Kategorien
Neueste Beiträge
Patientendaten in der Cloud
Wenn Patientendaten in der Cloud landen oder deren Speicherung in der Cloud in Planung ist bzw. ein Dienstleister diese Verarbeitung übernehmen soll, zieht so mancher Datenschützer instinktiv fragend eine Augenbraue hoch. Weshalb dies weiterhin ein viel diskutiertes Thema ist und was Verantwortliche beachten sollten, erläutern wir in diesem Beitrag.
Die Cloud
Bei der Cloud handelt es sich vereinfacht ausgedrückt um einen oftmals mit anderen Nutzern geteilten und über Internet zugänglichen Speicherplatz auf einem oder mehreren Computern, zumeist auf dem eines Dienstleisters. Damit die Daten auf diesen Computern gespeichert werden können, ist es notwendig, die Daten zu übertragen. Dies geschieht meist nicht über einen USB-Stick oder eine Festplatte, sondern über das Internet.
– Mehr zum Thema der datenschutzkonformen Nutzung von Cloud-Dienstleistungen können Sie hier nachlesen. –
Schwachstelle
Im Übertragungsprozess lauert dann auch schon der erste mögliche Angriffspunkt. Der Grund liegt darin, dass externe Parteien einen möglichen unbefugten Zugang zu den Daten während der Übermittlung erlangen können – ein sogenannter Man-in-the-Middle-Angriff.
Des Weiteren ist es natürlich auch möglich, dass es jederzeit zu einem unbefugten Zugriff auf die personenbezogenen Daten im „Ruhe“- bzw. Speicherstatus kommen kann.
Gegen diese Gefahren muss der Verantwortliche technische und organisatorische Sicherheitsmaßnahmen gemäß Art. 32 DSGVO ergreifen; eine Pflicht, deren Verletzung mit einem erheblichen Bußgeld gemäß Art. 83 Abs. 4 lit. a) DSGVO geahndet werden kann.
Personenbezogene Daten besonderer Kategorien
Bei Patientendaten handelt es sich um personenbezogene Daten besonderer Kategorien nach Art. 9 Abs. 1 DSGVO: Gesundheitsdaten, ggf. auch genetische Daten oder Daten über die sexuelle Orientierung. Da die Verarbeitung dieser Daten ein mindestens hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen können, ist es umso wichtiger, die Sicherheit und den Schutz dieser Daten gewährleisten. Zu diesem hohen Risiko für die personenbezogenen Daten der Patienten kommt auch die berufliche Schweigepflicht der behandelnden Ärzte dazu. Wir erinnern an § 203 StGB.
Maßnahmen zum Schutz der Patientendaten
Wenn Personen, die einer beruflichen Schweigepflicht unterliegen, also eine Cloud eines externen Dienstleisters nutzen bzw. Patientendaten in dieser verarbeiten, müssen sie die Dienstleister auf die Sensibilität der Daten aufmerksam machen und zur Geheimhaltung verpflichten (§ 203 Abs. 4 Nr. 2 StGB). Nach § 22 Abs. 2 BDSG sind spezifische Schutzmaßnahmen zu ergreifen. Weitere speziell im Gesundheitssektor wichtige und empfehlenswerte Maßnahmen können u. a. folgende sein:
Verschlüsselung
Idealerweise implementiert der Verantwortliche Maßnahmen, um es dem Dienstleister und unbefugten Externen überhaupt unmöglich zu machen, auf die Daten zugreifen zu können. Eine mögliche Maßnahme wäre die Ende-zu-Ende-Verschlüsselung, die den kompletten Transportweg der Daten umfasst. Die Verschlüsselung der Daten sollte weiterhin bestehen, sobald sich die Patientendaten auf dem Server des Dienstleisters befinden. Dabei ist empfehlenswert, dass der Dienstleister keinen Zugriff auf den Schlüssel zur Entschlüsselung dieser Daten hat. Dieser sollte also ebenfalls sicher und vor unbefugtem Zugriff aufbewahrt werden. Eine andere Maßnahme ist es, die Patientenstammdaten, die zur Identifizierung geeignet sind, von den medizinischen Daten getrennt zu halten und die Stammdaten gesondert zu schützen.
Anonymisierung und Pseudonymisierung
Es ist auch darüber nachzudenken, inwiefern eine Pseudonymisierung oder Anonymisierung der Patientendaten umsetzbar ist. Hier ist natürlich darauf zu achten, dass die Patientendaten noch immer so nutzbar sind, wie sie es sein müssen, beispielsweise für Forschungszwecke oder auch zur Behandlung und Erfüllung der Aufbewahrungspflichten, ohne dass ein Personenbezug herstellbar ist.
Problematik der Drittlandübermittlung
Wenn der Verantwortliche sicherstellt, dass die personenbezogenen Daten schon vor der Übertragung in die Cloud unlesbar sind, schwächt dies die Problematik der Drittlandübermittlung ab. – Mehr zum Thema anhand der USA finden Sie hier. – Dabei ist natürlich sicherzustellen, dass der Cloud-Dienstleister im Drittland auch keinen Zugang zum Entschlüsselungsschlüssel, den Deanonymisierungs oder Depseudonymisierungsdaten hat.
Vor einer Drittlandübermittlung ist zudem sicherzustellen, dass dadurch der strafrechtliche Schutz der Patientendaten durch das Berufsgeheimnis nicht ausgehöhlt wird. Es ist also zu prüfen, ob im Zielland ebenfalls ein strafrechtlicher Schutz für das ärztliche Berufsgeheimnis besteht und Patienten dies auch einklagen können.
Protokollierung
Auch bei der Verarbeitung von Patientendaten in der Cloud ist zu protokollieren, wer wann welche Daten ändert, hinzufügt, löscht, verschiebt etc. (siehe § 22 Abs. 2 Nr. 2 BDSG). Zum einen ist dies wichtig, um nachweisen zu können, dass ein Verantwortlicher etwaigen Betroffenenanfragen (Artt. 15 – 22 DSGVO) nachgekommen ist (Art. 5 Abs. 2 DSGVO). – Mehr zur Nachweispflicht eines Verantwortlichen gibt es in diesem Beitrag. – Zum anderen ermöglicht dies, unbefugte Zugriffe auf die Daten, beispielsweise durch den Cloud-Dienstleister, oder die ersten Phasen eines Cyber-Angriffes möglichst zeitig zu entdecken oder sogar zu verhindern.
Individuelle Nutzerprofile
Um eine effektive Protokollierung durchführen zu können, muss eine Aktivität auch einer Person zuordenbar sein. Das bedeutet, ein Verantwortlicher muss individuelle Profile im Firmenkonto beim Cloud-Dienstleister anlegen.
Komplexe Passwörter
Damit einher geht die Nutzung möglichst komplexer Passwörter. – Schauen Sie sich gern unseren Beitrag zur Erstellung eines sicheren Passwortes an, um hierzu mehr zu erfahren. – Wichtig ist dabei auch, eine entsprechende Richtlinie zur Passworterstellung und -pflege in der Einrichtung zu kommunizieren und Beschäftigten ständig zur Verfügung zu stellen. So können diese sich die Richtlinie bei Neueinstellung, bei der technischen Umsetzung und sonst bei Bedarf ansehen.
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO)
Wichtig ist übrigens auch, zu beachten, dass es technisch überhaupt möglich ist, beispielsweise verschlüsselte Daten in die Cloud hochzuladen. Des Weiteren ist es wichtig, vor Nutzung des Cloud-Dienstes sicherzustellen, dass es technisch gegeben ist, die Profile mit Passwörtern gemäß der eigenen Richtlinie schützen zu können. Dem entgegenstehen könnten eventuelle Programmierungen durch den Cloud-Dienstleister, der möglicherweise nur Passwörter aus Zahlen und Nummern zulässt.
Auch ist es wichtig, dass die Voreinstellungen datenschutzfreundlich eingestellt sind. Idealerweise sind die initialen Einstellungen beispielsweise so programmiert, dass nicht alle Nutzer einen anfänglichen Zugriff auf alle Daten haben. Sind die Zugriffsrechte zu weit gefasst, muss der Administrator die Zugriffe erst einschränken.
Sensibilisierung der Beschäftigten
Eine der gebotenen organisatorischen Sicherheitsmaßnahmen ist die Sensibilisierung der Beschäftigten zum besonderen Schutz der Gesundheitsdaten (siehe § 22 Abs. 2 Nr. 3 BDSG).
Fazit
Die zu betrachtenden Aspekte, die wir in diesem Beitrag genannt haben, sind bei weitem nicht abschließend. Es gilt zu betrachten, inwiefern ein Auftragsverarbeitungsverhältnis nach Art. 28 Abs. 3 DSGVO oder eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegt (z. B. Krankenhaus A und B entscheiden sich, Daten auf Servern gemeinsam zu nutzen) und etwaige Verträge abzuschließen. In der Datenschutzinformation ist darüber zu informieren (Artt. 13 DSGVO oder auch 14 DSGVO). Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO muss entsprechende Informationen enthalten etc.
Falls in Ihrer Einrichtung also Unterstützung und Beratung benötigt wird, kontaktieren Sie uns gern. Eventuell fehlt Ihrem internen Datenschutzbeauftragten die zeitlichen Kapazitäten, um die DSGVO in Ihrer Einrichtung umzusetzen. Eventuell möchten sie einen externen Datenschutzbeauftragten benennen.
Falls Sie eine externe Partei mit sowohl den Aufgaben eines Datenschutzbeauftragten als auch mit der Erstellung der notwendigen Dokumentation beauftragen und Beratung zu Datenschutz erhalten möchten: Wir unterstützen Sie gern.