Viele Praxen nutzen zunehmend cloudbasierte Dienste oder Praxisverwaltungssysteme (PVS) in der Cloud – zum Beispiel für Patientendaten, Terminverwaltung oder Erinnerungsservices. Diese Form der Datenverarbeitung ist grundsätzlich zulässig, bringt aber spezielle rechtliche, datenschutz- und sicherheitstechnische Anforderungen mit sich. In diesem Beitrag erläutere ich, worauf Sie bei der Nutzung von Cloud-Diensten in Ihrer Praxis unbedingt achten sollten.
Zulässigkeit und Rechtsgrundlage- Nach § 393 SGB V ist es Leistungserbringern (z. B. Praxen) grundsätzlich zulässig, Daten, darunter Sozial- und Gesundheitsdaten, auch über Cloud-Computing-Dienste verarbeiten zu lassen, sofern bestimmte Voraussetzungen erfüllt sind.
- Neben dieser fachrechtlichen Grundlage gelten selbstverständlich die Anforderungen der Datenschutz-Grundverordnung (DSGVO) – insbesondere wenn es sich um Auftragsverarbeitung handelt (§ 28 DSGVO).
Damit die Nutzung eines Cloud-Dienstes datenschutz- und rechtssicher ist, müssen mehrere Kernkriterien erfüllt sein:
- Ort der Datenverarbeitung
Die Datenverarbeitung muss in Deutschland, einem EU-Mitgliedstaat oder einem gleichgestellten Drittstaat stattfinden (gemäß § 393 Abs. 3 SGB V). Zudem muss der Anbieter über eine Niederlassung in Deutschland verfügen. - Technisch-organisatorische Maßnahmen (TOM)
Der Cloud-Dienstleister muss nachweisen können, dass er angemessene Sicherheitsmaßnahmen ergriffen hat – z. B.:- Ein Testat nach deutschem Standard (z. B. C5-Typ-2) oder eine vergleichbare Zertifizierung.
- Verschlüsselung von Daten, Zugriffskontrollen, sichere Netzstruktur.
- In der Praxis der Nachweis dieser Maßnahmen für Ihre Praxis entscheidend.
- Auftragsverarbeitung
Wenn der Cloud-Dienstanbieter im Auftrag Ihrer Praxis Daten verarbeitet, muss ein schriftlicher Vertrag zur Auftragsverarbeitung vorliegen, der Gegenstand, Umfang, Zweck, Dauer und Art der Verarbeitung sowie Pflichten und Rechte der Parteien regelt.
Chancen
- Cloud-Dienste ermöglichen kleineren Praxen oft den Zugriff auf moderne PVS-Systeme und Infrastruktur ohne eigene Server- oder Wartungskosten.
- Automatische Updates, einfache Skalierbarkeit und ortsunabhängiger Zugriff sind Vorteile.
Risiken
- Technische Abhängigkeit vom Anbieter und Internetverbindung.
- Fehlende Kontrolle über Datenverarbeitung im Detail.
- Bei unzureichender Sicherheits- oder Rechtslage: Risiko für Datenschutzverstöße.
- Versteckte Kosten oder fehlende Exit-Strategie: Was passiert mit den Daten, wenn der Dienst endet?
- Anbieter sorgfältig auswählen: Achten Sie auf Standort der Datenverarbeitung, Zertifizierungen (z. B. C5), Transparent bzgl. Sicherheit und Datenschutz.
- Vertrag zur Auftragsverarbeitung abschließen: Prüfen Sie vorab, ob sämtliche Anforderungen erfüllt sind – und lassen Sie ggf. juristische Beratung einholen.
- Datensparsamkeit und Zweckbindung beachten: Übertragen Sie nur die Daten, die für den Zweck der Cloud-Dienstleistung notwendig sind.
- Datentransfer- und Exit-Strategie planen: Legen Sie vertraglich fest, wie lange Daten gespeichert werden, wie eine Datenrückgabe oder Löschung erfolgt.
- Mitarbeitende schulen: Sensibilisieren Sie Ihre Mitarbeitenden dafür, wie Cloud-Dienste genutzt werden dürfen, insbesondere in Bezug auf Datenschutz und Zugriffssicherheit (z. B. mobile Endgeräte).
- Datenschutzdokumentation führen: Dokumentieren Sie Ihre Auswahlentscheidung, Prüfungen des Anbieters, Vertragsunterlagen, Sicherheitsmaßnahmen und Lösch-/Rückgabeverfahren.
Cloud-Computing bietet Praxen große Chancen hinsichtlich Effizienz, Flexibilität und technischer Infrastruktur. Doch diese Vorteile dürfen nicht zulasten des Datenschutzes und der Datensicherheit gehen. Setzen Sie auf eine fundierte Auswahl des Dienstleisters, rechtssichere Vertragsgestaltung und konsequente technische Absicherung. Dann gelingt ein sicherer und zeitgemäßer Einsatz von Cloud-Diensten in Ihrer Praxis.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz
Quelle: Mit Sicherheit gut behandelt