Startseite > Medizintechnik > E-Health > Wie sicher sind Gesundheitsdaten in der Cloud?

Antworten zu Schrems-II & Cyberrisiken

Wie sicher sind Gesundheitsdaten in der Cloud?

7. August 2023, 15:40 Uhr | Prof. Dr. Christian Dierks für Amazon Web Services

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 1

Herausforderungen im Gesundheitssektor

Unternehmen und Organisationen im deutschen Gesundheitswesen müssen neben dem hohen Schutzniveau, das die DSGVO für sensible Gesundheitsdaten fordert, auch noch Bundes- und Landesregelungen beachten. So gelten beispielsweise für Krankenkassen die Vorschriften aus dem Sozialgesetzbuch (SGB) V und X und für Hersteller Digitaler Gesundheitsanwendungen (DiGA), den sogenannten „Apps auf Rezept“, die Regelungen der DiGAV. Krankenhäuser wiederum sind den Vorschriften in den Landeskrankenhausgesetzen unterworfen, deren Regelungen nicht bundesweit einheitlich sind. Diese Zersplitterung der relevanten rechtlichen Rahmenbedingungen erschwert es Unternehmen des Gesundheitssektors, einen Überblick über die jeweils geltenden Regelungen zu erhalten. Aber auch hier gilt: Der Einsatz von Cloud-Dienstleistern ist auch nach diesen Vorschriften erlaubt, unter Beachtung bestimmter Maßnahmen. Die Speicherung von Gesundheits- und Sozialdaten in der Cloud ist auch in Deutschland vor dem Hintergrund der genannten Regelungen rechtlich möglich.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Aktuelle Entwicklungen auf deutscher und europäischer Ebene zeigen einmal mehr, dass die Nutzung von Cloud-Services rechtlich zulässig ist – auch im öffentlichen Sektor und im Gesundheitswesen. Im Jahr 2022 wurden in den Landeskrankenhausgesetzen in Berlin und Bayern die Regelungen zum Einsatz von Auftragsverarbeitern überarbeitet, sodass Krankenhäuser in diesen Bundesländern nun leichter Cloud-Dienstleister einsetzen können. In einem wegweisenden Beschluss hat das Oberlandesgericht (OLG) Karlsruhe im September des Jahres 2022 entschieden, dass öffentliche Krankenhäuser einen Anbieter für digitales Entlassmanagement beauftragen dürfen, der die europäische Tochtergesellschaft einer US-Mutter als Hosting-Anbieterin einbindet. Die Vergabekammer Bund bestätigte diese Auffassung für Sozialdaten im März 2023.

Deutschland nähert sich somit an die Ansichten und die Rechtsprechung in anderen europäischen Staaten an. So wurde in Frankreich vom Conseil d’État bereits in den Jahren 2020 und 2021 entschieden, dass der Einsatz eines Cloud-Dienstleisters mit Konzernverbindungen in die USA zulässig ist, wenn die Daten verschlüsselt sind. Der Europäische Datenschutzausschuss (EDSA) hat sich in seinem Bericht zur »Coordinated Enforcement Action« zum Einsatz von Cloud-Dienstleistern im öffentlichen Sektor geäußert. Hervorzuheben ist auch hier, dass der Einsatz von Cloud-Dienstleistern mit Konzernverbindungen in die USA unter Einhaltung eines Maßnahmenkatalogs zulässig sein kann. Auch mit Blick auf den Drittlandstransfer tut sich etwas: Endlich nimmt das sogenannte EU-U.S. Data Privacy Framework Formen an, auf dessen Grundlage noch dieses Jahr von der EU-Kommission ein Angemessenheitsbeschluss erlassen werden soll, der die USA als ein Drittland mit einem angemessenen Schutzniveau anerkennt.

Cloud geht nicht – gibt’s nicht

Auch wenn die Rechtslage gerade in Deutschland unübersichtlich ist – Hersteller, Zulieferer und Anbieter im medizinischen Sektor sollten sich von rechtlichen Bedenken in Bezug auf den Einsatz von Cloud-Dienstleistern für Gesundheits- und Sozialdaten nicht abschrecken lassen. Die für das Unternehmen geltenden rechtlichen Rahmenbedingungen lassen sich prüfen und alle Cloud-Anbieter informieren, wie der Einsatz von Cloud-Dienstleistern auch für Gesundheitsdaten möglich gemacht werden kann. (uh)