die Daten nämlich nicht einfach auslesen. Es gibt aber noch ein Problem: Die Auftragsdatenverarbeitung von „Patientendaten“ sei bislang gesetzlich nicht hinreichend geklärt, so Münch. „Würden die Auftragnehmer als ärztliche Gehilfen im Sinne der Musterberufsordnung eingestuft, dann wäre auch eine gesetzliche Klarstellung notwendig.“ Doch solange das so nicht ist, müssen Ärzte einen wasserdichten Vertrag mit ihrem Anbieter schließen. Darin sollte eindeutig stehen, Weiterführende Links www.update-bdsg.de www.datenschutzzentrum.de www.bitkom.org/de/ themen/36129_75420.aspx
Der Arzt braucht die Einwilligung des Patienten, will er Cloud-Dienste für die Verwaltung und Bearbeitung seiner Daten nutzen.
dass der Auftraggeber rechtlich Herr der Daten bleibt, der Auftragnehmer die Daten nur zum – ebenfalls im Vertrag – festgelegten Zweck verwahren darf, und dass der Auftragnehmer keine Entscheidungsbefugnis hat.
Patienteneinwilliung erforderlich Um nach dem BDSG Cloud-Dienste für das Speichern und Verarbeiten von Patientendaten nutzen zu können, brauchen Ärzte laut Münch aber noch etwas: die Einwilligung des Patienten. Dass Patientendaten gemäß der Sozialgesetzgebung für die Abrechnung der Leistungen mit den Krankenkassen erhoben und weitergeleitet werden dürfen, spielt dabei keine Rolle, denn dafür ist weder eine Auslagerung in eine Daten-Cloud, noch auf eine Austauschplattform notwendig (für die Kommunikation mit anderen Leistungserbringern). Der Patient müsste also, am besten schriftlich, einwilligen, dass seine Daten erfasst und weiterverarbeitet werden oder das über eine Plattform ein Austausch mit anderen Fachärzten stattfindet. In vielen Verträgen zur integrierten oder hausarztzentrierten Versorgung wird das Problem gleich über das Einschreibeformular gelöst. Für Münch stellt sich aber vor allem im Klinikbereich die Frage: „Inwieweit kann der Patient unter dem Druck, dass er behandelt werden will, überhaupt eine freie Entscheidung treffen?“ Er hält es auch für fraglich, ob Patienten überschauen können, was es heißt, wenn „ihre Daten weitergeleitet werden“. In der Arztpraxis gibt es da eher die Möglichkeit, bei der MFA oder direkt beim Arzt nachzufragen. Rebekka Höhl
61
© Thomas Jansa / Fotolia.com
Für Arztpraxen gelten beim Cloud Computing strenge Datenschutzregeln. Doch die Praxen können sich zum Teil mit ganz praktikablen Lösungen behelfen.