Cloud-Computing im Gesundheitswesen – für Patientendaten zulässig?

RA Dr. Karl-Heinz Schnieder

Die technische Entwicklung schreitet voran und erobert zunehmend auch die Zahnarztpraxis, was Praxisinhaber immer wieder neu vor Herausforderungen stellt. Gerade die den Nutzern selbst nicht unmittelbar bewusst sind. Ein aktuelles Beispiel für diesen Zwiespalt ist das sogenannte Cloud-Computing. Diese ermöglicht je nach konkreter technischer Ausgestaltung den ortsunabhängigen Zugriff auf Speicherplatz, Rechenleistung oder Software und bietet den zusätzlichen Vorteil, dass die jeweilige Software ohne regelmäßige Neuinvestitionen des Praxisinhabers aktualisiert wird.

Cloud-Lösungen haben jedoch für den Nutzer auch Nachteile, da er auf Dienstleistungen externer Unternehmen zurückgreift. Diese sind regelmäßig weltweit tätig und bedienen sich ihrerseits der Dienstleistungen von Subunternehmen. Der Cloud-Nutzer kann daher nicht nachvollziehen oder gar prüfen, wo auf der Welt dritte Personen gegebenenfalls Zugriff auf die in der Cloud gelagerten Daten haben. Genau diese Problematik ist im Zusammenhang mit Patientendaten besonders brisant, da es sich insofern um besonders sensible und daher in Deutschland gesetzlich besonders geschützte Daten handelt.

Grundsätzlich unterliegt die Verarbeitung persönlicher Daten dem Bundesdatenschutzgesetz (BDSG). Dieses statuiert ein sogenanntes Verbot mit Erlaubnisvorbehalt (vergleiche Paragraf 4 BDSG). Dies bedeutet, dass jede Weitergabe, Nutzung und Verarbeitung von Daten ist grundsätzlich verboten, es sei denn, es liegt ein besonderer gesetzlicher Erlaubnistatbestand vor. Das Outsourcen von Daten in eine Cloud beinhaltet eine sogenannte Auftragsdatenverarbeitung im Sinne von Paragraf 11 BDSG. Nach dieser Vorschrift ist eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag zwar grundsätzlich zulässig, jedoch ist der jeweilige Auftraggeber für die Einhaltung der Datenschutzvorschriften durch die Inanspruchnahme von Cloud-Dienstleistungen verantwortlich. Entscheidet sich ein Zahnarzt somit für eine Cloud-Lösung, hat er selbst und nicht etwa der IT-Dienstleister für die Einhaltung datenschutzrechtlicher Vorschriften einzustehen. Dies beinhaltet die sorgfältige Auswahl und Überprüfung des Dienstleisters ebenso wie den Abschluss eines schriftlichen Vertrags über zahlreiche in Paragraf 11 Absatz 2 BDSG näher bezeichnete Inhalte.

Neben den datenschutzrechtlichen Vorgaben unterliegt ein Zahnarzt, der den Einsatz von Cloud-Lösung in seiner Praxis erwägt, jedoch noch weiteren rechtlichen Regelungen zum Schutz von Patientendaten. Hier ist neben den berufsrechtlichen Regelungen zur Schweigepflicht insbesondere der Paragraf 203 StGB von Bedeutung, der die Verletzung von Privatgeheimnissen durch bestimmte Berufsgruppen unter Strafe stellt. Nach dieser Vorschrift unterliegen der Zahnarzt selbst und seine Mitarbeiter als sogenannte Gehilfen einer besonderen Schweigepflicht. Diese Schweigepflicht erstreckt sich jedoch nicht auf externe IT-Dienstleister, sodass bereits die Weitergabe von Patientendaten an diese, beispielsweise zur Speicherung in der Cloud, einen Verstoß gegen zahnärztliche Schweigepflicht beinhaltet.

Vor dem Hintergrund dieser Rechtslagen haben Bundeärztekammer und Kassenärztliche Bundesvereinigung für Ärzte eine Empfehlung zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis herausgegeben (Deutsches Ärzteblatt, Jg. 111, Heft 21 vom 23. Mai 2014, S. A 963ff.), die auch für Zahnärzte als Orientierung dienen kann. Danach ist es insbesondere sinnvoll, bei einer externen Speicherung von Patientendaten zum Beispiel in der Cloud darauf zu achten, dass es bereits technisch mittels entsprechender Verschlüsselungen und Anonymisierungen ausgeschlossen ist, dass der IT-Dienstleister Kenntnis von personenbezogenen Patientendaten erhält und auf diese zugreifen kann.
Zudem sollte darauf geachtet werden, dass der IT-Dienstleister sensible Patientendaten getrennt von anderen Datenarten speichert und seinerseits vertrauenswürdig ist, das heißt insbesondere über ein effektives IT-Sicherheitsmanagement verfügt. Letzteres lässt sich beispielsweise anhand besonderer Zertifizierungen, wie etwa nach ISO27001, beurteilen.
Eine vollständige Datensicherheit kann allerdings auch das Vorgehen nach den Vorschlägen von Bundesärztekammer und Kassenärztlicher Bundesvereinigung nicht gewährleisten, da die technischen Verschlüsselungsmaßnahmen des IT-Dienstleisters für einen Praxisinhaber in der Regel nicht nachprüfbar sein werden.
Vor diesem Hintergrund gilt letztlich: Am sichersten sind die Daten Ihrer Patienten immer noch in Ihrer Praxis!
RA Dr. Karl-Heinz Schnieder, Fachanwalt für Medizinrecht und Sozialrecht, Münster • Berlin • Hamburg

Zu unsererm Autor RA Dr. Karl-Heinz Schnieder
Rechtsanwalt Dr. Karl-Heinz Schnieder, Münster, ist seit 20 Jahren als Rechtsanwalt niedergelassen und Partner und Mitinhaber der kwm, Kanzlei für Wirtschaft und Medizin mit Niederlassungen in Münster, Berlin, Hamburg, Bielefeld, Essen und Hannover. Der Fachanwalt für Medizinrecht und Fachanwalt für Sozialrecht sowie seit 2013 auch Mediator war vor seiner Niederlassung auch zwei Jahre Referatsleiter Recht bei der Kassenzahnärztlichen Vereinigung Westfalen-Lippe.

Dr. Schnieder ist Lehrbeauftragter der Universität Münster und der SRH Hamm und unter anderem Mitglied der Netzwerkpartnerschaft Neue Versorgungsstrukturen der ApoBank und Initiator und Entwickler der Netzwerkinitiative „Gesundheitsregion-Stadt e.V.“ mit zurzeit elf gegründeten Gesundheitsregionen. Er ist zudem Autor zahlreicher Fachbeiträge, unter anderem zum Patientenrechtegesetz (erschienen im zfv, Herne), sowie Zahnarztrecht, Praxishandbuch für Zahnmediziner (erschienen im Springer-Verlag).