Praxiswissen auf den Punkt gebracht.
Kundenservice: 0931 4170-472 | Hilfe
logo
  • Meine Produkte
    Bitte melden Sie sich an, um Ihre Produkte zu sehen.
Menu Menu
MyIww MyIww

· Fachbeitrag · Datenschutz

Praxisdaten in der Cloud

von Rechtsanwalt Ralph Jürgen Bährle, Bährle & Partner, Nothweiler

| Anbieter von Cloud Computing, dem Speichern von Daten oder der Nutzung von Software/Programmen in einem entfernten Rechenzentrum, werben oft mit der Kostenersparnis - auch für die Arztpraxis: Ihr Chef muss die neueste Technik nicht mehr selbst anschaffen, es stehen immer die neuesten Softwareversionen bereit. Aber auch die Cloud hat ihre Risiken und Nebenwirkungen. Wenn Ihr Chef Sie mit dem IT-Management für die Praxis beauftragt und überlegt, ob er die Cloud nutzen möchte, sollten Sie diese Risiken und ihre Auswirkungen zum Beispiel auf die Patientendaten kennen. |

Der Vertrag zwischen Arzt und Cloudbetreiber

Die Nutzung einer Cloud setzt einen Vertrag zwischen dem Arzt und dem Cloudbetreiber (= Betreiber des Rechenzentrums) voraus. Der Vertrag sollte unter anderem Antworten auf folgende Fragen bzw. Stichworte geben:

 

  • Vertragsdauer 
  • Kosten (Dauernutzung oder nur gelegentliche Nutzung) für
    • Datenspeicherung
    • Nutzung von Programmen
  • Datenspeicherung 
    • Ob und wie werden die Daten gespeichert? Ist der Speicherplatz fest oder flexibel an die benötigte Datenmenge anpassbar?
    • Wie groß ist der gebuchte Speicherplatz?
    • Wie erfolgt eine Datensicherung?
    • Wann/In welchen Fällen werden die Daten gelöscht?
    • Wer hat Zugriff auf die Daten? Wie erfolgt die Sicherung vor unberechtigtem Zugriff? Wie werden die Daten auf einen anderen Anbieter bei Kündigung/Beendigung des Vertrags übertragen? Werden die Daten an Dritte weitergegeben? Können Dritte auf die Daten zugreifen?
  • Nutzung von Programmen 
    • Wie häufig erfolgen Aktualisierungen? Erhöhen diese die Kosten?
    • Stehen mehrere Programme zur Verfügung?
  • Datenschutz 
    • Welche Maßnahmen bestehen zum Schutz der ausgelagerten Daten?
    • Wie werden die Daten bei der Übermittlung geschützt?

Schutz der Patientendaten

Und damit sind wir schon beim wichtigsten Thema, beim Arbeiten mit/in der Cloud: Die Ihrer Praxis anvertrauten Patientendaten müssen auch in der Cloud geschützt sein. Die Verantwortung dafür, dass dies so ist, trägt gegenüber dem Patienten Ihr Chef als Arzt. Er kann sich also bei Datenpannen nicht damit entschuldigen, dass der Fehler nicht bei ihm, sondern beim Cloud-Betreiber liegt.

 

Dem Schutz der Patientendaten kommt auch deshalb eine sehr große Bedeutung zu, weil die Daten in aller Regel über das Internet übermittelt werden und auf dem Weg zwischen Arztpraxis und Rechenzentrum auch geschützt werden müssen. Bevor sich Ihre Praxis für das Arbeiten in der Cloud entscheidet, müssen Sie daher auch prüfen, ob und wie die Daten auf dem Weg zwischen Ihrem Computer und dem Rechenzentrum verschlüsselt werden sollen.

Datenschutz gilt uneingeschränkt

Grundsätzlich gilt das gesamte deutsche Datenschutzrecht auch beim Arbeiten in/mit der Cloud; selbst dann, wenn der Betreiber des Rechenzentrums seinen Sitz nicht in Deutschland hat. Wenn Sie personenbezogene Daten Ihrer Patienten in der Cloud speichern oder bearbeiten, müssen Sie sich nach den Vorschriften des Bundesdatenschutzgesetzes (BDSG) vor Beginn der Nutzung und danach regelmäßig beim Betreiber überzeugen, dass dieser die Vorschriften des BDSG einhält.

 

Vorrangig: Gesetzgebung im Heimatland des Cloud-Anbieters

Aber: Nur in Deutschland ansässige Unternehmen sind - auch ohne vertragliche Regelungen - gesetzlich verpflichtet, das BDSG einzuhalten. Selbst wenn Sie im Vertrag mit dem Cloud-Anbieter vereinbaren, dass dieser das BDSG einhält, und der Cloud-Anbieter seinen Sitz aber zum Beispiel in den USA hat, müssen Sie davon ausgehen, dass der Cloud-Anbieter zunächst die Gesetze seines Heimatlandes befolgt und das BDSG nur dann einhalten wird, wenn dieses sich mit den Gesetzen seines Heimatlandes deckt. Nicht erst seit den jüngsten Daten-/Internetskandalen sind erhebliche Zweifel angebracht, ob Patientendaten in der Cloud sicher „untergebracht“ sind. Die Cloud mag Kosten sparen, die Kostenersparnis geht aber auf Kosten des Datenschutzes.

 

Hochladen eigener Daten kein Freibrief für nachlässigen Datenschutz

Wenn Sie oder ein Patient eigene Daten in die Cloud einstellt, dann sind diese Daten unter Umständen frei zugänglich und es stört Sie bzw. den Patienten nicht. Dies ist aber kein Argument dafür, die Datenschutzvorschriften des BDSG „großzügig zu handhaben“; frei nach dem Motto: „Wer soll sich dafür schon interessieren?“ Denn die Datenschutzvorschriften des BDSG gelten nun einmal nicht für die eigenen Daten, die man selbst irgendwie ins Netz stellt, sondern nur für die Daten, die Sie von anderen erheben.

 

PRAXISHINWEIS | Selbst wenn Sie sich vom Patienten eine Einwilligung unterschreiben lassen, dass dieser der Nutzung seiner Daten/Datenverarbeitung zustimmt oder mit der Übermittlung von Abrechnungsdaten über das Internet einverstanden ist, ist dies keine Zustimmung des Patienten zu einer Speicherung seiner Daten in der Cloud.

 

Weiterführende Hinweise

Quelle: Ausgabe 08 / 2015 | Seite 12 | ID 43500467
print print print print email email email_comp email_comp twitter twitter facebook facebook xing xing

Mehr zum Thema