Cloud Computing in Kliniken: rechtliche Möglichkeiten und Grenzen

Cloud Computing in Kliniken

© Thieme & Frohberg GmbH

Die Nutzung einer Cloud verspricht Kliniken viele Vorteile, u. a. die schnelle Verarbeitung großer Datenmengen und somit den Einsatz datenintensiver Technologien. Aber welche rechtlichen Aspekte sind dabei zu beachten? Prof. Dr. Hans-Hermann Dirksen, Rechtsanwalt und Professor für das Recht der Digitalisierung, erläutert im KWM-Interview, wie Kliniken Clouds datenschutzrechtlich zulässig nutzen können.

Ist die Nutzung einer Cloud zur Speicherung von Krankenhausdaten rechtlich zulässig?

Sofern in der Cloud personenbezogene Daten verarbeitet werden sollen, bedarf es dazu immer einer rechtlichen Grundlage. Juristen sprechen in diesem Zusammenhang von einem Verbot mit Erlaubnisvorbehalt. Das bedeutet, der Umgang mit personenbezogenen Daten ist immer verboten, es sei denn, es gibt dafür eine rechtliche Erlaubnis.

Die EU-Datenschutz-Grundverordnung (DS-GVO) bietet solche Rechtsgrundlagen, beispielsweise in folgenden Fällen:

  • bei Einwilligung des Betroffenen oder
  • wenn eine Datenverarbeitung für die Erfüllung eines Vertrags erforderlich ist (beides gem. Art. 6 DS-GVO) sowie
  • aufgrund einer entsprechenden vertraglichen Vereinbarung, in der genau Dauer und Zweck der Verarbeitung sowie Pflichten und Rechte festgelegt werden (Auftragsverarbeitung gem. Art. 28 DS-GVO).

In diesen Fällen ist nach der DS-GVO eine Weitergabe auch ohne Einwilligung der betroffenen Personen möglich. Voraussetzung dafür ist aber, dass der Auftragnehmer – hier also der Cloud-Service-Provider – die Verarbeitung im Einklang mit den Anforderungen der DS-GVO durchführt.

Welche technischen Voraussetzungen müssen nach DS-GVO dafür gegeben sein?

Seitens des Cloud-Service-Providers müssen die Rechte der betroffenen Person geschützt sowie die Datensicherheit und Verschwiegenheitspflicht gewährleistet sein. Insbesondere wenn ihre Dienste für kritische Infrastrukturen (BSI-KritisV) genutzt werden, müssen die Provider eine umfassende Zuverlässigkeit und Leistungsfähigkeit vorweisen und garantieren. Viele lassen sich diese Voraussetzungen zertifizieren, um so den entsprechenden Nachweis führen zu können. Darauf sollte bei der Auswahl eines entsprechenden Dienstleisters immer geachtet werden.

Zudem muss seitens der Klinik der Weiterbetrieb auch dann gewährleistet sein, wenn der Cloud-Service zeitweilig nicht zur Verfügung steht, beispielsweise bei einem temporären Ausfall der Internetverbindung oder des Cloud-Backend. Dies kann z. B. durch lokales Caching in der Klinik gesichert werden.

Erfüllt eine Klinik diese rechtlichen und technischen Voraussetzungen, dann ist die Verarbeitung personenbezogener Daten in einer Cloud unter Zuhilfenahme einer Auftragsverarbeitung nach DS-GVO datenschutzrechtlich zulässig. Hier ist jedoch zu beachten: Dies gilt beispielsweise für Daten aus der Administration, dem Personalwesen oder dem Einkauf, jedoch nicht für besondere personenbezogene Daten, wie Gesundheitsdaten. Für diese gelten andere Regeln.

Was ist für die Speicherung von Gesundheitsdaten in einer Cloud zu beachten?

Für die Übermittlung von Gesundheitsdaten an Dritte ist Art. 6 DS-GVO als Rechtsgrundlage nicht anwendbar. Hier kommen vielmehr die Erlaubnistatbestände des Art. 9 DS-GVO in Frage, nämlich:

  • ob ein Behandlungsverhältnis vorliegt oder
  • ob die Daten zum Zweck der Gesundheitsvorsorge, für die medizinische Diagnostik oder für die Verwaltung von Systemen und Diensten im Gesundheitsbereich gespeichert und verarbeitet werden oder
  • ob die betroffenen Personen eingewilligt haben.

Allerdings betrachten Juristen die Möglichkeit einer Einwilligung als Voraussetzung für eine Nutzung von Cloudservices im Krankenhaus generell als kompliziert und nicht besonders geeignet. Zum einen ist davon auszugehen, dass viele Patienten aus Unkenntnis davor zurückschrecken würden, ihre Einwilligung zur Verarbeitung ihrer Gesundheitsdaten in einer Cloud zu geben. Zum anderen besteht das Recht, die gegebene Einwilligung jederzeit zurückzunehmen, was zu einem erheblichen verwaltungstechnischen Aufwand bei der Cloud-Administration im Krankenhaus führen würde.

Bleibt also das Vorliegen einer der anderen obigen Erlaubnistatbestände des Art. 9 DS-GVO als Rechtsgrundlage. Dabei muss aber darauf geachtet werden, dass sobald der jeweilige Zweck beendet ist, keine Grundlage mehr für eine weitere Speicherung der Gesundheitsdaten in der Cloud vorliegt. Die Konsequenz wäre, dass diese Daten gelöscht werden müssten. Es muss daher auf jeden Fall ein Erlaubnistatbestand gewählt werden, der über die Entlassung des Patienten hinaus Bestand hat.

Gibt es weitere Einschränkungen der Cloud-Nutzung durch die Landeskrankenhausgesetze?

Zumeist wird in den Landeskrankenhausgesetzen (LKG) ebenfalls geregelt, dass für die Verarbeitung von Gesundheitsdaten durch Dritte ein bloßer Auftragsverarbeitungsvertrag nicht ausreicht.

So bestimmt § 27 des Bayerischen LKG (BayKrG) korrespondierend zu Art. 9 DS-GVO, dass die Übermittlung von Patientendaten an Dritte nur im Rahmen des Behandlungsverhältnisses oder dessen verwaltungsmäßiger Abwicklung zulässig ist oder wenn eine Rechtsvorschrift die Übermittlung erlaubt oder wiederum wenn die betroffenen Personen eingewilligt haben.

Einige LKG verlangen zudem eine Kontrolle oder sogar die Zustimmung durch den Landesdatenschutzbeauftragten und bauen dadurch weitere Hürden für die Nutzung der Cloud-Technologie auf.

  • So treffen Krankenhäuser in Thüringen nach § 27b Abs. 1 ThürKHG Berichtspflichten gegenüber dem Landesverwaltungsamt. Das Krankenhaus muss rechtzeitig vor Auftragserteilung Art, Umfang sowie technische und organisatorische Maßnahmen der beabsichtigten Datenverarbeitung im Auftrag schriftlich anzeigen. Anderenfalls ist die Auftragsverarbeitung unzulässig.
  • Eine Auftragsverarbeitung für Bremer Krankenhäuser ist nach Maßgabe des § 10 Abs. 1 BremKHDSG nur zulässig, wenn die Wahrung der Datenschutzbestimmungen beim Cloud-Service-Provider sichergestellt ist und dieser sich insoweit der Kontrolle des Landesbeauftragten für den Datenschutz unterwirft.
  • In Sachsen muss die zuständige Behörde nach § 33 Abs. 8 SächsKHG ihre Zustimmung zur Auftragserteilung geben.

Krankenhäuser, die eine Nutzung der Angebote von Cloud-Service-Providern in Erwägung ziehen, müssen daher immer im jeweiligen LKG prüfen, wie ein Auftragsverarbeitungsvertrag rechtlich zulässig gestaltet werden kann.

Über weitere Regelungen der Cloud-Nutzung durch die Landeskrankenhausgesetze berichtet Prof. Dr. Dirksen im zweiten Teil des Interviews, das demnächst erscheint.

ep/kwm

Prof. Dr. Hans Hermann Dirksen, Rechtsanwalt und Professor für das Recht der DigitalisierungProf. Dr. Hans-Hermann Dirksen ist Rechtsanwalt bei LIEBENSTEIN LAW – Kanzlei für Wirtschaftsrecht sowie geschäftsführender Gesellschafter der Liebenstein Confidential GmbH. Zudem ist er Professor für das Recht der Digitalisierung an der FOM-Hochschule, Fachausschussmitglied der VDI-Gesellschaft „Technology of Life Sciences“ sowie Mitglied der Deutschen Gesellschaft für Telemedizin. Das Bundesministerium für Bildung und Forschung bestellte Dirksen zum Fachgutachter für Medizintechnologierecht und Datenschutz.

 

Hinterlassen Sie einen Kommentar