Datensicherheit in der Cloud – Wie sicher sind Patientendaten wirklich?

Lesedauer: 3:30 Minuten

© Jack Moreh, imagenslivres.com

Datensicherheit ist ein wichtiges und heikles Thema. In diesem Beitrag erfährst du, wie sich der Gesetzgeber mit diesem Thema auseinandergesetzt hat. Wir haben uns die relevanten Gesetzestexte genauer angeschaut, um dir einen schnellen und verständlichen Überblick zu schaffen. Am Ende findest du noch Praxisbeispiele aus dem Alltag, die zeigen, dass die Cloud eine sinnvolle Alternative zu klassischen Speichermedien darstellt.

Gesetzliche Regelung

Die wichtigsten Punkte bezüglich Datenschutz sind im Datenschutzgesetz 2000 (kurz DSG 2000) geregelt. Dieses bildet die allgemeine Grundlage des Schutzes personenbezogener Daten und beinhaltet allgemeine Datenschutzbestimmungen sowie Regeln über Rechtsschutzinstrumente. In anderen Worten: Diese Gesetzestexte informieren unter Anderem über das Grundrecht auf Datenschutz (§1 DSG) oder die gesetzeskonforme Aufbewahrung (§ 14 DSG) von personenbezogenen Daten.

Das Grundrecht auf Datenschutz §1 (1) DSG

“Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. (…)”

Unmittelbar im ersten Paragraphen wird auf das notwendige Schutzbedürfnis hingewiesen. Das heißt im weiteren Sinne, dass Patientendaten einerseits sicher und andererseits geschützt vor dem Zugriff durch unbefugte Dritte aufbewahrt werden müssen. Was mit “sicher” genauer gemeint ist, wird im § 14 DSG geregelt.

Datensicherungsmaßnahmen § 14 (1) DSG

“Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung (…) sicherzustellen, daß die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich sind.”

Dieser Absatz des Paragraphen 14 beschreibt somit explizit die gesetzlich notwendigen Maßnahmen. Im Klartext können zwei Grundsätze abgeleitet werden:

  1. Daten dürfen nicht verloren gehen.
  2. Daten müssen vor unbefugten Dritten sicher sein (zB. Diebstahl).

Gesundheitstelematikgesetz 2012 (GTelG 2012)

Speziell für die elektronische Speicherung und Übertragung von Gesundheitsdaten durch den Dienstleister (zB Ärzte und Therapeuten) gibt es zusätzlich das Gesundheitstelematikgesetz.

Im GTelG 2012 werden ergänzende Sicherheitsbestimmungen für den elektronischen Verkehr von Gesundheitsdaten festgelegt. Dieses Gesetz ist sozusagen eine Erweiterung zum normalen Datenschutzgesetz. Das GTelG 2012 normiert unter Anderem die Mindeststandards in Sachen Datensicherheit in Kombination mit elektronischen Gesundheitsdaten und bietet eine einheitliche Regelungen für die Übertragung und Speicherung von elektronischen Gesundheitsdaten (insbesondere für das ELGA System).

Die Realität

Die Datenschutzbestimmungen gelten grundsätzlich für jede Art von Datenverarbeitung. Somit ist es egal, ob die Datenspeicherung Online (zB. im Rechenzentrum oder in der Cloud), Offline (zB. auf dem eigenen Server oder Computer) oder in manuell geführte Karteien, durchgeführt werden.

1. Das klassische “OFFline” Speichern

Streng genommen müssen Sicherheitskopien von (Papier-)Patientenakten existieren. Diese Ordner müssen einerseits sicher und andererseits an einem anderen Ort als die Originaldokumente aufbewahrt werden. Ein Banksafe wäre wohl eine “geeignete Lösung”. In der Praxis ist das jedoch wenig praktikabel und sehr aufwendig.

2. Die elektronische Speicherung

Die zweite Möglichkeit ist die elektronische Aufbewahrung. Dies ist wohl die am weitesten verbreitete Variante und in den meisten Praxis gang und gäbe. Dabei werden die Daten auf einem lokalen Computer oder auf einem externen Datenträger (zB. Mobile Festplatte) gespeichert. Auch bei dieser Variante müssen die beiden Grundsätze eingehalten werden. Elektronische Daten müssen verschlüsselt werden, sodass sie im Falle eines Diebstahls unbrauchbar sind. Zusätzlich müssen die Daten auf einem weiteren Datenträger gespeichert werden, um Datenverlust auszuschließen, wenn beispielsweise der Praxiscomputer plötzlich den Geist aufgibt oder eine Festplatte defekt ist. Auch hier wird ein hohes Maß an Aufwand vom Gesetzgeber erwartet.

3. Dezentrales “ONline” Speichern

Die dritte Variante, eine Online-Lösung, ist unserer Meinung nach am einfachsten, sichersten und kostentechnisch am sinnvollsten. Voraussetzung ist die Wahl des richtigen Anbieters. Wir bei appointmed vertrauen auf den derzeitigen Marktführer in Sachen Cloud Technologie: Amazon Web Services.

Fazit

Mit appointmed muss man sich keine Gedanken über die zwei Grundsätze für Datenschutz machen. Alle Daten in der Software werden verschlüsselt gespeichert und somit gegen Diebstahl gesichert. Tägliche Backups garantieren, dass keine Daten verloren gehen. Du möchtest dir einen neuen Computer zulegen oder auf ein Tablet wechseln? Das ist natürlich auch kein Problem! Auf deine Daten auf der Cloud kannst du überall und jederzeit zugreifen.

 

Wenn du weitere Fragen zum Thema Datenschutz bei appointmed hast, freuen wir uns über deine E-Mail an info@appointmed.com oder über einen Kommentar direkt unter diesem Artikel.


Quellen

Der appointmed Newsletter 📨

100% Information – 0% Spam. Erhalte alle News rund um appointmed bequem in Dein Postfach. Regelmäßig laden wir Dich auch zum exklusiven Testen neuer, bisher unveröffentlichter Funktionen ein.