Wie schon im letzten Jahr fand im April eine Fachtagung zum Thema "Datenschutz in der Medizin" in Wiesbaden statt. Beim "Update 2013" ging es vor allem um die Auswirkungen von Cloud Computing auf den Datenschutz im Gesundheitswesen.
Laut einem Bericht der "Ärzte Zeitung" werden Cloud-Lösungen immer beliebter im Gesundheitswesen. So versprechen viele Anbieter einfache Cloud-Offerten wie kostengünstige Online-Backups, Datensynchronisation oder Plattformen für den Datenaustausch. Aber auch gängige Programme wie Datenbanken oder KIS gebe es zunehmend aus der Wolke, wobei selbst wichtige Informationen zu einem externen Service Provider wandern können.
Cloud-Systeme werden nicht nur für Kliniken angeboten, sondern auch für Arztpraxen. "Doch was sagt der Datenschutz dazu?" fragt die Ärzte Zeitung. Die Antwort des ehemaligen Datenschutzbeauftragten Peter Münch lautet: "Alles, was sich in der Cloud befindet, ist quasi eine Auftragsdatenverarbeitung." Das bedeute, sagte Münch in Wiesbaden, dass damit der Paragraf 11 des Bundesdatenschutzgesetzes (BDSG) greife.
Der tückische am Paragraf 11
Und der ist nicht ganz ohne, wie die Ärzte Zeitung kommentiert: "Das Tückische am Paragrafen 11 ist: Der Auftraggeber, also etwa der Praxisinhaber, muss sich nicht nur davon überzeugen, dass sich der Cloud-Anbieter technisch und organisatorisch für das Speichern oder Verarbeiten der sensiblen Patientendaten eignet. Er müsste auch regelmäßig überprüfen, ob der Anbieter dieser Aufgabe noch gerecht wird."
Spätestens an diesem Punkt kollidieren ärztlicher Alltag und Bundesdatenschutzgesetz. Entweder mangelt es an Zeit oder am Know-how der Ärzte und des Pflegepersonals, sich näher mit einem Cloud-Anbieter zu befassen und die Technologie zu verstehen. Anders als in Arztpraxen sind in Krankenhäusern die jeweilige IT-Abteilung und ein eventuell eingesetzter Datenschutzbeauftragter für diese Problematik heranzuziehen, im Zweifelsfalle auch die Klinikleitung.
Zuständigkeiten von Dienstleister und Auftraggeber trennen
Es müssten laut Münch auch die Zuständigkeiten zwischen Dienstleister und Auftraggeber genau festgelegt werden, zum Beispiel bei der Frage der Verschlüsselung, wenn Patientendaten auf der Seite des Providers bearbeitet oder gespeichert werden. Empfehlenswert sei eine Durchführung der Verschlüsselung beim Auftraggeber Arztpraxis oder Krankenhaus. So könne auch sichergestellt werden, dass der verwendete Encryption Key beim Auftraggeber verbleibt.
Grundsätzlich müssen ferner die Patienten vorab über die Datenweitergabe informiert werden und eine Einverständniserklärung abgeben. Diese Erklärung kann laut Münch aber bereits in allgemeiner Form durch ein Anmeldungs- oder Einschreibeformular abgefragt werden. Allerdings dürften viele Patienten sich kaum mit Begriffen wie Datenweiterleitung, Cloud oder Service-Provider auskennen. Mal schnell irgendwo unterschreiben dürfte nicht dem Bundesdatenschutzgesetz entsprechen. Vielleicht wichtiger noch: der möglicherweise entstehende Schaden für den Patienten, wenn seine persönlichen Daten in irgendeiner Weise missbraucht werden.
"Orientierungshilfe KIS"
Krankenhausinformationssysteme (KIS) erschweren oft den Datenschutz, da sie sehr komplex sind und in sehr unterschiedlichen Varianten vorhanden sind – oft sogar innerhalb eines einzigen Klinikums. Bereits 2011 wurde deshalb die "Orientierungshilfe KIS" (OH-KIS) eingeführt, um die rechtlichen und technologischen Aspekte näher zu beleuchten. Datenschutzberater in den Kliniken haben damit auch eine Argumentationshilfe bei der Bewertung alter oder neuer IT-Systeme an die Hand bekommen.