Daten in der Cloud - eine Gefahr für den Arzt?

Das Speichern von Daten in der „Cloud“ liegt im Trend. Notizen werden im Smartphone gespeichert und zuhause am heimischen PC aus der Cloud übernommen. Die elektronische Patientenkartei folgt zum Hausbesuch. Ärzte schicken ihren Patienten Befunde, Arztbriefe oder Terminerinnerungen zunehmend per E-Mail. Doch dürfen Ärzte das auch?

Wie so oft bei Ärzten und anderen „Geheimnisträgern“ lauert die Gefahr im Detail. Sie können Cloud-Dienste nutzen und Daten per E-Mail verschicken – unter bestimmten rechtlichen Voraussetzungen. Denn die Verletzung von Privatgeheimnissen ist nach § 203 StGB strafbar; Sie kennen das als „Verletzung der ärztlichen Schweigepflicht“. So wie Sie Ihre Mitarbeiter regelmäßig über ihre Schweigepflicht belehren und die Patientenkartei sicher verwahren müssen, haben Sie auch beim Umgang mit Daten Vorsicht walten zu lassen.

Ein Beispiel

Wenn Sie Ihre Patientenkartei in einen Schuhkarton packen, diesen mit einem Hängeschloss verknoten und ihn dann in einem Ihnen nicht näher bekannten Gebäude in Indien lagern, entspricht das nicht ganz den deutschen Vorstellungen von Datenschutz und Datensicherheit. Das ist aber in etwa vergleichbar, wenn Sie Ihre Daten ungeschützt in eine beliebige Cloud packen. Woher wissen Sie, dass Ihr Cloud-Anbieter die Daten nicht in Indien outsourct oder sogar selbst in Indien firmiert? Das Datenschutzrecht dort entspricht nicht den deutschen Anforderungen an den Datenschutz. Das Gleiche gilt übrigens derzeit auch für die USA. Ein Passwort allein genügt da nicht, die Daten qualifiziert zu schützen. Leider ist das vielen nicht bewusst, denn ein Passwort allein vermittelt meist trügerischen Schutz. Während man sich in der Praxis über verschließbare Aktenschränke Gedanken macht, fehlt dies mangels IT-Kenntnissen oftmals bei der EDV.

Auch das Hosten der Daten bei einem deutschen Anbieter alleine genügt nicht, um die besonderen personenbezogenen Daten Ihrer Patienten zu schützen. Wenn Sie beispielsweise Patientendaten in fremden Rechenzentren lagern, sollten die Daten verschlüsselt und nur dem Arzt und seinen zugriffsberechtigten Mitarbeitern zugänglich sein. Dazu haben Sie mit dem Rechenzentrum eindeutige Vereinbarungen zu treffen, wo die Daten zu lagern und wie sie zu schützen sind. Wenn Sie Patientendaten per E-Mail verschicken, sollten Sie vorher mit dem Patienten eine entsprechende Vereinbarung getroffen haben.

Als ärztlicher Unternehmer sind Sie verpflichtet, Datenschutz und Datensicherheit sicherzustellen, selbst wenn Sie kein IT-Experte sind. Fehlt es Ihnen an IT-Fachwissen, müssen Sie diese Kompetenz hinzukaufen. Bestenfalls lassen Sie sich bei der Konzeption und der Vertragsgestaltung mit Ihrem IT-Dienstleister rechtlich beraten. Leider sind viele Ärzte und Krankenhäuser hier noch immer nicht hinreichend sensibilisiert – der Schreck sitzt dann tief, wenn Post von Behörden oder Anwälten eintrifft. Davon berichten die ärztlichen Zeitungen gar nicht so selten. Machen Sie daher lieber jetzt einen Sicherheitscheck und prüfen Sie Ihre Praxis im Umgang mit Daten.

Weitere Informationen finden Sie in den Empfehlungen der Bundesärztekammer zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis; diese sind leider sehr restriktiv. Oder Sie informieren sich bei einem erfahrenen Anwalt. Versäumen Sie dabei nicht, sich auch über Fördermittel zu Beratungsleistungen zu informieren.

Unsere Kontaktmöglichkeiten finden Sie nebenstehend. Für weitere Informationen surfen Sie weiter auf staufer.de und stauferkirsch.de. 

Dr. Andreas Staufer ist Rechtsanwalt und Fachanwalt für Medizinrecht. Er beschäftigt sich mit Rechtsfragen der IT im Gesundheitswesen, dem Recht der Telemetrie, dem Datenschutz- und Medizinprodukterecht.