Inwieweit ist der Einsatz von Cloud-Computing in der Arztpraxis zulässig?

In Abstim­mung mit dem Baye­ri­schen Landes­amt für Daten­schutz­auf­sicht (BayLDA) kann die Frage nur dann bejaht werden, wenn die daten­schutz­recht­li­chen Vorga­ben von Art. 28 Daten­schutz-Grund­ver­ord­nung (DS-GVO) und Art. 35 DS-GVO – wie nach­fol­gend kurz darge­stellt – beach­tet werden.
Nach den „Hin­weise und Empfeh­lun­gen zur ärzt­li­chen Schwei­ge­pflicht, Daten­schutz und Daten­ver­a­r­bei­tung“ der Bunde­s­ärz­te­kam­mer und der Kassen­ärzt­li­chen Bundes­ver­ei­ni­gung ist eine externe Vera­r­bei­tung (u. a. Spei­che­rung, Archi­vie­rung etc.) von Pati­en­ten­da­ten außer­halb des eige­nen Praxis­ver­wal­tungs­sys­tems grund­sätz­lich als möglich erach­tet worden. Dabei sind aber, wie unter Punkt 5.2. der tech­ni­schen Anla­gen aufge­führt, sehr strenge recht­li­che Vorga­ben zu beach­ten (vgl. § 203 Abs. 3 S. 2 StGB und ggf. Arti­kel 28 DS-GVO).

1. Art. 28 DS-GVO

Es ist davon auszu­ge­hen, dass in der Regel eine Fall­kon­stel­la­tion vorliegt, die den Abschluss eines Vertrags zur Auftrags­ver­a­r­bei­tung im Sinne des Art. 28 DS-GVO erfor­dert. Proble­ma­tisch im Hinblick auf den Abschluss eines DS-GVO konfor­men Vertra­ges zur Auftrags­ver­a­r­bei­tung im Sinne des Art. 28 DS-GVO erscheint dabei insbe­son­dere die Fest­stel­lung der Zuver­läs­sig­keit sowie die Durch­füh­rung wirk­sa­mer Kontrol­len. Jeden­falls solange keine sinn­vol­len, ausrei­chend umfas­sen­den Zerti­fi­zie­run­gen in diesem Sektor vorlie­gen, kann sich dies, je nach Dienst­leis­tung, schwie­rig gestal­ten. Gefähr­dungs­po­ten­zial ist hier unter ande­rem dann vorhan­den, wenn der Auftrags­ver­a­r­bei­ter in einem Dritt­land nieder­ge­las­sen ist. Eine beson­ders sorg­fäl­tige Auswahl der Auftrags­ver­a­r­bei­ter ist hier gerade auch im Hinblick auf die Art der vera­r­bei­te­ten Daten unab­kömm­lich. Zurück­hal­tung ist auch gebo­ten in Bezug auf die von Dienst­leis­tern häufig verspro­che­nen angeb­li­chen Anony­mi­sie­run­gen, welche sich nach unse­rer Erfah­rung häufig als Pseud­ony­mi­sie­run­gen entpup­pen und darüber hinaus insbe­son­dere bei vielen Arten ärzt­li­cher Doku­men­ta­tion tech­nisch schwie­rig umsetz­bar sind.

1. Art. 35 DS-GVO

Das BayLDA ist der Auffas­sung, dass je nach einge­setz­tem Produkt, durch­aus häufig von einem hohen Risiko bei dem Einsatz von Cloud-Diens­ten ausge­gan­gen werden muss, weshalb der Einsatz von Cloud-Lösun­gen häufig die Durch­füh­rung einer Daten­schutz­fol­ge­n­ab­schät­zung auslöst.
Das Thema wurde aber bislang noch nicht abschlie­ßend beur­teilt und das BayLDA hat uns mitge­teilt, dass es sich dies­be­züg­lich mit den ande­ren deut­schen Aufsichts­be­hör­den austauscht.