Aufbewahrung von Patientenakten in einer Cloud

Vermehrt wollen Ärzte ihre Patientenakten in einer Cloud aufbewahren. Dies bietet einerseits viele Vorteile, andererseits ist es für Ärzte aufgrund ihres im Strafrecht verankerten Berufsgeheimnisses nicht unproblematisch. Insbesondere gilt es bei der Auslagerung der Aufbewahrung von Patientenakten dafür zu sorgen, dass keine ungerechtfertigte Bearbeitung der Patientendaten durch Dritte erfolgt.

Gemäss Datenschutzgesetz kann das Bearbeiten von Personendaten und somit die Verwaltung von Patientendossiers an einen Dritten übertragen werden. Dies allerdings nur unter den Voraussetzungen, dass die Daten nur so bearbeitet werden, wie der Auftraggeber selbst (also der Arzt) es tun dürfte und wenn keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet. Ärzte sind in Bezug auf die Krankengeschichte bzw. auf den Inhalt des Patientendossiers an das strafrechtlich verankerte Berufsgeheimnis gebunden. Dies ist eine gesetzliche Geheimhaltungspflicht, deren Übertragung auf einen Dritten nicht oder allenfalls nur bedingt mittels Vertrag erfolgen kann. Folglich bleibt die Verantwortung für die Bearbeitung der Patientendaten beim Arzt.

Wir haben bei sämtlichen Anfragen die Ärzte und Cloud-Anbieter auf unsere Erläuterungen
bezüglich Cloud Computing hingewiesen, um sie für diese Problematik zu sensibilisieren. Insbesondere haben wir die Anfragenden auf Folgendes aufmerksam gemacht: Sollte der Arzt die Bearbeitung seiner Patientendossiers an einen Dritten übertragen, wäre er nach wie vor für die Geheimhaltung verantwortlich. Er müsste deshalb dafür sorgen, dass die Datensicherheit beim Dritten - also in der Cloud - im Sinne des Datenschutzgesetzes gewährleistet ist. Das bedeutet, dass die Patientendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden müssen. Es muss für Vertraulichkeit, Verfügbarkeit und Integrität der Daten gesorgt sein und der Arzt muss dies kontrollieren und überwachen können.

Aus diesem Grund gibt es aus unserer Sicht für einen in der Schweiz tätigen Arzt nur die folgende Lösung: Der Cloud-Anbieter bzw. die Cloud müssen in der Schweiz sein und dem Arzt vertraglich garantieren, dass keine Patientendaten die Schweiz verlassen. Die Patientendaten müssen konsequent clientbasiert verschlüsselt sein, was heisst, dass der Arzt als Dateninhaber als einzige Person den Schlüssel zu den sich in der Cloud befindlichen Daten hat. Der Cloud-Anbieter darf nicht in Besitz des Schlüssels kommen. Der Dateninhaber bzw. der Arzt kann Daten, die durch ihn vorgängig vollständig anonymisiert wurden, für Statistikzwecke zur Verfügung stellen. Nur durch diese Massnahmen kann aus unserer Sicht vollumfänglich gewährleistet werden, dass der Arzt seine strafrechtlich verankerte Geheimhaltungspflicht wahren kann und dass zu keinem Zeitpunkt eine ungerechtfertigte Bearbeitung der Patientendaten stattfindet.

 

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/22--taetigkeitsbericht-2014-2015/aufbewahrung-von-patientenakten-in-einer-cloud.html