Patientendaten in der cloud – erlaubt?

Patientendaten in der cloud – Gunharth Randolf, IT Sicherheitsspezialist communautic © , Dr. Johannes Margreiter, Rechtsanwalt Margreiter & Margreiter, 25.4.2014

Die Fragen: „Darf ich Patientendaten mittels cloud hosting transferieren?“ oder „Wie sicher ist das?“ lassen sich eindeutig beantworten: zum einen ja, natürlich ist die cloud ein erlaubtes „Arbeitsmittel“ und zweitens ja, es gibt Hochsicherheitsoptionen. Für eine sichere Verwaltung der Patientendaten in der cloud ist der Physio Observer dabei durch das Verschlüsselungsprotokoll SSL (Secure Sockets Layer) in besonderer Art und Weise geschützt. Diese Technik wird vor allem dann eingesetzt, wenn vertrauliche Daten (z.B. bei Online Shops oder  Bankgeschäften) per Internet transferiert werden.

 

Verschlüsselung von Patientendaten in der cloud

Verschlüsselte Seiten lassen sich anhand ihrer Adresse erkennen, es erscheint in der Adresszeile des Browsers die Kennung „https“. Um eine solche Codierung/Verschlüsselung von Daten zu ermöglichen, hat der jeweilige Server über ein sogenanntes SSL-Zertifikat zu verfügen.

Patientendaten in der cloud

Das SSL-Protokoll basiert auf einem zufällig generierten Schlüssel, der zu Beginn einer SSL-Sitzung generiert wird. Hierzu sendet der Benutzer mit seinem Computer die aktuelle Uhrzeit und eine Zufallszahl an den Webserver. Als Antwort sendet der Server ebenfalls eine Zufallszahl an den Benutzer Computer sowie zusätzliche Informationen über das Sicherheitszertifikat. Der Benutzer Computer überprüft jetzt das Zertifikat. Ist dies ungültig, bricht er die Verbindung ab, sind die Daten korrekt, dann generiert der Server jetzt einen individuellen „Schlüssel“, also einen Algorithmus zur Ver- und Entschlüsselung der transferierten Daten. Den Verschlüsselungs-Code schickt er an den Benutzer Computer. Jetzt können Daten für den Transfer verschlüsselt und beim Empfänger jeweils wieder entschlüsselt und lesbar gemacht werden.

 

Die aktuelle Rechtslage zu Patientendaten in der cloud

Patientendaten in der cloud unterliegen folgenden, rechtlichen  Rahmensetzungen: unter der Verarbeitung von Daten wird jede Art der Handhabung von Daten verstanden, außer deren Übermittlung. Das Speichern von Daten in der Cloud ist im rechtlichen Sinn keine Übermittlung  von Daten, sondern stellt nur eine Verarbeitungsart dar (wenn die Speicherung in der Cloud nicht zum Zweck der Veröffentlichung der Daten erfolgt).

Ein generelles Verbot, Daten (auch sensible wie bei Patientendaten) an Dienstleister zu überlassen, besteht nicht. Gemäß § 10 Datenschutzgesetz (DSG) muss der Dienstleister aber ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Der Auftraggeber hat mit dem Dienstleister die dafür notwendigen Vereinbarungen zu treffen.

Die Speicherung von Kundendaten ist im Rahmen der konkreten rechtlichen Befugnis des Unternehmers auch ohne Zustimmung des Kunden zulässig. Der Physiotherapeut darf daher jedenfalls die zur Ausübung seines Berufes und zur Führung seines Betriebes notwendigen personenbezogenen Daten seiner Klienten auch ohne deren Zustimmung verarbeiten, sofern er dadurch nicht schutzwürdige Geheimhaltungsinteressen seiner Klienten verletzt. Im Falle der Verarbeitung sensibler Daten ist dieses Geheimhaltungsinteresse dann nicht verletzt, wenn der Betroffene seine Zustimmung ausdrücklich erteilt hat oder wenn die Daten nur in indirekt personenbezogener Form verarbeitet werden.

Sofern der Physiotherapeut personenbezogene Daten sensibler Art verarbeiten möchte, ist es daher jedenfalls empfehlenswert, vom Klienten eine Zustimmungserklärung einzuholen, wobei diese Zustimmungserklärung nicht nur für die Überlassung von Daten (zwecks Speicherung in der Cloud) notwendig ist, sondern generell für jede Art der Datenverarbeitung (also auch bei einer lokalen Speicherung).