ArchivDeutsches Ärzteblatt10/2018Datenspeicherung: Datenhygiene im Cyberspace

MANAGEMENT

Datenspeicherung: Datenhygiene im Cyberspace

Dtsch Arztebl 2018; 115(10): A-448 / B-390 / C-390

Wolf, Christian

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Wer sich für die Cloud entscheidet, sollte die rechtlichen und sicherheitstechnischen Rahmenbedingungen beachten und die angestrebte Lösung vorab sorgfältig prüfen.

Foto: belekekin/stock.adobe.com
Foto: belekekin/stock.adobe.com

Hygiene ist im ärztlichen Praxisalltag selbstverständlich. Nicht wirklich lebendig, aber ebenso agil wie echte Viren, verbreiten sich Computerviren und andere Schadprogramme im Cyberspace, verrichten ihr Werk unentdeckt im Hintergrund, warten auf eine passende Gelegenheit, erwachen plötzlich, befallen ihren Wirt, der oftmals zu spät zu Gegenmaßnahmen greift.

Anzeige

Das beste Mittel ist Prophylaxe, was allerdings leichter gesagt als getan ist, solange kein Problembewusstsein vorhanden ist. Wohin mit den Daten, bevor sie von einem Schadprogramm nur noch gegen Bitcoin entschlüsselt werden können? Und: Wer Daten im Hintergrund verschlüsseln kann, ist auch in der Lage, sie vorher herunterzuladen. Es sind nicht nur die Angriffe auf die Computer in der Arztpraxis oder im Krankenhaus direkt. Über verschiedene Anwendungen lagern höchst sensible Daten schnell in wenig geschützten oder rechtlich höchst bedenklichen Bereichen. Das trifft für Office 365 ebenso zu wie auf viele der Cloudlösungen, beispielsweise von Dropbox, Google, Amazon oder Apple. Große Datenbestände locken Cyberkriminelle wie Geheimdienste.

Die Patientenakte kommt in Deutschland eher schleppend voran. Andere Länder wie Norwegen sind weiter, aber auch dort gelangten erst im Januar drei Millionen Patientendaten in falsche Hände.

Die Menge der Daten ist reizvoll, auch für die Anbieter. Es verwundert nicht, dass alle großen IT-Konzerne verschiedene Dienste scheinbar gratis anbieten, um an die persönlichen Daten ihrer Nutzer zu gelangen – mit ihnen sind groß angelegte Big-Data-Analysen möglich.

Apple will auch Krankenakten erstellen

Ein Beispiel dafür sind die Versuche von Microsoft und Google, eine Gesundheitsakte zu etablieren. Mit der Health-App will Apple künftig auch zentrale Krankenakten erstellen und über die iCloud zentralisieren. Ob es allerdings sinnvoll ist, diese sensiblen Daten nach US-amerikanischem Recht auswerten zu lassen, ist überdenkenswert. Kunden für diese Art von Datenbeständen gibt es reichlich.

Ursprünglich vernetzte das Internet viele Computer untereinander. Heute laufen die meisten Datenströme über US-amerikanische Rechenzentren, die den dort geltenden rechtlichen Bestimmungen unterliegen. Berufsgeheimnisträger, wie beispielsweise Ärzte, müssen jedoch die hiesigen Datenschutzbestimmungen einhalten. Zudem tritt im Mai die neue EU-Datenschutzgrundverordnung in Kraft, die europaweit den Umgang mit personenbezogenen Daten verbindlich regelt und an die auch das nationale Recht angepasst werden muss.

Verführerisch im Alltagsgeschäft ist der Versand sensibler Daten per E-Mail statt per Post – was im Hinblick auf den Datenschutz dem Versand einer Postkarte gleichkommt – oder bei größeren Anhängen die Nutzung einer öffentlichen Cloud wie Dropbox.

Unbestritten sind die Vorteile eines cloudbasierten Datentausches: Der gemeinsame Zugriff verschiedener Fachärzte auf Patientendaten wie etwa Befunde kann schnell Klarheit schaffen oder sogar Leben retten. Bei Hausbesuchen kann es zum Beispiel auch praktisch sein, Terminkalender und Patientenadressen im Smartphone griffbereit zu haben. Sofern die Patientendaten auch in der Cloud liegen, ist das vor Ort höchst hilfreich.

Sinnvoll mag dies auch für den Steuerberater sein, der die Abrechnungsunterlagen für die Praxis in der Cloud findet und Gehaltsabrechnungen der Mitarbeiter gleich dort ablegen kann. Die Möglichkeiten sind für jede Praxis oder Praxisgemeinschaft unterschiedlich, der Nutzungsgrad hängt in diesem Rahmen zwangsläufig von der Bereitschaft ab, neuen Techniken aufgeschlossen zu begegnen.

Geld zu sparen und Zeit zu gewinnen, sind Anreize, aber ungeschützt landen die Daten schnell in falschen Händen und die Verwunderung ist groß, wenn die eigenen Patienten bei Facebook als neue Freunde vorgeschlagen werden. Unter den bestehenden datenschutzrechtlichen Rahmenbedingungen sind keine Lösungen empfehlenswert, die personenbezogene Daten außerhalb des deutschen beziehungsweise EU-Datenschutzes verarbeiten oder speichern. Die Vorgaben gehen sogar so weit, dass nachweisbar sein muss, wo die Daten vorgehalten werden. Rechtlich ist die Nutzung zum Beispiel von öffentlichen Clouds (wie Google-Drive, Dropbox) kaum sinnvoll möglich.

Höchste Vorsicht bei Patientenanschriften im Privatadressbuch

Sollten Patientenanschriften und Telefonnummern im persönlichen Adressbuch vorhanden sein, ist für den Arzt höchste Vorsicht geboten. Viele Anwendungen greifen mehr oder minder offen darauf zurück. Datenhygiene beginnt – so wie die Hygiene im ärztlichen Alltag –, bevor der Kontakt zum Patienten stattfindet. Ziel ist, die Daten sauber zu halten, getrennt von eigenen privaten Daten und ohne die Möglichkeit eines unberechtigten Zugriffs Dritter.

Bei der Auswahl eines Cloudanbieters ist daher besondere Vorsicht geboten. Die Vertragsbedingungen enthalten zum Beispiel oft das Recht, die Inhalte weltweit zu verwenden, zu hosten, zu speichern, zu vervielfältigen, zu verändern, abgeleitete Werke daraus zu erstellen, zu kommunizieren, zu veröffentlichen, öffentlich aufzuführen, öffentlich anzuzeigen und zu verteilen. Diese oder ähnliche Formulierungen stehen naturgemäß nicht auf der ersten Seite der Geschäftsbedingungen. Stattdessen eröffnen Letztere häufig mit: „Wir beanspruchen kein Eigentum an Ihren Inhalten …“ (Microsoft). Tiefer im Vertragstext sieht es anders aus. Cloudlösungen mit solchen vertraglichen Zwängen und im Geltungsbereich des US-Rechts sind wenig empfehlenswert.

Bei der Suche nach Anbietern von Cloudspeichern sollte der Schwerpunkt im Geltungsbereich des EU-Rechts liegen. Hierzulande kann beispielsweise die Leitz Cloud oder die Magenta Cloud der Telekom eine erste Anlaufstelle sein. Neben kostenfreien Angeboten ermöglicht etwa die Leitz Cloud einen zweiwöchigen Testzugang mit einer persönlichen Betreuung.

Auf Initiative des Bundesministeriums für Wirtschaft und Energie werden auf der Webseite von trusted-cloud.de zertifizierte Anbieter gelistet, die den gesetzlichen Vorgaben entsprechen. Es lohnt in jedem Fall auch ein Blick „unter die Haube“, auf die zugrunde liegende Software der Cloud. Hier ist etwa die Entwicklung von ownCloud beziehungsweise dem Nachfolger Nextcloud empfehlenswert. Als Open-Source-Projekt angelegt, ist diese Software mittlerweile weltweit in Unternehmen, Universitäten und Forschungseinrichtungen im Einsatz, auch viele Cloudanbieter nutzen diese Softwarebasis. Hilfreich ist, dass sich auf der Nextcloud-Webseite Provider finden, die diese Plattform nutzen.

Die Anbindung an Smartphones und Tablets gelingt auf Anhieb, Adressdaten und Termine verwaltet die Cloud ebenfalls. Programme für die Betriebssysteme Windows, Mac oder Linux synchronisieren nicht nur Daten, sondern schützen auch vor bekannten Schadprogrammen.

Wer den Anbietern nicht traut oder die langen Vertragstexte nicht prüfen lassen möchte, der kann auf dieser Softwarebasis seinen eigenen Server betreiben. Angebote sind auf den Projektseiten zu finden. Christian Wolf

Bestimmungen des Datenschutzes

  • Am 25. Mai 2018 tritt die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Anders als bei bei einer EU-Richtlinie muss eine Verordnung in nationales Recht umgesetzt werden. In vielen Punkten orientiert sich die DSGVO an den strengen deutschen Datenschutzbestimmungen, dennoch müssen die Regelungen im eigenen Praxisumfeld auf den Prüfstand.
  • Im Hinblick auf Cloudlösungen sind die bestehenden Verträge mit den Providern deshalb gegebenenfalls zu überarbeiten. Neue Verträge sollten nur geschlossen werden, wenn die Vorgaben der DSGVO strikt eingehalten werden. Das gilt auch für kostenfreie Testangebote.
  • Die meisten großen Cloud-Dienstleister sind in den USA beheimatet und aufgrund der lockeren Datenschutzbestimmungen mit einer europäischen Niederlassung in Irland oder Großbritannien vertreten. Mit der strengeren EU-Verordnung müssen auch die US-Unternehmen ihre Strategie anpassen. Ob und in welcher Form sie den vertraglichen Vorgaben der europäischen Datenschutzgrundverordnung entsprechen, muss im Einzelfall geklärt werden.
  • Bestehen Unklarheiten, sind Anbieter aus dem europäischem Raum im Zweifel eine Alternative.
  • Aber auch in diesem Fall gilt, dass die hohen Anforderungen an Datensicherheit – vor allem beim Umgang mit sensiblen – zu gewährleisten sind und die Regelungen der DSGVO eingehalten werden müssen.

https://nextcloud.com/healthcare
(unter „Download“ sind Anbieter zu finden, die Nextcloud einsetzen)

https://owncloud.com/de/owncloud-healthcare-life-sciences
(Wissenswertes über Cloudlösungen im Gesundheitsbereich)

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.