Bundeszahnärztekammer und Kassenzahnärztliche Vereinigung warnen vor „Cloud Computing“

| Haben Sie in Ihrer Praxis das Betriebssystem Windows 8.1? - Dann heißt es: Vorsicht! Denn das System nutzt „Cloud Computing“. Dabei liegen die Daten in einer Datenwolke auf irgendeinem Server in der Welt. Das klingt nicht nur visionär, sondern auch ziemlich unsicher, spielt doch gerade für Zahnärzte der Schutz ihrer sensiblen Patientendaten eine besondere Rolle. Teil 1 dieser Beitragsserie stellt das „Cloud Computing“ vor und erklärt, warum die Bundeszahnärztekammer (BZÄK) und die Kassenzahnärztliche Bundesvereinigung (KZBV) vor der Nutzung der Cloud warnen. |

Obacht: Tückische Voreinstellung bei Windows 8.1

Viele Eigentümer eines neuen PCs sind mittlerweile mit ihren Daten in der Cloud, ohne dass ihnen dies überhaupt bewusst ist. Denn mit dem Betriebssystem Windows 8.1, das standardmäßig auf den meisten neuen Rechnern und Notebooks vorinstalliert ist, hat Microsoft den hauseigenen Internetspeicher OneDrive, vormals SkyDrive, fest im System verankert, sodass sich dieser nicht ohne weiteres deaktivieren oder sperren lässt.

Dass das private digitale Datenarchiv in fremden Händen tatsächlich immer gewünscht ist, darf bezweifelt werden. Denn wie der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) e.V. herausfand, verwendet nur rund jeder vierte deutsche Internetnutzer Dienste wie Dropbox, Google Drive oder Microsoft OneDrive.

Nutzung der Cloud für private Zwecke

Wer Online-Speicher - freiwillig oder nicht - nutzt, macht dies meist für private Zwecke. Doch auch in der Wirtschaft setzt sich die Datenwolke mehr und mehr durch. Hier kommen professionelle kommerzielle Lösungen zum Einsatz. So zeigt der „Cloud-Monitor 2014“, dass das Interesse an „Cloud Computing“ weiter gestiegen ist: 40 Prozent der Unternehmen setzen aktuell Cloud-Dienste ein, für 31 Prozent ist dies hingegen (noch) kein Thema.

Wer auf die Branchen schaut, stellt fest, dass vor allem Unternehmen aus der Informations- und Kommunikationstechnologie auf die Lösungen aus dem Internet setzen - beinahe zwei Drittel von ihnen nutzen die Technologie. Danach rangieren die Finanzdienstleister mit einem Anteil von 56 Prozent auf Platz zwei. Es folgen die Wirtschaftszweige Verkehr, Logistik und Automobilbau, bei denen jeweils fast die Hälfte der Unternehmen in der Cloud sind. In sonstigen Branchen ist es dagegen im Schnitt nur ein gutes Drittel.

Bundeszahnärztekammer empfiehlt die Cloud nicht

Die Situation bei den Zahnärzten ist empirisch nicht so deutlich darstellbar, da sie von derartigen Umfragen nicht als eigener Wirtschaftszweig erfasst werden. Der Marktführer für Zahnarztsoftware, die CompuGroup Medical AG, gibt an, dass bereits über 5.000 Zahnärzte ihre Cloudlösung einsetzen.

Neben der Verbreitung von Cloud-Diensten in Zahnarztpraxen stellt sich zudem die Frage nach der berufsrechtlichen Zulässigkeit. Die Frage, ob Zahnarztpraxen in die Cloud sollen oder dürfen, beantwortet die BZÄK durch deren Leiter der Abteilung Versorgung und Qualität negativ: „Wir empfehlen grundsätzlich, von einer Speicherung sensibler Patientendaten Abstand zu nehmen.“ Zudem verweist er auf den BZÄK-Leitfaden zum Datenschutz und zur Datensicherheit (www.kzbv.de/datenschutz.91.de.html).

Darin heißt es zum Thema Cloud: „Die Nutzung von Cloud-Diensten für die Sicherung, Archivierung und Dokumentation von Praxisdaten ist aus folgenden Erwägungen nicht zu empfehlen. Vielfach unklar und vom Einzelfall abhängig ist, ob es sich beim Cloud-Computing um eine Auftragsdatenverarbeitung oder eine Datenübermittlung handelt. Befindet sich ein Cloud-Dienst außerhalb Deutschlands, eines Mitgliedstaats der Europäischen Union oder eines Vertragsstaats des Abkommens über den Europäischen Wirtschaftsraum, ist eine Auftragsdatenverarbeitung von vornherein ausgeschlossen.“

Zahnarzt bleibt für die Daten verantwortlich

Weiter heißt es im Leitfaden: „Für die Datenverarbeitung gelten dann in jedem Fall die Grundsätze der Datenübermittlung. Eine Einwilligung desjenigen, dessen Daten gespeichert werden sollen, ist dann erforderlich. Handelt es sich bei der Nutzung einer Cloud um eine Auftragsdatenverarbeitung, ist besonders zu beachten, dass der Auftraggeber Herr der Daten bleibt und damit auch weiterhin in der vollen datenschutzrechtlichen Verantwortung steht. Insbesondere obliegt es dem Nutzer von Cloud-Computing, (...) den Anbieter des Cloud-Dienstes sorgfältig auszuwählen und die zahlreichen Voraussetzungen des § 11 Abs. 2 BDSG schriftlich im Auftrag festzuhalten.“

Außerdem sprächen abgabenrechtliche Vorschriften, die eine Speicherung von steuerlich relevanten Daten vorsehen, gegen Cloud-Dienste.

Kassenzahnärztliche Bundesvereinigung nimmt Abstand

Auch die KZBV warnt: „Genau darin liegt tatsächlich die größte Gefahr: sich auf andere zu verlassen und keine Einflussmöglichkeit auf das System der Datenhaltung zu haben“, sagt Ricardo Kieselnitzki, der bei KZBV für die Vertragsinformatik zuständig ist.

Die von der KZBV durchgeführten Eignungstests für zahnärztliche Praxissoftware beziehen sich nicht auf das System der Datenhaltung, da sie nur die korrekte Verarbeitung der Abrechnungsdaten sowie die Einbindung der KZBV-Module überprüfen dürfen. Dadurch können auch Systeme eine Eignungsfeststellung erhalten, die mit Cloud-Diensten arbeiten. Jedoch empfiehlt die KZBV die Nutzung von Cloud-Diensten nicht.

Marktführer bei Software sieht Zukunftsthema

Ganz anders beurteilt indes die CompuGroup Medical AG in Koblenz die Situation. Mit seinen Produkten „Z1“ und „ChreMaSoft“ steuert das Unternehmen nach eigenen Angaben über ein Drittel zum Gesamtmarkt der Abrechnungssysteme bei. „Die Cloud hat gegenüber der Inhouselösung essentielle Vorteile und wird sie auf lange Sicht ergänzen oder je nach Nutzer auch ablösen. Mit der Sicherheitstechnologie der CompuGroup Medical können die Vorteile der Cloud bedenkenlos und gesetzeskonform genutzt werden“, sagt Oliver Bruzek von der CompuGroup Medical AG.

„Technischer Beschlagnahmeschutz“

CompuGroup Medical hat den sogenannten „technischen Beschlagnahmeschutz“ entwickelt. Er entspricht den Datenschutz-Richtlinien des Bundesamts für Sicherheit in der Informationstechnik und ist strikter als die gesetzlichen Vorschriften. Dabei werden die Daten verschlüsselt und anonymisiert gespeichert und übertragen. Außerdem wird der Personenbezug der Daten entfernt und erst bei Abruf durch Berechtigte auf dem lokalen Rechner des Berechtigten wieder hergestellt, so das Unternehmen.

Daten sind - nach Angaben des Unternehmens - sicher

Zugriff hätten nur Inhaber der online abrufbaren Patientenakte und die von ihm berechtigten Personen. Für alle anderen seien die Daten unbrauchbar. Der behandelnde Arzt versieht jeden Eintrag mit einer digitalen Signatur, die die Authentizität der Ärzte sowie die Echtheit und Integrität der Daten belegt.

Weder Mitarbeiter der CompuGroup noch Behörden oder sogar Hacker können daher - zumindest nach Angabe des Unternehmens - Daten entschlüsseln oder lesen. Das Sicherheitssystem sei zudem immun gegen mögliche Gesetzesänderungen, die den Datenschutz aufweichen. Gespeichert seien die Daten in einem Rechenzentrum in Deutschland.

Weiterführender Hinweis

• Im zweiten Teil der Serie beleuchten wir unter anderem, welche Haftungsfragen bei der Nutzung von „Cloud Computing“ zu bedenken sind und worin die Vorteile der Nutzung für überörtliche zahnärztliche Berufsausübungsgemeinschaften bestehen.