Cloud Services: Entwicklungen für den Datenschutz - Medizin-EDV
Werbung
Ausgabe 2/2013 IT-Management Cloud Services: Entwicklungen für den Datenschutz in Kliniken Zwischenfälle können die Existenz einer Klinik bedrohen Derzeit wird von einer nahezu nicht mehr bezifferbaren Menge an Anbietern „Cloud-Computing“ angepriesen. Was dabei den Datenschutz angeht, so sollte sich jede Institution darüber im Klaren sein: die Verantwortung für ihre Daten lässt sich nicht delegieren. Von Dr. Thomas H. Lenhard, Sachverständigenbüro für IT und Datenschutz, und Rechtsanwalt Dr. Robert Kazemi Auf Messen mit IT-Bezug kann man sich dem Thema „Cloud Services“ kaum entziehen. Im Zusammenspiel mit anderen innovativen Technologien wird hier eine schöne neue Welt propagiert. Allzu naive Zeitgenossen würden am liebsten morgen schon die gesamten Datenbestände von Kliniken in solche Datenwolken packen. In ihrer Euphorie sehen sie zum Teil Einsparungen, welche die Umsätze der Institutionen übersteigen, was natürlich „sehr realistisch“ ist. Eher kritische Beobachter dieser Entwicklung geben zuweilen zum Besten, dass die Datenwolken deshalb „Cloud“ heißen, weil dort die Daten „gecloud“ werden. Während wir in der IT nur 0 und 1 kennen, verhält es sich hier wie im übrigen Leben auch: Die Wahrheit liegt irgendwo dazwischen. Was nun den Datenschutz angeht, so sollte sich jede Institution darüber im Klaren sein, dass sie die Verantwortung für ihre Daten nicht delegieren kann. Nutzt also eine Klinik eine „Cloud“, so ist sie weiterhin vollumfänglich für die Daten verantwortlich. Nur zu gut ist vielen von uns noch in Erinnerung, dass es in jüngster Vergangenheit bei einem bekannten US-Amerikanischen Cloud-Anbieter zu einem Datenverlust von nahezu biblischem Ausmaß kam, worauf die Kunden lapidar auf die Geschäftsbedingungen verwiesen wurden, aus denen hervorging, dass diese für die Datensicherung und die Daten allein verantwortlich waren bzw. sind. Natürlich versprechen uns die Verkäufer entsprechender Anbieter alle, dass Sie die sichersten Anbieter wären und unsere Daten sich in besten Händen befinden würden. Wie kam es dann aber zu zahlreichen Daten diebstählen und Zwischenfällen in CloudSystemen in der jüngsten Vergangenheit? 42 Vorsicht: personenbezogene Daten illegal übermitteln Fakt ist, dass mache Anbieter von Rechenzentren aufgrund spezieller redundanter Business Intelligence: Ultima Ratio der Kliniksanierung Die Autoren bündeln in der Fachpublikation die Essenz von Business Intelligence (BI) für den Bereich von Kliniken und zeigen Kernpunkte für den Fortbestand von Kliniken oder Klinikkonzernen auf. Eine Besserung der finanziellen Ausstattung des gesamten Gesundheitswesens ist nicht in Sicht. Will eine Klinik in dieser Situation dauerhaft überleben, so gibt es keine vergleichbar effektive Maßnahme die Effizienz zu analysieren und zu steigern, wie der Einsatz der Business Intelligence (BI). Diese Fachpublikation richtet sich an die Zielgruppe der Entscheidungsträger wie Geschäftsführer, Aufsichtsräte und sonstige verantwortliche Personen in Kliniken und Klinikkonzernen. Anhand ausgewählter Beispiele führen die Autoren in das Thema ein und zeigen dabei Wege, wie die Qualität von Daten und Leistungen verbessert werden kann und bereits kurzfristig in einer Klinik signifikante Einsparungen realisiert werden können. Es geht darum, Probleme zu erkennen, bevor sie zum Problem werden. Dabei weisen die Autoren aber auch auf Fallstricke hin, das BI in der Klinik ein äußerst komplexes Thema ist. Die Autoren betonen, dass Business Intelligence ein mächtiges Werkzeug der Kliniksanierung sein kann. Business Intelligence als Ultima Ratio der Kliniksanierung Thomas H. Lenhard, Michal Gregus Grin Verlag (Februar 2013) ISBN-10: 3-656-32448-4 ISBN-13: 978-3-656-32448-5 15,99 Euro Dr. Thomas H. Lenhard leitete viele Jahre ein Rechenzentrum im klinischen Umfeld, heute arbeitet er freiberuflich als Sachverständiger für IT und Datenschutz und doziert an verschiedenen Hochschulen im In- und Ausland. Seit 2009 ist er Vorsitzender des Verbands für Berater, Sachverständige und Gutachter im Gesundheits- und Sozialwesen e.V. Fragen beantwortet er gerne: [email protected] Hardware mittlerweile sogar der Meinung sind, sie könnten auf Backups verzichten. Fakt ist auch, dass vermeindliche Vorteile mancher Dienstleister, wie ein weltweiter Support rund um die Uhr, unsere Institutionen massiv in Schwierigkeiten bringen können. Während man davon ausgehen kann, dass innerhalb der Europäischen Union für Datentransfer, Auftragsdatenverarbeitung und Speicherung von Daten überall ein Mindestmaß an Datenschutz und Datensicherheit durch Richtlinien und Gesetze sichergestellt ist und eine entsprechende Kommunikation daher relativ unkritisch gesehen werden kann, machen sich CloudNutzer häufig überhaupt keine Gedanken darüber, dass Ihre Daten mitunter in Staaten gespeichert werden, in denen es so etwas wie Datenschutz überhaupt nicht gibt. Als wichtigster Handelspartner der EU-Staaten gibt es daher mit den Vereinigten Staaten von Amerika das Safe-Harbor-Abkommen, welches sicherstellt, dass in Unternehmen, die diesem Abkommen folgen, die Mindeststandards erfüllt sind, die auch in EU-Staaten erforderlich sind. Ein solches Abkommen gibt es aber mit Indien zum Beispiel nicht. Jetzt wird der ein oder andere Leser denken: „Zum Glück liegen unsere Daten ja auf einem Server in Deutschland und die IT-Management Ausgabe 2/2013 Rechtsanwalt Dr. Robert Kazemi ist Partner der Sozietät Kazemi & Lennartz Rechtsanwälte in Bonn (www.medi-ip.de). Er arbeitet seit Jahren auf den Gebieten des Wettbewerbs-, Marken- und Datenschutzrechts. Zu diesen Themen ist er umfassend als Berater und Prozessvertreter tätig. Er ist Autor der Fachbücher „Marken eintragen und recherchieren“ und „Das neue Datenschutzrecht in der anwaltlichen Beratung“, die im Deutschen Anwaltverlag erschienen sind. Fragen beantwortet er gerne: [email protected] Datenbanken werden nur von Administratoren aus Indien oder Taiwan per VPN administriert.“ Sobald jedoch ein Administrator aus einem dieser Drittländer auf unsere Unternehmensdaten oder Datenbanken Zugriff hat, gelten die Daten als übermittelt. Das heißt, dass wir unter Umständen besonders schützenswerte oder sensible personenbezogene Daten illegal übermitteln. Kommt es dabei auch noch zu einem Zwischenfall, so kann die unbedarfte Nutzung einer Cloud oder eines weltweiten Serviceangebots durchaus die Existenz einer Klinik oder sonstigen Institution bedrohen. Wie können wir aber solchen Bedrohungen aus dem Weg gehen? Der Verband für Berater, Sachverständige und Gutachter im Gesundheits- und Sozialwesen rät im Allgemeinen Kliniken derzeit davon ab, personenbezogene Daten, insbesondere Sozialdaten, in „Clouds“ zu speichern. Auch im Bezug auf modernste Technik sollten die Institutionen zunächst eine zurückhaltende Strategie verfolgen. Selbst wenn uns ein Hochglanzmarketing jeden Tag aufs Neue vorführt, wie einfach unsere Arbeit sein könnte, so sollten wir uns darüber im Klaren sein, dass jede neue Technologie auch neue Gefahren in sich birgt. Generell rät daher der VBSG e.V. zu „konservativen“ Strategien und zum Einsatz von bereits über Jahre hin bewährten Technologien. Was nun den Datenaustausch mit anderen Institutionen oder Beteiligten des Gesundheitsund Sozialwesens angeht, so wird empfohlen, von Software-Anbietern die Zertifizierung eines IT-Produkts durch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (Datenschutzgütesiegel) zu fordern, im Vorfeld einen Sachverständigen für Datenschutz zu involvieren oder aber sich direkt mit dem zuständigen Landesamt für Datenschutz in Verbindung zu setzen. In keinem Fall sollten sich die Institutionen auf Verkaufsversprechen verlassen, denn, wie bereits erwähnt, bleibt die Verantwortung für die Daten auch bei externer Speicherung oder Verarbeitung bei der Institution. Gesetzlich genau definierter Katalog In diesem Zusammenhang ist darauf hinzuweisen, dass auch ein Datenaustausch zwischen Krankenhaus und GKV nur im Rahmen eines gesetzlich genau definierten Katalogs von Daten über die Behandlung von gesetzlich Krankenversicherten zulässig ist. Darüber hinausgehend besteht grundsätzlich kein Anspruch der Krankenkasse auf Patientendaten. Wegen des abschließenden Charakters der Abrechnungsregelungen im SGB V sind Krankenhaus und Krankenkasse daher auch nicht befugt, weitergehende Datenübermittlungen auf vertraglicher Grundlage zu normieren. Insbesondere ist es den Kassen verwehrt, zur Vorprüfung der Frage, ob der Medizinische Dienst der Krankenversicherung eingeschaltet werden soll, sich Krankenhausentlassungsberichte oder sonstige ärztliche Berichte zusenden zu lassen (§ 301 SGB V, s. u. VII. 1.1). Die Befugnis der GKV-Vertragspartner, das Nähere untereinander festzulegen, beinhaltet nicht das Recht, den Katalog der zu übermittelnden Daten zu erweitern (§ 112 SGB V). Auf Grund von Wirtschaftlichkeitserwägungen werden auch im Krankenhaus zunehmend externe Firmen in den organisatorischen Ablauf einbezogen. Auch hier gilt, soweit Patientendaten von einer solchen Ausgliederung betroffen sind, dürfte die Ausgliederung in aller Regel unzulässig sein. Zwar erachtet das allgemeine Datenschutzrecht die Auftragsdatenverarbeitung als Hilfstätigkeit nach Weisung generell als zulässig (§ 11 BDSG), bezogen auf Patientendaten setzt § 203 SGB hier jedoch klare Grenzen und ist Outsourcing nur dann zulässig, wenn der Patient der Ausgliederung in einer Einwilligungserklärung ausdrücklich zugestimmt hat. Dies setzt voraus, dass die Patienten hinreichend bestimmt über den Umfang der Daten sowie über den Auftragnehmer informiert werden.