Cloud-Computing

Cloud-Computing kann Praxen organisatorisch entlasten und die Patientenversorgung unterstützen, setzt aber ein hohes Maß an Sorgfalt bei Auswahl, Vertragsgestaltung und technischer Umsetzung voraus. Wenn die Leitplanken der DS-GVO, des Sozialdatenschutzes, die Vorgaben des § 393 SGB V und das C5-Zertifikat des BSI eingehalten werden – und die Praxis-IT entsprechend abgesichert ist – lässt sich Cloud-Computing rechtssicher in den Praxisalltag integrieren. 

Hinweis: Der Artikel behandelt ausschließlich die Anforderungen an einen datenschutzkonformen Einsatz von Cloud-Computing. Soweit konkrete IT-Produkte daneben auch Komponenten der Künstlichen Intelligenz (KI) einsetzen, gelten zusätzliche Anforderungen, die nicht Gegenstand dieses Artikels sind. 

Was bedeutet Cloud-Computing in der Arztpraxis?

Beim Cloud-Computing werden Praxissoftware und Patientendaten nicht mehr auf einem eigenen Server in der Praxis betrieben, sondern auf Servern eines externen Anbieters, auf die von den Computern der Praxis über das Internet zugegriffen wird. Typische Beispiele sind cloudbasierte Praxisverwaltungssysteme (PVS), Online-Terminbuchungssysteme, digitale Befundübermittlung oder cloudbasierte Archivierung von Röntgen- und Labordaten. Für die Praxis bietet das Vorteile, wie z.B. weniger eigene IT-Systeme oder eine professionelle Sicherheitsinfrastruktur des Anbieters. Gleichzeitig steigen aber die Abhängigkeit von einer funktionierenden Internetverbindung, vom Cloud-Anbieter als auch die Anforderungen an Datenschutz und IT-Sicherheit.

Rechtlicher Rahmen

§ 393 SGB V ist die zentrale Norm für den Einsatz von Cloud-Computing-Diensten im Gesundheitswesen: Er erlaubt Leistungserbringern (z.B. Vertragsärzt:innen) und Krankenkassen ausdrücklich die Verarbeitung von Sozial‑ und Gesundheitsdaten in der Cloud, knüpft dies aber an klare Sicherheitsanforderungen.

Nach § 393 SGB V dürfen Sozial‑ und Gesundheitsdaten nur dann in der Cloud verarbeitet werden, wenn im Wesentlichen folgende Bedingungen erfüllt sind:

  • Es liegt ein aktuelles C5-Testat des BSI (Typ 2) für den genutzten Cloud-Dienst vor. Nach § 393 Abs. 4 SGB V kann auch ein alternatives Testat/Zertifikat den Anforderungen entsprechen.
  • Die Daten werden ausschließlich in Deutschland, der EU/dem EWR oder in einem Drittstaat mit angemessenem Datenschutzniveau verarbeitet.
  • Die „datenverarbeitende Stelle“ (Cloud-Anbieter bzw. das Unternehmen, das die Cloud-Lösung betreibt) verfügt über eine Niederlassung im Inland.
  • Es sind angemessene technische und organisatorische Maßnahmen (TOMs) nach dem Stand der Technik umgesetzt, die im Vertrag konkretisiert werden müssen.
  • Vor dem Einsatz von cloudbasierten Produkten (insb. PVS), ist regelmäßig eine Datenschutzfolgenabschätzung gem. Art. 35 DS-GVO durchzuführen. 

Die Norm ist als Erlaubnistatbestand ausgestaltet. D.h. ohne Erfüllung dieser Mindeststandards ist der Einsatz von Cloud-Diensten für die Verarbeitung von Gesundheits‑ und Sozialdaten durch Leistungserbringer im Sinne des SGB V unzulässig. Auch wenn die Regelung nur den Bereich der Leistungserbringung in der gesetzlichen Krankenversicherung betrifft, sollte sie als Orientierung für die Gesundheitsversorgung außerhalb der GKV herangezogen werden.

C5-Testat des BSI und Alternativen

Der „Cloud-Computing Compliance Criteria Catalogue“ (C5) des BSI legt einen umfassenden Anforderungskatalog zu Informationssicherheit, Transparenz und Compliance für Cloud-Dienste fest. Cloud-Anbieter lassen sich von Wirtschaftsprüfungsgesellschaften nach C5 prüfen und durch das daraus resultierende Testat bescheinigen, dass die Sicherheitsanforderungen eingehalten werden.

Auftragsverarbeitungsvertrag

Zwischen der Praxis als datenschutzrechtlich Verantwortlichem und dem Cloud-Anbieter besteht in der Regel ein Auftragsverarbeitungsverhältnis gem. Art. 28 DS-GVO. Etwaige vom Anbieter eingesetzte Dienstleister sind Unterauftragsverarbeiter. Ein entsprechender Vertrag ist mit dem Anbieter abzuschließen.

Internationale Datenübermittlungen und US-Cloud-Anbieter

Es gibt Produkte, die nicht auf einer eigenen Infrastruktur des Anbieters laufen, sondern auf gemieteten Strukturen von Cloud Anbietern (Amazon, Microsoft, Google, IONOS, Hetzner etc.) aufsetzen. Große Teile des Cloud-Marktes werden von US-amerikanischen Anbietern dominiert, häufig über europäische Tochtergesellschaften. Datenschutzrechtlich kritisch sind insbesondere mögliche Zugriffe US-amerikanischer Behörden auf Daten in europäischen Rechenzentren, etwa über Gesetze wie den US CLOUD Act und Überwachungsbefugnisse nach FISA und sog. Executive Orders.

Die DS-GVO lässt Datenübermittlungen in die USA nur an zertifizierte US-Unternehmen zu. § 393 SGB V verlangt zusätzlich, dass Gesundheits- und Sozialdaten nur in Deutschland, der EU/dem EWR oder einem durch Angemessenheitsbeschluss anerkannten Drittstaat verarbeitet werden dürfen; dies schränkt Konstellationen mit direkter US-Speicherung nochmals ein. Es empfiehlt sich, diese Anforderungen durch den Anbieter belegen zu lassen.

Technische und organisatorische Maßnahmen in der Praxis

Auch bei einem auf einer C5-zertifizierte Cloud aufsetzenden Produkt und einem Auftragsverarbeitungsvertrag besteht die Pflicht, für die Verarbeitung der Patientendaten technische- und organisatorische Maßnahmen zu treffen, um deren Sicherheit und Rechtmäßigkeit jederzeit sicherstellen zu können. Hierzu zählen bspw. Maßnahmen wie aktuelle Schutzsoftware für die Praxis-IT, komplexe individuelle Kennungen, Rollen- und Berechtigungskonzepte, Backups, regelmäßige Softwareaktualisierungen, Verschlüsselungen mobiler Endgeräte etc. Die Übertragung zum Dienstleister und die dortige Speicherung haben verschlüsselt zu erfolgen.

Falls noch nicht geschehen, sollten interne Richtlinien zur IT-Nutzung und Cloud-Verwendung schriftlich festgehalten werden (z.B. Verbot von privaten Cloud-Diensten wie Dropbox oder der unverschlüsselte Versand von Patientendaten per Mail).

Check:

  1. Handelt es sich bei der in der Praxis genutzten Software um ein cloudbasiertes Produkt?
  2. Wurde eine Datenschutzfolgenabschätzung gem. Art. 35 vorgenommen?
  3. Verfügt die in der Praxis eingesetzte cloudbasierte Software über ein aktuelles C5-Typ‑2-Testat, das sich ausdrücklich auf den genutzten Dienst bezieht?
  4. Liegt ein Auftragsverarbeitungsvertrag gem. Art. 28 DS-GVO mit dem Anbieter vor, der sich auch auf die Cloud-Dienstleistung bezieht?
  5. Sieht der Vertrag ausdrücklich eine Datenverarbeitung ausschließlich in der EU/dem EWR (idealerweise in Deutschland) oder einem anerkannten Drittstaat vor?
  6. Welche technischen und organisatorischen Maßnahmen zum Schutz der IT-Systeme der Praxis und der darauf verarbeiteten Patientendaten werden unter Berücksichtigung der Nutzung der Cloud ergriffen?