Datencloud

Haftungsrisiken vorbeugen

Für die sensiblen Praxisdaten gelten strenge Datenschutzregeln. Deshalb müssen sich Praxen, bevor sie Daten in die Cloud legen, auch vertraglich besonders absichern.

Veröffentlicht:

NEU-ISENBURG. Es gilt für alle Unternehmen: Sobald ein Betrieb Rechnerleistung auslagert, kommt er in Berührung mit dem Datenschutzgesetz - und den entsprechenden Haftungsfragen.

Für Arztpraxen kommt aber leider wie so oft noch ein zusätzliches Risikopaket oben drauf: Sie müssen gemäß Paragraf 203 Strafgesetzbuch (StGB) das Privatgeheimnis ihrer Patienten wahren. Und der sogenannte Schweigepflichtsparagraf kann ihnen immerhin bei Verstößen eine Freiheitsstrafe von bis zu einem Jahr einbringen.

Cloud-Verträge für Arztpraxen sollten daher juristisch wasserdicht sein. Und es sollten bestimmte technische Grundvoraussetzungen erfüllt werden.

An oberster Stelle steht, dass jegliche patientenbezogenen Daten nur verschlüsselt an die Cloud übertragen und dort abgelegt werden dürfen.

Da alles, was sich in der Cloud befindet, quasi eine Auftragsdatenverarbeitung ist, greift zudem Paragraf 11 des Bundesdatenschutzgesetzes (BDSG). Die Praxis muss mit dem jeweiligen Anbieter daher auch einen Vertrag zur Auftragsdatenverarbeitung schließen - egal ob sie die Cloud nun als externen Datenspeicher oder gemäß dem Prinzip Software as a Service (SaaS) lediglich einzelne Programme über die Datenwolke nutzt.

Dieser Vertrag sollte unbedingt den genauen Gegenstand und die Dauer des Auftrags, aber auch Umfang, Art und Zweck der Datenverarbeitung beinhalten. Ebenfalls geregelt werden sollte, wer alles mit den Daten in Kontakt kommt - also der Kreis der Betroffenen.

Beim Daten löschen Backup nicht vergessen

Für Ärzte gelten außerdem lange Aufbewahrungsfristen. Patientendaten sind in der Regel mindestens zehn Jahre aufzubewahren, für einzelne Daten kann die Frist sogar 30 Jahre betragen. Die Praxis muss sicherstellen, dass sie wenigstens für diesen Zeitraum an die Daten kommt und diese auch einlesen kann.

Im Vertrag sollte deshalb geregelt werden, dass zum einen regelmäßige Backups vom Cloud-Anbieter gefahren werden. Die Daten, die im Backup landen, sollten ebenfalls in verschlüsselter Form dort abgelegt werden.

Zum anderen sollte festgeschrieben werden, dass die Daten Eigentum der Praxis sind und bei Vertragsaufhebung oder -ende, ebenso wie im Insolvenzfall an die Praxis zurückgegeben werden müssen.

Oft wird zudem vergessen, dass auch eindeutig geregelt sein muss, dass es eine Möglichkeit gibt, Daten wieder zu löschen. Die Löschung muss auch die Daten aus dem Backup beinhalten.

Paragraf 11 BDSG hat aber noch eine Tücke: Der Auftraggeber, also der Praxisinhaber, muss sich nicht nur davon überzeugen, dass sich der Cloud-Anbieter technisch und organisatorisch für das Speichern oder Verarbeiten der sensiblen Patientendaten eignet.

Er muss regelmäßig überprüfen, ob der Anbieter dieser Aufgabe noch gerecht wird. Das ist von den meisten Ärzten natürlich kaum zu leisten. Hier hilft wieder der Vertrag: Die Datenschutzbehörden erkennen Zertifizierungen anerkannter Stellen im Auftrag des Cloud-Anbieters als zulässig an.

Die regelmäßige Zertifizierung etwa nach DIN ISO und eine Aufstellung der getroffenen Sicherheitsmaßnahmen sollten daher ebenfalls Bestandteil des Vertrages sein. (reh)

Ihr Newsletter zum Thema
Mehr zum Thema

„ePA für alle“ startet im Januar

Elektronische Patientenakte: Wie gut sind Praxen und PVS gerüstet?

Kommentare
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Haben Sie schon unsere Newsletter abonniert?

Von Diabetologie bis E-Health: Unsere praxisrelevanten Themen-Newsletter.

Das war der Tag: Der tägliche Nachrichtenüberblick mit den neuesten Infos aus Gesundheitspolitik, Medizin, Beruf und Praxis-/Klinikalltag.

Eil-Meldungen: Erhalten Sie die wichtigsten Nachrichten direkt zugestellt!

Newsletter bestellen »

Top-Meldungen
Lesetipps
Der gelbe Impfausweis

© © mpix-foto / stock.adobe.com

Digitaler Impfnachweis

eImpfpass: Warum das gelbe Heft noch nicht ausgedient hat

Ein Aquarell des Bundestags

© undrey / stock.adobe.com

Wochenkolumne aus Berlin

Die Glaskuppel zum Ampel-Aus: Eigenlob und davon in rauen Mengen

Im Schnitt kamen Vertragsarztpraxen im dritten Quartal 2023 auf 60.168 Euro Honorarumsatz aus vertragsärztlicher Tätigkeit.

© PhotographyByMK / stock.adobe.com

Honorarbericht der KBV

Praxen erzielten im dritten Quartal 2023 mehr Umsatz