Sicherung von Patientendaten: Welcher Cloud-Server darf es sein?

Es mag nicht jedem gefallen: Aber am Cloud-Computing in der Praxis führt kaum mehr ein Weg vorbei. Wie Praxischefs die Technik rechtssicher nutzen — und welche Fehler sie vermeiden sollten.

Auch wenn die Behandlung schon abgeschlossen ist, sind niedergelassene Ärztinnen und Ärzte verpflichtet, die Aufzeichnungen über ihre Patienten noch bis zu 30 Jahre aufzubewahren. Wer hierbei auf den guten alten Aktenschrank setzt, muss irgendwann anbauen: Und selbst bei einer elektronischen Ablage gibt es irgendwann ein Platzproblem.

Inzwischen ist es daher üblicher, Patientendaten in der Cloud zu speichern. Auch viele Anwendungen lassen sich inzwischen nur noch so nutzen. Die Vorteile: Die Installation der App auf dem lokalen Rechner entfällt. Praxisverwaltungssysteme laufen dadurch oft stabiler. Zudem lassen sich Daten auf diese Weise kostengünstig speichern und ortsunabhängig mit unterschiedlichen Geräten abrufen. Auch muss sich der Praxisinhaber nicht mehr umfassend um Aufbau oder Erhalt der IT-Infrastruktur kümmern.

Allerdings hat die schöne neue Welt auch Schattenseiten. Sie ergeben sich fast zwangsläufig aus den Besonderheiten des Cloud-Computings. Dabei stellt ein externer Dienstleister Ärzten Speicherplatz, Rechenleistung oder gesamte Anwendungen zur Verfügung. Jedoch sind Patientendaten hochsensibel, unterliegen der ärztlichen Schweigepflicht und müssen vor unberechtigter Einsichtnahme und Zugriff geschützt werden. Verantwortlich dafür ist der Arzt persönlich.

Server in den USA sind ein No-Go

Genau da beginnt das Problem. Lagern die Daten auf Servern im Ausland, gilt gegebenenfalls auch die dort gültige Rechtslage für Datenschutz. Das kann dazu führen, dass nicht berechtigte Personen Zugriff auf sensible Patientendaten erhalten. Stehen die Server des Anbieters in Deutschland oder der EU, stellt sich das Problem nicht.

Hintergrund ist hier auch das „Schrems II“-Urteil. Der Europäische Gerichtshof hat damit klargestellt, dass personenbezogene Daten von EU-Bürgern nur an Drittländer übermittelt werden dürfen, wenn sie dort einen gleichwertigen Schutz genießen wie in der EU. Für die USA hat er ein solches angemessenes Schutzniveau übrigens verneint.

Zum ausreichenden Schutz von Patientendaten empfiehlt die KBV zudem, sie nur in der Cloud zu speichern oder zu verarbeiten, wenn eine vollständige Verschlüsselung sichergestellt ist. Das zum Entschlüsseln erforderliche Schlüsselmaterial darf nur der Praxis bekannt sein.

Aber Vorsicht! Wer die Cloud als alleinigen Speicherplatz für seine vollständigen Patientendaten nutzt, geht selbst mit einer sicheren Verschlüsselung der Daten das Risiko ein, dass er nicht immer auf sie zugreifen kann – etwa bei technischen Defekten oder der Pleite des Dienstleisters. Ein ausgefeiltes Notfallsystem ist daher zwingend.

Um keine vermeidbaren Datenschutzverstöße zu begehen und einen unbefugten Zugriff des Dienstleisters auf die Patientendaten auszuschließen, muss auch die Datenübertragung stets verschlüsselt stattfinden. Zudem sind die Daten bereits in der Praxis zu verschlüsseln – also bevor sie in die Cloud fließen. Der Cloud-Dienstleister sollte außerdem nach ISO 27001 oder einer vergleichbaren Norm zertifiziert sein, ausschließlich europäischem Recht unterliegen und seine Server in der EU betreiben.