Was erlaubt der Datenschutz?
- PDF / 208,167 Bytes
- 1 Pages / 595.276 x 790.866 pts Page_size
- 8 Downloads / 158 Views
Cloud Computing in Arztpraxen
Was erlaubt der Datenschutz?
C
loud Computing wird immer beliebter und hat gerade auch im Gesundheitswesen seinen Reiz, denn die Anbieter versprechen nicht nur kostengünstige Online-Backups, Datensynchronisation oder Plattformen für den Datenaustausch, auch die gängigen und vor allem aktuellen Programme sind schnell und günstig verfügbar. Davon profitieren längst nicht nur Kliniken, sondern auch Arztpraxen. Doch was sagt der Datenschutz dazu? „Alles, was sich in der Cloud befindet, ist quasi eine Auftragsdatenverarbeitung“, sagte Dr. Peter Münch auf der Fachtagung „Datenschutz in der Medizin – Update 2013“ in Wiesbaden. Und damit greife § 11 des Bundesdatenschutzgesetzes (BDSG). Münch war nicht nur selbst mehrfach als Datenschutzbeauftragter unterwegs, das Ehrenmitglied der Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.) bildet auch Datenschutzbeauftragte mit aus. Das Tückische am § 11 ist: Der Auftraggeber, also etwa der Praxisinhaber, muss sich nicht nur davon überzeugen, dass sich der Cloud-Anbieter technisch und organisatorisch für das Speichern oder Verarbeiten der sensiblen Patientendaten eignet. Er müsste auch regelmäßig überprüfen, ob der Anbieter dieser Aufgabe noch gerecht wird.
Server im Ausland problematisch? Ärzte haben kaum die Zeit und technische Kenntnis, um Anbieter zu prüfen, deren Server in Deutschland stehen. Cloud Computing ist oft aber gerade deshalb so kostengünstig, weil die Datenserver weltweit verteilt werden. Münch: „Wenn die Datenserver in den USA stehen, greift zusätzlich noch der § 4b.“ Damit bleibt die Verantwortung, wenn Daten in falsche Hände geraten, URO-NEWS 2013; 17 (12)
erst einmal beim Übermittler, also der Arztpraxis. Per se tabu sind CloudLösungen für Arztpraxen deshalb nicht. Ärzte müssen aber viel genauer ihren Anbieter prüfen als dies vielleicht Industrieunternehmen tun. Die meisten Cloud-Provider versprechen laut Münch, die Daten durchaus nach den aktuellen Standards zu verschlüsseln – das wäre derzeit die 256-Bit AES-Verschlüsselung. Doch das allein hilft Praxen nicht, denn solange sich die kryptografischen Schlüssel in den Händen des Anbieters befinden, ist der technisch-organisatorische Datenschutz laut Münch fraglich – und auf diesen kommt es im BDSG an.
Knackpunkt ist die Verschlüsselung Die Lösung: ein Cloud-System, bei dem der Arzt die Verschlüsselung selbst anstößt – und zwar noch in der Praxis, also bevor die Daten in die Cloud einlaufen. Außerdem muss die Praxis einziger Inhaber des kryptografischen Schlüssels sein. Dann kann der Cloud-Anbieter die Daten nämlich nicht einfach auslesen. Es gibt aber noch ein Problem: Die Auftragsdatenverarbeitung von „Patientendaten“ sei bislang gesetzlich nicht hinreichend geklärt, so Münch. „Würden die Auftragnehmer als ärztliche Gehilfen im Sinne der Musterberufsordnung eingestuft, dann wäre auch eine gesetzliche Klarstellung notwendig.“ Doch solange das so nicht ist, müssen Ärzte einen wasserdichten Vertrag mit ihrem Anbieter schließen. Darin sollte eindeutig stehen, Weiterführe
Data Loading...
